Billentyűzetfigyelő

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2019. május 13-án felülvizsgált verziótól ; az ellenőrzések 6 szerkesztést igényelnek .

Keylogger , keylogger ( angol keylogger , helyesen olvasható "ki-logger" - angolul key - key és logger - record device ) - szoftver vagy hardver eszköz , amely regisztrálja a különböző felhasználói műveleteket - billentyűleütéseket a számítógép billentyűzetén , egerek mozgását és billentyűleütéseit stb. .

A szabályozható információk típusai

billentyűleütések a billentyűzeten
egérmozgások és kattintások
a préselés dátuma és ideje

Ezenkívül időszakos képernyőképeket (és bizonyos esetekben akár videófelvételt is) készíthet a képernyőről, és adatokat másolhat a vágólapról.

Osztályozás

Típus szerint

A szoftveres keyloggerek azon szoftvertermékek csoportjába tartoznak, amelyek a személyi számítógép -felhasználók tevékenységeit szabályozzák . Kezdetben az ilyen típusú szoftvertermékeket kizárólag a billentyűzet billentyűleütéseivel kapcsolatos információk rögzítésére szolgálták, beleértve a rendszerbillentyűket is, egy speciális naplófájlba ( naplófájl ), amelyet később a programot telepítő személy tanulmányozott. A naplófájl elküldhető a hálózaton keresztül egy hálózati meghajtóra , egy FTP -kiszolgálóra az interneten, e-mailben stb.

Jelenleg azok a szoftvertermékek, amelyek ezt a nevet „régi módon” megtartották, számos további funkciót is ellátnak – ez az ablakokból származó információk elfogása, az egérkattintások elfogása, a vágólap elfogása, a képernyőképek és az aktív ablakok „fényképezése”, az összes beérkezett és elküldött e-mailek, a fájltevékenység nyomon követése és a rendszerleíró adatbázissal való munkavégzés, a nyomtatóra küldött feladatok rögzítése, a mikrofonból származó hangok és a számítógéphez csatlakoztatott webkameráról érkező képek lehallgatása stb.

A hardveres keyloggerek apró eszközök, amelyeket a billentyűzet és a számítógép közé lehet csatlakoztatni, vagy magába a billentyűzetbe lehet beépíteni. Minden billentyűleütést naplóznak a billentyűzeten. A regisztrációs folyamat teljesen láthatatlan a végfelhasználó számára. A hardveres billentyűnaplózóknak nem kell semmilyen programot telepítenie a számítógépre ahhoz, hogy sikeresen elkapják az összes billentyűleütést. Ha hardveres billentyűnaplózó van csatlakoztatva, teljesen mindegy, hogy a számítógép milyen állapotban van – be vagy ki. Működési ideje nincs korlátozva, mivel nem igényel további áramforrást a működéséhez.

Ezeknek az eszközöknek a belső nem felejtő memóriája akár 20 millió billentyűleütés rögzítését is lehetővé teszi, és Unicode támogatással . Ezek az eszközök bármilyen formában elkészíthetők, így egy információs audit során néha még a szakember sem tudja megállapítani a jelenlétüket. A rögzítés helyétől függően a hardveres keyloggereket külső és belső részekre osztják.

Az akusztikus keyloggerek olyan hardvereszközök, amelyek először rögzítik a felhasználó által a számítógép billentyűzetének billentyűinek megnyomásakor keletkezett hangokat, majd ezeket a hangokat elemzik és szöveges formátumba konvertálják (lásd még akusztikus kriptoanalízis ) [1] .

A naplófájl helye szerint

A naplófájl küldésének módja szerint

Email
FTP vagy HTTP (internet vagy LAN)
bármilyen típusú vezeték nélküli kommunikáció (rádiósáv, IrDA , Bluetooth , WiFi stb. a közelben lévő eszközökhöz, vagy fejlett rendszerekben a légrés és az adatszivárgás leküzdése a fizikailag elszigetelt rendszerekből)

Az alkalmazás módja szerint

Csak a kulcsnaplózók (beleértve a kulcsnaplózót modulként tartalmazó hardver- vagy szoftvertermékeket) használatának módszere teszi lehetővé a biztonságkezelés és a biztonság megsértése közötti határ megtekintését.

Jogosulatlan használat - a keylogger telepítése (beleértve a hardver- vagy szoftvertermékeket, amelyek modulként kulcsnaplózót tartalmaznak) az automatizált rendszer tulajdonosának (biztonsági rendszergazdájának) tudta nélkül, vagy egy adott személyi számítógép tulajdonosának tudta nélkül történik. A jogosulatlan keyloggereket (szoftvert vagy hardvert) kémprogramoknak vagy kémprogramoknak nevezzük . A jogosulatlan használat általában illegális tevékenységekkel jár. Általános szabály, hogy a jogosulatlanul telepített spyware termékek képesek konfigurálni és beszerezni egy „csomagolt” futtatható fájlt, amely nem jelenít meg semmilyen üzenetet a telepítés során, és nem hoz létre ablakokat a képernyőn, valamint beépített eszközökkel rendelkeznek a kézbesítéshez és a távoli telepítéshez. a konfigurált modul a felhasználó számítógépén, azaz a telepítési folyamat a felhasználó számítógépéhez való közvetlen fizikai hozzáférés nélkül történik, és gyakran nem igényel rendszergazdai jogokat.

