Кейлогер: различия между версиями
| [отпатрулированная версия] | [непроверенная версия] |
A5b (обсуждение | вклад) м спам www-keylogger-org отмена правки 92308808 участника 91.228.236.147 (обс.) Метка: отмена |
м →Цели применения: пунктуация |
||
| (не показана 21 промежуточная версия 15 участников) | |||
| Строка 1: | Строка 1: | ||
[[Файл:SpywareWhiteKeyboard.jpg|мини]] |
|||
'''Кейло́гер''', '''кейло́ггер''' ({{lang-en|keylogger}}, правильно читается ''«ки-ло́ггер»'' — от {{lang-en|[[wikt:key|key]]}} — ''клавиша'' и {{lang-en2|logger}} — ''регистрирующее устройство'') — [[программное обеспечение]] или [[Аппаратная закладка |
'''Кейло́гер''', '''кейло́ггер, клавиату́рный [[Шпионаж|шпио́н]]''' ({{lang-en|keylogger}}, правильно читается ''«ки-ло́ггер»'' — от {{lang-en|[[wikt:key|key]]}} — ''клавиша'' и {{lang-en2|logger}} — ''регистрирующее устройство'') — [[программное обеспечение]] или [[Аппаратная закладка|аппаратное устройство]], регистрирующее различные действия пользователя — нажатия клавиш на [[Компьютерная клавиатура|клавиатуре компьютера]], движения и нажатия клавиш [[Компьютерная мышь|мыши]] и т. д. |
||
== Виды информации, которые могут контролироваться == |
== Виды информации, которые могут контролироваться == |
||
| Строка 13: | Строка 14: | ||
В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с [[Системный реестр Windows|системным реестром]], запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с [[Веб-камера|веб-камеры]], подключенных к компьютеру и т. д. |
В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с [[Системный реестр Windows|системным реестром]], запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с [[Веб-камера|веб-камеры]], подключенных к компьютеру и т. д. |
||
[[Файл:Keylogger-hardware-PS2-example-connected.jpg|мини]] |
|||
'''Аппаратные кейлоггеры''' представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания. |
'''Аппаратные кейлоггеры''' представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания. |
||
| Строка 18: | Строка 21: | ||
Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой [[юникод]]а. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние. |
Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой [[юникод]]а. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние. |
||
'''Акустические кейлоггеры''' представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат (см. также [[акустический криптоанализ]]) |
'''Акустические кейлоггеры''' представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат (см. также [[акустический криптоанализ]])<ref>[http://www.berkeley.edu/news/media/releases/2005/09/14_key.shtml Researchers recover typed text using audio recording of keystrokes] {{Wayback|url=http://www.berkeley.edu/news/media/releases/2005/09/14_key.shtml |date=20131224103740 }}, berkeley.edu {{проверено|9|1|2010}}</ref>. |
||
=== По месту хранения [[лог-файл]]а === |
=== По месту хранения [[лог-файл]]а === |
||
| Строка 41: | Строка 44: | ||
=== По включению в сигнатурные базы === |
=== По включению в сигнатурные базы === |
||
[[Сигнатура атаки|Сигнатуры]] известных кейлоггеров уже включены в [[Обнаружение, основанное на сигнатурах|сигнатурные базы]] основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов. |
[[Сигнатура атаки|Сигнатуры]] известных кейлоггеров уже включены в [[Обнаружение, основанное на сигнатурах|сигнатурные базы]] основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов. |
||
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам: |
|||
* кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;{{нет АИ|8|01|2010}} |
|||
* кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы; |
|||
* кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные [[шпионские программные продукты]] могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера; |
|||
* коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в [[шпионские программные продукты|шпионский программный продукт]], который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами; |
|||
* кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет. |
|||
== Цели применения == |
== Цели применения == |
||
| Строка 57: | Строка 53: | ||
* исследовать компьютерные инциденты; |
* исследовать компьютерные инциденты; |
||
* проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия; |
* проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия; |
||
* восстановить критическую информацию после сбоев компьютерных систем |
