Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеСуществуют программные и аппаратные средства, позволяющие фиксировать операции с клавиатурой, в частности записывать нажатия клавиш, которые называются кейлогерами (от англ. keylogger). Их могут использовать как в качестве средства безопасности для мониторинга нежелательных действий (например, сотрудников компаний), так и в злонамеренных целях (например, для похищения паролей и других засекреченных сведений). Обсудим, какие функции выполняют такие перехватчики, а также их разновидности и особенности.
Кейлогеры: что это такое
Кейлогер (keylogger) – это программное обеспечение или устройство, которое записывает все нажатия клавиш на клавиатуре компьютера или другого устройства ввода.
Чаще всего кейлогеры взаимодействуют с операционной системой в качестве компонентов ПО, реже – с самой клавиатурой в качестве физического устройства. Что же позволяет им фиксировать действия пользователей и перехватывать данные?
Каждое нажатие на клавишу передается на принимающее устройство – компьютер, к которому подключена клавиатура. Операционная система этого компьютера распознает введенную информацию благодаря установленным на нем специальным клавиатурным драйверам. Перехватчики маскируются под принимающие устройства и получают таким образом данные нажатий клавиш.
Виды кейлогеров
Инструменты-перехватчики подразделяются на аппаратные и программные. Их особенности:
- Программный кейлогер – программа, которая устанавливается на компьютер и работает в фоновом режиме, перехватывая нажатия клавиш.
- Аппаратный кейлогер – физическое устройство для фиксации операций с клавиатурой. Он подключается непосредственно к компьютеру, с которого планируется собирать информацию, например, встраивается в переходники на шнурах или внешние накопители. Дополнительно можно настроить программы, благодаря которым накопленные сведения будут передаваться на удаленные компьютеры инициаторов сбора, пересылаться через электронную почту или автоматически выгружаться в базу данных.
Также стоит упомянуть акустические кейлогеры, которые являются разновидностью аппаратных. Они представляют собой устройства, которые фиксируют звуки, создаваемые при нажатии на клавиши. Затем инструменты системы анализируют их и преобразовывают в текст.
Функции кейлогеров
Такие средства выполняют две основные функции:
- Перехват нажатий клавиш.
- Запись ввода данных пользователей.
Кейлогеры выполняют свои задачи в зависимости от того, каким образом запрограммированы. Например, они могут запоминать все операции с клавиатурой или только текст, который вводится в определенных полях для заполнения или на конкретных сайтах.
Для чего нужны кейлогеры
Мы уже говорили, что подобные инструменты могут применяться как в целях обеспечения безопасности конфиденциальных данных, так и для незаконного сбора информации. Разберем оба сценария.
Использование кейлогеров мошенниками
Киберпреступники часто используют такие инструменты для взлома пользовательских аккаунтов и дальнейших несанкционированных действий с конфиденциальными сведениями. Каким образом они запускают программные компоненты на устройствах пользователей?
- Через фишинговые ссылки в электронных письмах и сообщениях на мессенджеры.
- Через программы, скачиваемые из интернета.
- С помощью вредоносного программного обеспечения, например троянов.
- С помощью скриптов интернет-страниц (этот вариант реализуется в уязвимых браузерах).
- Через веб-ресурсы, замаскированные под легальные.
Иногда злоумышленники настраивают кейлогеры таким образом, чтобы, попав на один компьютер, они распространялись и на другие устройства локальной сети.
Опасность перехватчиков в том, что они в течение долгого времени могут оставаться незамеченными. В связи с этим существенно возрастают риски – за длительный период кейлогеры улавливают большое количество важных сведений, например: персональные данные или пароли для входа в корпоративные аккаунты, банковские системы, электронную почту. Компрометация таких сведений может грозить компаниям и физлицам дальнейшими целенаправленными атаками и в целом потерями репутационного или финансового характера.
Использование кейлогеров службами безопасности организаций
Перехватчики помогают обнаруживать и предотвращать внутренние нарушения, такие как намеренные сливы данных, выполнение скрытых команд. Для этого кейлогер можно настроить на поиск по ключевым словам, регистрацию введенных паролей или отправку предупреждающих уведомлений в случае несанкционированных действий.
Как кейлогеры применяются в DLP-системах
DLP-системы – решения Data Leak Prevention для защиты служебной информации, призванные предотвращать утечки корпоративных данных, обнаруживать признаки внутреннего мошенничества и контролировать действия пользователей. Один из инструментов, позволяющих реализовывать эти функции, – кейлогер. Перехватчики в реальном времени отслеживают действия на рабочих станциях. Например, позволяют обнаружить ввод ключевых слов на корпоративных компьютерах, что может свидетельствовать о подозрительной активности того или иного сотрудника.
Кейлогеры включены и в состав средств мониторинга продукта Solar Dozor. В первую очередь они используются для сбора доказательной базы, которая позволяет быстрее расследовать инциденты с участием сотрудников компаний.
Если кейлогер обнаружит, что сотрудник компании нажимает определенные клавиши клавиатуры, такие как Enter или Print Screen, DLP-система автоматически сделает снимок его рабочего стола. Кроме того, возможности кейлогера позволяют осуществлять поиск нажатий клавиш при работе с приложениями/ресурсами, в которых пользователь вводил данные, а также определять тип действий пользователя (ввод пароля для архива, файла, листа, логина и пароля учетной записи и т. д.). С помощью кейлогера возможно найти все данные учетных записей, которые были введены в конкретную программу (или программы, относящиеся к конкретной категории) за определенное время, или информацию, которую сотрудники вводили в мессенджеры и чаты.
Однако есть нюанс, связанный с эксплуатацией технологий подобного рода в системах обеспечения безопасности. Существует мнение, что подобная практика нарушает права сотрудников. Именно поэтому компаниям следует легитимизировать использование DLP-системы в качестве средства информационной, экономической, внутренней безопасности.
Еще одна важная функция DLP-решений в контексте борьбы с подозрительной активностью – создание подробной отчетности и визуальных срезов.
Заключение
Кейлогеры часто ассоциируется с чем-то незаконным, представляющим опасность для конфиденциальных данных. На самом же деле это полезная для обеспечения безопасности функция, которая реализована в отечественном продукте Solar Dozor. Помимо нее, в Solar Dozor есть модули «Досье на сотрудника», User Behavior Analytics для анализа поведения по паттернам, а также применяются алгоритмы контроля идентификаторов, технологии цифровых отпечатков и чтения графических файлов и т. д.
