Шпионские программы и новейшие методы защиты от них

   Примерами известных кейлоггеров являются Activity Logger, Boss - Everyware, Ghost Keylogger, Hook-Dump, lamBigBrother, Invisible Key-Logger Stealth, iOpus STARR, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Keystroke Reporter, PC Spy, Perfect Keylogger, ProBot, Realtime Spy, Spector Pro, SpyAgent, SpyBuddy, WinWhatWhere Investigator.

     В мире на сегодняшний день существуют сотни подобных продуктов, отличающихся друг от друга функциональностью, удобством в работе, информативностью отчетов, степенью невидимости и защиты от обнаружения и удаления. 

Аппаратные  кейлоггеры (keystroke recording device, hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш. Процесс этот абсолютно незаметен для пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере интересующего объекта, чтобы успешно перехватывать все нажатия клавиш.

Такое устройство может быть тайно прикреплено  к ПК кем угодно - коллегой, уборщицей, посетителем и т.д. Когда аппаратный кейлоггер прикрепляется, абсолютно  не имеет значения, в каком состоянии находится компьютер - включенном или выключенном.

Затем атакующий может снять устройство в любой удобный момент, а его  содержимое (записанные нажатия клавиш) скачать, когда ему это будет  удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш. Прикрепить данное устройство к компьютеру пользователя очень легко. Внешний вид этих устройств настолько многообразен, что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита.

   Особо известны на рынке аппаратные кейлоггеры KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger, производителями  которых являются компании Alien Concepts, Inc., Amecisco, KeyGhost, Ltd., MicroSpy, Ltd. 

   Аппаратные  кейлоггеры подразделяются на внешние  и внутренние, их особенности описаны  ниже. 

6.1.1Внешние аппаратные кейлоггеры 

Наружные  аппаратные кейлоггеры подключаются между  обычной клавиатурой ПК и компьютером  и регистрируют каждое нажатие клавиш. Им не нужны ни батареи, ни программы, и они могут работать на любом ПК.

Можно подключить их к одному компьютеру, чтобы записать информацию, а затем  к другому, чтобы воспроизвести  ее. Современные аппаратные кейлоггеры представляют собой приспособления, которые выглядят, как оборудование для ПК. 
 
 

6.12.Внутренние аппаратные кейлоггеры 

   Сложнее всего обнаружить (и обезвредить) внутренний аппаратный кейлоггер, у  которого аппаратный модуль перехвата  нажатий клавиш встроен в корпус клавиатуры.Он представляет собой встроенное небольшое устройство, внедренное в разрыв шнура клавиатуры и покрытое изоляционным материалом. 

7.Методы противодействия программам-шпионам 

   Для обнаружения и удаления мониторинговых программных продуктов, которые  могут быть установлены без ведома пользователя ПК, в настоящее время используются программы, которые с помощью сигнатурного анализа обеспечивают более или менее эффективную защиту только против известных программ-шпионов. Для эффективной работы программ этого типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить ее в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться сданным вариантом программы-шпиона. По такому принципу работают многие известные фирмы - производители антивирусного программного обеспечения.

   Но  есть и другая группа программ-шпионов, которая наиболее опасна для любых  автоматизированных систем- это неизвестные  программы-шпионы.  

Они подразделяются на пять типов:

1. Программы-шпионы, разрабатываемые под эгидой правительственных организаций (пример — продукт Magic Lantern, проект под названием Cyber Knight, США).

2. Программы-шпионы, которые могут создаваться разработчиками  различных операционных систем  и включаться ими в состав  ядра операционной системы.

3. Программы-шпионы, которые созданы в ограниченном  количестве (часто только в одной  или нескольких копиях) для решения  конкретной задачи, связанной с  похищением критической информации  с компьютера пользователя (например  программы, применяемые хакерами-профессионалами). Такие программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из Интернета и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.

4. Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (пример - программные продукты таких известных фирм, как WinWhat-Where Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad, Ltd).

5. Программы-шпионы, представляющие собой keylogging-модули, входящие в состав программ-вирусов.  До внесения сигнатурных данных  в вирусную базу данные модули  являются неизвестными.  

    Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет, например:

• W32.Dumaru.Y@mm - http:// security response.symantec.com/ avcenter/venc/data/w32.dumaru. y@mm.html;

• W32.Yaha.AB@mm - http:// security response.symantec.com/ avcenter/venc/data/w32.yaha. ab@mm.html;

• W32.Bugbear.B@mm - http:// security response.symantec.com/ avcenter/venc/data/w32. bugbear. b@mm.html;

• W32.HLLW.Fizzer@mm - http:// securi tyresponse.symantec.com/ avcenter/venc/data/w32.hllw. fizzer@mm.html;

• W32.Badtrans.B@mm - http:// security response.symantec.com/ avcenter/venc/data/W32.Badtrans. B@mm.html. 

    Информация  о программах-шпионах первого  и третьего типа, как правило (если не происходит утечки информации), нигде не публикуется, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому их не могут обнаружить никакие программные продукты, использующие сигнатурный анализ. 

    Информация  о программах-шпионах второго типа нигде не публикуется, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями. 

    Информация  о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если это и происходит, то деактивировать, а тем более удалить их зачастую невозможно без разрушения операционной системы.

Эти программы  не имеют своих процессов, а прячутся в виде потоков в системные процессы. Они имеют режимы контроля целостности и самовосстановления после сбоев, могут работать только с памятью компьютера и не работать с жестким диском. 

    Информация  о программах-шпионах пятого типа вносится в сигна-турные базы через  несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьютера уже может быть украдена и отослана в Интернет на заранее подготовленный вирусописателем адрес. 

    Что же может противопоставить пользователь персонального компьютера программам-шпионам? Решение данной проблемы возможно только в использовании комплекса программных продуктов. 

    Программный продукт №1 - тот, который использует эвристические механизмы защиты, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Его защита непрерывна, при этом он не использует никакие сигнатурные базы. 

    Программный продукт №2 - антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы. 

    Программный продукт №3 - персональный firewall, контролирующий выход в Интернет с персонального компьютера на основании установок самого пользователя. 

    Такая последовательность выбрана неспроста 

    Антивирусный  программный продукт успевает отреагировать  на проникновение вируса с keylogging-модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а соответственно, и обновиться на компьютере пользователя. 

    Персональный firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты).

А это  приводит к тому, что та информация, которая уже была украдена при  полном бездействии антивирусной программы, спокойно будет передана в Сеть на заранее подготовленный хакером (или  кем-то иным) интернет-адрес. И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме. 

    Антивирусных  программных продуктов, использующих постоянно обновляемые сигнатурные  базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие). Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и прочие). А защитные программы первого типа представлены на сегодняшний день всего лишь одним продуктом, не имеющим аналогов в мире. Он называется Priva-cyKeyboard™. 
 

    PrivacyKeyboard™  блокирует работу программ-шпионов  без использования сигнатурных  баз.

Это стало  возможным благодаря тому, что были найдены решения и разработаны алгоритмы, которые позволили отличить работу программы-шпиона от любого иного приложения, которое установлено в системе. 
 

PrivacyKeyboard™  имеет в своем составе модули, обеспечивающие:

• защиту от перехвата нажатий клавиш клавиатуры;

• защиту от перехвата текста из окон;

• защиту от снятия изображения рабочего стола;

• защиту от снятия изображения активных окон. 

Для собственной  защиты от внешнего разрушительного  воздействия программ-шпионов программа PrivacyKeyboard™ имеет систему контроля целостности и другие защитные функции. 

8.Методы противодействия аппаратным кейлоггерам. 

Никакие программные продукты не в состоянии  определить наличие установленных  аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем персонального компьютера. 

Сегодня существует только два метода противодействия  аппаратным кейлоггерам при работе на стандартном персональном компьютере:

• физический поиск и устранение аппаратного  кейлоггера;

• использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN-коды кредитных карт).

Internet UA 
 
 
 
 
 
 
 
 
 
 
 
 

9.Заключение 
 

В связи  с возросшим в последние годы числом spyware-приложений, наблюдался рост количества web-сайтов и злонамеренных пользователей, извлекающих выгоду установкой клавиатурных шпионов и кражей личной информации.  

Нужно знать о подобной опасности и  уметь определять её. Первым шагом  в борьбе с spyware-приложениями будет  использование альтернативного  браузера, например FireFox, Safari, Opera и др. Если это по каким-либо причинам нельзя осуществить, то следует предпринять меры по постоянной профилактике вашей системы, по обнаружению и удалению клавиатурных шпионов. 

Клавиатурный  шпион не является вирусом, но тем не менее представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя. Опасность клавиатурного шпиона может существенно возрасти при его сочетании с RootKit-технологией, которая позволяет замаскировать присутствие клавиатурного шпиона.