Keylogger

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 13 maj 2019; kontroller kräver 6 redigeringar .

Keylogger , keylogger ( eng.  keylogger , korrekt läst "ki-logger"  - från engelska  key  - key and logger  - recording device ) - mjukvara eller hårdvaruenhet som registrerar olika användaråtgärder - tangenttryckningar på datorns tangentbord , rörelser och tangenttryckningar möss , etc. .

Typer av information som kan kontrolleras

• tangenttryckningar på tangentbordet
• musrörelser och klick
• datum och tid för tryckning

Dessutom kan periodiska skärmdumpar (och i vissa fall även en videoinspelning av skärmen) tas och data kopieras från klippbordet.

Klassificering

Efter typ

Keyloggers för programvara tillhör den grupp av mjukvaruprodukter som kontrollerar en persondatoranvändares aktiviteter . Till en början var mjukvaruprodukter av denna typ endast avsedda för att registrera information om tangentbordstangenter, inklusive systemtanslag, i en specialiserad loggfil ( loggfil ), som sedan studerades av personen som installerade detta program. Loggfilen kan skickas över nätverket till en nätverksenhet , en FTP -server på Internet, via e-post , etc.

För närvarande utför programvaror som har behållit detta namn "på gammaldags sätt" många ytterligare funktioner - det här är att fånga upp information från fönster, fånga upp musklick, fånga upp urklipp, "fotografera" skärmdumpar och aktiva fönster, föra register över alla mottagna och skickat e-post, spåra filaktivitet och arbeta med systemregistret , spela in jobb som skickats till skrivaren, avlyssna ljud från en mikrofon och bilder från en webbkamera ansluten till en dator, etc.

Keyloggers för hårdvara är små enheter som kan fästas mellan tangentbordet och datorn eller byggas in i själva tangentbordet. De loggar alla tangenttryckningar som görs på tangentbordet. Registreringsprocessen är helt osynlig för slutanvändaren. Tangentloggare för hårdvara kräver inte att något program är installerat på datorn för att lyckas fånga upp alla tangenttryckningar. När en hårdvaru-keylogger är ansluten spelar det absolut ingen roll vilket tillstånd datorn är i - på eller av. Dess driftstid är inte begränsad, eftersom den inte kräver en extra strömkälla för dess drift.

Det interna icke-flyktiga minnet hos dessa enheter låter dig spela in upp till 20 miljoner tangenttryckningar och med Unicode -stöd . Dessa enheter kan tillverkas i vilken form som helst, så att även en specialist ibland inte kan fastställa sin närvaro under en informationsrevision. Beroende på platsen för anslutning är hårdvaru-keyloggers indelade i externa och interna.

Akustiska keyloggers är hårdvaruenheter som först spelar in de ljud som skapas av användaren när man trycker på tangenterna på datorns tangentbord, och sedan analyserar dessa ljud och konverterar dem till textformat (se även akustisk kryptoanalys ) [1] .

Enligt loggfilens plats

• HDD
• Bagge
• register
• det lokala nätverket
• Fjärrserver

Enligt metoden för att skicka en loggfil

• E-post
• FTP eller HTTP (Internet eller LAN)
• alla typer av trådlös kommunikation (radioband, IrDA , Bluetooth , WiFi , etc. för enheter i närheten, eller, i avancerade system, för att övervinna luftgapet och dataläckage från fysiskt isolerade system)

Enligt applikationsmetoden

Endast metoden att använda keyloggers (inklusive hårdvara eller mjukvaruprodukter som inkluderar en keylogger som en modul) låter dig se gränsen mellan säkerhetshantering och säkerhetsintrång.

