Кримінальний клік. Як знешкодити шпигуна у своєму комп'ютері

Показовий випадок крадіжки конфіденційної інформації за допомогою клавіатурного шпигуна - кейлоггера(keylogger) стався зовсім нещодавно в США. Як відомо, там набирає оберти президентська гонка. Причому боротьба між двома можливими кандидатами від демократичної партії - Хіларі Клінтоном і Бараком Обамою - придбала особливу гостроту.

Не так давно Хіларі Клінтон з тріском звільнила главу свого виборчого штабу Патти Дойл. До цього впродовж двох місяців Барак Обама виглядав занадто вже добре підготовленим до дебатів. Неначе знав зміст розмов Хіларі Клінтоном заздалегідь.Це дозволяло йому розносити тези Клінтон в пух і прах і сприяло успіху на попередніх виборах. Коли штаб Клінтон провів внутрішнє розслідування, з'ясувалося, що на комп'ютері одного з її помічників - спічрайтера Джеральдин Ферраро - стояла програма - кейлоггер. І усі тексти передвиборних розмов, які вона готувала, дійсно могли виявитися у розпорядженні суперників. Оскільки провина штабу Барака Обами була недоказовною і до того ж інцидент стався у рамках однієї партії, судового розгляду не було - обмежилися звільненнями. Проте проблеми кейлоггеров, особливо для бізнес - співтовариства, це не відміняє.

Адже бізнес, як правило, не пов'язаний з публічними дебатами, а тому не може вичислити кейлоггера методом порівняння рівня підготовки до них.Просто конкуренти раптом починають постійно робити постачальникам і іншим контрагентам фірми самі кращі пропозиції - неначе заздалегідь знають, які умови їм запропонують інші учасники ринку. Или зацікавленим особам раптом стає відома первинна(щоб не сказати "сіра") бухгалтерія компанії. Или хто - те починає шантажувати топ - менеджмент списком сайтів сумнівного змісту з вказівкою точного часу їх відвідування впродовж робочого дня.

При цьому IT - відділ розводить руками: антивіруси закуплені, фахівці найняті, ешелонована система комп'ютерної безпеки побудована комп'ютерна допомога

зроблена - все чисто. А служба безпеки вторить: усі співробітники, що мають доступ до конфіденційної інформації, перевірені; їх лояльність фірмі підтверджена. Тим часом конфіденційна інформація продовжує витікати.

Канали витоку

Кейлоггеры - це програми(програмні шпигуни) або пристрої(апаратні шпигуни), які дозволяють відстежити, які саме кнопки натискалися на клавіатурі, а також які саме точки екрану активувалися за допомогою миші. Відомості про натиснення кнопок або образи екрану(скриншоти) несанкціоновано копіюються у файл, а потім передаються зловмисникові.

Передача може бути здійснена як через Інтернет, так і за допомогою, наприклад, пасивного мікрофону(звук від натиснення клавіш). Або навіть по малопотужному лазерному променю, спрямованому на шибку. На сьогодні налічується більше 6 тис. різновидів кейлоггеров. Для порівняння: 8 років тому було близько 300 типів кейлоггеров.

Найчастіше використовуються програмні кейлоггеры, а несанкціонована передача даних здійснюється через Інтернет.Програмний кейлоггер після попадання на комп'ютер через Інтернет або знімний носій починає прочитувати дані з клавіатурного обробника. У разі використання операційної системи Windows це стандартний BIOS - обробник. При першому ж підключенні до Інтернету програма - шпигун відправляє дані на веб - ресурс зловмисника. На жаль, це самий важко виявлений спосіб просочування інформації, оскільки файл вкрадених даних в кілобайтах "важить" дуже мало(використовуються потужні алгоритми стискування), а передаватися може на електронну адресу(IP - адреса) комп'ютера, що знаходиться, наприклад, в інтернет - кафе. Зловмисник просто "випадково" зайде туди і викачає інформацію. Юридично довести крадіжку даних в даному випадку буде дуже важко.

Апаратний же шпигун є незалежним мініатюрним облаштуванням автономної роботи, яке імплантується безпосередньо в клавіатуру або ж просто кріпиться до її поверхні.Він прочитує скен - код клавіші(електронний імпульс), минувши програмні обробники. Це підвищує рівень його надійності, оскільки в серйозних організаціях для набору конфіденційних текстів часто використовуються клавіатурні шифратори. Програмний кейлоггер теж може передати зашифровані дані, проте для їх розшифровки може знадобитися кваліфікований криптоаналітик. Апаратний шпигун позбавлений від цих проблем - він передає те, що було натиснуто, бо, що висвітилося при цьому на екрані.

Ще одним видом кейлоггеров є звукові шпигуни. Вони схожі з апаратними і мають практично ті ж достоїнства і недоліки. Звуковий кейлоггер встановлюється в радіусі до 4 м від клавіатури. Стеження здійснюється за рахунок прийому і обробки звуку натиснення клавіш. Пристрій уміє розрізняти звук кожної окремої клавіші.Незважаючи на перевагу безконтактного стеження, істотним мінусом такого пристрою є висока вірогідність погрішності, в результаті випадкового зісковзування пальців з клавіш і сторонніх шумів. Дані передаються за допомогою пасивного мікрофону - як в звичайному підслуховуючому пристрої. Проте вузька спеціалізація дозволяє використати мікрофон надмалої потужності і істотно зменшити його розміри. Відомий випадок, коли звуковий кейлоггер був виконаний у виді. канцелярської скріпки.

