| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Keyloggery - czyli ktoś wie co piszesz na klawiaturze

Keyloggery - czyli ktoś wie co piszesz na klawiaturze

W lutym 2005 r. Joe Lopez, biznesmen z Florydy, wytoczył proces przeciwko Bank of America, po tym jak z jego konta w tym banku nieznani hakerzy ukradli 90 000 dolarów. Pieniądze zostały przetransferowane do Łotwy. Śledztwo wykazało, że komputer Lopeza został zainfekowany szkodliwym programem.
Szkodnikiem tym okazał się Backdoor.Coreflood, który rejestruje każde uderzenie klawisza i poprzez Internet wysyła te informacje szkodliwym użytkownikom. Lopez często wykorzystywał Internet do zarządzania swoim kontem w Bank of America.

Sąd jednak nie orzekł na korzyść pozywającego, twierdząc, że Lopez nie podjął podstawowych środków bezpieczeństwa podczas zarządzania swoim kontem w Internecie: w 2003 roku sygnatura wykrytego w jego systemie szkodliwego oprogramowania została dodana do baz prawie wszystkich produktów antywirusowych.


Joe Lopez poniósł straty na skutek własnego zaniedbanie oraz działania keyloggera.


Keyloggery


Termin "keylogger" sam w sobie jest neutralny, a samo słowo odnosi się do funkcji programu. Większość źródeł definiuje keyloggera jako oprogramowanie, którego celem jest monitorowanie i rejestrowanie wszystkich uderzeń klawiszy bez wiedzy użytkownika. Definicja ta nie jest całkowicie poprawna, ponieważ keylogger nie musi być oprogramowaniem - może być urządzeniem. Keyloggery sprzętowe występują o wiele rzadziej niż programowe, jednak gdy chodzi o bezpieczeństwo informacji, nie możemy zapominać o ich istnieniu.


Legalne programy mogą posiadać funkcję rejestrowania uderzeń klawiszy, która służy między innymi do wywoływania pewnych funkcji programu przy użyciu klawiszy skrótu lub przełączania się na różne układy klawiatury (np. Keyboard Ninja). Istnieje również wiele legalnych programów, które pozwalają administratorom śledzić, co w ciągu dnia robią pracownicy, lub umożliwiają użytkownikom śledzenie czynności wykonywanych na ich komputerach przez osoby trzecie. Łatwo jednak przekroczyć etyczną granicę między uzasadnionym monitorowaniem a szpiegowaniem. Legalne oprogramowanie jest często celowo wykorzystywane do kradzieży poufnych informacji użytkowników, takich jak hasła.


Większość współczesnych keyloggerów uznawanych jest za legalne oprogramowanie czy sprzęt i można je kupić na otwartym rynku. Programiści i producenci podają długą listę przypadków, w których użycie keyloggera jest legalne lub w mniejszym lub większym stopniu uzasadnione:

- Ochrona rodzicielska: rodzice mogą śledzić, co robią ich dzieci w Internecie. Jeśli wybiorą taką opcje, mogą być powiadamiani o wszelkich próbach uzyskania dostępu do stron WWW zawierających treści przeznaczone tylko dla dorosłych lub w jakiś inny sposób nieodpowiednie dla dzieci;

- Zazdrośni małżonkowie lub partnerzy mogą wykorzystać keyloggera, aby śledzić aktywność w Internecie swojej drugiej połówki, jeśli podejrzewają "wirtualną zdradę" :-)

- Bezpieczeństwo firmy: śledzenie wykorzystywania komputerów do celów niezwiązanych z pracą lub używania stacji roboczych po godzinach pracy;

- Bezpieczeństwo firmy: wykorzystanie keyloggerów, aby śledzić wprowadzanie kluczowych słów i fraz związanych z informacjami handlowymi, które w przypadku ujawnienia mogą zaszkodzić firmie (szkody materialne lub inne);

- Inne bezpieczeństwo (np. organy ścigania): wykorzystanie danych uzyskanych za pomocą keyloggera do analizowania i śledzenia incydentów związanych z użyciem komputerów osobistych;

- Inne.


Jednak podane wyżej powody mają charakter bardziej subiektywny niż obiektywny; w wymienionych sytuacjach możliwe jest zastosowanie innych metod. Ponadto, każdy legalny program rejestrujący uderzenia klawiszy może być użyty w celach szkodliwych lub przestępczych. Obecnie keyloggery wykorzystywane są głównie do kradzieży danych użytkownika związanych z różnymi systemami płatności online, a twórcy wirusów nieustannie tworzą w tym celu nowe trojany keyloggery.


Ponadto, wiele keyloggerów ukrywa się w systemie (tj. mają funkcjonalność rootkita), przez co stanowią pełnoprawne programy trojańskie.


