Keystroke logging
Stisku protokolování (častěji nazývá keylogging nebo "keyloggery") je činnost sledování (nebo záznam) klávesy udeřil na klávesnici , obvykle v houští způsobem tak, aby osoba, která používá klávesnice je vědomi, že jejich akce jsou monitorovány. Existuje mnoho keylogging metody, od hardwaru a softwaru na bázi přístupů k elektromagnetickým a akustických analýzy.
Jedná se o softwarové programy určené k práci na cílové počítače operační systém . Z technického hlediska je jich tam pět kategorií:
Hypervisor-based : keylogger může teoreticky pobývat v malware hypervisorběžící pod operačním systémem, který zůstává beze změny. Účinně se stávávirtuální stroj . Modrá pilulka je koncepční příkladem.
Jádra na bázi : Tato metoda je obtížné jak napsat a k boji. Takové keyloggery umístěny na úrovni jádra , a jsou tedy obtížné zjistit, a to zejména pro aplikace uživatelského režimu. Oni jsou často implementovány jako rootkity , které subvert jádra operačního systému a získat neoprávněný přístup k hardwaru, což je velmi silný. Keylogger použití této metody může působit jako klávesnice ovladače zařízení například, a získat tak přístup ke všem informacím zadané na klávesnici, jak to jde do operačního systému.
API-based : Tyto programy zaznamenávající stisky kláves hák klávesniceAPI , operační systém a pak oznámí keylogger každém stisknutí tlačítka a keylogger jednoduše nahraje jej. Windows API, jako jeGetAsyncKeyState ()
, GetForegroundWindow ()
, atd., jsou použity pro dotazování stav klávesnice nebo se přihlásit k odběru události klávesnice. [ 1 ] Tyto typy keyloggerů, jsou nejjednodušší napsat, ale tam, kde konstantní dotazování každého klíče Je nutné, mohou způsobit znatelné zvýšení CPU využití, a mohou také chybět občas klíč. Více nedávný příklad jednoduše dotazuje BIOS pro pre-boot autentizace PIN , které nebyly vymazány z paměti. [ 2 ]
Forma chytil based : formulář popadat -založené programy zaznamenávající stisky kláves přihlásit webových formulářů podání záznamem prohlížení webových stránek OnSubmit událostí funkce. Deska se tvoří data před je předán přes internet a obchvatů HTTPS šifrování.
Paměť injekce na bázi : Memory Injection ( MitB ) na bázi keyloggery měnit paměťové tabulky spojené s prohlížečem a další funkce systému vykonávat své funkce protokolování. Do oprav, paměť stoly nebo injekčně přímo do paměti může být tato technika použita malware autorů, kteří se snaží obejít Windows nástroj Řízení uživatelských účtů (User Account Control). Zeus a Spyeye Trojans použít tuto metodu pouze.[ pochvalná zmínka potřebovaný ]
Paketové analyzátory : Jedná se o zachycení síťový provoz spojený sPOST HTTP událostí načíst nezašifrovaná hesla.
Dálkové keyloggery přístup k softwaru se jedná o lokální softwarové keyloggery s přidanou funkcí, která umožňuje přístup k lokálně zaznamenaných údajů ze vzdáleného umístění. Dálková komunikace může být dosaženo pomocí jedné z těchto metod:
Data jsou odesílány na webové stránky, databáze nebo FTP serveru.
Data jsou pravidelně e-mailem na předem definované e-mailovou adresu .
Data jsou bezdrátově přenášena prostřednictvím připojeného hardwaru.
Software umožňuje vzdálené přihlášení k místnímu počítači z Internetu nebo místní sítě, datových protokolů uložených na cílovém počítači pro přístup.
Software keyloggery může být rozšířena s funkcemi, které zachycují informace o uživateli, aniž by se spoléhat na lisech klávesnice klíčové jako jediný vstup.Některé z těchto funkcí patří:
Schránka protokolování. Cokoliv, co byl zkopírován do schránky mohou být zachyceny programem.
Screen protokolování. obrazovky jsou přijímána s cílem zachytit grafiky založené na informace. Aplikace s schopnostmi obrazovkou protokolování může vzít screenshoty celé obrazovky, jen jednu žádost, nebo dokonce jen kolem kurzoru myši. Mohou mít tyto screenshoty periodicky nebo v reakci na uživatelské chování (např., když uživatel klepne na myši). Praktická aplikace používají některé programy zaznamenávající stisky kláves s touto schopností obrazovky protokolování je mít malé obrazovky v okolí, kde myš právě klikl, tyto porážka webové klávesnice (např. na webové obrazovce klávesnice, které jsou často používané bankami) a veškeré Web-Based on-obrazovce klávesnice bez screenshot ochrany.
