Uważaj na swoją klawiaturę! - bronimy się przed keyloggerami
Kaspersky Lab, producent rozwiązań służących do ochrony danych, opublikował artykuł poświęcony keyloggerom - oprogramowaniu, które umożliwia przechwytywanie haseł i innych poufnych danych użytkownika. Na co trzeba uważać?
W lutym 2005 roku Joe Lopez, biznesmen z Florydy, wytoczył proces przeciwko Bank of America, po tym jak z jego konta ukradziono 90 000 dolarów. Pieniądze zostały przetransferowane do Łotwy.
Śledztwo wykazało, że komputer Lopeza został zainfekowany niebezpiecznym programem. Szkodnikiem okazał się Backdoor.Coreflood, który rejestruje każde uderzenie klawisza i wysyła zdobyte informacje obcym użytkownikom.
Sąd jednak nie miał dla Lopeza dobrych informacji, twierdząc, że nie podjął on podstawowych środków bezpieczeństwa podczas zarządzania swoim kontem. Program, który wykorzystano do kradzieży jego pieniędzy, był klasycznym keyloggerem
Złodziej klawiatury
Termin "keylogger" sam w sobie jest neutralny, a słowo odnosi się do funkcji programu. Większość źródeł definiuje keyloggera jako oprogramowanie, którego celem jest monitorowanie i rejestrowanie wszystkich uderzeń klawiszy bez wiedzy użytkownika. Definicja ta nie jest całkowicie poprawna, ponieważ keylogger nie musi być oprogramowaniem - może być urządzeniem.
Legalne programy mogą posiadać funkcję rejestrowania uderzeń klawiszy, która służy między innymi do wywoływania pewnych funkcji programu. Istnieje również wiele legalnych programów, które pozwalają administratorom śledzić, co w ciągu dnia robią pracownicy. Łatwo jednak przekroczyć etyczną granicę między uzasadnionym monitorowaniem a szpiegowaniem. Legalne oprogramowanie jest często celowo wykorzystywane do kradzieży poufnych informacji użytkowników, takich jak hasła.
W przeciwieństwie do innych typów szkodliwego oprogramowania, keyloggery nie stanowią zagrożenia dla samego systemu. Mogą jednak być niebezpieczne dla użytkowników - wystarczy wykorzystać je do przechwytywania haseł i innych poufnych informacji wprowadzanych z klawiatury. Następstwa są łatwe do przewidzenia - w ręce cyberprzestępców mogą wpaść kody PIN i numery kont w systemach płatności online, hasła do kont gier internetowych, adresy e-mail, nazwy użytkowników czy hasła poczty elektronicznej.
Użytkownicy, którzy są świadomi kwestii bezpieczeństwa,mogą zabezpieczyć się przed phishingiem poprzez ignorowanie wiadomości phishingowych oraz niepodawanie informacji osobowych na podejrzanych stronach WWW. Trudniej jest walczyć z keyloggerami, ponieważ użytkownik zwykle nie jest w stanie stwierdzić, czy na jego komputerze został zainstalowany keylogger - jedyną metodą jest korzystanie z odpowiedniego rozwiązania bezpieczeństwa.
Większość firm antywirusowych dodało znane keyloggery do swoich sygnatur zagrożeń, przez co ochrona przed nimi nie różni się od ochrony przed innymi typami szkodliwych programów, polegając na zainstalowaniu produktu antywirusowego i uaktualnianiu bazy zagrożeń.
Jednak większość produktów antywirusowych klasyfikuje keyloggery jako potencjalnie szkodliwe lub niepożądane programy, dlatego użytkownicy powinni upewnić się, że ich produkt antywirusowy (z ustawieniami domyślnymi) wykrywa ten typ szkodliwego oprogramowania. W przeciwnym razie aplikacja powinna zostać odpowiednio skonfigurowana, tak aby zapewniała ochronę przed większością powszechnie występujących keyloggerów.