Engedélyezett használat - a keylogger telepítése (beleértve a hardver- vagy szoftvertermékeket is, amelyek modulként kulcsnaplózót tartalmaznak) az automatizált rendszer tulajdonosának (biztonsági rendszergazdájának) vagy egy adott személyi számítógép tulajdonosának tudtával történik. Az engedélyezett keyloggereket (szoftvert vagy hardvert) angolnak nevezik . alkalmazott megfigyelő szoftverek, szülői felügyeleti szoftverek, beléptető szoftverek, személyzeti biztonsági programok stb. Általános szabály, hogy az engedélyezett szoftvertermékek fizikai hozzáférést igényelnek a felhasználó számítógépéhez, valamint kötelező rendszergazdai jogosultságokat igényelnek a konfigurációhoz és a telepítéshez.

Az aláírási adatbázisokba való felvétellel

A jól ismert keyloggerek aláírásai már szerepelnek a kémprogram-elhárító és vírusirtó szoftvertermékek legismertebb gyártóinak aláírási adatbázisaiban .

Azok az ismeretlen keyloggerek, amelyek aláírása nem szerepel az aláírás-adatbázisokban, gyakran soha nem szerepelnek benne különböző okok miatt:

a különböző kormányzati szervezetek égisze alatt kifejlesztett keyloggerek (modulok). ;
keyloggerek (modulok), amelyeket különféle zárt operációs rendszerek fejlesztői hozhatnak létre, és beépíthetők az operációs rendszer kernelébe;
Keyloggerek, amelyeket korlátozott számban (gyakran csak egy vagy több példányban) fejlesztettek ki a felhasználó számítógépéről kritikus információk ellopásával kapcsolatos konkrét probléma megoldására (például professzionális támadók által használt szoftvertermékek). Ezek a spyware termékek lehetnek kissé módosított nyílt forráskódú kulcsnaplózó kódok, amelyeket az internetről vettek le, és a támadó maga fordította le, ami lehetővé teszi a keylogger aláírásának megváltoztatását;
kereskedelmi, különösen a vállalati szoftvertermékek moduljaként szereplők, amelyek nagyon ritkán szerepelnek a kémprogram-elhárító szoftvertermékek és/vagy vírusirtó szoftvertermékek ismert gyártóinak aláírási adatbázisaiban. Ez ahhoz a tényhez vezet, hogy ennek a szoftverterméknek egy teljesen működőképes verziójának a támadók általi közzététele az interneten hozzájárulhat az utóbbi kémprogramokká való átalakulásához, amelyeket a kémprogram- vagy vírusirtó szoftver nem észlel;
Keyloggerek, amelyek a felhasználó számítógépén történő billentyűleütések elfogására szolgáló modulok, amelyeket a vírusprogramok tartalmaznak. Mielőtt az aláírási adatokat hozzáadnánk a vírusadatbázishoz, ezek a modulok ismeretlenek. Példaként említhetjük az elmúlt években nagy bajt okozó világhírű vírusokat, amelyek között megtalálható a billentyűzet leütését elfogó és a kapott információk internetre küldésére szolgáló modul is.

Alkalmazási célok

A keyloggerek (beleértve a hardver- vagy szoftvertermékeket, amelyek modulként kulcsnaplózót tartalmaznak) engedélyezett használata lehetővé teszi az automatizált rendszer tulajdonosa (biztonsági rendszergazdája) vagy a számítógép tulajdonosa számára, hogy:

azonosítani minden olyan esetet, amikor kritikus szavakat és kifejezéseket írnak be a billentyűzeten, amelyek harmadik félnek való továbbítása anyagi károkhoz vezet;
hozzáférni a számítógép merevlemezén tárolt információkhoz, ha bármilyen okból (munkavállaló betegsége, a személyzet szándékos tevékenysége stb.) elveszik a bejelentkezési és belépési jelszót;
meghatározza (lokalizálja) a hozzáférési jelszavak felsorolására irányuló kísérletek összes esetét;
ellenőrizni a személyi számítógépek munkaidőn kívüli használatának lehetőségét, és azonosítani, hogy egy adott időpontban mit írtak a billentyűzeten;
számítógépes események kivizsgálása;
tudományos kutatásokat végez a személyzet külső hatásokra adott válaszának pontosságának, hatékonyságának és megfelelőségének meghatározásával kapcsolatban;
kritikus információk helyreállítása számítógépes rendszerhibák után;