Programově zachycení textu v řízení . Microsoft Windows API umožňuje programům požádat text "hodnotu" v některých ovládacích prvků. To znamená, že některé hesla mohou být zachyceny, i když jsou skryty za heslo masky (obvykle hvezdicky). [ 3 ]
Záznam každý program / složky / otevře okno včetně obrazovky každého jednotlivého stránky navštívili, také včetně screenshot každého.
Záznam dotazů vyhledávačů , instant messenger rozhovory, FTP ke stažení a další Internet-založené aktivity (včetně použitého pásma).
Hlavní článek: Hardware keylogger
Hardware-založené programy zaznamenávající stisky kláves, nejsou závislé na žádné instalaci softwaru tak, jak existují na hardwarové úrovni v počítačovém systému.
Firmware-based: BIOS -level firmware , který zpracovává události klávesnice může být upraven tak, aby zaznamenat tyto události tak, jak jsou zpracovávány.Fyzického a / nebo kořen přístup na úrovni je nutné ke stroji, a software nakládal v systému BIOS musí být vytvořen pro konkrétní hardware, že poběží na. [ 4 ]
Klávesnice hardware: Hardware keyloggery jsou určeny pro kláves protokolování pomocí hardwaru obvodu, který je připojen někde mezi klávesnicí počítače a počítače, typicky inline s klávesnice konektoru kabelu. Více nenápadný implementace mohou být instalovány nebo zabudované do standardní klávesnice, tak, že žádné zařízení je vidět na vnějším kabelu.Oba typy zapsat celou klávesnice činnost na jejich vnitřní paměti , které mohou být následně dostupné, například tím, že zapsáním tajným klíčem posloupnosti. [ 5 ] A hardwaru Keylogger má výhodu oproti softwarového řešení: není závislá na instalován v cílového počítače operační systém, a proto nebude zasahovat nějaký program běžící na cílovém počítači nebo být detekováno jakékoli softwaru . Nicméně jeho fyzická přítomnost může být detekována, pokud například, je umístěn mimo případě jako vložený zařízení mezi počítačem a klávesnicí. Některé z těchto implementací mají schopnost řídit a kontrolovat dálkově pomocí standard bezdrátové komunikace. [ 6 ]
Bezdrátové klávesnice sniffers: Tyto pasivní štěnicemi sbírat balíčky dat přenášených z bezdrátové klávesnice a její přijímačem. Jak šifrování mohou být použity k zajištění bezdrátové komunikace mezi dvěma přístroji, může být tato třeba popraskané předem v případě, že vysílání se čtou.
Klávesové překryvy: Zločinci byli známí používat klávesové překryvy nabankomatů zachytit PINy lidí. Každý stisk je registrován klávesnice bankomatu, stejně jako zločince klávesnice, která je umístěna nad ním.Přístroj je navržen tak, aby vypadal jako nedílná součást stroje tak, že bankovní zákazníci nejsou vědomi jeho přítomnosti. [ 7 ]
Akustické keyloggery: Acoustic dešifrování lze monitorovat zvuk vytvořený někým psaní na počítači. Každá klávesa na klávesnici dělá jemně jiný akustický podpis když udeřil. Je pak možné zjistit, které úhoz podpis týká který znak klávesnice přes statistických metod , jako je frekvenční analýzy. Opakovací frekvence podobných akustických stisky signatures, jsou časování mezi různé klávesové tahy a jiném kontextu informace, jako pravděpodobného jazyka, ve kterém uživatel píše použitá v této analýze zmapovat zvuky na dopisy. [ 8 ] poměrně dlouhý záznam (1000 nebo více úhozů) je třeba, aby dostatečně velký vzorek se shromažďují. [ 9 ]
Elektromagnetické emise: Je možné zachytit elektromagnetické emise z kabelové klávesnice od až 20 m (66 ft) pryč, aniž by fyzicky připojeny k ní.[ 10 ] V roce 2009, švýcarské výzkumy testován 11 jiné USB , PS / 2 a notebook klávesnice v semi- zvukotěsné komoře a našel je všechny zranitelné, zejména z důvodu přílišnými náklady přidání stínění během výroby. [ 11 ] Výzkumníci použili široký-band přijímač naladit na konkrétní frekvenci emisí vyzařovaných z klávesnice .
