Журнал нажатий клавиш, часто называемый клавиатурой или захватом клавиатуры, это действие по записи (регистрации) нажатий клавиш на клавиатуре, обычно скрытно, чтобы человек, использующий клавиатуру, не знал, что его действия отслеживаются. Затем данные могут быть извлечены человеком, работающим с программой регистрации. регистратор нажатия клавиш или кейлоггер может быть либо программным, либо аппаратным.
. Хотя сами программы являются законными, многие из них предназначены для позволяют работодателям контролировать использование их компьютеров, кейлоггеры чаще всего используются для кражи паролей и другой конфиденциальной информации.
Кейлоггеры также могут использоваться для изучения человеческих -компьютерное взаимодействие. Существует множество методов кейлоггеров: от аппаратных и программных подходов до акустического анализа.
Программные кейлоггеры - это компьютерные программы, разработанные для работы на целевом компьютере программное обеспечение. Кейлоггеры используются в ИТ организациях для устранения технических проблем с компьютерами и бизнес-сетями. Семьи и деловые люди используют кейлоггеры на законных основаниях для отслеживания использования сети без прямого ведома пользователей. Даже Microsoft публично признала, что операционная система Windows 10 имеет встроенный кейлоггер в последней версии, «чтобы улучшить услуги набора текста и письма». Однако злоумышленники могут использовать кейлоггеры на общедоступных компьютерах для кражи паролей или информации о кредитных картах. Большинство клавиатурных шпионов не останавливаются с помощью шифрования HTTPS, поскольку оно защищает только данные при передаче между компьютерами, таким образом, угроза исходит от компьютера пользователя.
С технической точки зрения существует несколько категорий:
onKeyUp ()
. Скрипты можно внедрять с помощью различных методов, включая межсайтовый скриптинг, человек в браузере, человек в середине, или компрометация удаленного веб-сайта.Ведение журнала нажатий клавиш теперь является признанным методом исследования для изучения процессов записи. Были разработаны различные программы для сбора данных онлайн-процесса записи операций, включая Inputlog, Scriptlog и Translog.
Регистрация нажатия клавиш правомерно используется в качестве подходящего инструмента исследования в нескольких контекстах письма. К ним относятся исследования когнитивных процессов письма, которые включают
Регистрация нажатия клавиш может использоваться, в частности, для исследования письма. Его также можно интегрировать в образовательные области для изучения второго языка, навыков программирования и навыков набора текста.
Программные кейлоггеры могут быть дополнены функциями, которые собирают информацию о пользователе, не полагаясь на нажатие клавиш клавиатуры в качестве единственного ввода. Некоторые из этих функций включают:
Аппаратные кейлоггеры не зависят от какого-либо устанавливаемого программного обеспечения, поскольку они существуют на аппаратном уровне в компьютерной системе.
В середине 1970-х годов Советский Союз разработал и внедрил аппаратный кейлоггер, предназначенный для пишущих машинок. Этот метод, названный «селективной ошибкой», измерял движения печатающей головки пишущих машинок IBM Selectric посредством незначительного влияния на региональное магнитное поле, вызванного вращением и движениями печатающей головки. Ранний кейлоггер был написан Перри Киволовиц и размещен в группе новостей Usenet net.unix-wizards, net.sources 17 ноября 1983 года. Сообщение, кажется, является мотивирующим фактором в ограничении доступа к / dev / kmemв системах Unix. Программа пользовательского режима работала путем поиска и сброса списков символов (клиентов) в том виде, в каком они были собраны в ядре Unix.
В 1970-х годах шпионы установили регистраторы нажатия клавиш в зданиях посольства и консульства США в Москве. Они установили ошибки в электрические пишущие машинки Selectric II и Selectric III.
Советские посольства использовали ручные пишущие машинки, а не электрические пишущие машинки, для секретной информации - видимо, потому что они невосприимчив к таким ошибкам. По состоянию на 2013 год российские спецслужбы все еще используют пишущие машинки.
