Difference between revisions of "What is:Keylogger/pt"

O que é um keylogger

Há muitas informações sobre keyloggers na Web, mas é realmente difícil encontrar artigos, que explicam inúmeras nuances do desenvolvimento e uso dos keyloggers em detalhes.

É por isso que este artigo foi escrito.

Um 'keylogger', ou 'registrador de pressionamento de tecla', é um programa de software ou um dispositivo de hardware que registra pressionamentos de tecla, ou seja, quais teclas foram pressionadas no teclado do computador.

O sinônimo de 'keylogger' é 'logger de pressionamento de tecla', e a ação que ele executa é chamada 'log de pressionamento de tecla' ou 'captura de teclado'.

A operação de keyloggers de software e seus equivalentes de hardware - keyloggers de hardware - são baseadas em duas tecnologias completamente diferentes, ou seja, registram as teclas digitadas de uma maneira diferente.

Bem, os usuários de PC diferem; eles desempenham papel diferente no processamento de informações. Qualquer usuário específico pode ser:

• desenvolvedor de um sistema operacional;
• desenvolvedor de software;
• CEO de uma empresa;
• um empresário;
• administrador de uma rede de computadores corporativa;
• um usuário de computador com privilégio administrativo;
• um usuário de PC no local de trabalho;
• um usuário que possui o computador;
• um especialista em segurança da informação;
• etc.

São essas pessoas que determinam se é razoável usar keyloggers em suas atividades.

É do conhecimento geral que o uso de qualquer tecnologia pode ser benéfico ou prejudicial; isso também se aplica ao processamento de informações usando computadores.

Onde está a vaga linha entre o uso legal e ilegal de keyloggers?

A resposta é simples - só poderia ser distinguida de acordo com a aplicação desses keyloggers! É o método de sua aplicação que permite ver a linha entre gerenciamento de segurança e violação de segurança.

O termo 'uso não autorizado' ('uso ilegal') significa que o keylogger foi instalado sem o conhecimento do proprietário (administrador de segurança) de uma rede local (por exemplo, de uma empresa ou uma organização) ou um computador pessoal específico. O conceito de "atividade não autorizada" está bem próximo do conceito de "atividade ilegal" em quase todos os países do mundo.

Os keyloggers não autorizados (tanto de software quanto de hardware) são referidos como 'dispositivos de espionagem' ou 'spyware' ('software espião', 'programa espião', 'keylogger').

Seu uso não autorizado é geralmente associado a atividades ilegais. Como regra, produtos spyware para uso não autorizado são capazes de configurar e receber um arquivo executável em pacote, que não exibe nenhuma mensagem nem abre janelas durante a instalação. Além disso, esses produtos possuem ferramentas internas que podem fornecer e instalar remotamente um módulo pré-configurado no computador do usuário, ou seja, o processo de instalação ocorre sem acesso físico direto ao computador do usuário e geralmente não requer privilégios administrativos.

O termo 'uso autorizado' ('uso legítimo/legal') significa que o keylogger foi instalado com o conhecimento do proprietário (administrador de segurança) de uma rede local (por exemplo, de uma empresa ou organização) ou de um computador pessoal específico. Os keyloggers usados legalmente (software ou hardware) são geralmente referidos como 'software de monitoramento de funcionários', 'software de controle parental', 'software de controle de acesso', 'programas de segurança pessoal' etc. Como regra geral, esses produtos de software requerem acesso físico ao computador do usuário e o administrador deve tenha privilégio administrativo para configurá-los e instalá-los.

Para que eles são usados

O uso autorizado de keyloggers permite que o proprietário (administrador de segurança) de uma rede de computadores local ou o proprietário (administrador) de um computador:

• identificar todos os casos em que palavras ou frases críticas (ou seja, aquelas cuja divulgação a terceiros levará a perdas materiais) são digitadas;
• poder acessar as informações armazenadas no disco rígido do computador se a senha de acesso for perdida por qualquer motivo (doença do funcionário, ações deliberadas da equipe etc.);
• identificar (localizar) prontamente todos os casos de ataques de força bruta;
• verifique se os computadores pessoais corporativos são usados fora do horário de trabalho e, se sim, identifique o que foi digitado naquele momento;
• investigar incidentes de computador;
• realizar pesquisas científicas que determinem quão precisas, eficientes e adequadas foram as reações do pessoal às influências externas;
• recuperar informações críticas após falhas dos sistemas de computador.

Os desenvolvedores de produtos de software comercial podem usar módulos contendo keylogger para vários propósitos, incluindo os seguintes:

• desenvolver sistemas de busca rápida de palavras (por exemplo, dicionários eletrônicos, tradutores eletrônicos);
• para desenvolver programas para pesquisa rápida de nomes, empresas, endereços (por exemplo, listas telefônicas eletrônicas)

O uso não autorizado de keyloggers (incluindo produtos de hardware ou software com um módulo de keylogging) permite que um invasor:

• interceptar informações de outras pessoas digitadas no teclado;
• obter acesso não autorizado a nomes de usuário e senhas que as pessoas usam para acessar vários sistemas, incluindo sistemas cliente-banco;
• obter acesso não autorizado à proteção criptográfica das informações dos usuários de computador (senhas);
• obter acesso não autorizado aos dados de autorização do cartão de crédito;

Classificação dos keyloggers

Classificação de acordo com o tipo

'Keyloggers de software' pertencem ao grupo de produtos de software que exercem controle sobre as atividades de um usuário de PC. Inicialmente, os produtos de software desse tipo destinavam-se exclusivamente a gravar as teclas pressionadas no teclado, incluindo as teclas do sistema, e salvar esses dados em um arquivo de log especial, que foi posteriormente estudado pela pessoa que instalou este programa. O arquivo de log pode ser enviado pela rede para uma unidade de rede, um servidor FTP na Internet, para um endereço de email etc.

Hoje em dia, porém, os produtos de software que mantêm o nome "keyloggers" desempenham muitas funções adicionais, como interceptar informações das janelas, cliques do mouse, o conteúdo da área de transferência, fazer capturas de tela da tela e janelas ativas, mantendo registros de todos os e-mails recebidos e enviados. , rastreando atividades de arquivos e alterações no registro do sistema, gravando tarefas enviadas para a impressora, interceptando sons de um microfone e imagens de uma webcam, etc.

'Keyloggers de hardware' são dispositivos em miniatura que podem ser colocados entre o teclado e o computador ou integrados ao próprio teclado. Eles registram todas as teclas digitadas no teclado. O processo de registro de chaves é completamente invisível para o usuário do PC. Os keyloggers de hardware não exigem a instalação de nenhum software no PC de destino para interceptar com êxito todas as teclas digitadas. Quando um keylogger de hardware é conectado, não importa se o computador está ligado ou desligado. Uma vez instalado, um keylogger de hardware pode funcionar por tempo ilimitado, pois não requer uma fonte de energia adicional.

Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

Классификация по месту хранения лог-файла

• жёсткий диск;
• оперативная память;
• реестр;
• локальная сеть;
• удалённый сервер;

Классификация по методу отправки лог-файла

• E-mail;
• FTP или HTTP (в интернете или локальной сети);
• любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).

Классификация по включению в сигнатурные базы

Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.

Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:

• кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
• кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
• кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
• коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
• кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

• использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

• использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
• использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

• тщательные внешний и внутренний осмотры компьютерных систем;
• использование виртуальных клавиатур;

Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание

Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.

Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.

Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.