Optická dohled: Optický dozor, i když není keylogger v klasickém slova smyslu, přesto je však přístup, který může být použit k zachycení hesla nebo PINy. Strategicky umístěné kamery, jako je například skrytébezpečnostní kamery při ATM , může dovolit trestní sledovat PIN nebo heslo je zadané. [ 12 ]
Fyzický důkaz: Pro klávesnici, která se používá pouze k zadání bezpečnostního kódu, budou klávesy, které jsou při skutečném použití mají důkaz o užívání z mnoha otisků prstů. Heslo čtyři číslice, pokud jsou splněny čtyři číslice jsou dotčené známo, se snižuje z 10.000 možností na pouhých 24 možností. Ty by pak mohly být použity při různých příležitostech pro ruční "hrubou silou."
Již keylogger byl napsán Perry Kivolowitz a účtují se do news skupiny net.unix-průvodců, net.sources 17. listopadu 1983. [ 13 ] vyslání se zdá být motivační faktor omezující přístup k / dev / kmem na Unix systémy. User-modeprogramu provozuje lokalizaci a dumpingu znaků seznamy (clists), jelikož byl sestaven v jádře Unix.
Psaní jednoduchých softwarových aplikací pro keylogging může být triviální, a jako každý zločinný počítačového programu, může být distribuován jakotrojského koně , nebo jako součást viru . Co není triviální pro útočníka, nicméně, je instalace skrytou kláves záznamník, aniž by se chytil, a stahování dat, která byla zaznamenána, aniž by dohledat. Útočník, který ručně připojí k hostitelskému počítači, aby stahujte úhozy riskuje, že bude sledovat. Trojan, který posílá keylogged data na pevném e-mailovou adresu nebo IP adres rizika vystavující útočníka.
Mladý a Yung vymyslel několik metod pro řešení tohoto problému, a představila je v jejich 1997 IEEE Security & Privacy papíru [ 14 ] (jejich papír z 1996 se dotýká i ji). [ pochvalná zmínka potřebovaný ] Oni představila deniable heslo chytnout útok, ve kterém úhoz protokolování trojan je instalovat pomocí virus nebo červ. Útočník, který je chycen s virem nebo červem může tvrdit, že je obětí. Cryptotrojan asymetricky šifruje pilfered jméno / heslo páry pomocíveřejného klíče z trojského autora a skrytě vysílá výsledný šifrovaný . Oni se zmínil, že šifrový text může být steganographically zakódována a vyslán na veřejné nástěnce, jako Usenet . [ pochvalná zmínka potřebovaný ]
Young a Yung také zmínil, co cryptotrojan bezpodmínečně napsat asymetrickéciphertexts na posledních několika nevyužitých sektorů každého zapisovatelný disk, který je vložen do zařízení. [ pochvalná zmínka potřebovaný ] V odvětví, zůstávají označeny jako nepoužité. To lze provést pomocí USB tokenu. Takže, může trojan autorem je jeden z desítek nebo dokonce tisíce lidí, kteří jsou uvedeny ukradené informace. Pouze trojan autor může dešifrovat ciphertext, protože pouze autor zná potřebnou soukromý dešifrovací klíč. Tento útok je z oboru známé jako cryptovirology .
V roce 2000, FBI používal úhoz logger získat PGP heslo z Nicodemo Scarfo, Jr. , syn mafiánský boss Nicodemo Scarfo . [ 15 ] Také v roce 2000, FBI lákal dvou podezřelých ruské počítačové zločince do USA v komplikovaném Ruse , a zmocnili se jejich uživatelská jména a hesla s keylogger, který byl tajně nainstalován na počítači, který se používá pro přístup k jejich počítačů v Rusku.FBI pak používá tato pověření proniknout do počítačích podezřelých v Rusku za účelem získání důkazů pro stíhání je. [ 16 ]
Účinnost protiopatření se liší, protože keyloggery používají různé techniky pro sběr dat a protiopatření musí být účinný proti konkrétním snímání dat technikou. Například, bude klávesnice na obrazovce musí být účinná proti hardwarových keyloggerů, bude průhlednost porazit některé screenloggers - ale ne všechny - a anti-spyware aplikace, která může pouze zakázat hák na bázi keyloggery bude neúčinná proti založené na jádru keyloggery.
Také může keylogger autoři softwaru moci aktualizovat kód přizpůsobit protiopatření, která může se ukázaly být účinné proti nim.
