Клавиатурные шпионы: виды и специфика кейлоггеров

Клавиатурный шпион – это программа или устройство, которое фиксирует и записывает все нажатия пользователя на клавиатуру. В зависимости от заложенных характеристик и технологии работы, он может быть как съемным, так и работать дистанционно.

ИБ-специалисты часто называют клавиатурные шпионы кейлоггерами (от англ. keylogger, «регистрирующее устройство для клавиш»). Они применяются и как легальное средство записи действий пользователя, и как шпионское ПО, которое используется для кражи секретных данных.

В этой статье мы рассказали про основные виды кейлоггеров, их преимущества и недостатки, а также способы защиты от такого типа программ или устройств.

Виды кейлоггеров

Главная задача кейлоггера – это считывание данных путем отслеживания воздействий на средство ввода, то есть клавиатуру. Для решения этой задачи могут быть использованы любые средства.

Классически, принято выделять два вида кейлоггеров:

1. Программные. Это шпионское ПО, которое записывает действия пользователя и отправляет их на устройство злоумышленника. Чаще всего « доставляется» на устройство с помощью вредоносных файлов, фишинговых рассылок.
2. Аппаратные. Это устройство, которое требует физического взаимодействия злоумышленника с устройством жертвы сначала для установки, а затем для демонтажа.

Однако, кейлоггер это не только конкретные устройства, но и метод, в рамках которого и обычную камеру с высоким разрешением, в поле которой хорошо видна клавиатура во время работы, уже можно считать своего рода кейлоггером.

Это если не говорить о более сложных и оригинальных способах считывания информации. Например, группа американских и китайских исследователей смогла создать алгоритм, считывающий данные с помощью отражения в очках у людей с 4k камерами.

Есть не менее перспективные программы для записи клавиатуры на основе звуков, которые издают клавиши при нажатии.

Павел Яшин

Руководитель службы информационной безопасности iiii Tech

Мир не стоит на месте, соответственно и технологии перехвата тоже развиваются, например если невозможно заразить ПК, и физического доступа к нему нет, неужели злоумышленник останется без «приза»? Конечно нет – ведь можно подслушать как пользователь набирает на клавиатуре те же самые пароли: ведь у каждой клавиши уникальное звучание – конечно же не различимое человеческим ухом. А еще- практически у каждого из нас есть смартфон, оснащенный микрофоном, а еще – на многих если не на всех ноутбуках есть микрофоны. А еще, звуковую информацию можно «считать» со стекла окна.

Пример звукового кейлоггера: Keytap: acoustic keyboard eavesdropping | C++ and stuff (ggerganov.com)  и его дальнейшее развитие : Keytap 2 и KeyTap 3.

Конечно, это написанная энтузиастом программа. Да она работает только с английским языком. Но – при должной настойчивости и ресурсах – такие же программы могут быть написаны и для других языком.

Чтобы предотвратить утечку информации по звуковому каналу, можно использовать утилиты, которые автоматически отключают микрофон во время печати на клавиатуре. Кроме целей безопасности, они выполняют и более прозаичную функцию — автоматическое устранение посторонних шумов во время аудио/видеоконференций.

Фактически, кейлоггер – это любой программный продукт или устройство, которое может скрытно считать информацию о нажатиях на клавиатуру пользователем. Главное его достоинство – это незаметность. Независимо от типа устройства или ПО, его работа не создает никаких помех и далеко не всегда может быть идентифицирована защитными системами.

Дмитрий Ковалев

Руководитель департамента информационной безопасности «Сиссофт»

Кейлоггер всегда работает в скрытом режиме. Визуально рядовому пользователю никак не обнаружить его подключение к ПК: никаких явных маркеров, которые позволяют понять, что к устройству подключен кейлоггер, как правило, нет.

Вместе с тем, наибольшей популярностью пользуются те устройства, которые могут не только собрать и сохранить данные, но и транслировать их злоумышленнику. На этом этапе работа устройств наиболее заметна.

