Клавиатурные шпионы

Курс «Администрирование системы»
Содержание презентации:
 Теоретическая часть:
1. Понятие «клавиатурного шпиона»;
2. Классификация клавиатурных шпионов;
3. Фильтры;
 Практическая часть:
1. Настройки клавиатурного шпиона;
2. Просмотр лога.
Понятие «клавиатурного
шпиона»
Клавиатурный шпион(keylogger ) - в переводе с английского это
регистратор нажатий клавиш. В большинстве источников можно найти
следующее определение кейлоггера: кейлоггер (клавиатурный шпион) —
программное обеспечение, основным назначением которого является
скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий.
Клавиатурный шпион является одной из наиболее распространенных
разновидностей программных закладок. Такие программные закладки
нацелены на перехват паролей пользователей операционной системы, а
также на определение их легальных полномочий и прав доступа к
компьютерным ресурсам, контроль за посещением сайтов,
переписыванием в чатах, шпионы выполняют скриншоты рабочего экрана,
то есть действия пользователя становятся полностью известными.
. Различия между клавиатурными шпионами касаются только способа,
который применяется ими для перехвата пользовательских паролей.
Соответственно все клавиатурные шпионы делятся на три типа –
имитаторы, фильтры и заместители.
Классификация клавиатурных
шпионов:
Имитаторы
Фильтры
Заместители
программные модули,
имитирующие
приглашение
пользователю
зарегистрироваться для
входа в систему. Когда
пользователь
идентифицирует себя и
введет пароль, имитатор
сохраняет эти данные и
инициирует выход из
системы, после чего
появляется настоящее
приглашение для входа в
систему.
записывают все данные,
вводимые с клавиатуры.
Самые элементарные
просто сбрасывают
перехваченный
клавиатурный ввод в
удобное для
злоумышленника место.
Другие еще
отфильтровывают
необходимую
информацию.
полностью или частично
подменяют собой
программные модули
операционной системы,
отвечающие за
аутентификацию
пользователей. Подобного
рода клавиатурные
шпионы могут быть
созданы для работы в
среде практически любой
многопользовательской
операционной системы.
Фильтры
Фильтры «охотятся» за всеми данными, которые пользователь
операционной системы вводит с клавиатуры компьютера. Самые
элементарные фильтры просто сбрасывают перехваченный
клавиатурный ввод на жесткий диск или в какое-то другое место, к
которому имеет доступ злоумышленник. Более изощренные
программные закладки этого типа подвергают перехваченные данные
анализу и отфильтровывают информацию, имеющую отношение к
пользовательским паролям.
Фильтры являются резидентными программами, перехватывающими одно
или несколько прерываний, которые связаны с обработкой сигналов от
клавиатуры. Эти прерывания возвращают информацию о нажатой
клавише и введенном символе, которая анализируется фильтрами на
предмет выявления данных, имеющих отношение к паролю
пользователя.
.
Чтобы обезопасить ОС от фильтров, необходимо обеспечить выполнение
следующих трех условий:
во время ввода пароля переключение раскладок клавиатуры не
разрешается;
конфигурировать цепочку программных модулей, участвующих в работе с
паролем пользователя, может только системный администратор;
доступ к файлам этих модулей имеет исключительно системный
администратор.
Принцип работы сложного
фильтра
Информация с клавиатуры
Анализатор фильтра
Логины и пароли
Настройки клавиатурного
шпиона
Подразделяются на:
 общие;
 настройки доставки;
 настройки слежения.
Чтобы открыть меню «настройки» нужно щелкнуть правой кнопкой
мыши по значку программы и выбрать пункт Настройки.
Общие настройки
Вкладка «лог»:
Лог включает в
себя данные,
введенные с
клавиатуры,
сведения о
посещаемых
интернет-ресурсах,
чатах, а также
просмотр
скриншотов.
Вкладка «невидимость»:
Трей – неофициальное
название области
уведомлений (англ.
notification area) —
элемента панели
инструментов среды
рабочего стола
(«панель задач» в
Windows),
используемого для
нужд длительно
запущенных,
но при этом не
постоянно
используемых
программ.
В отличие от других программ, клавиатурный шпион можно легко
скрыть во всех указанных списках.
Вкладка «безопасность»:
Вы можете дополнительно защитить программу, установив пароль.
Вкладка «обновления»:
Вам доступны обновления программы. Вы можете устанавливать их
автоматически.
Вкладка «опции»:
Скрыть или показать значок программы в трее можно нажатием
горячих клавиш, по умолчанию Ctrl + Shift + Alt + H.
Настройки доставки
Вкладка «управление»:
Пересылать логиможно по Email, через FTP(FileTransfer Protocol), или по локальной сети.
Настройки слежения
Вкладка «управление»:
IME слежение – позволяет следить за введением символов, которых нет
на клавиатуре.
Вкладка «скриншоты»:
Можно записывать скриншоты всего экрана или активного окна.
Вкладка «чаты»:
Просмотр лога
Клавиатурный лог:
Веб-лог:
Чат-лог:
пуст)
Скриншоты:
Как защитить систему от
клавиатурного шпиона
 Клавиатурные шпионы представляют реальную угрозу




безопасности современных компьютерных систем. Чтобы
отвести эту угрозу, требуется реализовать целый комплекс
административных мер и программно-аппаратных средств
защиты. Надежная защита от клавиатурных шпионов может
быть построена только тогда, когда операционная система
обладает определенными возможностями, затрудняющими
работу клавиатурных шпионов.
Кроме того, для надежной защиты от клавиатурных шпионов
администратор операционной системы должен соблюдать
политику безопасности, при которой только администратор
может:
конфигурировать цепочки программных модулей, участвующих
в процессе аутентификации пользователей;
осуществлять доступ к файлам этих программных модулей;
конфигурировать саму подсистему аутентификации.