Otillåten användning - installationen av en keylogger (inklusive hårdvara eller mjukvaruprodukter som inkluderar en keylogger som en modul) sker utan vetskap från ägaren (säkerhetsadministratören) av det automatiserade systemet eller utan vetskapen om ägaren till en viss persondator. Obehöriga keyloggers (mjukvara eller hårdvara) kallas spionprogram eller spionprogram. Otillåten användning förknippas vanligtvis med olaglig verksamhet. Som regel har obehöriga installerade spionprogramsprodukter möjligheten att konfigurera och få en "buntad" körbar fil som inte visar några meddelanden under installationen och inte skapar fönster på skärmen, och som även har inbyggda medel för leverans och fjärrinstallation den konfigurerade modulen på användarens dator, det vill säga installationsprocessen sker utan direkt fysisk åtkomst till användarens dator och kräver ofta inte systemadministratörsrättigheter.

Auktoriserad användning - installationen av en keylogger (inklusive hårdvara eller mjukvaruprodukter som inkluderar en keylogger som en modul) sker med vetskapen om ägaren (säkerhetsadministratören) av det automatiserade systemet eller med vetskapen om ägaren av en viss persondator. Auktoriserade keyloggers (mjukvara eller hårdvara) kallas engelska.  programvara för övervakning av anställda, programvara för föräldrakontroll, programvara för åtkomstkontroll, program för personalsäkerhet , etc. Som regel kräver auktoriserade mjukvaruprodukter fysisk åtkomst till användarens dator och obligatoriska administratörsrättigheter för konfiguration och installation.

Genom att inkluderas i signaturdatabaser

Signaturerna från välkända keyloggers är redan inkluderade i signaturdatabaserna för de främsta välkända tillverkarna av antispionprogram och antivirusprogram.

Okända keyloggers vars signatur inte ingår i signaturdatabaser kommer ofta aldrig att inkluderas i dem av olika anledningar:

• keyloggers (moduler) utvecklade i regi av olika statliga organisationer ;
• keyloggers (moduler) som kan skapas av utvecklare av olika slutna operativsystem och inkluderas av dem i operativsystemets kärna;
• keyloggers som är utvecklade i ett begränsat antal (ofta bara i en eller flera kopior) för att lösa ett specifikt problem relaterat till stöld av kritisk information från användarens dator (till exempel mjukvaruprodukter som används av professionella angripare). Dessa spionprogramsprodukter kan vara något modifierade keylogger-koder med öppen källkod tagna från Internet och kompilerade av angriparen själv, vilket gör det möjligt att ändra keylogger-signaturen;
• kommersiella sådana, särskilt de som ingår som moduler i företagsmjukvaruprodukter, som mycket sällan ingår i signaturdatabaserna för välkända tillverkare av antispionprogram och/eller antivirusprogram. Detta leder till att angripares publicering på Internet av en fullt fungerande version av denna mjukvaruprodukt kan bidra till att omvandla den senare till spionprogram som inte upptäcks av antispionprogram eller antivirusprogram;
• keyloggers, som är moduler för att fånga upp tangenttryckningar på användarens dator, som ingår i virusprogram. Innan signaturdata läggs till i virusdatabasen är dessa moduler okända. Ett exempel är de världsberömda virusen som har gjort mycket besvär de senaste åren, som inkluderar en modul för att avlyssna tangentbordstryck och skicka informationen som tas emot till Internet.

Syften med tillämpningen

Den auktoriserade användningen av keyloggers (inklusive hårdvara eller mjukvaruprodukter som inkluderar en keylogger som en modul) tillåter ägaren (säkerhetsadministratören) av ett automatiserat system eller en datorägare att:

• identifiera alla fall av att skriva kritiska ord och fraser på tangentbordet, vars överföring till tredje part kommer att leda till materiell skada;
• kunna komma åt information lagrad på datorns hårddisk i händelse av att inloggnings- och åtkomstlösenordet förloras av någon anledning (anställds sjukdom, personalens avsiktliga handlingar etc.);
• fastställa (lokalisera) alla fall av försök att räkna upp åtkomstlösenord;
• kontrollera möjligheten att använda persondatorer under icke-arbetstid och identifiera vad som skrevs på tangentbordet vid en given tidpunkt;
• utreda datorincidenter;
• utföra vetenskaplig forskning relaterad till att fastställa noggrannheten, effektiviteten och adekvatheten hos personalens reaktion på yttre påverkan;
• återställa kritisk information efter datorsystemfel;