Hlavní článek: Anti keylogger
Anti Keylogger je kus softwaru, speciálně navržen pro detekci programy zaznamenávající stisky kláves na počítači, typicky při porovnávání všech souborů v počítači proti databázi keyloggerů, kteří hledají podobnosti, které by mohly signalizovat přítomnost skryté keylogger. Jak proti keyloggery byly navrženy speciálně pro detekci programy zaznamenávající stisky kláves, které mají potenciál být účinnější než konvenční antivirový software, některé anti virus software nepovažuji určitým keyloggery virus, jak je za určitých okolností může keylogger považovat legitimní kus software. [ pochvalná zmínka potřebovaný ]
Restart počítače pomocí Live CD nebo chráněná proti zápisu Live USB je možné protiopatření proti softwarovým keyloggery, pokud CD je čistý malware a operační systém obsažené na něj je zabezpečen a plně záplatované, takže to nemůže být napaden, jakmile je to začal. Zavedení jiný operační systém, nemá vliv na použití hardwaru nebo systému BIOS založený keylogger.
Mnoho anti-spyware aplikace jsou schopny detekovat některé softwarové programy zaznamenávající stisky kláves a karanténních, zakázat nebo očistit je. Nicméně, protože mnoho keylogging programy jsou legitimní kus softwaru, za určitých okolností, anti spyware často zanedbává označit keylogging programy jako je spyware nebo virus. Tyto aplikace jsou schopny detekovat software-založené programy zaznamenávající stisky kláves na základě vzorců vspustitelného kódu , heuristické analýzy a generující hesla chování (jako je použití háčků a některých léčivých látek ).
Žádný software na bázi anti-spyware aplikace může být 100% účinná proti všem keyloggery [ pochvalná zmínka potřebovaný ] . Také lze software na bázi anti-spyware nemůže porazit non-softwarové programy zaznamenávající stisky kláves (například, bude hardware keyloggery připojené ke klávesnicím vždy obdrží úhozy před jakýmkoli software-založené anti-spyware aplikace).
Nicméně, bude konkrétní technika, že anti-spyware aplikace používá vliv na jeho potenciální účinnost proti softwarové programy zaznamenávající stisky kláves. Jako obecné pravidlo, anti-spyware aplikace s vyššími oprávněnímiporazí programy zaznamenávající stisky kláves s nižšími oprávněními.Například, může hák na bázi anti-spyware aplikace není porazit Kernel-based keylogger (jako keylogger obdrží kláves zprávy před anti-spyware aplikace), ale to by mohl porazit hákových a API založené programy zaznamenávající stisky kláves.
Síťové monitory (také známý jako reverzní-firewall) může být použit k upozornění uživatele, kdykoli se aplikace pokusí vytvořit připojení k síti. To dává uživateli možnost, aby se zabránilo keylogger z " telefonování domů "s jeho nebo její zadaný informací.
Hlavní článek: Form Filler
Automatické vyplňování formulářů programy mohou zabránit keylogging odstraněním požadavku pro uživatele k zadání osobních údajů a hesel pomocí klávesnice. formulář výplně jsou určeny především pro webové prohlížeče k vyplnění na stránkách pokladen a protokolu uživatelů do jejich účtů. Jakmile je uživatelský účet a kreditní karty informace byly zaneseny do programu, bude automaticky zařazeni do formy, aniž by kdy pomocí klávesnice nebo schránky, čímž se sníží možnost, že soukromé údaje je nahrávána. Nicméně někdo s fyzickým přístupem k počítači může být stále schopen nainstalovat software, který je schopen zachytit tyto informace jinde v operačním systému nebo při přenosu v síti. ( Transport Layer Security (TLS) zabraňuje zachytávání dat v tranzitu podle síťových štěnicemi a serveru proxy nástroje .)
Použití jednorázových hesel může být keylogger bezpečné, protože každý je heslo neplatné, jakmile to je používáno. Toto řešení může být užitečné pro někoho pomocí veřejného počítače, ale útočník, který má dálkové ovládání přes takového počítače může jen čekat na oběť zadat jeho / její pověření před provedením neoprávněné transakce svým jménem, zatímco jejich relace je aktivní.
Použití čipových karet nebo jiných tokeny zabezpečení může zlepšit zabezpečení proti replay útokům tváří v tvář úspěšného keylogging útoku, jak přístup k chráněné informace by vyžadovalo jak (hardware) token zabezpečení , jakož i příslušné heslo / frázi. Znát stisky kláves, myši akce, displej, schránky atd., používaná na jednom počítači, nebude následně pomůže útočníkovi získat přístup ke chráněnému prostředku. Některé bezpečnostní tokeny pracují jako typ hardwaru asistované jednorázového hesla systému, a jiní provádět kryptografické výzva-odpověď ověřování , která může zlepšit bezpečnost způsobem koncepčně podobný jednorázových hesel. SmartCard čtečky a jejich přidružené klávesnice pro PIN vstup mohou být ohroženy keystoke protokolování pomocí tzv. útoku dodavatelského řetězce [ 17 ] , kde útočník nahradí čtečka / PIN hardware pro ten, který zaznamenává uživatelské PIN.