Захист нападом

Хоча апаратні кейлоггеры бувають досить екзотичними, найбільших успіхів зловмисники добилися саме за допомогою програмних шпигунів. Тому є декілька причин - від недосконалості антивірусного захисту до людської психології. Не можна сказати, що існуючі антивіруси не можуть виявити клавіатурних шпигунів. Можуть, але, на жаль, вони не ідентифікують їх як віруси.

Передусім програмному кейлоггеру потрібно потрапити в комп'ютер. На відміну від вірусу ця програма дуже маленька. Тому одним з поширених методів проникнення є "осідлати відомий вірус". В цьому випадку вірус - носій шпигуна буде знищений захистом, про що з гордістю доповість користувачеві. Кейлоггер же найчастіше буде прийнятий антивірусом за безпечний уламок програмного коду. Таких уламків після знищення вірусів в системі залишається досить багато. Кейлоггер не намагається себе копіювати(розмножуватися) і перехоплювати управління операційною системою, як це роблять віруси. Він взагалі до певного часу неактивний і не завдає ніякої видимої шкоди. І антивірус його не помічає.

Тільки при наборі тексту на клавіатурі кейлоггер починає працювати.При цьому він робить те ж саме, що і будь-яка службова програма текстового редактора, наприклад WORDa, - сканує коды клавіш і формує з них файл. Настроїти антивірус так, щоб він відстежував ці дії, цілком можливо. Одна заковика: захист попереджатиме користувача про кожну таку дію, у тому числі і виконуваному нешкідливими текстовими редакторами. В результаті при наборі, наприклад, кожної букви в WORDе користувач отримуватиме від антивіруса попередження: "потенційна небезпечна дія". Крім того, для кожної букви потрібно буде дати антивірусу підтвердження: "дозволити". Зрозуміло, що це на порядок збільшить час набору будь-якого тексту, а користувач, швидше за все, швидко з'їде з глузду.

Саме тому функцію стеження за потенційно небезпечним ПО у антивірусів більшість користувачів нещадно відключають. Навіть у стандартних налаштуваннях антивірусних систем її немає - потрібно шукати і підключати спеціально.Систем же, що уміють відрізнити роботу кейлоггера від дій WORDа, блокнота або медіаплеєра, в природі не існує. І навряд чи вони з'являться, оскільки принцип роботи шпигуна той же самий, що і у корисних програм. Результати автор відчув на собі, коли проводив тестування кейлоггера на своєму комп'ютері з включеним антивірусом(Kaspersky 6.0) і файерволом(Comodo Personal Firewall) із стандартними налаштуваннями. Захист, що вважається досить потужною для звичайного користувача, на запуск програми - шпигуна не відреагувала ніяк.

Знахідка для шпигуна

Здавалося б, шпигуна можна упіймати у момент передачі вкрадених даних на видалений комп'ютер. Проте на практиці це важкоздійсненний. Уся справа у вбудованому механізмі приєднання файлів, який є в кожній програмі електронної пошти. Користувач не бачить, що кейлоггер приєднав файл з даними до звичайного листа.А натиснення команди "відправити" санкціонує вихід листа в Мережу. Той же факт, що лист пішов на одну адресу, а файл з даними - на іншій, захист не хвилює: користувач відправку дозволив.

Справедливості ради помітимо, що відстежити шпигуна все - таки можна, якщо захист строго стежить за трафіком, не дозволяє розщеплювати послання на частини і передавати їх на різні адреси, а також забороняє пересилати приховані файли. Проте такі налаштування напевно викличуть заперечення будь-якого користувача, особливо високопоставленого. Адже це рівносильно перлюстрації електронних листів, а таємницю листування доки ніхто не відміняв. Проте реально виявити шпигуна можна лише у момент відправки ним даних.

Ще одна небезпека кейлоггеров - в їх дешевизні. Це дуже проста, навіть примітивна програма, яка може бути успішно написана просунутим студентом - програмістом. Тому придбати кейлоггер не складає труднощів.Витративши трохи часу на пошук, програму - шпигун можна з легкістю викачати в Інтернеті. На запит в пошуковій системі - "як написати кейлоггер" - було видано понад 15 посилань. З них 4 перших виявилися працюючими(далі не перевіряли). Повністю ігноруючи чинне законодавство, інтернет - діячі пропонували купити і навіть викачати безкоштовно повний програмний код різних кейлоггеров з детальними інструкціями по їх самостійному створенню. У разі ж індивідуального замовлення на кейлоггер рекомендувалося звертатися до хакерів(були посилання). Останні після недовгих переговорів погодилися розробити кейлоггер для крадійства текстів з комп'ютера шеф - редактора "ЭВ" усього лише за $400.

Спроба купити в Москві апаратний кейлоггер також, на жаль, увінчалася успіхом. Пропонувалися конкретні адреси, де за цінами від 4 до 25 тис. крб. можна було придбати все що завгодно.Хотілося б тільки нагадати, що використання апаратних, звукових і програмних кейлоггеров кваліфікується Кримінальним кодексом РФ як "замах на особисту або комерційну таємницю". І термін за це передбачений чималий - до 6 років позбавлення волі.