Comodo vs keyloggery?

Keylogger - typ programów komputerowych służących do wykradania haseł.

Programy te działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego (głównie Microsoft Windows) służącymi do obsługi klawiatury. Każde wciśnięcie klawisza jest odnotowywane w specjalnym pliku. Opcjonalnie informacje o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna.

Od siebie mogę dodać,że dzisiejsze harmware tego typu specjalizuje się również w przechwytywaniu zawartości ekranu(robieniu screena; obraz przesyłany jest do atakującego przez co może zobaczyć nasze poczynania na pulpicie i nie tylko), przechwytywanie obrazu z kamerki, kopiowanie wiadomości ze schowka (to ta pamięć, gdzie przechowywane są informacje ‘zagarnięte’ komendą ‘kopiuj’), przechwytywanie dźwięku z mikrofonu i inna działalność szpiegowska.

Jak widać nie jest to nic przyjemnego.

Jak sobie z tym radzi CIS?
Otóż odwieczna zasada była taka,że CIS nie musi temu zapobiegać, ponieważ nawet jeśli przechwycona zawartość będzie przesyłana do hakera - firewall zablokuje to rządanie. O dziwo CIS posiada kilka funkcji anty-loggerowych. Zrobiłem test z aplikacjami do tego przeznaczonymi. Producent innego oprogramowania anty-loggerowego stworzył takie programy, aby udowodnić słabość naszych zabezpieczeń. Czyżby?

Ustawienia były domyślne, oprócz zmiany konfiguracji zabezpieczeń na proaktywną.

A więc zaczynamy:

1.Test nr 1.
Czy Twój program potrafi zapobiec przechwytywaniu naciśnięć klawiatury(i tym sposobem przechwytywanie haseł do kont bankowych itd?) CIS potrafi. Widzimy wyraźny alert o dostępie do klawiatury:


http://img525.imageshack.us/img525/9944/klawaiatura.png

2.Test nr 2
Czy Twój program potrafi zapobiec przechwytywaniu zawartości ekranu? Comodo tak, owszem.
Taka sama sytuacja, osoba atakująca z jego/jej keyloggerem nie pobierze zawartości, może i nawet cennych informacji wynikających z naszego pulpitu.


http://img812.imageshack.us/img812/2937/screenlogger.png

3.Test 3, przechwytywanie obrazu z kamery.
Bardzo nieprzyjemna sytuacja. Był taki wirus, dawno, ale było o nim głośno. Szpiegował swoje ofiary poprzez przechwytywanie obrazu z kamerki internetowej.
Czy CIS potrafi zapobiec takiej sytuacji? Po części tak, a właściwie w całości.
Nie jest to jasny alert typu “program próbuje uzyskać bezpośredni dostęp do kamery internetowej”, ale…
Chodzi o modyfikacje klucza odpowiedzialną za to. Tutaj CIS jest czujny. Pisałem do nich o takim typowym module anty-loggerowym, może coś poradzą.


http://img9.imageshack.us/img9/7813/kamerka.png

  1. Test ostatni, czwarty.
    Czy Twój program potrafi zapobiec przechwytywaniu zawartości schowka?
    Wyobraźmy sobie sytuację,że kopiujemy 16-sto cyfrowy kod do naszego konta bankowego. Keyloggery potrafią przechwycić tą informację. Czy CIS zapobiegnie tej sytuacji?? Tak, oczywiście:


http://img257.imageshack.us/img257/4900/schowek.png

Na innych tego typu leaktestach zauważyłem,że CIS ma problemy z prewencją przed przechwyceniem screena(jest dużo tego typu testów) i nie potrafi ostrzec przez przechwyceniem głosu z mikrofonu. Ale jak już wspominałem ‘haker’ nie otrzyma tych danych, bo nawet jeśli zaczną one być wysyłane to firewall zablokuje to[my].Sprawdziłem też na ustawieniach domyślnych - efekt taki sam, wszystko jest blokowane.
Coś jest ‘nie halo’ z piaskownicą. Tam CIS ma trudności w blokowaniu, lecz gdy wypuścimy aplikację do systemu ładnie wszystko kontroluje. Pojawiło się kilka tematów opisujących podobny problem na anglojęzycznym forum - pewnie coś z tym zrobią do nowej wersji.

Taki temat z serii “Jak to działa…”

To nie jest laurka jak niektórzy sugerują ;). Mogłem pisać chamskim językiem, ale po co.

Pamiętajmy tylko o tym, że to użytkownik musi nacisnąć przyciski Zezwól lub Blokuj.
A takie komunikaty nie zawsze świadczą o szkodliwości programu. Identyczne ostrzeżenia wygeneruje Defense+, podczas uruchamiania FastStone Capture (bardzo przyjemny programik do wykonywania zrzutów ekranu).

Comodo jest dla użytkowników, którzy czytają ze zrozumieniem. A teraz gdy jest wszystko przetłumaczone to jest łatwiej. Dlatego użytkownik musi mieć jako takie pojęcie, co i do czego służy. A że nie każdy ma, więc duża część używa firewalla systemowego windowsa.

Trzeba trochę pomyśleć :slight_smile:
Nie ujmując nikomu, alert jest tak opisany,że człowiek o inteligencji przeciętnej i minimalnej wiedzy komputerowej powinien wiedzieć, czy Comodo blokuje w tej chwili komunikator, czy nieznaną aplikację, która może być keyloggerem. No chyba,że ktoś już przywykł i z automatu wybiera “zezwól”.

Zgadzam się z barnabą, alerty powinny być bardziej czytelne…Gdyby nie twój opis w życiu bym nie pomyślał, że taki wpis D+ może mieć coś wspólnego z próbą przechwycenia schowka. Podczas instalacji normalnych aplikacji takie wpisy są na porządku dziennym, powinni to jakoś bardziej dopracować. Komputer jest od przyjemności, nie od ciągłego analizowania komunikatów, czy to wirus, czy może program do obróbki zdjęć, który potrzebuje dostępu do chronionego interfejsu…

Ciekawy jestem jak można zrobić czytelniejsze alerty? Wszystko jest opisane w alertach. Chciałbyś aby Comodo za Ciebie decydował? Keylogger to program jak inne, IE, czy Firefox. Każdy z nich możesz zablokować i każdy z nich może działać na Twoją szkodę. Comodo bezpieczne programy umieszcza na białej liście. Każdy nieznany plik możesz wysłać do komodo do analizy. Nie znasz programu, nie instaluj.

Tak czy owak, Comodo 5.3 z poprawioną trochę konfiguracją (monitorowanie klawiatury i monitora), nie zalicza wszystkich testów SpySheltera.
Mam tu na myśli screenloggery i soundrecordery (co do dźwięków to mogę przyjąć że Comodo nie ma w planach wprowadzenia tej ochrony).
Testowałem poza piaskownicą, Comodo Firewall z D+, w instalatorze poziom standardowy.

Notka moderatora: Najnowsze wersje CIS zaliczają wszystkie testy SpySheltera dotyczące klawiatury i monitora.