Криминальный клик. Как обезвредить шпиона в своем компьютере

13.05.2008 16:54

Показательный случай кражи конфиденциальной информации при помощи клавиатурного шпиона-кейлоггера (keylogger) случился совсем недавно в США. Как известно, там набирает обороты президентская гонка. Причем борьба между двумя возможными кандидатами от демократической партии - Хиллари Клинтон и Бараком Обамой - приобрела особую остроту.

Не так давно Хиллари Клинтон с треском уволила главу своего избирательного штаба Патти Дойл. До этого в течение двух месяцев Барак Обама выглядел слишком уж хорошо подготовленным к дебатам. Как будто знал содержание речей Хиллари Клинтон заранее. Это позволяло ему разносить тезисы Клинтон в пух и прах и способствовало успеху на предварительных выборах. Когда штаб Клинтон провел внутреннее расследование, выяснилось, что на компьютере одного из ее помощников - спичрайтера Джеральдин Ферраро - стояла программа-кейлоггер. И все тексты предвыборных речей, которые она готовила, действительно могли оказаться в распоряжении соперников. Поскольку вина штаба Барака Обамы была недоказуемой и к тому же инцидент случился в рамках одной партии, судебного разбирательства не было - ограничились увольнениями. Однако проблемы кейлоггеров, особенно для бизнес-сообщества, это не отменяет.

Ведь бизнес, как правило, не связан с публичными дебатами, а потому не может вычислить кейлоггера методом сравнения уровня подготовки к ним. Просто конкуренты вдруг начинают постоянно делать поставщикам и другим контрагентам фирмы самые лучшие предложения - как будто заранее знают, какие условия им предложат другие участники рынка. Или заинтересованным лицам вдруг становится известна первичная (чтоб не сказать "серая") бухгалтерия компании. Или кто-то начинает шантажировать топ-менеджмент списком сайтов сомнительного содержания с указанием точного времени их посещения в течение рабочего дня.

При этом IT-отдел разводит руками: антивирусы закуплены, специалисты наняты, эшелонированная система компьютерной безопасности выстроена, компьютерная помощь

произведена - все чисто. А служба безопасности вторит: все сотрудники, имеющие доступ к конфиденциальной информации, проверены; их лояльность фирме подтверждена. Тем временем конфиденциальная информация продолжает утекать.

Каналы утечки

Кейлоггеры - это программы (программные шпионы) либо устройства (аппаратные шпионы), которые позволяют отследить, какие именно кнопки нажимались на клавиатуре, а также какие именно точки экрана активировались с помощью мыши. Сведения о нажатии кнопок либо образы экрана (скриншоты) несанкционированно копируются в файл, а затем передаются злоумышленнику.

Передача может быть осуществлена как через Интернет, так и при помощи, например, пассивного микрофона (звук от нажатия клавиш). Либо даже по маломощному лазерному лучу, направленному на оконное стекло. На сегодняшний день насчитывается более 6 тыс. разновидностей кейлоггеров. Для сравнения: 8 лет назад было около 300 типов кейлоггеров.

Чаще всего используются программные кейлоггеры, а несанкционированная передача данных осуществляется через Интернет. Программный кейлоггер после попадания на компьютер через Интернет или съемный носитель начинает считывать данные с клавиатурного обработчика. В случае использования операционной системы Windows это стандартный BIOS-обработчик. При первом же подключении к Интернету программа-шпион отправляет данные на веб-ресурс злоумышленника. К сожалению, это самый трудно обнаружимый способ утечки информации, поскольку файл украденных данных в килобайтах "весит" очень мало (используются мощные алгоритмы сжатия), а передаваться может на электронный адрес (IP-адрес) компьютера, находящегося, например, в интернет-кафе. Злоумышленник просто "случайно" зайдет туда и скачает информацию. Юридически доказать кражу данных в данном случае будет очень трудно.

Аппаратный же шпион представляет собой независимое миниатюрное устройство автономной работы, которое вживляется непосредственно в клавиатуру или же просто крепится к ее поверхности. Он считывает скен-код клавиши (электронный импульс), минуя программные обработчики. Это повышает уровень его надежности, так как в серьезных организациях для набора конфиденциальных текстов часто используются клавиатурные шифраторы. Программный кейлоггер тоже может передать зашифрованные данные, однако для их расшифровки может понадобиться квалифицированный криптоаналитик. Аппаратный шпион избавлен от этих проблем - он передает то, что было нажато, а не то, что высветилось при этом на экране.

Еще одним видом кейлоггеров являются звуковые шпионы. Они схожи с аппаратными и обладают практически теми же достоинствами и недостатками. Звуковой кейлоггер устанавливается в радиусе до 4 м от клавиатуры. Слежение осуществляется за счет приема и обработки звука нажатия клавиш. Устройство умеет различать звук каждой отдельной клавиши. Несмотря на преимущество бесконтактного слежения, существенным минусом такого устройства является высокая вероятность погрешности, в результате случайного соскальзывания пальцев с клавиш и посторонних шумов. Данные передаются при помощи пассивного микрофона - как в обычном подслушивающем устройстве. Однако узкая специализация позволяет использовать микрофон сверхмалой мощности и существенно уменьшить его размеры. Известен случай, когда звуковой кейлоггер был выполнен в виде… канцелярской скрепки.