Как вычислить кейлоггер

Клавиатурные шпионы наиболее уязвимы в момент передачи информации. Если говорить об аппаратных шпионах, то их снятие требует физического присутствия злоумышленника. Помимо этого, такой кейлоггер можно определить самостоятельно, обнаружив не несущие функций « переходники» или следы замены заводских элементов устройства. Как правило, выявить аппаратный кейлоггер может только профильный специалист либо человек, хорошо знакомый с железом.

Программные кейлоггеры в контексте методов обнаружения мало чем отличаются от аппаратных. Чаще всего они попадают в поле зрения защитных инструментов в момент передачи накопленных данных на устройство злоумышленника.

Александр Булатов

Коммерческий директор NGR Softlab

Обычный пользователь ПК чаще всего сталкивается с программными кейлоггерами. Открыв зараженный файл, пришедший от незнакомого адресата, можно установить на своем компьютере невидимого шпиона, наблюдающего и запоминающего все нажатия клавиатуры. Заметить его присутствие практически невозможно без специального антивирусного ПО. Хотя даже это не всегда гарантирует 100% обнаружение.

Если говорить о корпоративных информационных системах, то у организаций есть больше возможностей обнаружить такое вредоносное ПО. Шпионский кейлоггер должен не просто собрать нажатия клавиш, но и передать эту информацию по сети злоумышленнику. Вот эти аномальные сетевые коммуникации могут быть зафиксированы тем или иным средством сетевой безопасности, которые используются в компаниях. Их разнообразие обеспечивает своеобразную эшелонированную защиту и обнаружение.

При этом кейлоггеры – это не всегда шпионские устройства и программы. В некоторых специализированных комплексах и системах кейлоггеры выполняют функцию бортового самописца, «черного ящика», который регистрирует все взаимодействия человека с системой. Эти данные при необходимости могут быть использованы для расследования тех или иных инцидентов.

Лучший способ защититься от шпиона клавиатуры – это установить соответствующие инструменты для фильтрации почты, проверки расширений и скачиваемых файлов. И постоянное обучение персонала цифровой гигиене, методам определения фишинговых писем и ссылок.

Вывод

Кейлоггер как группа средств шпионажа отличается высокой вариативностью для решения одной и той же задачи. Существует множество весьма специфичных решений, которые на данный момент не показывают высокую эффективность, но вполне могут выстрелить в перспективе, путем доработки самой технологии или расширения ее базы данных.

В то же время, есть и условно классические методы, которые достаточно эффективны в тех случаях, когда нет возможности детализировано изучать исходящий трафик. Весомое достоинство кейлоггеров любой категории – это сложность их обнаружения.

Дмитрий Исламов

Эксперт по продвижению IT-проектов

Достоинства программного кейлоггера в простоте. Это, как правило, небольшие приложения. Из-за малого размера у них максимально простые настройки. Для начинающих взломщиков – это отличный инструмент.

Недостаток кейлоггера — это генерация большого количества мусорных данных. Он записывает все действия клавиатуры и мышки. После их получения взломщику предстоит сложная работа по дешифровке данных.

У аппаратных кейлоггеров проблема в их установке и снятии — нужен физический доступ к устройству жертвы и время для проведения всех необходимых манипуляций. Кроме того, они ограничены в объеме памяти хранимых данных. Но зато не обнаруживаются антивирусами.

Проблема борьбы с кейлоггерами может быть эффективна решена, если злоумышленник просто не найдет возможности для установки ВПО или устройства в инфраструктуру компании.

Выискивание уже остановленного вредоноса в инфраструктуре может оказаться гораздо затратнее по времени, и потребовать избыточного количества усилий. Впрочем, этот тезис актуален и для злоумышленника. Ведь даже в случае успешного получения данных ему придется отфильтровать огромный массив данных, среди которых может и не оказаться искомых.