Keystroke logging

Stisku protokolování (častěji nazývá keylogging nebo "keyloggery") je činnost sledování (nebo záznam) klávesy udeřil na klávesnici , obvykle v houští způsobem tak, aby osoba, která používá klávesnice je vědomi, že jejich akce jsou monitorovány. Existuje mnoho keylogging metody, od hardwaru a softwaru na bázi přístupů k elektromagnetickým a akustických analýzy.

[ editovat ]Použití

[ upravit překlad ]Software-založené programy zaznamenávající stisky kláves

Logfile z software-založené keylogger.

Jedná se o softwarové programy určené k práci na cílové počítače operační systém . Z technického hlediska je jich tam pět kategorií:

Dálkové keyloggery přístup k softwaru se jedná o lokální softwarové keyloggery s přidanou funkcí, která umožňuje přístup k lokálně zaznamenaných údajů ze vzdáleného umístění. Dálková komunikace může být dosaženo pomocí jedné z těchto metod:

[ editovat ]Související funkce

Software keyloggery může být rozšířena s funkcemi, které zachycují informace o uživateli, aniž by se spoléhat na lisech klávesnice klíčové jako jediný vstup.Některé z těchto funkcí patří:

[ upravit překlad ]Hardware-založené programy zaznamenávající stisky kláves

Hardware-based keylogger.

Připojený hardware-based keylogger.

Hardware-založené programy zaznamenávající stisky kláves, nejsou závislé na žádné instalaci softwaru tak, jak existují na hardwarové úrovni v počítačovém systému.

[ editovat ]Historie

Již keylogger byl napsán Perry Kivolowitz a účtují se do news skupiny net.unix-průvodců, net.sources 17. listopadu 1983. [ 13 ] vyslání se zdá být motivační faktor omezující přístup k / dev / kmem na Unix systémy. User-modeprogramu provozuje lokalizaci a dumpingu znaků seznamy (clists), jelikož byl sestaven v jádře Unix.

[ editovat ]Cracking

Psaní jednoduchých softwarových aplikací pro keylogging může být triviální, a jako každý zločinný počítačového programu, může být distribuován jakotrojského koně , nebo jako součást viru . Co není triviální pro útočníka, nicméně, je instalace skrytou kláves záznamník, aniž by se chytil, a stahování dat, která byla zaznamenána, aniž by dohledat. Útočník, který ručně připojí k hostitelskému počítači, aby stahujte úhozy riskuje, že bude sledovat. Trojan, který posílá keylogged data na pevném e-mailovou adresu nebo IP adres rizika vystavující útočníka.

[ editovat ]Trojan

Mladý a Yung vymyslel několik metod pro řešení tohoto problému, a představila je v jejich 1997 IEEE Security & Privacy papíru [ 14 ] (jejich papír z 1996 se dotýká i ji). [ pochvalná zmínka potřebovaný ] Oni představila deniable heslo chytnout útok, ve kterém úhoz protokolování trojan je instalovat pomocí virus nebo červ. Útočník, který je chycen s virem nebo červem může tvrdit, že je obětí. Cryptotrojan asymetricky šifruje pilfered jméno / heslo páry pomocíveřejného klíče z trojského autora a skrytě vysílá výsledný šifrovaný . Oni se zmínil, že šifrový text může být steganographically zakódována a vyslán na veřejné nástěnce, jako Usenet . [ pochvalná zmínka potřebovaný ]

[ editovat ]Šifrový

Young a Yung také zmínil, co cryptotrojan bezpodmínečně napsat asymetrickéciphertexts na posledních několika nevyužitých sektorů každého zapisovatelný disk, který je vložen do zařízení. [ pochvalná zmínka potřebovaný ] V odvětví, zůstávají označeny jako nepoužité. To lze provést pomocí USB tokenu. Takže, může trojan autorem je jeden z desítek nebo dokonce tisíce lidí, kteří jsou uvedeny ukradené informace. Pouze trojan autor může dešifrovat ciphertext, protože pouze autor zná potřebnou soukromý dešifrovací klíč. Tento útok je z oboru známé jako cryptovirology .

[ editovat ]Použití policie

V roce 2000, FBI používal úhoz logger získat PGP heslo z Nicodemo Scarfo, Jr. , syn mafiánský boss Nicodemo Scarfo . [ 15 ] Také v roce 2000, FBI lákal dvou podezřelých ruské počítačové zločince do USA v komplikovaném Ruse , a zmocnili se jejich uživatelská jména a hesla s keylogger, který byl tajně nainstalován na počítači, který se používá pro přístup k jejich počítačů v Rusku.FBI pak používá tato pověření proniknout do počítačích podezřelých v Rusku za účelem získání důkazů pro stíhání je. [ 16 ]

[ editovat ]Protiopatření

Účinnost protiopatření se liší, protože keyloggery používají různé techniky pro sběr dat a protiopatření musí být účinný proti konkrétním snímání dat technikou. Například, bude klávesnice na obrazovce musí být účinná proti hardwarových keyloggerů, bude průhlednost porazit některé screenloggers - ale ne všechny - a anti-spyware aplikace, která může pouze zakázat hák na bázi keyloggery bude neúčinná proti založené na jádru keyloggery.