Написание простых программных приложений для кейлоггеров может быть тривиальным делом и, как любая гнусная компьютерная программа, может распространяться как троян. лошадь или как часть вируса. Однако для злоумышленника нетривиальной задачей является установка скрытого регистратора нажатий клавиш, чтобы его не поймали, и загрузка данных, которые были зарегистрированы без отслеживания. Злоумышленник, который вручную подключается к главному компьютеру, чтобы загрузить зарегистрированные нажатия клавиш, рискует быть отслеженным. Троян, который отправляет данные из кейлоггера на фиксированный адрес электронной почты или IP-адрес, рискует раскрыть злоумышленника.
Исследователи разработали несколько методов решения этой проблемы. Они представили атаку с перехватом пароля, в которой троян, регистрирующий нажатия клавиш, устанавливается с помощью вируса или червя. Злоумышленник, пойманный с вирусом или червем, может претендовать на роль жертвы. Криптотроян асимметрично шифрует украденные пары логин / пароль, используя открытый ключ автора трояна, и тайно транслирует полученный зашифрованный текст. Они упомянули, что зашифрованный текст может быть стеганографически закодирован и размещен на общественной доске объявлений, такой как Usenet.
В 2000 году ФБР использовал FlashCrest iSpy для получения PGP кодовой фразы Никодемо Скарфо-младший, сын босса мафии Никодемо Скарфо. Также в 2000 году ФБР с помощью сложной уловки заманило в США двух подозреваемых российских киберпреступников и перехватило их имена пользователей и пароли с помощью кейлоггера, который был тайно установлен на машине, которую они использовали для доступа к своим компьютерам в России. Затем ФБР использовало эти учетные данные для взлома компьютеров подозреваемых в России, чтобы получить доказательства для их судебного преследования.
Эффективность контрмер варьируется, поскольку кейлоггеры используют различные методы для сбора данных и контрмера должна быть эффективной против конкретного метода сбора данных. В случае кейлоггинга Windows 10 от Microsoft достаточно изменить некоторые настройки конфиденциальности на вашем компьютере. Например, экранная клавиатура будет эффективна против аппаратных клавиатурных шпионов, прозрачность победит некоторые, но не все, экранные логгеры, а приложение для защиты от шпионского ПО, которое может отключать только клавиатурные шпионы на основе ловушки, будет неэффективным против кейлоггеры на основе ядра.
Кроме того, авторы программ-кейлоггеров могут иметь возможность обновить код, чтобы приспособиться к контрмерам, которые могли оказаться эффективными против них.
антикейлоггеры - это часть программного обеспечения, специально разработанная для обнаружения кейлоггеров на компьютере, обычно сравнивающих все файлы в компьютер против базы данных кейлоггеров, ищущих сходства, которые могут сигнализировать о наличии скрытого кейлоггера. Поскольку антикейлоггеры были разработаны специально для обнаружения кейлоггеров, они потенциально могут быть более эффективными, чем обычное антивирусное программное обеспечение; некоторые антивирусные программы не считают кейлоггеры вредоносными программами, поскольку при некоторых обстоятельствах кейлоггер может считаться законным программным обеспечением.
Перезагрузка компьютера с помощью Live CD или защищенный от записи Live USB - это возможная мера противодействия программным кейлоггерам, если компакт-диск не содержит вредоносных программ, а операционная система, содержащаяся на нем, защищена и полностью исправлена, чтобы ее нельзя было заразить как как только он будет запущен. Загрузка другой операционной системы не влияет на использование кейлоггера на основе оборудования или BIOS.