Ponieważ keyloggery są coraz powszechniej wykorzystywane przez cyberprzestępców, ich wykrywanie staje się priorytetem firm antywirusowych. System klasyfikacji szkodliwego oprogramowania firmy Kaspersky Lab zawiera specjalną kategorię dla szkodliwych programów z funkcjonalnością rejestrowania uderzeń klawiszy: Trojan-Spy. Programy typu Trojan-Spy, jak sugeruje ich nazwa, śledzą aktywność użytkownika, zapisują te informacje na jego dysku twardym, a następnie przesyłają je autorowi trojana lub osobie, która go kontroluje. Zebrane informacje obejmują uderzenia klawiszy i zrzuty ekranu, które są wykorzystywane do kradzieży danych bankowych lub pomagają w dokonywaniu oszustw internetowych.


Dlaczego keyloggery stanowią zagrożenie


W przeciwieństwie do innych typów szkodliwego oprogramowania, keyloggery nie stanowią zagrożenia dla samego systemu. Są jednak poważnym zagrożeniem dla użytkowników, ponieważ mogą być wykorzystywane do przechwytywania haseł i innych poufnych informacji wprowadzanych z klawiatury. W rezultacie, w ręce cyberprzestępców mogą wpaść kody PIN i numery kont w systemach płatności online, hasła do kont gier internetowych, adresy e-mail, nazwy użytkowników, hasła poczty elektronicznej itd.


Jak tylko cyberprzestępca zdobędzie poufne dane użytkownika, bez trudu może przelać pieniądze z konta użytkownika lub uzyskać dostęp do konta gry online. Niestety dostęp do poufnych danych ma niekiedy daleko poważniejsze konsekwencje niż utrata kilku dolarów. Keyloggery mogą posłużyć jako narzędzia w szpiegostwie przemysłowym oraz politycznym, do uzyskania dostępu do danych obejmujących zastrzeżone informacje handlowe i poufne materiały rządowe, które mogłyby zagrozić bezpieczeństwu organizacji prywatnych i państwowych (np. poprzez kradzież prywatnych kluczy szyfrowania).


Keyloggery, phishing i socjotechnika stanowią obecnie główne metody wykorzystywane w oszustwach cybernetycznych. Użytkownicy świadomi kwestii bezpieczeństwa mogą łatwo zabezpieczyć się przed phishingiem poprzez ignorowanie wiadomości phishingowych oraz niepodawanie informacji osobowych na podejrzanych stronach WWW. Trudniej jest walczyć z keyloggerami; jako że użytkownik zwykle nie jest w stanie stwierdzić, czy na jego komputerze został zainstalowany keylogger, jedyną metodą jest korzystanie z odpowiedniego rozwiązania bezpieczeństwa.


Według Cristine Hoepers
, szefa brazylijskiego zespołu Computer Emergency Response Team, który działa pod egidą Internet Steering Committee tego kraju, keyloggery zepchnęły phishing z pierwszej pozycji na liście najczęściej wykorzystywanych metod w kradzieży poufnych informacji. Co więcej, keyloggery stają się bardziej „wyrafinowane" - śledzą odwiedzane przez użytkownika strony WWW i rejestrują tylko te uderzenia klawiszy, które odnoszą się do stron WWW istotnych z punktu widzenia cyberprzestępcy.


W ostatnich latach nastąpił znaczny wzrost liczby różnych rodzajów szkodliwych programów posiadających funkcjonalność keyloggera. Żaden użytkownik Internetu nie jest bezpieczny przed cyberprzestępcami, bez względu na to, gdzie się znajduje i dla jakiej organizacji pracuje.


W jaki sposób cyberprzestępcy wykorzystują keyloggery

Jednym z najbardziej nagłośnionych przez media incydentów dotyczących keyloggera była kradzież ponad 1 miliona dolarów z kont największego skandynawskiego banku Nordea. W sierpniu 2006 r. klienci tej instytucji zaczęli otrzymywać wiadomości e-mail, pochodzące rzekomo z Nordea, zalecające zainstalowanie produktu antyspamowego, który miał być załączony do wiadomości.

Po tym jak użytkownik otworzył plik i pobrał go na swój komputer, maszyna była infekowana dobrze znanym trojanem Haxdoor. Szkodnik aktywował się podczas rejestrowania się ofiary w serwisie online banku Nordea i wyświetlał komunikat o błędzie z prośbą o powtórne wprowadzenie informacji rejestracyjnych. Zawarty w trojanie keylogger rejestrował dane wprowadzane przez klientów banku, a następnie wysyłał je na serwer cyberprzestępców. W ten sposób cyberprzestępcy mogli uzyskać dostęp do kont klientów i przelać zgromadzone na nich pieniądze. Według autora Haxdoora, trojan ten był również wykorzystywany w atakach na australijskie banki i wielu innych.


24 stycznia 2004 r. poważną epidemię spowodował robak Mydoom. MyDoom pobił rekord, który wcześniej należał do robaka Sobig, wywołując największą epidemię w historii Internetu. Robak ten wykorzystał metody socjotechniki i zorganizował atak DoS na www.sco.com; w rezultacie przez kilka miesięcy strona ta była albo niedostępna, albo niestabilna. Robak pozostawił na zainfekowanych komputerach trojana, który został następnie wykorzystany do infekowania komputerów nowymi modyfikacjami Mydooma. Media nie poinformowały jednak, że MyDoom posiadał funkcje keyloggera, dzięki której mógł przechwytywać numery kart kredytowych.


