| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Keyloggery - czyli ktoś wie co piszesz na klawiaturze

Keyloggery - czyli ktoś wie co piszesz na klawiaturze

W lutym 2005 r. Joe Lopez, biznesmen z Florydy, wytoczył proces przeciwko Bank of America, po tym jak z jego konta w tym banku nieznani hakerzy ukradli 90 000 dolarów. Pieniądze zostały przetransferowane do Łotwy. Śledztwo wykazało, że komputer Lopeza został zainfekowany szkodliwym programem.
Szkodnikiem tym okazał się Backdoor.Coreflood, który rejestruje każde uderzenie klawisza i poprzez Internet wysyła te informacje szkodliwym użytkownikom. Lopez często wykorzystywał Internet do zarządzania swoim kontem w Bank of America.

Konstrukcja keyloggera


Celem keyloggerów jest „dostanie się" między dwa ogniwa w łańcuchu zdarzeń: wciśnięcie klawisza i wyświetlenie na monitorze informacji o uderzeniu klawisza. Można to osiągnąć poprzez obserwację za procą kamer wideo, sprzętową modyfikację w klawiaturze, okablowaniu czy samym komputerze, przechwycenie danych wejściowych/wyjściowych, zastąpienie sterownika klawiatury, sterownika filtra w stosie klawiatury, przechwycenie funkcji jądra na różne możliwe sposoby (zastępowanie adresów w tabelach systemowych itd.), przechwycenie funkcji DLL w trybie użytkownika oraz żądanie informacji z klawiatury przy użyciu standardowych i udokumentowanych metod.


Doświadczenie pokazuje, że im bardziej złożone podejście, tym mniejsze prawdopodobieństwo, że zostanie ono zastosowane w powszechnych programach trojańskich. Bardziej prawdopodobne jest natomiast zastosowanie takiego podejścia w specjalnie zaprojektowanych trojanach, przeznaczonych do kradzieży danych finansowych z określonej firmy.


Keyloggery można podzielić na dwie kategorie: keyloggery sprzętowe i programowe. Pierwsza kategoria obejmuje zwykle niewielkie urządzenia, które można przymocować do klawiatury lub umieścić w kablu lub samym komputerze. Do drugiej kategorii zaliczają się wyspecjalizowane programy przeznaczone do śledzenia i rejestrowania uderzeń klawiszy.


Najpopularniejsze metody wykorzystywane do konstrukcji keyloggerów programowych obejmują:

- moduły przechwytujące systemowe powiadomienia o naciśnięciu klawiszy (zainstalowane za pomocą WinAPI SetWindowsHook dla komunikatów wysyłanych poprzez procedurę okna. Najczęściej pisane w języku C);

- cykliczne żądania informacji z klawiatury (przy użyciu WinAPI Get(Async)KeyState lub GetKeyboardState - najczęściej pisane w języku Visual Basic, niekiedy w Borland Delphi);

- wykorzystanie sterownika filtra (wymaga specjalistycznej wiedzy; jest pisane w języku C).


Ostatnio zwiększyła się liczba keyloggerów, które ukrywają swoje pliki, aby uniemożliwić wykrycie ich ręcznie lub za pomocą programu antywirusowego. Tego typu techniki ukrywania się nazywane są technologiami rootkit. Wyróżniamy dwie główne technologie rootkit wykorzystywane przez keyloggery:

- maskowanie w trybie użytkownika;

- maskowanie w trybie jądra.


Jak rozprzestrzeniają się keyloggery


Keyloggery rozprzestrzeniają się w zasadzie tak samo jak inne szkodliwe programy. Z wyjątkiem przypadków, gdy keyloggera nabywa i instaluje zazdrosny małżonek czy partner lub jest wykorzystywany przez służby bezpieczeństwa, do jego rozprzestrzenia wykorzystywane są następujące metody:

- keylogger może zostać zainstalowany podczas otwierania przez użytkownika pliku załączonego do wiadomości e-mail;

- zainstalowanie keyloggera może nastąpić podczas uruchamiania pliku z foldera typu open-access w sieci P2P;

- keylogger może zostać zainstalowany poprzez skrypt strony WWW wykorzystujący lukę w przeglądarce. Program zostanie automatycznie uruchomiony, gdy użytkownik odwiedzi zainfekowana stronę;

- keylogger może zostać zainstalowany przez szkodliwy program, który znajduje się już w komputerze ofiary, jeśli program taki potrafi pobierać i instalować w systemie inne szkodliwe programy.