A keyloggert tartalmazó modulok kereskedelmi szoftvertermékek fejlesztői általi használata lehetővé teszi számukra:

rendszerek létrehozása a gyors szókereséshez (elektronikus szótárak, elektronikus fordítók);
programok létrehozása nevek, cégek, címek gyors kereséséhez (elektronikus telefonkönyvek)

A keyloggerek (beleértve a kulcsnaplózót modulként tartalmazó hardver- vagy szoftvertermékeket) jogosulatlan használata lehetővé teszi a támadó számára, hogy:

elfogni valaki másnak a felhasználó által a billentyűzeten begépelt adatait;
jogosulatlan hozzáférést szerezhet a bejelentkezési adatokhoz és jelszavakhoz a különféle rendszerek eléréséhez, beleértve a „bank-ügyfél” típusú rendszereket is;
illetéktelen hozzáférést szerezni a kriptográfiai védelmi rendszerekhez számítógép-felhasználói információkhoz – jelszavak;
jogosulatlan hozzáférést szerezhet a hitelkártyák engedélyezési adataihoz;

Az illetéktelenül telepített keyloggerek elleni védelem módszerei

Védelem az "ismert" illetéktelenül telepített szoftveres keyloggerek ellen:

ismert gyártók kémprogram- és/vagy vírusirtó szoftvereinek használata automatikus aláírás-adatbázis frissítéssel.

Védelem az "ismeretlen" illetéktelenül telepített szoftveres keyloggerek ellen:

ismert gyártók antispyware és/vagy antivírus szoftvertermékeinek használata, amelyek úgynevezett heurisztikus (viselkedési) elemzőket használnak a spyware ellen, vagyis nem igényelnek aláírási adatbázist.
a billentyűzetről bevitt adatokat titkosító programok, valamint az ilyen titkosítást hardver szinten megvalósító billentyűzetek használata;

Az „ismert” és „ismeretlen” jogosulatlan szoftverbillentyűkkel szembeni védelem magában foglalja a jól ismert gyártók kémprogram- és/vagy víruskereső szoftvereinek használatát, amelyek a következőket használják:

spyware termékek folyamatosan frissített aláírási adatbázisai;
heurisztikus (viselkedési) elemzők, amelyek nem igényelnek aláírásbázist.

Védelem az illetéktelenül telepített hardveres keyloggerek ellen:

számítógépes rendszerek alapos külső és belső ellenőrzése;
virtuális billentyűzetek használata.

Jegyzetek

↑ A kutatók a beírt szöveget billentyűleütések hangfelvételének segítségével állítják helyre. Archivált : 2013. december 24. a Wayback Machine webhelyen, berkeley.edu (Hozzáférés: 2010. január 9.)

Linkek

Andrew Schulman // Az alkalmazottak e-mail- és internethasználatának szisztematikus megfigyelésének mértéke
Keylogger Review: The Best Keyloggers , Xakep (Hozzáférés: 2010. január 9.)
Billentyűzet snifalka in C++ , Nikolay Andreev, Xakep #055, pp. 055-070-3 (Hozzáférés: 2010. január 9.)
„Hogyan lépjünk be egy internetkávézóból anélkül, hogy aggódnánk a billentyűnaplózók miatt” , Cormac Herley, Dinei Florencio, Microsoft Research
Maffiaper az FBI kémtaktikájának tesztelésére. Billentyűleütések naplózása a maffia gyanúsítottjainak kémkedésére PGP segítségével , The Register , 2000.12.06. (Hozzáférés: 2010. január 9.)
Computerra: Spy Stuff , 1999.09.21. (Hozzáférés: 2017. április 8.)

Rosszindulatú szoftver
Fertőző rosszindulatú programok	Számítógépes vírus hálózati féreg trójai boot vírus Batch vírus Sztori
Rejtős módszerek	Hátsó ajtó Csöpögtető Könyvjelző Cryptor zombi számítógép Polimorfizmus rootkit
Malware haszonszerzés céljából	Adware Adatvédelmi invazív szoftver Ransomware ( Trojan.Winlock ) Spyware Bot botnet Webes fenyegetések Billentyűzetfigyelő Formgrabber Scareware ( Rogue vírusirtó ) Pornótárcsázó
Operációs rendszerek szerint	Linux malware Vírusok Palm OS-hez Makrovírus mobil vírus
Védelem	Defenzív számítástechnika Víruskereső program Tűzfal Behatolásjelző rendszer Információszivárgás megelőzése Az antivírusok idővonala
Ellenintézkedések	Anti Spyware Coalition számítógépes megfigyelés méztartó Működés: Bot Roast