* восстановить критическую информацию после сбоев компьютерных систем. |
||
Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним: |
Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним: |
||
* создавать системы быстрого поиска слов (электронные словари, электронные переводчики); |
* создавать системы быстрого поиска слов (электронные словари, электронные переводчики); |
||
* создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги) |
* создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги). |
||
Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику: |
Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику: |
||
* перехватывать чужую информацию, набираемую пользователем на клавиатуре; |
* перехватывать чужую информацию, набираемую пользователем на клавиатуре; |
||
* получить несанкционированный доступ к логинам и паролям доступа в различные системы, |
* получить несанкционированный доступ к логинам и паролям доступа в различные системы и интернет-сервисы, в том числе в системы «клиент-банк», [[интернет-банкинг]], личный кабинет [[Оператор сотовой связи|оператора сотовой связи]], [[Социальная сеть|социальные сети]], [[Интернет-магазин|интернет-магазины]], личные кабинеты на государственных сайтах; |
||
* получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам; |
* получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам; |
||
* получить несанкционированный доступ к авторизационным данным кредитных карточек |
* получить несанкционированный доступ к авторизационным данным кредитных карточек. |
||
== Методы защиты от несанкционированно установленных кейлоггеров == |
== Методы защиты от несанкционированно установленных кейлоггеров == |
||
Защита от «известных» несанкционированно установленных программных кейлоггеров: |
Защита от «известных» несанкционированно установленных программных кейлоггеров: |
||
* использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз. |
* использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз. |
||
| Строка 83: | Строка 78: | ||
Защита от несанкционированно установленных аппаратных кейлоггеров: |
Защита от несанкционированно установленных аппаратных кейлоггеров: |
||
* тщательные внешний и внутренний осмотры компьютерных систем; |
* тщательные внешний и внутренний осмотры компьютерных систем; |
||
* использование виртуальных клавиатур |
* использование виртуальных клавиатур. |
||
== Примечания == |
== Примечания == |
||
| Строка 92: | Строка 87: | ||
* [http://www.xakep.ru/post/35563/default.asp Обзор клавиатурных шпионов: лучшие кейлоггеры], [[Xakep]] {{проверено|9|1|2010}} |
* [http://www.xakep.ru/post/35563/default.asp Обзор клавиатурных шпионов: лучшие кейлоггеры], [[Xakep]] {{проверено|9|1|2010}} |
||
* [http://www.xakep.ru/magazine/xa/055/070/3.asp Клавиатурная снифалка на C++], Николай Андреев, [[Xakep]] #055, стр. 055-070-3 {{проверено|9|1|2010}} |
* [http://www.xakep.ru/magazine/xa/055/070/3.asp Клавиатурная снифалка на C++], Николай Андреев, [[Xakep]] #055, стр. 055-070-3 {{проверено|9|1|2010}} |
||
* [http://cups.cs.cmu.edu/soups/2006/posters/herley-poster_abstract.pdf «How To Login From an Internet Cafe Without Worrying About Keyloggers»], Cormac Herley, Dinei Florencio, Microsoft Research |
* [http://cups.cs.cmu.edu/soups/2006/posters/herley-poster_abstract.pdf «How To Login From an Internet Cafe Without Worrying About Keyloggers»], Cormac Herley, Dinei Florencio, Microsoft Research{{ref-en}} |
||
* [https://www.theregister.co.uk/2000/12/06/mafia_trial_to_test_fbi/ Mafia trial to test FBI spying tactics. Keystroke logging used to spy on mob suspect using PGP], [[The Register]], 6.12.2000 {{проверено|9|1|2010}} |
* [https://www.theregister.co.uk/2000/12/06/mafia_trial_to_test_fbi/ Mafia trial to test FBI spying tactics. Keystroke logging used to spy on mob suspect using PGP], [[The Register]], 6.12.2000 {{проверено|9|1|2010}} |
||
* [http://old.computerra.ru/1999/316/195937/ Компьютерра: Шпионские штучки], 21.09.1999 {{проверено|8|4|2017}} |
* [http://old.computerra.ru/1999/316/195937/ Компьютерра: Шпионские штучки], 21.09.1999 {{проверено|8|4|2017}} |
||
{{Вредоносное программное обеспечение}} |
{{Вредоносное программное обеспечение}} |
||
Текущая версия от 14:53, 16 декабря 2024
Кейло́гер, кейло́ггер, клавиату́рный шпио́н (англ. keylogger, правильно читается «ки-ло́ггер» — от англ. key — клавиша и logger — регистрирующее устройство) — программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.
