abc-people.com - жизнеописания, история, рефераты, статьи, иллюстрации
ЭКОНОМИЧЕСКАЯ и ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Защита данных от шпионских программ и кейлоггеров
key-loggers, key loggers, keystroke loggers, key recorders, key trappers, key capture programs
 

Шпионские программы
и новейшие методы защиты от них

Программное обеспечение и аппаратные устройства, предназначенные для скрытого слежения за деятельностью пользователей персональных компьютеров, получили в последнее время самое широкое распространение. О том, что это такое и как этому противостоять, рассказывают Николай КРАСНОСТУП и Денис КУДИН.

Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно (как правило, дистанционно) установлены без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как «программы-шпионы» или «продукты-шпионы».

Санкционированные же мониторинговые программные продукты используются администратором (службой информационной безопасности предприятия или организации) для контроля безопасности локальной сети. Они позволяют фиксировать действия пользователей и процессы, использование пассивных объектов, а также однозначно идентифицировать пользователей и процессы, которые причастны к определенным событиям, для того чтобы предотвратить нарушения безопасности или обеспечить неизбежность ответственности за определенные действия. Именно это свойство (в зависимости от степени его реализации) позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.

Например, программа шпион NeoSpy выполняет следующие функции:
Отслеживает запущенные пользователем программы
Записывает нажатия клавиш (кейлоггер)
Сохраняет снимки экрана
Записывает создание, удаление, изменение файлов
Отслеживает посещения сайтов и переписку ICQ, вконтакте
Записывает файлы, копируемые на USB-носители (флешки, переносные жесткие диски).
Скачать программу можно на сайте http://ru.neospy.net

Между мониторинговыми продуктами для обеспечения контроля и продуктами шпионами очень тонкая грань - это различие между управлением безопасностью и нарушением безопасности.

Превращению продукта для монитринга и наблюдаемости в продукт-шпион способствует наличие в программе
таких специальных функций, как:

• возможность предварительной конфигурации модуля (клиента, агента и т.п.) мониторинга и получение «скомплектованного» исполняемого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране;
• наличие встроенных средств доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя.
Чтобы программный продукт был малопригодным для шпионских целей и несанкционированного применения, необходимо соблюдение в следующих условий:
• возможность инсталляции и конфигурации модуля мониторинга только при непосредственном физическом доступе к компьютеру пользователя;
• обязательное наличие прав администратора для инсталляции и конфигурации программы.

Исключение составляют случаи, когда, например, злоумышленником является сам администратор.

Отметим, что законность или незаконность использования мониторинговых (и шпионских) программ зависит от законодательства каждой конкретной страны (или административной единицы, т.е. штата, автономной республики и т.д.), а также от соблюдения правил использования этих программ, установленных законодательством.

Для чего используются мониторинговые программы

Их применение дает достаточно широкие возможности специалисту,
ответственному за информационную безопасность предприятия.
Он может следующее:

• определять (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
• определять факты несанкционированной установки программного обеспечения;
• контролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;
• определять все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;
• определять все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;
• определять факты нецелевого использования персональных компьютеров:
• получать достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;
• контролировать доступ к серверам и персональным компьютерам;
• контролировать контакты собственных детей при серфинге в сети Интернет;
• проводить информационный аудит;
• исследовать и расследовать компьютерные инциденты;
• проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
• определять загрузку компьютерных рабочих мест предприятия;
• восстанавливать критическую информацию после сбоев компьютерных систем и т.д.

Для чего используются программы шпионы

Применение несанкционированно устанавливаемых мониторинговых программ позволяет злоумышленнику:

• перехватывать чужую информацию;
• осуществлять экономический или политический шпионаж;
• получать несанкционированный доступ к системам «банк-клиент»;
• получать несанкционированный доступ к системам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;
• получать несанкционированный доступ к авторизационным данным кредитных карточек и т.д.

Опасности для компьютерных систем

Одна из наиболее опасных функций всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных пользователем, с целью контроля компьютерной активности. Когда пользователь набирает на клавиатуре пароль и данные своей кредитной карточки, возможно, в этот момент записывается каждое нажатие клавиши.

Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон. Другими словами, программа-шпион может перехватить текст документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл.

Ниже мы постараемся подробнее остановиться на том, что же собой представляют продукты-шпионы, которые могут быть использованы для скрытого съема информации с персонального компьютера, и какие сегодня существуют средства для за­щиты конфиденциальной информации, хранимой на жестком диске, от описанных выше угроз.

