Keyloggerele - Securitatea Informatica

Keyloggerele

Keyloggere software

Aceste programe software sunt proiectate pentru a lucra pe sistemul de operare al computerului ţintă. Din punct de vedere tehnic, există cinci categorii:

  • Nivel de hypervisor: keyloggerul se poate afla, teoretic, într-un hypervisor malware care rulează sub sistemul de operare,acesta (SO) ramanand neatins. Acesta devine efectiv o maşină virtuală. Blue Pill este un keylogger de acest tip.
  • Nivel pe kernel: Keyloggerele bazate pe această metodă sunt dificil atât de scris cat şi de combatut.  Stand la nivelul kernel-ului, acestea sunt dificil de detectat, în special pentru aplicaţii user-mode. Ele sunt adesea implementate ca rootkit-urile care submineaza kernelul sistemului de operare şi obţin acces neautorizat la hardware, ceea ce le face foarte puternice. Un keylogger folosind această metodă poate acţiona ca un driver tastatură  şi  astfel va avea acces la orice informatie  de la tastatură.
  • Nivel de API: Aceste keyloggere se leaga de API-ul tastaturii; sistemul de operare notifica apoi keylogger-ul de fiecare data cand este apasata o tasta iar acesta o stocheaza. Functiile API ca GetAsyncKeyState(), GetForegroundWindow(), etc. sunt folosite pentru a interoga starea tastaturii. Acest tip de keylogger este cel mai usor de scris, dar din cauza interogarilor constante, cresc folosirea CPU si de asemenea pot pierde taste. Un exemplu recent interogheaza BIOS pentru PIN-ul de la autentificarea pre-boot care nu a fost curatat din memorie.
  • Nivel de formular: Keyloggerele la nivel de formular logheaza submiturile formularelor web prin inregistrarea eventului javascript onSubmit. Acesta logheaza datele din formular inainte ca acestea sa fie trimise catre server si astfel evita encriptarea HTTPS.
  • Packet analyzers: Acest lucru implică capturarea traficului în reţea asociat cu evenimente HTTP POST pentru a captura parole necriptate.

Keyloggere software la distanta (remote)

Acestea sunt keyloggere locale programate cu o facilitate adăugată pentru a transmite datele înregistrate de la computer ţintă la un monitor aflat la distanţă. Comunicarea la distanţă este facilitată de una din cele patru metode:

  • Datele sunt încărcate pe un site Web, intr-o baze de date sau intr-un un cont FTP.
  • Datele sunt trimise periodic pe email la o adresa specificata.
  • Datele sunt transmise wireless prin intermediul unui sistem hardware ataşat.
  • Software-ul permite o conectare remote pe maşina locală prin intermediul internetului sau ethernet, pentru ca log-urile de date stocate pe masina tinta sa fie accesate.

Functionalitati conexe

Keyloggerele software pot fi extinse cu caracteristici care captureaza utilizatorul informaţii despre utilizator fără a se baza pe tastatură. Unele keyloggere includ:

  • Captura clipboard. Tot ce a fost copiat în clipboard poate fi capturat de către program.
  • Captura ecran. Capturile de ecran sunt luate în scopul de a capta informaţii grafice afisate pe ecran. Acestea pot face capturi ale intregului ecran, doar o fereastra sau doar in jurul cursorului. Pot face capturi periodic sau ca raspuns la actiunile utilizatorului (ex.: cand se face click). O tehnica uzuala folosita de unele keyloggere cu captura de ecran este sa capturezi o mica portiune din jurul cursorului cand s-a facut click; aceasta tehnica pacaleste tastaturile virtuale care nu au protectie la capturile de ecran.
  • Capturarea unui text dintr-un control. Microsoft Windows API da voie programelor sa citeasca valoarea dintr-un anumit control. Aceasta inseamna ca parolele pot fi capturate chiar daca sunt ascunse sub masti (ex.: asterix-uri).
  • Capturarea fiecarui program / folder / fereastra deschisă, inclusiv un screenshot al fiecarui site vizitat.
  • Capturarea cautarilor pe motoarele de cautare, conversatii IM, download-uri FTP si alte activitati online (se poate include in log si banda folosita).
  • In unele keyloggere avansate, poate fi capturat sunetul de la microfonul utilizatorului si video de la camera video.

Keyloggerele hardware


Un keylogger hardware.


Un keylogger hardware conectat.