Většina na obrazovce klávesnice (např. klávesnice na obrazovce, která přichází s Windows XP ) posílat normální zprávy klávesnice událostí na externí cílové programu s typem textu. Každý software keylogger může přihlásit tyto zadané znaky odeslané z jednoho programu do druhého. [ 18 ] Navíc, keylogging software může mít screenshoty, co je zobrazeno na obrazovce (periodicky, a / nebo na každém tlačítko myši), což znamená, že i když určitě užitečné bezpečnostní opatření, na obrazovce se zobrazí klávesnice neochrání před všemi programy zaznamenávající stisky kláves.
Klávesové zkratky interference software je také k dispozici. [ 19 ] Tyto programy se snaží uživatele přimět keyloggery zavedením náhodné stisky kláves, i když to jednoduše výsledků v keylogger nahrávání více informací, než je nutné.Útočník má za úkol těžby úhozů na úrokovou sazbu o bezpečnosti tohoto mechanismu, konkrétně, jak dobře to stojí až dešifrování , je nejasný.
Podobně jako na obrazovce klávesnice, řeči na text konverze software může být použita i proti keyloggery, protože nejsou tam žádné psaní nebo myš zapojené pohyby. Nejslabší bod pomocí rozpoznávání hlasu software může být jak software odešle rozpoznaný text do cílového softwaru po uznání došlo.
Také, mnoho PDA a poslední dobou tablet PC je již převést pero (také volal stylus) pohyby na jejich dotykové obrazovky na počítači srozumitelného textu úspěšně. Gesta myši využít tuto zásadu pomocí myši pohyby místo stylusu.Programy gesto myši převést tyto tahy uživatelsky definovatelných akcí, jako je například psaní textu. Podobně, grafické tablety a lehké pera mohou být použity pro vstup těchto gest, ale jsou méně časté každý den.
Stejný potenciál slabost rozpoznávání řeči se vztahuje k této technice stejně.
S pomocí mnoha programů, může zdánlivě bezvýznamný text rozšířen ke smysluplnému textu a většinu času kontextu citlivě, může např. "en.wikipedia.org" být rozšířena, pokud webový prohlížeč okno má fokus.Největší slabinou této techniky je, že tyto programy posílat své úhozů přímo do cílového programu. Nicméně, toto může být překonána použitím "střídavý" Technika je popsáno níže , tj. zasílání kliknutí myší na non-reagujících oblastech cílového programu, zasílání nesmyslné klíče, posílat další tlačítkem myši do cílového prostoru (např. pole pro heslo) a přepnutí zpět- a tam.
Střídání mezi napsáním přihlašovací údaje a psát znaky někde jinde v ohniskové okně [ 20 ] může způsobit keylogger pro zaznamenávání více informací, než které potřebují k, i když by to mohlo být snadno odfiltrovány útočníkem. Podobně, může uživatel pohybovat jejich kurzorem pomocí myši během psaní, což způsobuje přihlášení úhozy být v nesprávném pořadí, např. tím, že zadáním hesla začínající na poslední písmeno a poté pomocí myši přesuňte kurzor za každou další dopis. Konečně, může někdo použít takékontextové menu odstranit, vyjmout, kopírovat a vložit části psaného textu bez použití klávesnice. Útočník, který je schopen zachytit pouze částí hesla bude mít menší klíčovou prostor k útoku, pokud si vybral k provedení brute-force útoku .
Dalším velmi podobná technika využívá skutečnost, že jakýkoli vybraný text porce je nahrazen dalším zadaný klíč. Např, pokud je heslo "tajemství", by se dalo typu "S", pak některé falešné klíče "asdfsd". Pak se tyto figuríny by měl být zvolen s myší, a další znak z hesla "e" je napsáno, která nahrazuje figurín "asdfsd".
Tyto techniky předpokládají, že nesprávně klávesy protokolování software nemůže přímo sledovat schránky, zvolený text v podobě, nebo se screenshot pokaždé klávesy nebo myši dojde. Mohou však být účinné proti některé hardwarové keyloggery.