Кейлоггер: що це таке, мети застосування, як від нього захиститися. Клавіатурний шпигун

Кейлоггер – що це таке? Яка небезпека від них виходить? Чи можна використовувати у своїх інтересах кейлоггер? Що це за собою тягне?

Загальна інформація

В сучасному інформаційному світі дуже гостро стоїть питання безпеки. Серед усього розмаїття зловредів окремо стоїть програма-кейлоггер. Що вона собою являє? Які небезпеки таїть? Як з ними боротися? Ті, хто добре знає англійську мову, напевно, перевели назва програми і зрозуміли, що розмова вестиметься про клавіатурному реєстраторі. Саме так і перекладається їх назва - keylogger. Але на просторах колишнього СРСР їх офіційна назва – клавіатурні шпигуни. У чому ж полягає їх особливість?


Коли програма потрапляє на комп'ютер, то вона починає виконувати свої завдання у вигляді шпигунських функцій без відома, участі та згоди людини. Варто задати питання «Кейлоггер – що це таке?», як з'ясовується, що багато хто навіть не уявляють собі, чим же є подібна програма. І з цього випливає той сумний факт, що багато користувачів елементарно недооцінюють їх загрозу. А даремно. Адже головна мета цих програм – це красти і передавати своєму творцеві логіни і паролі облікових записів користувача, гаманців, банківських додатків.

Як вони працюють?

Давайте розглянемо невеликий приклад. Припустимо, у людини є рахунок в банку, на якому знаходиться сто тисяч рублів, – сума досить непогана. Він періодично заходить в свій електронний кабінет користувача, використовуючи при цьому пароль і логін. А щоб ввести їх, доводиться користуватися клавіатурою. Кейлоггер ж записує, що і де було введено. Тому зловмисник, знаючи пароль та логін, може скористатися коштами, якщо не передбачено додаткові рубежі безпеки начебто підтвердження за допомогою телефону. Кейлоггер виконує функцію повторювача, який певний момент зливає всю зібрану інформацію. Деякі з цих програм навіть вміють розпізнавати мову вводу і з яким елементом браузера людина взаємодіє. І доповнює це все вміння створювати знімки екранів.

Історія розвитку

Варто згадати, що кейлоггер для Windows – явище не нове. Перші подібні програми були ровесниками MS-DOS. Тоді це були звичайні обробники переривань клавіатури, розмір яких коливався біля позначки в 1 Кб. І з тих пір їх основна функція так і не змінилася. Вони досі в першу чергу здійснюють приховану реєстрацію клавіатурного введення, записують зібрану інформацію і передають її своїм творцем. Може виникнути питання: "Якщо вони такі примітивні, то чому численні антивірусні програми не відловлюють кейлогери?". Адже це нескладна програма. І тим не менш впоратися спеціалізованим програмам досить складно. Справа в тому, що кейлоггер – це не вірус і не троян. І щоб знайти його, необхідно встановлювати спеціальні розширення і модулі. До того ж цих шкідливих програм так багато, що проти них безсилий і сигнатурний пошук, який вважається одним з найбільш передових рішень захисту.

Поширення

Як же вони потрапляють на комп'ютери користувачів? Існує велика кількість шляхів поширення. Є і кейлоггер з відправкою на пошту всім, хто є в адресній книзі, можуть поширюватися і під виглядом інших програм або ж йдучи в якості доповнення до них. Припустимо, людина завантажує неліцензійну версію якогось програми з абсолютно стороннього сайту. Він сам встановлює собі основне додаток, а разом з ним – і кейлоггер. Чи може на email приходили від знайомих дивні повідомлення з вкладеними файлами? Цілком можливо, що це діяв кейлоггер з відправкою на пошту. Відкриття листи не несе в собі загрози на більшості сервісів, оскільки це просто набір тексту. А от додатки до нього можуть таїти в собі небезпеку. При виявленні подібної ситуації краще всього буде позбутися від потенційно небезпечних файлів. Адже віддалений кейлоггер не небезпечний і нічим не зможе нашкодити.

