Клавиатурные шпионы (кейлоггеры, keyloggers)
Кейлоггером называется устройство или ПО для перехвата данных, вводимых с клавиатуры. Оно распознаёт нажатия кнопок, скрыто сохраняет и передает информацию злоумышленнику. Кейлоггеры являются разновидностью шпионских программ.
Название термина образовано слиянием английских слов "key" («клавиша») и "logger" («регистрирующее устройство»). Соответственно, keylogger — это регистратор нажатий клавиш. Впрочем, такой шпион может записывать информацию не только о том, на какие кнопки нажимает пользователь, но и о ряде других действий — например, о движениях мыши. Кейлоггер также фиксирует время и дату нажатий, что немаловажно для построения хронологии событий. У термина есть альтернативные и синонимичные варианты: "keyboard logger", "key capture program", "key recorder" и другие. Иногда клавиатурного регистратора называют «снупером» — от английского слова "snooper", означающего человека, который сует нос в чужие дела.
По традициям русской орфографии более уместным является написание «кейлогер» (так же, как «блогер» вместо «блоггер»), но вариант с двойной «Г» встречается чаще.
Классификация кейлоггеров
Кейлоггеры классифицируются по многим признакам: по виду, месту хранения журнала, варианту его отправки, методу применения. По способу реализации угрозы различают кейлоггеры аппаратные, программные, акустические. Так как акустические кейлоггеры встречаются сравнительно редко, остановимся на характеристике первых двух видов.
Аппаратный кейлоггер — это устройство малых размеров, подключаемое к ПК или внедряемое в него. Шпиона трудно обнаружить из-за труднодоступного расположения, малых размеров, схожести с обычным оборудованием для компьютеров. Например, компактный модуль, внешне похожий на переходник, устанавливают между кабелем клавиатуры и системным блоком; такое наружное приспособление может подключить любой пользователь (а затем и снять его в любое время, подсоединить к другому компьютеру и считать информацию). Существует визуальное наблюдение за клавиатурой, например за панелью банкомата, где вводится PIN-код. В данной ситуации роль аппаратного кейлоггера играет видеокамера.
В других случаях шпион является внутренним. Например, очень маленький аппарат может встраиваться в разрыв кабеля клавиатуры и покрываться изоляцией. При свободном доступе к машине кейлоггер легко впаивается в микросхему клавиатуры или материнскую плату. Внутренние кейлоггеры не видны обычным пользователям и даже не всегда распознаются ИТ-специалистами при детальном исследовании внутренностей ноутбука или системного блока ПК. Бывают и бесконтактные электромагнитные кейлоггеры. Их можно крепить к кабелю клавиатуры. В таком случае устройство похоже на стандартный фильтр помех и не вызывает подозрений.
Аппаратные кейлоггеры наружного и внутреннего вида (кроме бесконтактных) не нуждаются в источнике питания, так как подключены к ПК, а их внутренняя память может сохранять до 20 млн нажатий клавиш. Устройство не обнаруживается антивирусными программами, так что считывание информации с клавиш может происходить в течение длительного периода времени. Однако у аппаратных клавиатурных шпионов есть и недостатки:
- устройство нельзя установить удаленно;
- объем памяти хоть и велик, но ограничен;
- для снятия данных нужно получить приспособление обратно, если у компьютера нет модуля Wi-Fi.
Программные кейлоггеры (keyloggers) не имеют этих ограничений и потому особенно популярны. В этом случае шпион имеет вид приложения для операционной системы, которое работает в скрытом режиме (без графического интерфейса) и записывает перехваченные сведения в файл журнала, впоследствии высылая последний хозяину через интернет.
Такие кейлоггеры не только записывают нажатия клавиш, но и фиксируют движения мыши, считывают данные из окон других программ, выполняют съемку экрана. Программный шпион перехватывает принятые и отправленные электронные письма, записывает изображения с камеры и звук с микрофона, если таковые подключены к компьютерному устройству. Приложение способно следить за файловой активностью, записывать задания, которые отправляются на печать, и т.п.
Объект воздействия
Проникновение программного кейлоггера в компьютер происходит легко и незаметно. Шпион может попасть в систему вместе с нелицензионным ПО, незаметно загрузиться при посещении сайтов, при открытии файла, прикрепленного к электронному письму, и даже быть встроенным в другое приложение. Кроме того, существуют легальные кейлоггеры, например программа Punto Switcher от компании «Яндекс». Она не только автоматически переключает раскладку клавиатуры (что является ее основной функциональностью), но и имеет опцию ведения дневника, записывая в текстовый файл все нажатия клавиш. Зная об этом, злоумышленники устанавливают ее на компьютеры жертв, так как Punto Switcher не детектируется антивирусными программами.
Кейлоггеры (keyloggers) вмешиваются в работу компьютера, но не вредят операционной системе. Из-за отсутствия деструктивных функций, а также ввиду возможности легального использования их относят к нежелательным программам, а не ко вредоносным. Действительно, регистратор нажатий клавиш может служить как хорошим средством управления безопасностью, так и результативным средством ее нарушения. Увидеть тонкую грань между этими функциями помогут только цели, с которыми применялся кейлоггер.