Защита нападением

Хотя аппаратные кейлоггеры бывают довольно экзотическими, наибольших успехов злоумышленники добились именно с помощью программных шпионов. Тому есть несколько причин - от несовершенства антивирусной защиты до человеческой психологии. Нельзя сказать, что существующие антивирусы не могут обнаружить клавиатурных шпионов. Могут, но, к сожалению, они не идентифицируют их как вирусы.

Прежде всего программному кейлоггеру надо попасть в компьютер. В отличие от вируса эта программа очень маленькая. Поэтому одним из распространенных методов проникновения является "оседлать известный вирус". В этом случае вирус - носитель шпиона будет уничтожен защитой, о чем будет с гордостью доложено пользователю. Кейлоггер же чаще всего будет принят антивирусом за неопасный обломок программного кода. Таких обломков после уничтожения вирусов в системе остается довольно много. Кейлоггер не пытается себя копировать (размножаться) и перехватывать управление операционной системой, как это делают вирусы. Он вообще до поры до времени неактивен и не наносит никакого видимого вреда. И антивирус его не замечает.

Только при наборе текста на клавиатуре кейлоггер начинает работать. При этом он делает то же самое, что и любая служебная программа текстового редактора, например WORDa, - сканирует коды клавиш и формирует из них файл. Настроить антивирус так, чтобы он отслеживал эти действия, вполне возможно. Одна загвоздка: защита будет предупреждать пользователя о каждом таком действии, в том числе и выполняемом безобидными текстовыми редакторами. В результате при наборе, например, каждой буквы в WORDе пользователь будет получать от антивируса предупреждение: "потенциально опасное действие". Кроме того, для каждой буквы надо будет дать антивирусу подтверждение: "разрешить". Понятно, что это на порядок увеличит время набора любого текста, а пользователь, скорее всего, быстро сойдет с ума.

Именно поэтому функцию слежения за потенциально опасным ПО у антивирусов большинство пользователей беспощадно отключает. Даже в стандартных настройках антивирусных систем ее нет - надо искать и подключать специально. Систем же, умеющих отличить работу кейлоггера от действий WORDа, блокнота или медиаплеера, в природе не существует. И вряд ли они появятся, поскольку принцип работы шпиона тот же самый, что и у полезных программ. Результаты автор ощутил на себе, когда проводил тестирование кейлоггера на своем компьютере с включенным антивирусом (Kaspersky 6.0) и файерволом (Comodo Personal Firewall) со стандартными настройками. Защита, считающаяся довольно мощной для обычного пользователя, на запуск программы-шпиона не отреагировала никак.

Находка для шпиона

Казалось бы, шпиона можно поймать в момент передачи украденных данных на удаленный компьютер. Однако на практике это трудноосуществимо. Все дело во встроенном механизме присоединения файлов, который имеется в каждой программе электронной почты. Пользователь не видит, что кейлоггер присоединил файл с данными к обычному письму. А нажатие команды "отправить" санкционирует выход письма в Сеть. Тот же факт, что письмо ушло на один адрес, а файл с данными - на другой, защиту не волнует: пользователь отправку разрешил.

Справедливости ради заметим, что отследить шпиона все-таки можно, если защита строго следит за трафиком, не разрешает расщеплять послания на части и передавать их на разные адреса, а также запрещает пересылать скрытые файлы. Однако такие настройки наверняка вызовут возражения любого пользователя, особенно высокопоставленного. Ведь это равносильно перлюстрации электронных писем, а тайну переписки пока никто не отменял. Тем не менее реально обнаружить шпиона можно лишь в момент отправки им данных.

Еще одна опасность кейлоггеров - в их дешевизне. Это очень простая, даже примитивная программа, которая может быть успешно написана продвинутым студентом-программистом. Поэтому приобрести кейлоггер не составляет труда. Затратив немного времени на поиск, программу-шпион можно с легкостью скачать в Интернете. На запрос в поисковой системе - "как написать кейлоггер" - было выдано свыше 15 ссылок. Из них 4 первых оказались работающими (дальше не проверяли). Полностью игнорируя действующее законодательство, интернет-деятели предлагали купить и даже скачать бесплатно полный программный код различных кейлоггеров с подробными инструкциями по их самостоятельному созданию. В случае же индивидуального заказа на кейлоггер рекомендовалось обращаться к хакерам (имелись ссылки). Последние после недолгих переговоров согласились разработать кейлоггер для воровства текстов с компьютера шеф-редактора "ЭВ" всего лишь за $400.

Попытка купить в Москве аппаратный кейлоггер также, к сожалению, увенчалась успехом. Предлагались конкретные адреса, где по ценам от 4 до 25 тыс. руб. можно было приобрести все что угодно. Хотелось бы только напомнить, что использование аппаратных, звуковых и программных кейлоггеров квалифицируется Уголовным кодексом РФ как "покушение на личную или коммерческую тайну". И срок за это предусмотрен немалый - до 6 лет лишения свободы.

Фотофакт