Рабочие листы
к вашим урокам
Скачать
1 слайд
Клавиатурные шпионы.
Принципы работы и методы обнаружения
2 слайд
В феврале 2005 года бизнесмен из Флориды Джо Лопес (Joe Lopez) подал иск против Bank of America: неизвестные хакеры украли у американского предпринимателя с его банковского счета в Bank of America 90 тыс. долларов, которые каким-то образом были переведены в Латвию.
В результате расследования выяснилось, что на компьютере Лопеса присутствовал вирус Backdoor.Win32.Apdoor (Backdoor.Сoreflood), который фиксирует все клавиатурные нажатия пользователя и через Интернет направляет их злоумышленникам. Именно таким образом к хакерам попали пароль и логин Джо Лопеса, который регулярно работал через Интернет со своим счетом в Bank of America.
Однако суд отказал истцу в возмещении ущерба, указав на то, что г-н Лопес пренебрег элементарными мерами предосторожности при работе со своим банковским счетом через Интернет: детектирование указанного вируса было добавлено в антивирусные базы почти всех производителей антивирусного ПО еще в 2003 году.
Исчезновению 90 тыс. долларов со счета Джо Лопеса помог обычный кейлоггер.
3 слайд
Что такое кейлоггер?
В переводе с английского keylogger — это регистратор нажатий клавиш.
Кейлоггер (клавиатурный шпион) — программное обеспечение, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий.
4 слайд
Причины для использования «легальных» кейлоггеров:
для родителей: отслеживание действий детей в Интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых»;
для ревнивых супругов: отслеживание действий своей половины в Сети в случае подозрения на «виртуальную измену»;
для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время;
5 слайд
для службы безопасности организации: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации;
для различных служб безопасности: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;
другие причины.
6 слайд
Все кейлоггеры можно условно разделить на аппаратные и программные.
Аппаратные представляют собой небольшие устройства, которые могут быть закреплены на клавиатуре, проводе или в системном блоке компьютера.
Программные — это специально написанные программы, предназначенные для отслеживания нажатий клавиш на клавиатуре и ведения журнала нажатых клавиш.
7 слайд
Наиболее популярные технические подходы к построению программных кейлоггеров:
системная ловушка на сообщения о нажатии клавиш клавиатуры (устанавливается с помощью функции WinAPI SetWindowsHook, для того чтобы перехватить сообщения, посылаемые оконной процедуре, — чаще всего пишется на C);
циклический опрос клавиатуры (с помощью функции WinAPI Get(Async)KeyState, GetKeyboardState — чаще всего пишется на VisualBasic, реже на Borland Delphi);
драйвер-фильтр стека клавиатурных драйверов ОС Windows (требует специальных знаний, пишется на C).
8 слайд
Примерное распределение указанных типов кейлоггеров показано на следующей диаграмме:
9 слайд
В последнее время отмечается тенденция использования в кейлоггерах методов сокрытия (маскировки) своих файлов — так, чтобы их нельзя было найти вручную или с помощью антивирусного сканера. Такие методы принято называть rootkit-технологиями.
Можно выделить два основных типа технологий сокрытия, используемых кейллоггерами:
с использованием методов сокрытия пользовательского режима (UserMode);
с использованием методов сокрытия режима ядра операционной системы (KernelMode).
10 слайд
Примерное распределение используемых кейлоггерами технологий сокрытия показано на следующей диаграмме:
11 слайд
Способы распространения кейлоггеров
при открытии файла, присоединенного к электронному письму;
при запуске файла из каталога, находящегося в общем доступе в peer-to-peer сети;
с помощью скрипта на веб-страницах, который использует особенности интернет-браузеров, позволяющие программам запускаться автоматически при заходе пользователя на данные страницы;
с помощью ранее установленной вредоносной программы, которая умеет скачивать и устанавливать в систему другие вредоносные программы.
12 слайд
Аппаратные клавиатурные шпионы
Установка устройства слежения в разрыв кабеля клавиатуры (например, устройство может быть выполнено в виде переходника PS/2);
Встраивание устройства слежения в клавиатуру;
Считывание данных путем регистрации ПЭМИН (побочных электромагнитных излучений и наводок);
Визуальное наблюдение за клавиатурой.
13 слайд
Программные клавиатурные шпионы
Распространенная коммерческая программа ActualSpy (http://www.actualspy.ru).
Возможности:
может регистрировать клавиатурный ввод (с регистрацией заголовка окна и имени программы), снимать скриншоты экрана по расписанию, регистрировать запуск/останов программ, следить за буфером обмена, принтером, создаваемыми пользователем файлами. Кроме того, в программе реализовано слежение за Интернет-соединениями и посещаемыми сайтами.
14 слайд
15 слайд
Программа имеет простейшую маскировку от обнаружения – она не видна в стандартном списке задач Windows. Для анализа собранной информации программа формирует протоколы в формате HTML. Принцип работы программы ActualSpy основан на ловушке, регистрирующей события клавиатуры.
Другие примеры:
SpyAgent (http://www.spytech-web.com),
ActMon (http://www.actmon.com),
SpyBuddy (http://www.actmon.com),
PC Activity Monitor (http://www.keyloggers.com),
KGB Spy (http://www.refog.ru/) и др.
