Ющук Евгений Леонидович (yushchuk) wrote,
Ющук Евгений Леонидович
yushchuk

Category:

Кейлоггеры. Теория и практика санкционированного и несанкционированного применения.

tov_nachoperot  по моей просьбе сделал отличный материал о кейлоггерах. В нем раскрыта теория и практика применения этих программных средств, позволяющих вести запись нажатий клавиш клавиатуры компьютера.
На мой взгляд, особую ценность материалу придает тот факт, что статья написана человеком, на практике сталкивающимся с тем, о чем пишет. Далее цитата.

Кейлоггеры: теория и практика

Автор: tov_nachoperot 
Источник http://tov-nachoperot.livejournal.com/9503.html

Итак Азбука:
Keylogger (кейлоггер) — (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.

По типу

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP сервер в сети Интернет, по E-mail и т. д. В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учета всех полученных и отправленных E-mail, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и т. д., то есть они, на самом деле, относятся к совершенно другому классу программных продуктов, а именно к мониторинговым программным продуктам.

Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.

По месту хранения лог-файла
жесткий диск
оперативная память
реестр
локальная сеть
удаленный сервер

По методу отправки лог-файла
E-mail
FTP или HTTP (в интернете или локальной сети)
любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости)

По методу применения

Только метод применения кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет увидеть грань между управлением безопасностью и нарушением безопасности.

Несанкционированное применение — установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как шпионские программные продукты или шпионские устройства. Несанкционированное применение, как правило, связано с незаконной деятельностью. Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения «скомплектованного» исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, то есть процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы;

Санкционированное применение — установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется как мониторинговые программные продукты (англ. employee monitoring software, parental control software, access control software, personnel security programs и т. п.) Как правило, санкционированно устанавливаемые программые продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для конфигурирования и инсталляции;

Санкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу компьютера:
определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
определить (локализовать) все случаи попыток перебора паролей доступа;
проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить что набиралось на клавиатуре в данное время;
исследовать компьютерные инциденты;
проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
восстановить критическую информацию после сбоев компьютерных систем;

Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:
создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)

Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:
перехватывать чужую информацию, набираемую пользователем на клавиатуре;
получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
получить несанкционированный доступ к авторизационным данным кредитных карточек;

Теперь ближе к телу как говорится....
Мы исходим из того, что мы работаем только на законных основаниях и на своей территории, на которой завелась как уже было и не раз завелась «крысочка», т.е. только санкционированно против нехороших парней инсайдеров..... Я использую в своей практике в основном три варианта — KGB Keylogger (Mipko Employee Monitor), Webstep Elite Keylogger и LKL Linux KeyLogger. Постольку поскольку в компании, которую мне приходится «опекать» в основном стоят машины с ОС Windows приходится использовать KGB Keylogger (Mipko Employee Monitor) или Webstep Elite Keylogger.
У нас есть враг- инсайдер. Есть подозрение, что этот "товарищ" сливает конфиденциальную информацию налево..... Команда сверху «фас» есть и мы приступаем к работе.... Естественно, что работать в присутствии «клиента» мы не будем — смысл тогда ставить? Тем более, что не всегда DLP системы спасают, не на всех территориях работают Active Directory, Samba c LDAP, не везде умные админы, которые могут организовать фильтрацию пересылаемых пакетов и много чего может быть не так. А кейлоггер никогда не подведет. Относительно дешево и сердито.
Итак вечерком приходим в час уборщицы и запускаем машину. Варианта два:
1.Машина не защищена компьютером или пароль мы знаем — самый легкий вариант. Просто ставим кейлоггер.
2.Машина защищена паролем и пароль мы не знаем. Вот тут тоже два варианта.
а) мы уходим и завтра приходим и под видом неких работ по плану ИБ, меняем пароль администратора, создаем если надо юзера и даем ему какие он хочет права. Вечером приходим и ставим кейлоггер.
б) используем Windows PE и LophtCrack, тут же или дома ломаем пароль. Вскрываем машинку и ставим кейлоггер.
Лично мне предпочтительнее первый вариант.