Поширення через пошту

Особливу увагу хочеться приділити саме цьому шляху переходу між комп'ютерами. Іноді приходять повідомлення, які начебто мають в собі цінну інформацію або ж щось подібне. В цілому розрахунок робиться на те, що цікавий чоловік відкриє лист, завантажить файл, де є інформація про «бухгалтерію підприємства», «номери рахунків, паролі та логіни доступу» або ж просто «чиїсь оголені фотографії». Або якщо розсилка проводиться за даними якійсь компанії, то може навіть фігурувати ім'я та прізвище людини. Слід пам'ятати, що треба завжди обережно ставитися до будь-яких файлів!

Створення і використання

Після ознайомлення з попередньої інформацією хтось може подумати: а от би і в мене був свій безкоштовний кейлоггер. І навіть піде їх шукати і скачувати. Спочатку необхідно згадати про те, що це справа карна з позиції Кримінального кодексу. До того ж не слід забувати стару приказку про те, що безкоштовний сир буває тільки в мишоловці. І в разі прямування цим шляхом не слід дивуватися, якщо «безкоштовний кейлоггер» буде обслуговувати тільки свого господаря або ж взагалі виявиться вірусом/трояном. Єдиний більш-менш вірний спосіб роздобути таку програму – написати її самому. Але знову ж таки це кримінально карається. Тому варто зважити всі за і проти, перш ніж приступати. Але до чого тоді слід прагнути? Який може бути кінцевий результат?

Стандартна клавіатурна пастка

Це найпростіший тип, який базується на одному загальному принципі роботи. Суть програми полягає в тому, що ця програма впроваджується в процес передачі сигналу від моменту, коли була натиснута клавіша, і до відображення символу на екрані. Для цього широко використовуються хуки. В операційних системах так називається механізм, завданням якого є перехоплення повідомлень системи, під час якого використовується особлива функція, яка є частиною Win32API. Як правило, представленого інструментарію найчастіше застосовують WH_Keyboard, трохи рідше – WH_JOURNALRECORD. Особливість останнього полягає в тому, що він не вимагає наявності окремої динамічної бібліотеки, завдяки чому шкідлива програма більш швидко поширюється по мережі. Хуки зчитують всю інформацію, що передається з апаратури введення. Цей підхід досить ефективний, але має ряд недоліків. Так, необхідно створювати окрему динамічну бібліотеку. А вона буде відображатися в адресному просторі процесів, завдяки чому виявити клавіатурний реєстратор буде більш легко. Чим і користуються захисники.

Інші методи

Спочатку необхідно згадати про такому примітивному до смішного методі, як періодичне опитування стану клавіатури. В цьому випадку запускається процес, який 10-20 разів на секунду перевіряє, чи не були натиснуті/відпущені певні клавіші. Всі зміни при цьому фіксуються. Популярно також створення клавіатурного шпигуна на базі драйвера. Це досить ефективний метод, який має дві реалізації: розробка свого фільтра або ж свого спеціалізованого програмного забезпечення для пристрою введення. Популярні і руткіти. Вони реалізовані таким чином, щоб перехоплювати дані під час обміну між клавіатурою і керуючим процесом. Але найбільш надійними вважаються апаратні засоби зчитування інформації. Хоча б тому, що виявити їх програмними засобами надзвичайно складно, буквально неможливо.

А як з мобільними платформами?

Нами вже було розглянуто поняття «кейлоггер», що це, як вони створюються. Але при розгляді інформації приціл був на персональні комп'ютери. Але ще більше, ніж ПК, існує безліч різних мобільних платформ. А що ж у випадку з ними? Розглянемо, як працює кейлоггер для Android. В цілому принцип функціонування схожий з тим, що описано в статті. Але немає звичайної клавіатури. Тому вони націлюються на віртуальну, яка виводиться на екран, коли користувач планує щось ввести. А потім варто ввести інформацію – як вона одразу ж буде передана творцю програми. Оскільки система безпеки на мобільних платформах кульгає, то кейлоггер для андроїд може успішно і тривалий термін працювати і поширюватися. Тому завжди, коли завантажуєте додаток, необхідно обмірковувати права, які ним надаються. Так, якщо програма для читання книг просить доступу до інтернету, клавіатурі, різних адміністративних сервісів мобільного пристрою, це причина задуматися про те, а не шкідливий це суб'єкт. Це ж повною мірою відноситься і до тих програм, які є в офіційних магазинах – адже вони перевіряються не вручну, а автоматикою, яка не відрізняється досконалістю.