Виды информации, которые могут контролироваться
[править | править код]- нажатия клавиш на клавиатуре
- движения и нажатия клавиши мыши
- дата и время нажатия
Дополнительно могут делаться периодические снимки экрана (а в некоторых случаях — даже видеозапись экрана) и копироваться данные из буфера обмена.
Классификация
[править | править код]По типу
[править | править код]Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.
В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.
Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.
Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.
Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат (см. также акустический криптоанализ)[1].
По месту хранения лог-файла
[править | править код]- жёсткий диск
- оперативная память
- реестр
- локальная сеть
- удалённый сервер
По методу отправки лог-файла
[править | править код]- FTP или HTTP (в интернете или локальной сети)
- любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем)
По методу применения
[править | править код]Только метод применения кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет увидеть грань между управлением безопасностью и нарушением безопасности.
Несанкционированное применение — установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как шпионские программные продукты или шпионские устройства. Несанкционированное применение, как правило, связано с незаконной деятельностью. Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения «скомплектованного» исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, то есть процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы.
Санкционированное применение — установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется англ. employee monitoring software, parental control software, access control software, personnel security programs и т. п. Как правило, санкционированно устанавливаемые программные продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для конфигурирования и инсталляции.
По включению в сигнатурные базы
[править | править код]Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.
Цели применения
[править | править код]Санкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу компьютера:
- определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
- иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
- определить (локализовать) все случаи попыток перебора паролей доступа;
- проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить, что набиралось на клавиатуре в данное время;
- исследовать компьютерные инциденты;
- проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
- восстановить критическую информацию после сбоев компьютерных систем.
Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:
- создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
- создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги).
Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:
- перехватывать чужую информацию, набираемую пользователем на клавиатуре;
- получить несанкционированный доступ к логинам и паролям доступа в различные системы и интернет-сервисы, в том числе в системы «клиент-банк», интернет-банкинг, личный кабинет оператора сотовой связи, социальные сети, интернет-магазины, личные кабинеты на государственных сайтах;
- получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
- получить несанкционированный доступ к авторизационным данным кредитных карточек.
Методы защиты от несанкционированно установленных кейлоггеров
[править | править код]Защита от «известных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.
Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
- использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Защита от несанкционированно установленных аппаратных кейлоггеров:
- тщательные внешний и внутренний осмотры компьютерных систем;
- использование виртуальных клавиатур.
Примечания
[править | править код]- ↑ Researchers recover typed text using audio recording of keystrokes Архивная копия от 24 декабря 2013 на Wayback Machine, berkeley.edu (Дата обращения: 9 января 2010)
Ссылки
[править | править код]- Andrew Schulman // The Extent of Systematic Monitoring of Employee E-mail and Internet Use (Обзор программных продуктов, применяемых для контроля за действиями сотрудников в корпорациях США)
- Обзор клавиатурных шпионов: лучшие кейлоггеры, Xakep (Дата обращения: 9 января 2010)
- Клавиатурная снифалка на C++, Николай Андреев, Xakep #055, стр. 055-070-3 (Дата обращения: 9 января 2010)
- «How To Login From an Internet Cafe Without Worrying About Keyloggers», Cormac Herley, Dinei Florencio, Microsoft Research (англ.)
- Mafia trial to test FBI spying tactics. Keystroke logging used to spy on mob suspect using PGP, The Register, 6.12.2000 (Дата обращения: 9 января 2010)
- Компьютерра: Шпионские штучки, 21.09.1999 (Дата обращения: 8 апреля 2017)
| Инфекционное вредоносное ПО | |
|---|---|
| Методы сокрытия | |
| Вредоносные программы для прибыли | |
| По операционным системам | |
| Защита | |
| Контрмеры | |