Przyjrzyjmy się bliżej metodom, za pomocą których można zabezpieczyć się przed nieznanymi keyloggerami lub keyloggerem atakującym określony system.
Jak się bronić?
Są zasadniczo trzy metody, oprócz stosownego oprogramowania:
- wykorzystanie jednorazowych haseł,
- wykorzystanie systemu z ochroną proaktywną przeznaczonego do wykrywania keyloggera programowego,
- wykorzystanie wirtualnej klawiatury.
Wykorzystanie jednorazowego hasła może pomóc zminimalizować straty. Nawet jeśli jednorazowe hasło zostanie przechwycone, cyberprzestępca nie będzie mógł go wykorzystać w celu uzyskania dostępu do poufnych informacji. Do uzyskania jednorazowych haseł można użyć specjalnego narzędzia, takiego jak klucz USB (np. Aladdin eToken NG OTP) czy kalkulator (np. RSA SecurID 900 Signing Token). Do wygenerowania jednorazowych haseł można wykorzystać także systemy rozpowszechniania komunikatów tekstowych za pośrednictwem telefonów komórkowych, które są zarejestrowane w systemie bankowym i jako odpowiedź otrzymują kod PIN. PIN jest następnie wykorzystywany razem z osobistym kodem do uwierzytelniania.
Jak twierdzi autor artykułu pisanego dla Kaspersky Lab, bardziej opłacalnym rozwiązaniem jest ochrona proaktywna po stronie klienta, która ostrzega użytkownika w przypadku prób zainstalowania lub aktywowania oprogramowania rejestrującego uderzenia klawiszy.
Główna wada tej metody polega na aktywnym udziale użytkownika, który musi zdecydować, jakie działanie należy podjąć. Jeśli użytkownik nie posiada wystarczającej wiedzy technicznej, może podjąć niewłaściwą decyzję, w wyniku której keylogger będzie mógł obejść rozwiązanie antywirusowe. Jeśli jednak programiści zminimalizują zaangażowanie użytkownika, keyloggery będą mogły uniknąć wykrycia na skutek niewystarczająco rygorystycznej polityki bezpieczeństwa. Z kolei gdy ustawienia będą zbyt restrykcyjne, mogą zostać zablokowane inne, użyteczne programy, które zawierają legalne funkcje rejestrowania uderzeń klawiszy.
Ostatnią metodą, która może być wykorzystana do ochrony przed keyloggerami sprzętowymi oraz programowymi, jest użycie wirtualnej klawiatury - programu, który wyświetla klawiaturę na ekranie. Przy użyciu myszki można "przyciskać" klawisze.
Konkluzje
Autor artykułu napisanego dla Kaspersky Lab, Nikolay Grebennikov, zakończył swój tekst ogólnymi wnioskami:
- Chociaż twórcy keyloggerów sprzedają swoje produkty jako legalne oprogramowanie, większość z nich może być wykorzystywanych do kradzieży osobistych danych użytkownika oraz szpiegostwa przemysłowego.
- Keyloggery, wraz z phishingiem i socjotechniką, należą do najpowszechniej stosowanych metod w oszustwach cybernetycznych.
- Z raportów wynika, że istnieje coraz większa tendencja do wykorzystywania technologii rootkit w keyloggerach programowych, aby uniknąć wykrycia ręcznego oraz za pomocą rozwiązań antywirusowych.
W ostatecznym rozliczeniu odpowiedzią na keyloggery jest "dmuchanie na zimne" - wykorzystanie odpowiedniego oprogramowania i procedur bezpieczeństwa. Tradycyjnie nie ma lepszego zabezpieczenia niż własny rozsądek.
W tekście wykorzystano fragmenty artykułu opublikowanego przez Kaspersky Lab , którego autorem jest Nikolay Grebennikov, zastępca dyrektora działu Technologii Innowacyjnych