Многие антишпионские программы приложения могут обнаруживать некоторые программные клавиатурные шпионы и помещать их в карантин, отключать или очищать. Однако, поскольку многие программы для кейлоггеров при определенных обстоятельствах являются законными программами, антишпионское ПО часто пренебрегает маркировкой программ кейлоггеров как шпионских программ или вирусов. Эти приложения могут обнаруживать программные кейлоггеры на основе шаблонов в исполняемом коде, эвристики и поведения кейлоггеров (например, использование хуков и некоторых API ).
Ни одно программное приложение для защиты от шпионского ПО не может быть на 100% эффективным против всех клавиатурных шпионов. Кроме того, программные средства защиты от шпионского ПО не могут победить непрограммные кейлоггеры (например, аппаратные кейлоггеры, подключенные к клавиатурам, всегда будут получать нажатия клавиш перед любым программным приложением защиты от программ-шпионов).
Однако конкретный метод, который использует приложение для защиты от шпионского ПО, будет влиять на его потенциальную эффективность против программных клавиатурных шпионов. Как правило, приложения для защиты от шпионского ПО с более высокими привилегиями побеждают кейлоггеров с более низкими привилегиями. Например, приложение для защиты от шпионского ПО на основе ловушек не может победить кейлоггер на основе ядра (поскольку кейлоггер будет получать сообщения о нажатии клавиши до приложения для защиты от шпионского ПО), но потенциально может победить кейлоггеры на основе ловушек и API.
Сетевые мониторы (также известные как обратные брандмауэры) могут использоваться для предупреждения пользователя, когда приложение пытается установить сетевое соединение. Это дает пользователю возможность запретить кейлоггеру «позвонить домой » с введенной им информацией.
Программы автоматического заполнения форм могут предотвратить кейлоггинг, убрав требование для пользователя вводить личные данные и пароли с клавиатуры. Заполнители форм в первую очередь предназначены для веб-браузеров для заполнения страниц оформления заказа и входа пользователей в их учетные записи. После того, как учетная запись пользователя и информация были введены в программу, они будут автоматически вводиться в формы без использования клавиатуры или буфера обмена, что снижает вероятность записи личных данных. Однако кто-то, имеющий физический доступ к машине, может по-прежнему иметь возможность установить программное обеспечение, которое может перехватывать эту информацию в другом месте операционной системы или во время передачи по сети. (Transport Layer Security (TLS) снижает риск того, что передаваемые данные могут быть перехвачены сетевыми снифферами и прокси-инструментами.)
Использование одноразовых паролей может быть безопасным для кейлоггера, поскольку каждый пароль становится недействительным, как только он используется. Это решение может быть полезно для тех, кто пользуется общедоступным компьютером. Однако злоумышленник, который имеет удаленный контроль над таким компьютером, может просто дождаться, пока жертва введет свои учетные данные, прежде чем выполнять неавторизованные транзакции от их имени, пока сеанс активен.
Использование смарт-карт или других токенов безопасности может улучшить защиту от атак повторного воспроизведения перед лицом успешная атака с помощью кейлоггера, поскольку для доступа к защищенной информации потребуется как (аппаратный) токен безопасности, так и соответствующий пароль / кодовая фраза. Знание нажатий клавиш, действий мыши, дисплея, буфера обмена и т. Д., Используемых на одном компьютере, впоследствии не поможет злоумышленнику получить доступ к защищенному ресурсу. Некоторые токены безопасности работают как тип системы одноразовых паролей с аппаратной поддержкой, а другие реализуют криптографическую аутентификацию запрос-ответ, которая может повысить безопасность способом, концептуально аналогичным одноразовым паролям. Считыватели смарт-карт и связанные с ними клавиатуры для ввода PIN-кода могут быть уязвимы для регистрации нажатия клавиш в результате так называемой атаки цепочки поставок, когда злоумышленник подставляет считыватель карт / PIN-код. оборудование ввода для одного, которое записывает PIN-код пользователя.
