Когда все тайное становится явным

Клавиатурные шпионы

25.01.2010
10:30
Илья Ильин

 

Клавиатурные шпионы (keyloggers) - это программы, основное предназначение которых – скрытно от пользователя фиксировать все нажатия клавиш на клавиатуре и передавать созданные отчеты удаленному лицу.

 

Как правило, современные клавиатурные шпионы не просто записывает коды вводимых клавиш - они «привязывает» клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют делать «снимки» экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Записываемая информация либо сохраняется на диске, либо после формирования отчетов может быть передана по электронной почте или протоколу HTTP/FTP.

 

В качестве клавиатурных шпионов могут использоваться как программное обеспечение, так и аппаратные средства. Аппаратные кейлоггеры встречаются значительно реже, чем программные, однако при защите важной информации о них ни в коем случае не стоит забывать.

 

Принципиальная идея клавиатурного шпиона состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия пользователем клавиш на клавиатуре до появления символов на экране. Это может быть видеонаблюдение, аппаратные «жучки» в самой клавиатуре, на проводе или в системном блоке компьютера, перехват запросов ввода-вывода, подмена системного драйвера клавиатуры, наконец, опрос клавиатуры стандартным задокументированным способом.

 

Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» или, например, для переключения неправильной раскладки клавиатуры. Существует масса легального ПО, которое используется администраторами для наблюдения за тем, что делает работник в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем компьютере.

 

Однако где проходит грань между «законным» использованием «легального» ПО и его использованием в криминальных целях? То же «легальное» ПО зачастую используется и в целях умышленного похищения секретных данных пользователя — например, паролей. Большинство существующих на данный момент кейлоггеров считаются «легальными» и свободно продаются, так как разработчики декларируют множество причин для их использования, например:

- родительский контроль: отслеживание действий детей в интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых»;

- для ревнивых супругов: отслеживание действий своей половины в сети в случае подозрения на «виртуальную измену»;

- для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время, фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации;

- проведение анализа и расследования инцидентов, связанных с использованием персональных компьютеров;

- другие причины.

 

Однако это скорее привычное, чем объективное положение вещей, так как для решения всех указанных задач существуют и другие способы, а ЛЮБОЙ легальный кейлоггер может использоваться во вредоносных целях. Не лишним будет узнать, что в последнее время главным применением легальных клавиатурных шпионов стала именно кража информации пользователей различных систем онлайн-платежей. Кроме того, многие кейлоггеры прячут себя в системе, что значительно облегчает их использование в преступных целях.

 

Чем опасны кейлоггеры

 

В отличие от других типов вредоносного программного обеспечения, кейлоггер для системы абсолютно безопасен. Однако он может быть чрезвычайно опасным для пользователя, так как с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, пароли к учетным записям в online-играх, адреса, логины, пароли к электронной почте и так далее.

 

После получения конфиденциальных данных пользователя злоумышленник может не только банально перевести деньги с его банковского счета или использовать учетную запись пользователя в online-игре. К сожалению, наличие таких данных в ряде случаев может приводить к последствиям более серьезным, чем потеря некоторой суммы денег конкретным человеком. Использование кейлоггеров позволяет осуществлять экономический и политический шпионаж, получать доступ к сведениям, составляющим не только коммерческую, но и государственную тайну, а также компрометировать системы безопасности, используемые коммерческими и государственными структурами.

 

Кейлоггеры, наряду с фишингом и методами социальной инженерии, являются сейчас одним из главных методов электронного мошенничества.

 

 

Однако если в случае фишинга бдительный пользователь может сам себя защитить — игнорировать явно фишинговые письма, не вводить персональные данные на подозрительных веб-страницах, — то в случае с клавиатурными шпионами никаким другим способом, кроме использования специализированных средств защиты, обнаружить факт шпионажа практически невозможно.

 

Способы распространения кейлоггеров

 

Способы распространения кейлоггеров в целом не отличаются от методов других вредоносных программ. Можно выделить следующие методы распространения (без учета случаев покупки и установки клавиатурного шпиона заботливым супругом(-ой) и использования их службами безопасности организаций):

- при открытии файла, присоединенного к электронному письму;

- при запуске файла из каталога, находящегося в общем доступе в peer-to-peer сети;  

- с помощью скрипта на веб-страницах, который использует особенности интернет-браузеров, позволяющие программам запускаться автоматически при заходе пользователя на данные страницы;

- с помощью ранее установленной вредоносной программы, которая умеет скачивать и устанавливать в систему другие вредоносные программы.

 

Методы защиты от кейлоггеров

 

Большинство антивирусных компаний добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения: с помощью установки антивирусного продукта и поддержки его базы в актуальном состоянии. Однако так как большинство антивирусных продуктов относит клавиатурных шпионов к классу потенциально опасного программного обеспечения, то следует удостовериться, что при настройках по умолчанию используемый антивирусный продукт выявляет наличие программ этого класса. Если это не так, то для детектирования кейлоггеров необходимо выставить подобную настройку вручную. Это позволит защититься от большинства широко распространяемых клавиатурных шпионов.

 

Рассмотрим подробнее методы защиты от неизвестных кейлоггеров или клавиатурного шпиона, изготовленного специально для атаки конкретной системы.

 

Так как основной целью использования кейлоггеров является получение конфиденциальной информации (номера банковских карт, паролей и т.п.), то разумными методами защиты от неизвестных кейлоггеров являются следующее:

- использование одноразовых паролей / двухфакторная аутентификация,

- использование систем проактивной защиты, предназначенных для обнаружения программных кейлоггеров,

- использование виртуальных клавиатур.

 

Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться. Поэтому, даже если такой пароль будет перехвачен, злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации.

 

Для получения одноразовых паролей могут использоваться специальные аппаратные устройства, выполненные в виде брелка или «калькулятора» и способные генерировать пароли, предназначенные для аутентификации во время одной онлайн-сессии. Как только окно браузера будет закрыто, пароль аннулируется.

 

Для получения одноразовых паролей могут также использоваться системы, основанные на посылке SMS с мобильного телефона, зарегистрированного в системе, и получения в ответ PIN-кода, который нужно вводить вместе с персональным кодом при аутентификации.

 

Более дешевым решением является использование систем проактивной защиты на стороне клиентов, которые могут предупредить пользователя об установке или активизации программных кейлоггеров.

 

Главный недостаток этого способа — необходимость активного участия пользователя для определения дальнейших действий с подозрительным кодом. Если пользователь недостаточно технически подготовлен, вследствие его некомпетентного решения кейлоггер может быть пропущен. Если же участие пользователя в принятии решения системой проактивной защиты минимизировать, то кейлоггер может быть пропущен вследствие недостаточно жесткой политики безопасности системы. В то же время, если политика безопасности слишком жесткая, повышается опасность блокирования полезных программ, использующих перехват ввода с клавиатуры для легальных целей.

 

Последний из рассматриваемых способов защиты как от программных, так и от аппаратных кейлоггеров — использование виртуальной клавиатуры. Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.

 

Идея экранной клавиатуры не нова: в ОС Windows содержится встроенная экранная клавиатура, вызываемая через меню Пуск –> Программы -> Стандартные -> Специальные возможности -> Экранная клавиатура

 

Однако встроенная в Windows экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а для помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена вредоносной программой. Экранная клавиатура, которая может быть использована для того, чтобы обойти кейлоггеры, должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи.

 

Хочется отметить, что последние версии антивирусных пакетов содержат в себе и системы проактивной защиты и специальную экранную клавиатуру, что позволяет упростить жизнь пользователям, приобретающих максимальный комплекс средств обеспечения безопасности в рамках одного продукта.