Теперь поговорим о том, что мы ставим.
Вариантов масса но мне нравится только три вышеназванные проги. Во первых они все относятся не к простым кейлоггерам, это скорее все таки мониторы деятельности.
Итак первый и самый любимый - Elite Keylogger. Elite Keylogger контролирует работу интернет-пейджеров ICQ, MSN, AIM, AOL и Yahoo, следит за электронной почтой, активностью приложений и распечатываемыми документами, записывает нажатия клавиш. Видимый и невидимый режим. Результат мониторинга программа может отослать по электронной почте, загрузить на FTP-сервер или скопировать в указанную папку на сетевом диске. В программе можно установить промежуток времени, по истечении которого автоматически будут удалены все логи активности пользователя. И что самое главное — он является низкоуровневым кейлоггером, т.е. работает на уровне ядра. Мы получаем даже пароли юзеров, которые заходят в «машину». Скриншоты «настроечного» и «логгерного» окна прилагаются.




Разработчик: WideStep Security Software
Распространяется: shareware, 69 долл.
Операционная система: Windows All

Следующий Mipko Employee Monitor (KGB Spy Keylogger). Установка его: http://www.mipko.ru/tutorial-employee.ph
p
Программный продукт MIPKO Employee Monitor, разработан отечественной компанией. Самое главное - компания выиграла делo, заведенное против нее «братками» из МВД. Маразм на самом деле был полнейший. Там «местечковые» (компания раполагается в Пскове) сотрудники доблестных ОВД наехали на компанию как производителя «вредоносного софта». Кстати история была громкая - www.securitylab.ru/forum/forum23/topic46031/ . Много сотоварищей наших и ваших, в том числе очень уважаемый мной известный эксперт по IT доказательствам в суде главный аналитик компании InfoWatch Н.Н. Федотов (consumer.stormway.ru/kgbspy.htm ) принимали участие в подготовке к судебному заседанию и оказывали помощь руководству ООО «Мипко» в лице Михайлова Павла Алексеевича. В итоге — выиграли. И слава богу.
MIPKO Employee Monitor (KGB Spy Keylogger) формирует подробный отчет о записанных действиях пользователя, позволяя вам просмотреть информацию о том, какие именно приложения были запущены, какие последовательности символов вводились с клавиатуры, а также какие веб-сайты открывались пользователем. Каждая запись сопровождается точным временем события, а для каждого посещенного пользователем веб-сайта создается и сохраняется образ экрана — четкое изображение страницы, которую видел пользователь.
Главные особенности:
* Видимый / невидимый режим
* Перехват нажатых клавиш на клавиатуре
* Перехват ICQ, Qip и др.
* Мониторинг буфера обмена
* Запись снимков экрана (скриншотов)
* Мониторинг посещенных веб-сайтов
* Уведомления на электронный ящик о наборе запрещенных слов
Очень удобный и понятный интерфейс
Видео по работеwww.mipko.ru/personal-monitor-lite/shots.php

Цена - Mipko Personal Monitor (лицензия на 1 компьютер) - 800 руб. Дешево и сердито.
В отличии от WebStep Elite keylogger — плохо сохраняются скриншоты деятельности на удаленном компе. Правда хорошо сохраняется буфер обмена.
Зато в Elite Keylogger при частых скриншотах (минута) мы имеем все диск, что и куда копировалось.

Теперь самое главное: нужно знать, что использование полученных данных может касаться только данных Компании, внутри Компании и на компьютере Компании. Если он работает на своем компьютере — подобные действия будут квалифицированы как неправомерный доступ к информации пользователя компьютера. Если вы используете полученные пароли для доступа к его почтовым ящикам на бесплатных хостах — то же самое. Если будет разглашена персональная информация (в переписке мессенджеров могут быть очень интимные вещи) — нарушение персональных данных с соответствующими выводами ФСТЕК.
Tags: tov_nachoperot, информационная безопасность, кейлоггеры, компьютеры
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments