Клавиатурные шпионы

Клавиатурные шпионы - это программы, относящиеся к классу "троянских коней". Они запускаются автоматически при старте системы, вручную или дистанционно. В отличие от обычных "логеров", ведущих запись действий пользователя, маскируют свое присутствие и запускаются как скрытый процесс. Нажатия клавиш, манипуляции мышью или названия и время запуска приложений заносятся в текстовый файл (log). Иногда содержимое log`а шифруется или пересылается по сетям. Как правило, деструктивных действий не производят.

Сюда же можно отнести и "логические бомбы", если скрытый процесс контроля клавиатурного ввода не предусмотрен основным назначением программы или явно объявленными в руководстве пользователя функциями.

Клавиатурные шпионы используются для следующих целей:

  1. Для скрытой записи текстов, набранных на клавиатуре компьютера, отслеживания введенных пользователем паролей, ведения списка названий запущенных приложений, времени запуска, отслеживания движений мыши, отслеживания текстов, переданных через буфер промежуточного хранения. Прямое применение - контроль определенного компьютера с целью похищения какой-либо конфиденциальной информации (сбор разведданных), анализ активности пользователей, похищение паролей для последующего проникновения в компьютерную систему или похищения ресурсов (например, пользование ресурсами Интернета за чужой счет), компрометации шифросистем или систем разграничения доступа.
  2. Для постановки ловушек при обеспечении личной или корпоративной безопасности. Другими словами, пользователь может посмотреть, что делали за его компьютером в его отсутствие. Скажем, выйти на обед, на долгий перекур, оставив открытой систему. Подобная методика иногда позволяет найти массу скрытых "доброжелателей" или "народных контролеров". Или служба безопасности предприятия может вести скрытый контроль компьютерных систем. Понятно, что мало какой интриган или засланный "сталкер" будет проводить в открытую свои деструктивные действия.
  3. Для проведения скрытой компьютерной графологии. Это может проводиться для негласного выяснения психологического портрета или текущего состояния человека, пользующегося в данный момент компьютером. Как каждый радист в эфире, работая механическим ключом, имеет уникальный почерк, так и каждый пользователь имеет четко выраженный клавиатурный почерк. Анализируются скорость набора, характерное использование вспомогательной клавиатуры, использование горячих клавиш и т.д. В расчет берется среднее время нажатия (математическое ожидание) отклонение от средней величины (дисперсия). Более точный анализ учитывает расстояния между отдельными клавишами, для этого необходимо строить корреляционные матрицы. При этом есть еще один существенный момент: при смене клавиатур с мягкой на более жесткую или с обычной на эргономическую почерк может измениться. Еще: при конкретной программной реализации разработчики сталкиваются с трудностью точного расчета величин математического ожидания и дисперсии. Из-за малого количества статистических испытаний (нажатий клавиш) прямой расчет в лоб не проходит - получается большая ошибка и большой процент "ложных" тревог. Здесь должна работать другая математика. Но это - не статья по теории информации, это мое know-how. Подобные технологии могут применяться для тестирования кандидатов при проведении собеседования или для построения психологических анализаторов стресса (детекторов лжи). Это возможно при условии, что человек умеет пользоваться компьютером и будет работать с компьютером в привычном для него режиме.
  4. Компьютерная графология и клавиатурные шпионы применяются в системах идентификации пользователей и в системах разграничения доступа для усиления контроля. Здесь уже будет недостаточно ввести имя пользователя и пароль, необходимо, чтобы именно авторизованный пользователь сидел за выделенным ему компьютером. По случайному закону или с заданной периодичностью запускается скрытый процесс, контролирующий клавиатурный ввод, перепроверяющий пользователя. Вдруг во время отсутствия пользователя за компьютер сел посторонний или авторизованное лицо заставили под давлением ввести пароль и дать доступ к системе. Это же можно применить для контроля психического состояния. Если человек в алкогольном опьянении, в нервном возбуждении или сильно устал, стоит ли ему работать с критическими данными? Все эти состояния смажут его клавиатурный почерк, и система забьет тревогу.

Зоны риска:

 
  1. Компьютеры общего пользования на студенческих вычислительных центрах, в бизнес-центрах, почтовых отделениях или Интернет-кафе. И в других местах, в которых сдают компьютерное время в аренду.
  2. Компьютеры людей, пользующихся репутацией хакеров или замаскированных сотрудников спецслужб, могут иметь целый "букет" расставленных ловушек.
  3. Компьютеры в бюро найма рабочей силы, в психологических службах. Вам могут предложить заполнить анкету или ответить на безобидный психологический тест. Использование профессиональных графологов для вскрытия скрытых особенностей психологии и корректировки решений стало в бюро найма дурной модой.
  4. Компьютеры правоохранительных или силовых структур, в режимных организациях с оформляемыми группами допуска, в крупных финансовых или коммерческих структурах, имеющих высококвалифицированную службу безопасности, и т.п.

Приведу примеры распространенных программ для Windows.

  1. HookDump v2.5 - хит среди подобных программ (42 Kb). 16-битная программа для ОС Win 3.x, 9x, NT. Автор - Илья Осипов. Запускается при старте через Win.Ini, раздел [Windows], параметр load. При загрузке программа оставляет в памяти только HookDmp.dll, занимая 19 Kb памяти, прекрасно себя маскирует, не видна в окне Ctrl-Alt-Del, просмотрщики процессов ее в явном виде также не показывают. Имеет возможность настройки через меню или файл hookdump.ini. Отслеживает нажатия клавиш, действия мышью, названия окон или запущенных приложений, время запуска. Позволяет шифровать лог-файл с помощью примитивного Xor-алгоритма, предусмотрена возможность смены имени лог-файла и каталога для записи, перекодировку AnsiToOem. Даже перехватывает пароли, скрытые звездочками, которые не вводились с клавиатуры, но при запуске приложения были в окне ввода. Есть возможность включения-выключения вышеперечисленных опций.
  2. Keylog95 - рекордер клавиатуры (466 Кb). 16-битная программа для ОС Win9x. Автор - Random Case. Автор предлагает запуск логера через группу StartUp. При загрузке программа превращается в минимизированный прямоугольник, различимый в taskbar, себя не маскирует и видна в окне Ctrl-Alt-Del под именем KEYLOGWN. При работе занимает 54 Kb в оперативной памяти. Для работы требует создания каталога Win, куда в поддиректорий LOGX пишет логи. Кириллицу не различает, записывая русские буквы латинскими символами, расположенными на тех же клавишах.
  3. Runvdx v1.0.3 - универсальный собиратель паролей. (59 Kb). Автор - Дмитрий Бородин, Санкт-Петербург. Запускается при старте через [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] или [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. Программа 16-битная, при загрузке себя не маскирует и видна в окне Ctrl-Alt-Del под именем Runvxd. Авторская версия настроена на работу с русской версией Windows 95OSR2. При просмотре исполнимого файла в конце видно описание настроек для работы с конкретными программами, поэтому ее можно настроить для работы с разными версиями Windows, для мониторинга различных программ. Пользуясь настроечным списком, занесенным в свое тело, после запуска "шпион" собирает информацию из программ в автоматическом режиме, отслеживая активизацию зарегистрированных окон, и записывает из них всю текстовую информацию. Запись лога ведется по умолчанию в файл c:\dllexec.ocx.

Black Prince,
www.geocities.com/SiliconValley/Way/5801/

Версия для печатиВерсия для печати

Номер: 

22 за 1999 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!