Användningen av moduler som inkluderar en keylogger av utvecklare av kommersiella mjukvaruprodukter tillåter dem att:

• skapa system för snabb ordsökning (elektroniska ordböcker, elektroniska översättare);
• skapa program för snabb sökning av namn, företag, adresser (elektroniska telefonböcker)

Otillåten användning av keyloggers (inklusive hårdvara eller mjukvaruprodukter som inkluderar en keylogger som en modul) tillåter en angripare att:

• fånga upp någon annans information som skrivits av användaren på tangentbordet;
• få obehörig åtkomst till inloggningar och lösenord för åtkomst till olika system, inklusive system av typen "bank-klient";
• få obehörig åtkomst till kryptografiska skyddssystem för datoranvändarinformation - lösenordsfraser;
• få obehörig åtkomst till auktoriseringsdata för kreditkort;

Metoder för skydd mot obehöriga installerade keyloggers

Skydd mot "kända" obehöriga installerade programvara keyloggers:

• användning av antispionprogram och/eller antivirusprogram från välkända tillverkare med automatiska signaturdatabasuppdateringar.

Skydd mot "okända" obehöriga installerade programvara keyloggers:

• användning av antispionprogram och/eller antivirusprogram från välkända tillverkare som använder så kallade heuristiska (beteende)analysatorer för att motverka spionprogram, det vill säga att de inte kräver en signaturbas.
• användningen av program som krypterar data som matas in från tangentbordet, såväl som användningen av tangentbord som implementerar sådan kryptering på hårdvarunivå;

Skydd mot "kända" och "okända" obehöriga nyckelloggare för programvara inkluderar användning av antispionprogram och/eller antivirusprogram från välkända tillverkare som använder:

• ständigt uppdaterade signaturdatabaser över spionprogramprodukter;
• heuristiska (beteende)analysatorer som inte kräver en signaturbas.

Skydd mot obehörig installerad hårdvara keyloggers:

• grundliga externa och interna inspektioner av datorsystem;
• användning av virtuella tangentbord.

Anteckningar

1. ↑ Forskare återställer maskinskriven text med hjälp av ljudinspelning av tangenttryckningar Arkiverad 24 december 2013 på Wayback Machine , berkeley.edu   (tillgänglig 9 januari 2010)

Länkar

• Andrew Schulman // Omfattningen av systematisk övervakning av anställdas e-post och Internetanvändning
• Keylogger Review: The Best Keyloggers , Xakep  (tillgänglig: 9 januari 2010)
• Tangentbordssnifalka i C++ , Nikolay Andreev, Xakep #055, s. 055-070-3   (tillgänglig: 9 januari 2010)
• "Hur man loggar in från ett internetcafé utan att oroa sig för keyloggers" , Cormac Herley, Dinei Florencio, Microsoft  Research
• Maffiarättegång för att testa FBI:s spiontaktik. Tangenttrycksloggning som används för att spionera på mobbmisstänkt som använder PGP , The Register , 12/6/2000   (tillgänglig 9 januari 2010)
• Computerra: Spy Stuff , 1999-09-21   (tillgänglig: 8 april 2017)

Skadliga program
Infektiös skadlig programvara	Datorvirus nätverksmask Trojan startvirus Batchvirus Berättelse
Dölja metoder	Bakdörr Dropper Bokmärke Cryptor zombie dator Polymorfism rootkit
Skadlig programvara för vinst	Reklamprogram Integritetskränkande programvara Ransomware ( Trojan.Winlock ) Spionprogram Bot botnät Webbhot Keylogger Formgrabber Scareware ( Rogue antivirus ) Porruppringare
Genom operativsystem	Linux skadlig kod Virus för Palm OS Makrovirus mobilvirus
Skydd	Defensiv datoranvändning Antivirusprogram Brandvägg Intrångsdetekteringssystem Förebyggande av informationsläckor Tidslinje för antivirus
Motåtgärder	Anti Spyware Coalition datorövervakning honungsburk Drift: Bot Roast