Také může keylogger autoři softwaru moci aktualizovat kód přizpůsobit protiopatření, která může se ukázaly být účinné proti nim.

[ upravit překlad ]Anti keyloggery

Anti Keylogger je kus softwaru, speciálně navržen pro detekci programy zaznamenávající stisky kláves na počítači, typicky při porovnávání všech souborů v počítači proti databázi keyloggerů, kteří hledají podobnosti, které by mohly signalizovat přítomnost skryté keylogger. Jak proti keyloggery byly navrženy speciálně pro detekci programy zaznamenávající stisky kláves, které mají potenciál být účinnější než konvenční antivirový software, některé anti virus software nepovažuji určitým keyloggery virus, jak je za určitých okolností může keylogger považovat legitimní kus software. [ pochvalná zmínka potřebovaný ]

[ upravit překlad ]Live CD / USB

Restart počítače pomocí Live CD nebo chráněná proti zápisu Live USB je možné protiopatření proti softwarovým keyloggery, pokud CD je čistý malware a operační systém obsažené na něj je zabezpečen a plně záplatované, takže to nemůže být napaden, jakmile je to začal. Zavedení jiný operační systém, nemá vliv na použití hardwaru nebo systému BIOS založený keylogger.

[ upravit překlad ]Anti-spyware / Anti-virus programy

Mnoho anti-spyware aplikace jsou schopny detekovat některé softwarové programy zaznamenávající stisky kláves a karanténních, zakázat nebo očistit je. Nicméně, protože mnoho keylogging programy jsou legitimní kus softwaru, za určitých okolností, anti spyware často zanedbává označit keylogging programy jako je spyware nebo virus. Tyto aplikace jsou schopny detekovat software-založené programy zaznamenávající stisky kláves na základě vzorců vspustitelného kódu , heuristické analýzy a generující hesla chování (jako je použití háčků a některých léčivých látek ).

Žádný software na bázi anti-spyware aplikace může být 100% účinná proti všem keyloggery [ pochvalná zmínka potřebovaný ] . Také lze software na bázi anti-spyware nemůže porazit non-softwarové programy zaznamenávající stisky kláves (například, bude hardware keyloggery připojené ke klávesnicím vždy obdrží úhozy před jakýmkoli software-založené anti-spyware aplikace).

Nicméně, bude konkrétní technika, že anti-spyware aplikace používá vliv na jeho potenciální účinnost proti softwarové programy zaznamenávající stisky kláves. Jako obecné pravidlo, anti-spyware aplikace s vyššími oprávněnímiporazí programy zaznamenávající stisky kláves s nižšími oprávněními.Například, může hák na bázi anti-spyware aplikace není porazit Kernel-based keylogger (jako keylogger obdrží kláves zprávy před anti-spyware aplikace), ale to by mohl porazit hákových a API založené programy zaznamenávající stisky kláves.

[ upravit překlad ]Network monitory

Síťové monitory (také známý jako reverzní-firewall) může být použit k upozornění uživatele, kdykoli se aplikace pokusí vytvořit připojení k síti. To dává uživateli možnost, aby se zabránilo keylogger z " telefonování domů "s jeho nebo její zadaný informací.

[ editovat ]Automatické programy Form Filler

Automatické vyplňování formulářů programy mohou zabránit keylogging odstraněním požadavku pro uživatele k zadání osobních údajů a hesel pomocí klávesnice. formulář výplně jsou určeny především pro webové prohlížeče k vyplnění na stránkách pokladen a protokolu uživatelů do jejich účtů. Jakmile je uživatelský účet a kreditní karty informace byly zaneseny do programu, bude automaticky zařazeni do formy, aniž by kdy pomocí klávesnice nebo schránky, čímž se sníží možnost, že soukromé údaje je nahrávána. Nicméně někdo s fyzickým přístupem k počítači může být stále schopen nainstalovat software, který je schopen zachytit tyto informace jinde v operačním systému nebo při přenosu v síti. ( Transport Layer Security (TLS) zabraňuje zachytávání dat v tranzitu podle síťových štěnicemi a serveru proxy nástroje .)

[ upravit překlad ]jednorázových hesel (OTP)

Použití jednorázových hesel může být keylogger bezpečné, protože každý je heslo neplatné, jakmile to je používáno. Toto řešení může být užitečné pro někoho pomocí veřejného počítače, ale útočník, který má dálkové ovládání přes takového počítače může jen čekat na oběť zadat jeho / její pověření před provedením neoprávněné transakce svým jménem, ​​zatímco jejich relace je aktivní.