Программные кейлоггеры

Программные кейлоггеры (key-loggers, keyloggers, keystroke log­gers, key recorders, key trappers, key capture programs и множество других вариантов названия) принадлежат к той группе продуктов, которые позволяют контролировать деятельность пользователя персонального компьютера.

Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (log-файл), который впоследствии изучался человеком, установившим эту программу. Log-файл может отправляться по сети на сетевой диск, ftp-сервер в Интернете, по e-mail и др. В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, «фотографирование» экрана и активных окон, ведение учета всех полученных и отправленных писем, мониторинг файловой активности, системного реестра и очереди заданий, отправленных на принтер, перехват звука с микрофона и видео с веб-камеры, подключенных к компьютеру и др.

Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, в троянские программы, вирусы и черви. В качестве примера можно привести недавнюю эпидемию червя Mydoom, который содержал в себе кейлоггер. Эта эпидемия вызвала целую волну публикаций, показывающих особую актуальность проблемы защиты от программ-шпионов.

Многие серьезные и наиболее опасные предшественники Mydoom также содержали кейлоггеры. При этом нередко для распространения червей использовалась широко известная уязвимость IFrame браузера Internet Explorer, которая позволяла запустить произвольный код на компьютере пользователя при простом просмотре html-документа в браузере или почтовом кли­енте Outlook. И хотя она была «залатана» еще в 2001 году (http://www. microsoft.com/technet/security/ bulletin/MS01-020.asp), широко­масштабные вирусные эпидемии в недавнем прошлом еще раз показали, что многие пользователи до сих пор работают на устаревших системах без обновлений и патчей несмотря на регулярные предупреждения антивирусных компаний. Кроме того, компания Microsoft регулярно выпускает патчи, закрывающие уязвимости, позволяющие злоумышленнику выполнять произвольный код на компьютере пользователя.

Примерами известных кейлоггеров являются Activity Logger, Boss - Everyware, Ghost Keylogger, Hook-Dump, lamBigBrother, Invisible Key-Logger Stealth, iOpus STARR, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Keystroke Reporter, PC Spy, Perfect Keylogger, ProBot, Realtime Spy, Spector Pro, SpyAgent, SpyBuddy, WinWhatWhere Investigator. В мире на сегодняшний день существуют сотни подобных продуктов, отлича­ющихся друг от друга функциональностью, удобством в работе, инфор­мативностью отчетов, степенью невидимости и защиты от обнаружения и удаления.

Аппаратные кейлоггеры

Аппаратные кейлоггеры (keystroke recording device, hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш. Процесс этот абсолютно незаметен для пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере интересующего объекта, чтобы успешно перехватывать все нажатия клавиш. Такое устройство может быть тайно прикреплено к ПК кем угодно - коллегой, уборщицей, посетителем и т.д. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном.

Затем атакующий может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш. Прикрепить данное устройство к компьютеру пользователя очень легко. Внешний вид этих устройств настолько многообразен, что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита.

Особо известны на рынке аппаратные кейлоггеры KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger, производителями которых являются компании Alien Concepts, Inc., Amecisco, KeyGhost, Ltd., MicroSpy, Ltd.

Аппаратные кейлоггеры подразделяются на внешние и внутренние, их особенности описаны ниже.

Внешние аппаратные кейлоггеры

Наружные аппаратные кейлоггеры подключаются между обычной клавиатурой ПК и компьютером и регистрируют каждое нажатие клавиш. Им не нужны ни батареи, ни программы, и они могут работать на любом ПК. Можно подключить их к одному компьютеру, чтобы записать информацию, а затем к другому, чтобы воспроизвести ее. Современные аппаратные кейлоггеры представляют собой приспособления, которые выглядят, как оборудование для ПК.

Внутренние аппаратные кейлоггеры

Сложнее всего обнаружить (и обезвредить) внутренний аппаратный кейлоггер, у которого аппаратный модуль перехвата нажатий клавиш встроен в корпус клавиатуры.

Он представляет собой встроенное небольшое устройство, внедренное в разрыв шнура клавиатуры и покрытое изоляционным материалом.

Методы противодействия программам-шпионам

Для обнаружения и удаления мони­торинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы, которые с помощью сигнатурного анализа обеспечивают более или менее эффективную защиту только против известных программ-шпионов. Для эффективной работы программ этого типа необ­ходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить ее в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться сданным вариантом программы-шпиона. По такому принципу работают многие известные фирмы - производители антивирусного программного обеспечения.