Na początku 2005 roku londyńska policja zapobiegła poważnej próbie kradzieży danych bankowych. Po ataku na system bankowy cyberprzestępcy zaplanowali kradzież 423 milionów dolarów z biur Sumitomo Mitsui w Londynie. Głównym komponentem wykorzystanego w kradzieży Trojana - stworzonego przez 32-letniego Yerona Bolondi - był keylogger pozwalający cyberprzestępcom na śledzenie wszystkich uderzeń klawiszy podczas używania przez ofiary interfejsu klienta banku.


W maju 2005 r. izraelska policja aresztowała w Londynie małżeństwo, które zostało oskarżone o stworzenie szkodliwych programów wykorzystywanych przez izraelskie firmy do szpiegostwa przemysłowego. Skala szpiegostwa była szokująca: wśród firm wymienionych przez władze izraelskie w raportach ze śledztwa znajdowali się dostawcy telefonów komórkowych, jak Cellcom czy Pelephone oraz dostawca telewizji satelitarnej YES. Według raportów, trojan został wykorzystany do uzyskania dostępu do informacji dotyczących agencji PR - Rani Rahav - których klientami byli między innymi Partner Communications (drugi co do wielkości dostawca telefonii komórkowej w Izraelu) oraz telewizja kablowa HOT. Firmę Mayer, która importuje do Izraela samochody Volvo i Honda, podejrzewano o szpiegostwo przemysłowe wobec Champion Motors, importera samochodów Audi i Volkswagen. Ruth Brier-Haephrati, która sprzedawała stworzonego przez jej męża Michaela Haephrati trojana keyloggera, została skazana na cztery lata pozbawienia wolności, a Michael - na dwa lata.


W lutym 2006 r. brazylijska policja aresztowała 55 osób zamieszanych w rozprzestrzenianie szkodliwych programów, które wykorzystywane były do kradzieży informacji użytkownika i haseł do systemów bankowych. Keyloggery uaktywniały się, gdy użytkownicy odwiedzali strony www swoich baków, i bez ich wiedzy śledzili, a następnie wysyłali cyberprzestępcom wszystkie dane wprowadzane na tych stronach. Łączna suma pieniędzy skradzionych z kont 200 klientów w sześciu brazylijskich bankach wyniosła 4,7milionów dolarów.


W mniej więcej tym samym czasie aresztowano grupę cyberprzestępców złożoną z młodych Rosjan i Ukraińców (w wieku 20-30 lat). Pod koniec 2004 roku grupa ta zaczęła wysyłać klientom banków we Francji i w wielu innych państwach wiadomości e-mail zawierające szkodliwy program - keyloggera. Ponadto, takie programy szpiegujące zostały umieszczone na specjalnie stworzonych stronach WWW; w celu zwabienia na nie użytkowników zastosowano metody socjotechniki. Podobnie jak w wyżej opisanych przypadkach, program uaktywnił się, gdy użytkownicy odwiedzili strony WWW swoich banków, a keylogger zbierał wszystkie informacje wprowadzone przez użytkownika i wysłał je cyberprzestępcom. W ciągu jedenastu miesięcy skradziono ponad milion dolarów.


Istnieje znacznie więcej przykładów wykorzystywania przez cyberprzestępców keyloggerów -większość cyberprzestępstw finansowych popełnianych jest przy użyciu keyloggerów, ponieważ programy te stanowią najbardziej wszechstronne i niezawodne narzędzie do śledzenia informacji elektronicznych.


Wzrost popularności keyloggerów wśród cyberprzestępców


Popularność keyloggerów wśród cyberprzestępców potwierdzają firmy zajmujące się bezpieczeństwem IT.


Kaspersky Lab nieustannie wykrywa nowe szkodliwe programy z funkcjonalnością keyloggera. Jeden z pierwszych alertów wirusowych na stronie www.viruslist.pl (na której zamieszczane są informacje o szkodliwym oprogramowaniu) został opublikowany 15 czerwca 2001 r. Ostrzeżenie dotyczyło TROJ_LATINUS.SVR, trojana z funkcjonalnością keyloggera. Od tego czasu stale pojawiały się nowe keyloggery i nowe modyfikacje. Baza sygnatur zagrożeń firmy Kaspersky Lab zawiera obecnie wpisy ponad 300 rodzin keyloggerów. Liczba ta nie uwzględnia keyloggerów, które wchodzą w skład zagrożeń złożonych (tj. takich, w których komponent szpiegujący posiada dodatkową funkcjonalność).


Większość współczesnych szkodliwych programów to hybrydy, które implementują wiele różnych technologii. Z tego względu wszystkie kategorie szkodliwych programów mogą zawierać programy z funkcjonalnością keyloggera.

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Minka .pl

oferuje ekologiczne tapety ścienne drukowane w technologii lateksowej HP

Zostań ekspertem portalu Infor.pl »