[ editovat ]Bezpečnost žetony

Použití čipových karet nebo jiných tokeny zabezpečení může zlepšit zabezpečení proti replay útokům tváří v tvář úspěšného keylogging útoku, jak přístup k chráněné informace by vyžadovalo jak (hardware) token zabezpečení , jakož i příslušné heslo / frázi. Znát stisky kláves, myši akce, displej, schránky atd., používaná na jednom počítači, nebude následně pomůže útočníkovi získat přístup ke chráněnému prostředku. Některé bezpečnostní tokeny pracují jako typ hardwaru asistované jednorázového hesla systému, a jiní provádět kryptografické výzva-odpověď ověřování , která může zlepšit bezpečnost způsobem koncepčně podobný jednorázových hesel. SmartCard čtečky a jejich přidružené klávesnice pro PIN vstup mohou být ohroženy keystoke protokolování pomocí tzv. útoku dodavatelského řetězce [ 17 ] , kde útočník nahradí čtečka / PIN hardware pro ten, který zaznamenává uživatelské PIN.

[ upravit překlad ]na obrazovce klávesnice

Většina na obrazovce klávesnice (např. klávesnice na obrazovce, která přichází s Windows XP ) posílat normální zprávy klávesnice událostí na externí cílové programu s typem textu. Každý software keylogger může přihlásit tyto zadané znaky odeslané z jednoho programu do druhého. [ 18 ] Navíc, keylogging software může mít screenshoty, co je zobrazeno na obrazovce (periodicky, a / nebo na každém tlačítko myši), což znamená, že i když určitě užitečné bezpečnostní opatření, na obrazovce se zobrazí klávesnice neochrání před všemi programy zaznamenávající stisky kláves.

[ upravit překlad ]Klávesové zkratky rušení software

Klávesové zkratky interference software je také k dispozici. [ 19 ] Tyto programy se snaží uživatele přimět keyloggery zavedením náhodné stisky kláves, i když to jednoduše výsledků v keylogger nahrávání více informací, než je nutné.Útočník má za úkol těžby úhozů na úrokovou sazbu o bezpečnosti tohoto mechanismu, konkrétně, jak dobře to stojí až dešifrování , je nejasný.

[ upravit překlad ]Rozpoznávání řeči

Podobně jako na obrazovce klávesnice, řeči na text konverze software může být použita i proti keyloggery, protože nejsou tam žádné psaní nebo myš zapojené pohyby. Nejslabší bod pomocí rozpoznávání hlasu software může být jak software odešle rozpoznaný text do cílového softwaru po uznání došlo.

[ editovat ]Funkce rozpoznávání rukopisu a myší gesta

Také, mnoho PDA a poslední dobou tablet PC je již převést pero (také volal stylus) pohyby na jejich dotykové obrazovky na počítači srozumitelného textu úspěšně. Gesta myši využít tuto zásadu pomocí myši pohyby místo stylusu.Programy gesto myši převést tyto tahy uživatelsky definovatelných akcí, jako je například psaní textu. Podobně, grafické tablety a lehké pera mohou být použity pro vstup těchto gest, ale jsou méně časté každý den.

Stejný potenciál slabost rozpoznávání řeči se vztahuje k této technice stejně.

[ upravit překlad ]Macro expandéry / rekordéry

S pomocí mnoha programů, může zdánlivě bezvýznamný text rozšířen ke smysluplnému textu a většinu času kontextu citlivě, může např. "en.wikipedia.org" být rozšířena, pokud webový prohlížeč okno má fokus.Největší slabinou této techniky je, že tyto programy posílat své úhozů přímo do cílového programu. Nicméně, toto může být překonána použitím "střídavý" Technika je popsáno níže , tj. zasílání kliknutí myší na non-reagujících oblastech cílového programu, zasílání nesmyslné klíče, posílat další tlačítkem myši do cílového prostoru (např. pole pro heslo) a přepnutí zpět- a tam.

[ upravit překlad ]Non-technologické metody

Střídání mezi napsáním přihlašovací údaje a psát znaky někde jinde v ohniskové okně [ 20 ] může způsobit keylogger pro zaznamenávání více informací, než které potřebují k, i když by to mohlo být snadno odfiltrovány útočníkem. Podobně, může uživatel pohybovat jejich kurzorem pomocí myši během psaní, což způsobuje přihlášení úhozy být v nesprávném pořadí, např. tím, že zadáním hesla začínající na poslední písmeno a poté pomocí myši přesuňte kurzor za každou další dopis. Konečně, může někdo použít takékontextové menu odstranit, vyjmout, kopírovat a vložit části psaného textu bez použití klávesnice. Útočník, který je schopen zachytit pouze částí hesla bude mít menší klíčovou prostor k útoku, pokud si vybral k provedení brute-force útoku .

Dalším velmi podobná technika využívá skutečnost, že jakýkoli vybraný text porce je nahrazen dalším zadaný klíč. Např, pokud je heslo "tajemství", by se dalo typu "S", pak některé falešné klíče "asdfsd". Pak se tyto figuríny by měl být zvolen s myší, a další znak z hesla "e" je napsáno, která nahrazuje figurín "asdfsd".

Tyto techniky předpokládají, že nesprávně klávesy protokolování software nemůže přímo sledovat schránky, zvolený text v podobě, nebo se screenshot pokaždé klávesy nebo myši dojde. Mohou však být účinné proti některé hardwarové keyloggery.