Но есть и другая группа программ-шпионов, которая наиболее опасна для любых автоматизиро­ванных систем
- это неизвестные программы-шпионы. Они подразделяются на пять типов:

1. Программы-шпионы, разрабатываемые под эгидой правительственных организаций (пример — продукт Magic Lantern, проект под названием Cyber Knight, США).

2. Программы-шпионы, которые могут создаваться разработчиками различных операционных систем и включаться ими в состав ядра операционной системы.

3. Программы-шпионы, которые созданы в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например программы, применяемые хакерами-профессионалами). Такие программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из Интернета и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.

4. Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (пример - программные продукты таких известных фирм, как WinWhat-Where Corporation, SpectorSoft Cor­poration, ExploreAnywhere Software LLC, Omniquad, Ltd).

5. Программы-шпионы, представляющие собой keylogging-модули, входящие в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет, например:
• W32.Dumaru.Y@mm - http:// security response.symantec.com/ avcenter/venc/data/w32.dumaru. [email protected];
• W32.Yaha.AB@mm - http:// security response.symantec.com/ avcenter/venc/data/w32.yaha. [email protected];
• W32.Bugbear.B@mm - http:// security response.symantec.com/ avcenter/venc/data/w32. bugbear. [email protected];
• W32.HLLW.Fizzer@mm - http:// securi tyresponse.symantec.com/ avcenter/venc/data/w32.hllw. [email protected];
• W32.Badtrans.B@mm - http:// security response.symantec.com/ avcenter/venc/data/W32.Badtrans. [email protected].

Информация о программах-шпионах первого и третьего типа, как правило (если не происходит утечки информации), нигде не публикуется, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому их не могут обнаружить ника­кие программные продукты, использующие сигнатурный анализ.

Информация о программах-шпионах второго типа нигде не публикуется, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями.

Информация о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если это и происходит, то деактивировать, а тем более удалить их зачастую невозможно без разрушения операционной системы. Эти программы не имеют своих процессов, а прячутся в виде потоков в системные процессы. Они имеют режимы контроля целостности и самовосстановления после сбоев, могут работать только с памятью компьютера и не работать с жестким диском.

Информация о программах-шпионах пятого типа вносится в сигна-турные базы через несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьютера уже может быть украдена и отослана в Интернет на заранее подготовленный вирусописателем адрес.

Что же может противопоставить пользователь персонального компьютера программам-шпионам? Решение данной проблемы возможно только в использовании комплекса программных продуктов.

Программный продукт №1 - тот, который использует эвристические механизмы защиты, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Его защита непрерывна, при этом он не использует никакие сигнатурные базы.

Программный продукт №2 - антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.

Программный продукт №3 - персональный firewall, контролирующий выход в Интернет с персонального компьютера на основании установок самого пользователя.

Такая последовательность выбрана неспроста

Антивирусный программный продукт успевает отреагировать на проникновение вируса с keylogging-модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а соответственно, и обновиться на компьютере пользователя.

Персональный firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты).

А это приводит к тому, что та информация, которая уже была украдена при полном бездействии антивирусной программы, спокойно будет передана в Сеть на заранее подготовленный хакером (или кем-то иным) интернет-адрес. И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме.

Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие). Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и прочие). А защитные про­граммы первого типа представлены на сегодняшний день всего лишь одним продуктом, не имеющим аналогов в мире. Он называется Priva-cyKeyboard™.

PrivacyKeyboard™ блокирует работу программ-шпионов без использования сигнатурных баз. Это стало возможным благодаря тому, что были найдены решения и разработаны алгоритмы, которые позволили отличить работу программы-шпиона от любого иного приложения, которое установлено в системе.

PrivacyKeyboard™ имеет в своем составе модули, обеспечивающие:
• защиту от перехвата нажатий клавиш клавиатуры;
• защиту от перехвата текста из окон;
• защиту от снятия изображения рабочего стола;
• защиту от снятия изображения активных окон.

Для собственной защиты от внешнего разрушительного воздействия программ-шпионов программа PrivacyKeyboard™ имеет систему контроля целостности и другие защитные функции.
Методы противодействия аппаратным кейлоггерам.
Никакие программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем персонального компьютера.

Сегодня существует только два метода противодействия аппаратным кейлоггерам при работе на стандартном персональном компьютере:
• физический поиск и устранение аппаратного кейлоггера;
• использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN-коды кредитных карт).

Internet UA

 
в начало

Вернуться в каталог
ЭКОНОМИЧЕСКИЕ НАУКИ

Главное меню Энциклопедии
Главная страница ЭНЦИКЛОПЕДИИ
Copyright © 2004 abc-people.com
Design and conception BeStudio © 2004-2016