16 слайд
Методики поиска клавиатурных шпионов
17 слайд
Поиск по сигнатурам. Сигнатурный поиск позволяет однозначно идентифицировать клавиатурные шпионы, при правильном выборе сигнатур вероятность ошибки практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее известные и описанные в его базе данных объекты;
Эвристические алгоритмы. Эвристический поиск носит вероятностный характер. Этот метод наиболее эффективен для поиска клавиатурных шпионов самого распространенного типа – основанных на ловушках. Однако подобные методики дают много ложных срабатываний, например, существуют сотни безопасных программ, не являющихся КШ, но устанавливающих ловушки для слежения за клавиатурным вводом и мышью;
18 слайд
Мониторинг API функций, используемых клавиатурными шпионами. Данная методика основана на перехвате ряда функций, применяемых клавиатурным шпионом. Вызов данных функций каким либо приложением позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных срабатываний будут аналогичны предыдущему методу;
Отслеживание используемых системой драйверов, процессов и сервисов. В простейшем случае можно применять программы типа Kaspersky Inspector или Adinf, которые отслеживают появление в системе новых файлов.
19 слайд
Методы защиты от кейлоггеров
20 слайд
Любой антивирусный продукт. Все антивирусы в той или иной мере могут находить клавиатурные шпионы;
Утилиты, реализующие механизм сигнатурного поиска и эвристические механизмы поиска. Примером может служить утилита AVZ, сочетающая сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек;
Специализированные утилиты и программы, предназначенные для обнаружения клавиатурных шпионов и блокирования их работы. Подобные программы наиболее эффективны для обнаружения и блокирования клавиатурных шпионов, поскольку как правило могут блокировать практически все разновидности клавиатурных шпионов.
21 слайд
Методы защиты от неизвестных кейлоггеров:
использование одноразовых паролей / двухфакторная аутентификация,
использование систем проактивной защиты, предназначенных для обнаружения программных кейлоггеров,
использование виртуальных клавиатур.
22 слайд
Для получения одноразовых паролей могут использоваться специальные аппаратные устройства:
в виде брелка (например, Aladdin eToken NG OTP):
в виде «калькулятора» (например, RSA SecurID 900 Signing Token):
системы, основанные на посылке SMS с мобильного телефона, зарегистрированного в системе, и получения в ответ PIN-кода, который нужно вводить вместе с персональным кодом при аутентификации.
23 слайд
Более дешевым решением является использование систем проактивной защиты на стороне клиентов банка (провайдера и т.д.), которые могут предупредить пользователя об установке или активизации программных кейлоггеров.
Пример срабатывания проактивной защиты Kaspersky Internet Security
24 слайд
Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.
Однако встроенная в Windows экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а для помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена вредоносной программой. Экранная клавиатура, которая может быть использована для того, чтобы обойти кейлоггеры, должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи.
25 слайд
Из специализированных программ интерес могут представлять коммерческие продукты PrivacyKeyboard и Anti-keylogger (http://www.bezpeka.biz/). Интерфейс программы Anti-keylogger показан на рисунке:
26 слайд
Программа Anti-keylogger работает в фоновом режиме и производит обнаружение программ, подозреваемых в слежении за клавиатурой. В случае необходимости можно вручную разблокировать работу любой из обнаруженных программ (например, на рисунке видно, что в список «шпионов» попали MSN Messanger и программа закачки из Интернет FlashGet).
Для обнаружение клавиатурных шпионов не применяются базы сигнатур, обнаружение ведется эвристическими методами.
27 слайд
Другим примером может служить программа Advanced Anti Keylogger (http://www.anti-keylogger.net).
28 слайд
В режиме обучения данная программа по логике работы напоминает Firewall – при обнаружении подозрительной активности выводится предупреждение с указанием имени и описания программы. Пользователь может выбрать действие на сеанс (разрешить, запретить), или создать постоянное правило для правило для приложения. Настройки программы защищаются паролем, который задается в ходе инсталляции.
29 слайд
Выводы
Несмотря на то что производители кейлоггеров позиционируют их как легальное ПО, большинство кейлоггеров может быть использовано для кражи персональной информации пользователей и осуществления экономического и политического шпионажа.
В настоящее время кейлоггеры, наряду с фишингом и методами социальной инженерии, являются одним из главных методов электронного мошенничества.
Компании, работающие в сфере компьютерной безопасности, фиксируют стремительный рост числа вредоносных программ, имеющих функциональность кейлоггера.
Отмечается тенденция добавления в программные кейлоггеры rootkit-технологий, назначение которых — скрыть файлы кейлоггера так, чтобы они не были видны ни пользователю, ни антивирусному сканеру.
Обнаружить факт шпионажа с помощью кейлоггеров можно только с использованием специализированных средств защиты.
Для защиты от кейлоггеров следует использовать многоуровневую защиту.
30 слайд
Спасибо за внимание!!!
Рабочие листы
к вашим урокам
Скачать
Презентация по МДК 01.04.Информационная безопасность на тему "Клавиатурные шпионы. Принципы работы и методы обнаружения" может использоваться на уроках у обучающихся по специальности 230115 Программирование в компьютерных системах.
В презентации рассмотрены причины для использования «легальных» кейлоггеров, наиболее популярные технические подходы к построению программных кейлоггеров, способы распростронения, примеры клавиатурных шпионов, принципы построения и использования кейлоггеров — программных и аппаратных средств, используемых для мониторинга нажатия клавиш клавиатуры.
6 664 215 материалов в базе
Настоящий материал опубликован пользователем Котенева Елена Алексеевна. Инфоурок является информационным посредником и предоставляет пользователям возможность размещать на сайте методические материалы. Всю ответственность за опубликованные материалы, содержащиеся в них сведения, а также за соблюдение авторских прав несут пользователи, загрузившие материал на сайт
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Удалить материал
Ваша скидка на курсы
40%
Курс повышения квалификации
36 ч. — 180 ч.
Курс профессиональной переподготовки
300 ч. — 1200 ч.
Курс профессиональной переподготовки
300/600 ч.
Мини-курс
4 ч.
Мини-курс
4 ч.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.