Большинство экранных клавиатур (например, экранная клавиатура, поставляемая с Windows XP ) отправляют обычные сообщения о событиях клавиатуры на внешнюю цель программа для набора текста. Программные регистраторы ключей могут регистрировать эти набранные символы, отправленные из одной программы в другую. Кроме того, программное обеспечение для кейлоггеров может делать скриншоты того, что отображается на экране (периодически и / или при каждом щелчке мышью), что означает, что, хотя это, безусловно, полезная мера безопасности, экранная клавиатура не защитит от всех кейлоггеров.
Также доступно программное обеспечение для устранения помех при нажатии клавиш. Эти программы пытаются обмануть кейлоггеров, вводя случайные нажатия клавиш, хотя это просто приводит к тому, что кейлоггер записывает больше информации, чем нужно. Перед злоумышленником стоит задача извлекать интересующие нажатия клавиш - безопасность этого механизма, в частности, насколько хорошо он выдерживает криптоанализ, неясна.
Подобно экранной клавиатуре, преобразование речи в текст программное обеспечение также может использоваться против клавиатурных шпионов, так как при этом не требуется ввод текста или движения мыши. Самым слабым местом использования программного обеспечения для распознавания голоса может быть то, как оно отправляет распознанный текст в целевое программное обеспечение после того, как распознавание имело место.
Кроме того, многие КПК и в последнее время планшетные ПК уже могут преобразовывать движения пера (также называемого стилусом) на своих сенсорные экраны для компьютерного понятного текста успешно. Жесты мыши используют этот принцип, используя движения мыши вместо стилуса. Программы жестов мыши преобразуют эти штрихи в действия, определяемые пользователем, например в набор текста. Точно так же графические планшеты и световые перья можно использовать для ввода этих жестов, однако с каждым днем они встречаются реже.
Та же потенциальная слабость распознавания речи применима и к этой технике.
С помощью многих программ кажущийся бессмысленным текст может быть расширен до значимого текста и большую часть времени контекстно-зависимо, например "en.wikipedia.org" может быть расширен, когда окно веб-браузера находится в фокусе. Самая большая слабость этого метода заключается в том, что эти программы отправляют свои нажатия клавиш непосредственно целевой программе. Однако это можно преодолеть, используя метод «чередования», описанный ниже, то есть отправляя щелчки мыши в неотзывчивые области целевой программы, отправляя бессмысленные клавиши, отправляя еще один щелчок мыши в целевую область (например, поле пароля) и переключение назад и вперед.
Чередование между вводом учетных данных для входа и вводом символов в другом месте в окне фокуса может привести к тому, что кейлоггер будет записывать больше информации, чем им нужно, но это можно легко отфильтровать с помощью злоумышленник. Точно так же пользователь может перемещать свой курсор с помощью мыши во время набора текста, в результате чего регистрируемые нажатия клавиш оказываются в неправильном порядке, например, путем ввода пароля, начинающегося с последней буквы, а затем с помощью мыши для перемещения курсора для каждой последующей буквы. Наконец, кто-то может также использовать контекстное меню для удаления, вырезания, копирования и вставки частей набранного текста без использования клавиатуры. Злоумышленник, который может перехватить только части пароля, будет иметь большее пространство клавиш для атаки, если он решит выполнить атаку грубой силой.
Другой очень похожий метод использует тот факт, что любой выбранный текстовая часть заменяется следующей набранной клавишей. например, если пароль "секретный", можно ввести "s", а затем некоторые фиктивные ключи "asdf". Затем эти манекены можно было выбрать с помощью мыши и набрать следующий символ из пароля «e», который заменяет пустышки «asdf».
Эти методы ошибочно предполагают, что программное обеспечение для регистрации нажатий клавиш не может напрямую отслеживать буфер обмена, выделенный текст в форме или делать снимок экрана каждый раз, когда происходит нажатие клавиши или щелчок мыши. Однако они могут быть эффективны против некоторых аппаратных клавиатурных шпионов.
На Викискладе есть медиафайлы, относящиеся к регистрации нажатия клавиш. |