Ochrona przed keyloggerami


Większość firm antywirusowych dodało już znane keyloggery do swoich sygnatur zagrożeń, przez co ochrona przed keyloggerami nie różni się od ochrony przed innymi typami szkodliwych programów: polega ona na zainstalowaniu produktu antywirusowego i uaktualnianiu bazy zagrożeń. Jednak ze względu na to, że większość produktów antywirusowych klasyfikuje keyloggery jako potencjalnie szkodliwe lub potencjalnie niepożądane programy, użytkownicy powinni upewnić się, że ich produkt antywirusowy (z ustawieniami domyślnymi) wykrywa ten typ szkodliwego oprogramowania. W przeciwnym razie produkt powinien zostać odpowiednio skonfigurowany, tak aby zapewniał ochronę przed większością powszechnie występujących keyloggerów.


Przyjrzyjmy się bliżej metodom, za pomocą których można zabezpieczyć się przed nieznanymi keyloggerami lub keyloggerem atakującym określony system.


Ponieważ głównym celem keyloggera jest zdobycie poufnych informacji (numery kart bankowych, hasła itd.), najbardziej logiczne wydają się następujące sposoby ochrony przed nieznanymi keyloggerami:

1.      wykorzystanie jednorazowych haseł lub dwuskładnikowego uwierzytelnienia,

2.      wykorzystanie systemu z ochroną proaktywną przeznaczonego do wykrywania keyloggera programowego,

3.      wykorzystanie wirtualnej klawiatury.


Wykorzystanie jednorazowego hasła może pomóc zminimalizować straty, jeśli wprowadzone hasło zostanie przechwycone, ponieważ wygenerowane hasło może zostać użyte tylko jeden raz, a czasu, w ciągu którego możliwe jest wykorzystanie hasła, jest ograniczony. Nawet jeśli jednorazowe hasło zostanie przechwycone, cyberprzestępca nie będzie mógł go wykorzystać w celu uzyskania dostępu do poufnych informacji.


Do uzyskania jednorazowych haseł można użyć specjalnego narzędzia, takiego jak:

1.      klucz USB (taki jak Aladdin eToken NG OTP):

 


2.      "kalkulator" (taki jak RSA SecurID 900 Signing Token):

 


Do wygenerowania jednorazowych haseł można wykorzystać systemy rozpowszechniania komunikatów tekstowych za pośrednictwem telefonów komórkowych, które są zarejestrowane w systemie bankowym i jako odpowiedź otrzymują kod PIN. PIN jest następnie wykorzystywany razem z osobistym kodem do uwierzytelniania.


Jeśli do generowania haseł wykorzystywane jest jedno z wyżej wymienionych narzędzi, procedura wygląda następująco:

1.      użytkownik łączy się z Internetem i otwiera okno dialogowe, do którego należy wprowadzić dane osobowe,

2.      następnie użytkownik naciska przycisk na urządzeniu w celu wygenerowania jednorazowego hasła, które będzie widniało na wyświetlaczu LCD urządzenia przez 15 sekund,

3.      użytkownik wprowadza do okna dialogowego nazwę użytkownika, osobisty kod PIN i wygenerowane jednorazowe hasło (kod PIN i klucz wprowadzane są zazwyczaj jeden po drugim do jednego pola),

4.      wprowadzane kody są weryfikowane przez serwer; podejmowana jest decyzja, czy użytkownik może uzyskać dostęp do poufnych danych.


Jeśli do generowania hasła wykorzystywany jest kalkulator, użytkownik wprowadza swój kod PIN na "klawiaturze" urządzenia i naciska przycisk ">".


Generatory jednorazowych haseł są powszechnie wykorzystywane przez systemy bankowe w Europie, Azji, Stanach Zjednoczonych i Australii. Na przykład bank Lloyds TSB zdecydował się na wykorzystywanie generatorów haseł jeszcze w listopadzie 2005 roku.


