Keylogger
Tai mažos, beveik nepastebimos programos, kopijuoja viską, kas renkama klaviatūra. Surinkta Klaviatūros šnipai (Keylogger) informacija siunčiama viruso kūrėjui. Klaviatūros šnipų tikslas – rinkti asmeninę informaciją, pvz., prisijungimo prie internetinės bankininkystės duomenis. Dažniausiai plinta per užkrėstas interneto svetaines ir prisegti prie elektroninių laiškų.
Kas yra Keylogger?
Keylogger – šnipinėjimo programa, veikianti įprasto asmeninio kompiuterio, ar kitokio įrenginio operacinės sistemos fone ir atliekanti fizinės arba virtualios klaviatūros klavišų stebėjimą ir registravimą (ang. Keystroke logging).
Istorija
Tiksli Keylogger atsiradimo priežastis ir data nėra tiksliai žinoma, manoma, kad pirmiausiai tai buvo naudojama valdžios įstaigų, šnipinėjimo tikslais. Vienas pirmųjų žinomų šios analogiškos šnipinėjimo įrangos panaudojimų įvyko dar 1970-siais metais, kai Maskvoje, Sankt Peterburgo šnipai į Jungtinių Valstijų ambasados ir konsulato elektrines spausdinimo mašinėles integravo klavišų stebėjimo sistemas. Dar viena ankstyva Keylogger versija 1983 metais buvo parašyta Perio Kivolovitso (Perry Kivolowitz), kuri UNIX sistemoje rasdavo ir išvesdavo įvestus ženklų darinius.
Naudojimas
Tam tikros analogiškos Keylogger versijos yra integruotos į operacines sistemas, siekiant pagerinti ir nuolatos naujinti rašymo atpažinimo, žodžių įterpimo - siūlymo funkcijas, stebėti asmens sąveika su kompiuterine sistema ar kitokiems tyrimams. Keylogger programos taip pat naudojamos organizacijų kompiuteriuose siekiant stebėti darbuotojų, ar kitų asmenų veiklą.
Įdomus faktas: Microsoft yra viešai pripažinusi, kad Windows 10 galutinė versija turi integruota Keylogger programa skirta vartotojų rašymo sąveikai gerinti
Keylogger šnipinėjimo programos naudojamos ir nusikalstamais tikslais, užkrečiant kompiuterius ir vartotojams nežinant, stebi jų veiklą, renka klavišų paspaudimo informaciją, specialiais algoritmais išskiria klaviatūra renkamų slaptažodžių, banko kortelių numerių informaciją, PIN kodus, ar kitą pažeidžiamą informaciją.
Keylogger šnipinėjimo programa plinta kaip ir visi kiti kompiuterių virusai – atsiunčiami prisegti elektroniniu paštu, įrašomi kartu su kitomis programomis, atsiunčiama kartu su kitais failais P2P tinklu ar per užkrėstas interneto svetaines. Legaliai naudojama šnipinėjimo programa gali būti tiesiog įrašoma kaip įprasta programinė įranga.
Keylogger gali būti dviejų pagrindinių tipų:
- programinė įranga,
- techninio tipo įranga.
Programinio tipo Keylogger
Programinio tipo Keylogger šnipinėjimo įranga – programinis kodas, dažniausiai viruso pavidalu, veikiantis operacinių sistemų fone, registruojantis klavišų informacija ir perduodantis šia informaciją kitiems asmenims.
Sunkiausiai aptinkamos Kernel lygyje veikiančios Keylogger šnipinėjimo programos. Šios „įsiskverbia“ į root (šakninį) katalogą ir veikia operacinės sistemos „šešėlyje“, tiek su aparatine įranga, kai kuriais atvejais net kaip klaviatūros aparatinės įrangos tvarkyklė. Tokio tipo Keylogger programas ypač sunku pašalinti, nes daugelis apsaugos programų neturi priėjimo teisių prie root (šakninio) katalogo.
API (ang. Application programming interface) pagrindu veikiančios Keylogger programos nelegaliai „prisiriša“ prie klaviatūros aplikacijų programavimo sąsajos ir veikia tarsi normali operacinės sistemos programa registruojanti klavišų paspaudimus.
Javascript kalbos pagrindu veikiančios Keylogger programos „įsiterpia“ į internetines svetaines, dažnu atveju pakeisdamos kodą pačioje sistemoje arba duomenims esant tranzite tarp sistemos ir vartotojo.
1 pav. Keylogger programos pavyzdinis kodas
Šios kenkėjiškos programos taip pat gali daryti aktyvaus lango nuotraukas, įrašinėti visų kitų programų atliekamą veiklą, dažniausiai šios programos fiksuoja ne visą įvedamą kodą, o išskiria tik potencialiai svarbią informaciją. Keylogger programos surinkta informacija talpina faile, kuri tam tikru periodu išsiunčiaHTTP arba FTP kanalais, elektroniniu paštu arba kitomis komunikavimo priemonėmis.
2 pav. Pavyzdinė Keylogger programos veikimo diagrama
Užkirsti Keylogger programinei įrangai gali padėti antivirusinės ir anti-šinipinėjimo programos. Dažnu atveju Keylogger programai įsitvirtinus operacinėje sistemoje, ją tampa labai sunku pašalinti, tokiu atveju, tenka imtis pilno disko formatavimo ir operacinės sistemos perrašymo veiksmų. Taip pat galima naudoti anti-keylogger programinę įrangą kuri stebi įrenginio vykdomų operacijų veiklą ir išskiria šnipinėjimo paskirti atliekančias programas.
Techninio tipo Keylogger
Techninio tipo Keylogger šnipinėjimo įranga – dažniausiai periferiniai priedai, adapteriai jungiami tarp periferinio prietaiso (pvz. klaviatūros) ir kompiuterio, taip pat integruoti lustai arba mikrovaldikliai. Tokios įrangos pranašumas tas, kad ji pradeda veikti vos tik įjungus kompiuterį. Surenkami duomenys vėliau išsiunčiami bevieliu būdu arba užšifruoti siunčiami kompiuterio komunikacijos priemonėmis.
3 pav. Techninio tipo Keylogger skirtas USB klaviatūroms
4 pav. Prijungto techninio tipo Keylogger pavyzdys
Egzistuoja techninio tipo Keylogger programos kurios klavišu paspaudimus fiksuoja rinkdamos klaviatūros skleidžiamo garso, laidinių klaviatūrų elektromagnetinio lauko, arba naudojamos klaviatūros skleidžiamos vibracijos duomenis.
Apibendrinimas
Keylogger šnipinėjimo programinė įranga kelia nemažą pavojų tiek paprastam vartotojui tiek įmonėms ir organizacijoms. Siekiant „nepasigauti“ tokios kenkėjiškos programos būtina programinę įrangą siųstis tik iš patikimų, originalių šaltinių, neatidarinėti įtartinų laiškų ir prie jų prisegto turinio, nesilankyti svetainėse, kurios gali atrodyti potencialiai pavojingos. Galiausiai užsikrėtus tokia kenkėjiška programine įranga jos atsikratyti sunku ir galiausiai gelbėja tik visiškas duomenų formatavimas.
Šaltiniai
http://www.computerweekly.com/tip/What-are-keyloggers-The-essential-101
http://en.wikipedia.org/wiki/Keystroke_logging
http://www.pctools.com/security-news/what-is-a-keylogger/
http://web.eng.fiu.edu/~aperezpo/DHS/Std_Research/Keylogging%20final%20edited%202.0%20.pdf