Итак, применение клавиатурного шпиона может быть санкционированным и несанкционированным. При санкционированном использовании аппаратного или программного кейлоггера пользователь ПК или ноутбука, инженер безопасности либо владелец автоматизированной системы ставится в известность о его наличии. В таком случае кейлоггеры называются мониторинговыми продуктами и выполняют ряд полезных функций. В частности, регистраторы нажатий клавиш санкционированно применяются в государственных учреждениях, в частных компаниях, на производствах и в других различных организациях. Установка кейлоггеров дает возможность определить попытки передачи важной информации третьим лицам или набора паролей доступа, а также исследовать инциденты, связанные с компьютером. Клавиатурные шпионы помогают контролировать использование компьютерной техники в личных целях или в нерабочее время, а также получить информацию с жесткого диска ПК, если по какой-то причине нет пароля доступа.
Кейлоггер позволяет определить, насколько оперативно и грамотно персонал может реагировать на воздействия извне. Кроме того, кейлоггеры встраиваются в DLP-продукты с целью контроля переписки персонала для предотвращения передачи секретной информации. С помощью регистратора нажатий клавиш можно восстановить важную информацию после нарушения работы ОС.
Несанкционированное применение кейлоггера состоит во внедрении программы или аппаратного устройства без согласия и без ведома владельца или оператора. Такие регистраторы считаются шпионскими продуктами и обычно связаны с противозаконной деятельностью. Объектами воздействия несанкционированного применения кейлоггеров (keyloggers) могут быть частные лица, банковские и финансовые системы, компании большого и малого бизнеса, государственные структуры и т.д.
Незаконное использование аппаратных устройств или фиксирующих программ дает злоумышленнику возможность получить важную корпоративную информацию, номера счетов, пароли в системах платежей, коды к учетным данным, доступ к просмотру электронной почты. С помощью кейлоггеров осуществляется шпионаж в сфере политики и экономики, открывается доступ к тайнам коммерческих структур и государственных учреждений, системам криптографической защиты информации, становится возможным завладение чужими денежными средствами, использование учетных записей в своих целях.
Источник угрозы
Кто может внедрять клавиатурного шпиона и служить источником угрозы? Если говорить о санкционированном применении кейлоггеров, то они устанавливаются администраторами служб безопасности, сотрудниками правоохранительных органов, разных секретных служб. Подробнее о том, как используется кейлоггер в обеспечении безопасности данных, можно узнать в статье «Обзор Контура информационной безопасности SearchInform. Часть 2 — Сценарии применения».
Стоит отметить, что существуют доступные для скачивания программы, которые может установить любой пользователь. Например, родители отслеживают действия детей в сети, получают оповещение при попытках ребенка зайти на запрещенные ресурсы. Регистратор нажатий клавиш применяют мужья и жены для наблюдений за действиями друг друга в социальных сетях, для чтения электронных писем и других текстовых сообщений.
В организациях и на предприятиях угроза перехвата нажатий клавиш может исходить от персонала. Сотрудники имеют физический доступ к машинам, могут установить как аппаратное устройство, так и программный шпионский продукт. Тот же риск создают работники сервисных служб, выполняющие ремонт и обслуживание компьютеров, а также фирмы, продающие ПО.
Самым распространенным источником угрозы (особенно для частных лиц) является сеть. Интернет-мошенники используют множество средств заражения компьютера своей «жертвы» программой с кейлоггером: рассылка писем с вложениями по электронной почте, заражение файлов в каталогах, находящихся в общем доступе сети, автоматически запускающиеся сценарии на веб-страницах и т.п. Функция кейлоггера есть во многих троянских программах. Они проникают в компьютер пользователя и осуществляют полный контроль над совершаемыми действиями, фиксируя всю информацию. Сегодня практически нет однофункциональных кейлоггеров, настало время универсальных вредоносных программ.
Анализ риска
Риски попадания в зону внимания киберпреступников велики и у организаций, и частных лиц. И если есть уверенность в невозможности использования злоумышленником аппаратного кейлоггера, то проникновение в компьютер программного продукта предупредить не так просто. Компания Symantec сообщает, что примерно половина вредоносных программ и приложений применяется с целью сбора информации, а не для нанесения вреда компьютеру. Разработчики антивирусов ESET раскрыли вредоносную киберкампанию «Операция Liberpy», в ходе которой мошенники воровали персональные данные пользователей путем установки в систему программ-кейлоггеров. Детальную информацию об этом происшествии можно прочитать в статье «Эксперты ESET раскрыли операцию кибершпионажа». «Лаборатория Касперского» отмечает интенсивный рост числа программ, реализующих среди прочих рисков угрозу считывания нажатий клавиш, кнопок мыши и прочих действий пользователя. Это значит, что от кражи личных данных не застрахован ни один человек, пользующийся интернетом.
При заражении компьютера кейлоггером возможны разные последствия. Для государственных учреждений и коммерческих структур они заключаются в потере конфиденциальной информации, материальном ущербе. Однако на страже интересов компаний стоят службы безопасности, поэтому чаще жертвами мошенников становятся обычные люди. Заразив компьютер кейлоггером, киберпреступники получают информацию о банковских и электронных счетах, снимают и переводят денежные средства, оформляют кредиты. Существует много примеров потери личных средств пользователями, краж крупных сумм со счетов банков, промышленного шпионажа.
Бороться с программными кейлоггерами сложно, но вполне возможно — при помощи антивирусов. Для борьбы с аппаратными регистраторами нажатий клавиш используются специальные сканеры, выполняется анализ рентгеновских снимков оборудования. Простым, но эффективным способом защиты от многих кейлоггеров являются экранные клавиатуры, заменяющие нажатие на кнопку клавиатуры щелчком мыши на участке экрана.