W tym przypadku jednak wiązało się to z wyłożeniem znacznej sumy pieniędzy, ponieważ firma ta musiała uzyskać i rozesłać swoim klientom generatory haseł oraz stworzyć lub zakupić odpowiednie oprogramowanie.


Bardziej opłacalnym rozwiązaniem jest ochrona proaktywna po stronie klienta, która ostrzega użytkownika w przypadku prób zainstalowania lub aktywowania oprogramowania rejestrującego uderzenia klawiszy.


Główna wada tej metody polega na tym, że wymaga aktywnego udziału użytkownika, który musi zdecydować, jakie działanie należy podjąć. Jeśli użytkownik nie posiada wystarczającej wiedzy technicznej, może podjąć niewłaściwą decyzję, w wyniku której keylogger będzie mógł obejść rozwiązanie antywirusowe. Jeśli jednak programiści zminimalizują zaangażowanie użytkownika, keyloggery będą mogły uniknąć wykrycia na skutek niewystarczająco rygorystycznej polityki bezpieczeństwa. Z kolei gdy ustawienia będą zbyt restrykcyjne, mogą zostać zablokowane inne, użyteczne programy, które zawierają legalne funkcje rejestrowania uderzeń klawiszy.


Ostatnią metodą, która może być wykorzystana do ochrony przed keyloggerami sprzętowymi oraz programowymi, jest użycie wirtualnej klawiatury - programu, który wyświetla klawiaturę na ekranie. Przy użyciu myszki można "przyciskać" klawisze.


Koncepcja klawiatury ekranowej nie jest niczym nowym - system operacyjny Windows posiada wbudowaną klawiaturę ekranową, którą można uruchomić w następujący sposób: Start > Programy > Akcesoria > Ułatwienia dostępu > Klawiatura ekranowa.

 

Przykład klawiatury ekranowej systemu Windows


Jednak klawiatury ekranowe nie są metodą powszechnie stosowaną do "przechytrzenia" keyloggerów. Nie zostały zaprojektowane w celu zapewnienia ochrony przed cyberzagrożeniami, ale jako narzędzie ułatwiające dostęp do komputera niepełnosprawnym użytkownikom. Informacje wprowadzane przy użyciu klawiatury ekranowej mogą łatwo zostać przechwycone przez szkodliwy program. Aby mogły zostać wykorzystane do ochrony przed keyloggerami, klawiatury ekranowe muszą być specjalnie zaprojektowane, tak aby uniemożliwić przechwytywanie informacji wprowadzanych lub przesyłanych za pośrednictwem klawiatury ekranowej.


Wnioski


W artykule tym przedstawiono, w jaki sposób działają i mogą być wykorzystywane keyloggery - zarówno sprzętowe jak i programowe.

1.      Chociaż twórcy keyloggerów sprzedają swoje produkty jako legalne oprogramowanie, większość z nich może być wykorzystywanych do kradzieży osobistych danych użytkownika oraz szpiegostwa przemysłowego.

2.      Obecnie keyloggery - wraz z phishingiem i socjotechniką - należą do najpowszechniej stosowanych metod w oszustwach cybernetycznych.

3.      Firmy zajmujące się bezpieczeństwem IT odnotowały stały wzrost liczby szkodliwych programów z funkcjonalnością keyloggera.

4.      Z raportów wynika, że istnieje coraz większa tendencja do wykorzystywania technologii rootkit w keyloggerach programowych, aby uniknąć wykrycia ręcznego oraz za pomocą rozwiązań antywirusowych.

5.      Tylko wyspecjalizowana ochrona może wykryć keyloggera wykorzystywanego w celach szpiegowskich.

6.      W celu ochrony przed keyloggerami można podjąć następujące działania:

-      wykorzystać standardowy program antywirusowy, który można skonfigurować do wykrywania potencjalnie szkodliwych programów (ustawienia domyślne w wielu produktach),

-       ochrona proaktywna będzie chronić system przed nowymi, modyfikacjami istniejących keyloggerów,

-      wykorzystać wirtualną klawiaturę lub system do generowania jednorazowych haseł w celu ochrony przed keyloggerami programowymi i sprzętowymi.

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Krzysztof Krysiński

Ekspert Betafence – systemy ogrodzeniowe, bramy, gabiony.

Zostań ekspertem portalu Infor.pl »