Keyloggerele bazate pe hardware nu depind de nici un software-ul care este instalat, acestea functionand la nivelul hardware al unui sistem informatic.

  • Bazate pe firmware: Firmware-ul la nivel de BIOS, care se ocupa de evenimentele tastaturii, poate fi modificat sa captureze evenimentele pe masura ce le proceseaza. Este necesar acces-ul fizic şi/sau acces root pe maşină, şi software-ul încărcat în BIOS-ul trebuie să fie creat pentru hardware-ul specific pe care va rula.
  • Hardware-ul tastaturii: Keyloggerele hardware sunt utilizate pentru capturarea tastelor prin intermediul unui circuit hardware care este ataşat undeva în între tastatura calculatorului şi calculator, de obicei inline cu conectorul cablului tastaturii. Implementarile mai discrete pot fi instalate sau construite în tastaturi standard, astfel încât nici un dispozitiv nu este vizibil pe cablul extern. Ambele tipuri captureaza toate activitate la tastatură in memoria lor interna, care pot fi ulterior accesata, de exemplu, prin tastarea unei secvenţe cheie. Un keylogger hardware are un avantaj faţă de o soluţie software: nu este dependent de instalarea pe sistemul de operare al computerului ţintă şi, prin urmare, nu va interfera cu nici un program care rulează pe maşina ţintă si nu poate fi detectat de nici un software. Cu toate acestea, prezenţa sa fizică poate fi detectata în cazul în care, de exemplu, este instalat extern, ca un dispozitiv linie între computer şi tastatura. Unele dintre aceste implementari au abilitatea de a fi controlate şi monitorizate de la distanţă prin intermediul unui standard de comunicare wireless.

Sniffere pentru tastaturi wireless

Aceste sniffere pasive colecteaza pachetele de date transferate de la o tastatură wireless la receptorul sau. Deoarece poate fi folosita criptarea pentru a asigura securitatea comunicaţiilor wireless între două dispozitive, aceasta trebuie sparta în prealabil pentru a putea citi datele transmise.

Suprapunerea tastaturii

Infractorii au folosit tastaturi suprapuse pe ATM-uri pentru a capta codurile PIN ale clientilor. Fiecare apăsare de tastă este înregistrată de tastatura ATM, precum şi de tastatura criminalului care este plasata peste ea. Aparatul este destinat să arate ca o parte integrantă a maşinii astfel încât clienţii băncii nu sunt conştienţi de prezenţa sa.

Keyloggere acustice

Criptanaliza acustica poate fi folosita pentru a monitoriza sunetul creat de cineva tastând pe un computer. Fiecare tasta de pe tastatură are o semnătură subtil diferit acustic atunci când este apasata. Apoi este posibil să se identifice care semnătură a tastelor prin metode statistice, cum ar fi analiza de frecvenţă. Frecvenţa de repetiţie a semnăturilor acustice similare, timpii dintre apasarile tastelor şi diferite alte informaţii contextuale, cum ar fi limba în care utilizatorul scrie, sunt utilizate în această analiză pentru a face o harta intre sunete si litere. Este necesara o înregistrare destul de lunga (1000 sau mai mult de caractere), astfel încât un eşantion suficient de mare sa fie colectat.

Emisii electromagnetice

Este posibil sa captati emisiile electromagnetice ale unei tastaturi cu fir de la până la 20 de metri, fără a fi fizic conectati. În 2009, cercetătorii elevetieni au testat 11 tastaturi diferite USB, PS/2 şi tastaturi laptop într-o cameră semi-anecoica şi a găsit-le pe toate vulnerabile, în primul rând din cauza costurilor prohibitive de a adăuga ecranare la fabricaţie. Cercetatorii au folosit un receptor de bandă largă pentru a capta frecvenţa specifică a emisiilor radiate din tastaturi.

Altele

Supravegherea optica

Suprevegherea optica, desi nu este un keylogger în sens clasic, este o abordare care poate fi folosita pentru a captura parole sau PIN. O camera video plasata strategic, cum ar fi o camera de supraveghere ascunsă la un bancomat, poate permite un criminal sa vada cod-ul PIN sau parolele introduse.

Sursa: securitatea-informatica.ro

Twitter Digg Delicious Stumbleupon Technorati Facebook


Un raspuns la “Keyloggerele”

  1. Va recomand cu incredere Perfect keylogger (http://www.blazingtools.com/bpk.html) sau Invisible Keylogger (http://www.invisiblekeylogger.com/).

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro