Keylogger - typ programów komputerowych służących do wykradania haseł.
Programy te działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego (głównie Microsoft Windows) służącymi do obsługi klawiatury. Każde wciśnięcie klawisza jest odnotowywane w specjalnym pliku. Opcjonalnie informacje o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna.
Od siebie mogę dodać,że dzisiejsze harmware tego typu specjalizuje się również w przechwytywaniu zawartości ekranu(robieniu screena; obraz przesyłany jest do atakującego przez co może zobaczyć nasze poczynania na pulpicie i nie tylko), przechwytywanie obrazu z kamerki, kopiowanie wiadomości ze schowka (to ta pamięć, gdzie przechowywane są informacje ‘zagarnięte’ komendą ‘kopiuj’), przechwytywanie dźwięku z mikrofonu i inna działalność szpiegowska.
Jak widać nie jest to nic przyjemnego.
Jak sobie z tym radzi CIS?
Otóż odwieczna zasada była taka,że CIS nie musi temu zapobiegać, ponieważ nawet jeśli przechwycona zawartość będzie przesyłana do hakera - firewall zablokuje to rządanie. O dziwo CIS posiada kilka funkcji anty-loggerowych. Zrobiłem test z aplikacjami do tego przeznaczonymi. Producent innego oprogramowania anty-loggerowego stworzył takie programy, aby udowodnić słabość naszych zabezpieczeń. Czyżby?
Ustawienia były domyślne, oprócz zmiany konfiguracji zabezpieczeń na proaktywną.
A więc zaczynamy:
1.Test nr 1.
Czy Twój program potrafi zapobiec przechwytywaniu naciśnięć klawiatury(i tym sposobem przechwytywanie haseł do kont bankowych itd?) CIS potrafi. Widzimy wyraźny alert o dostępie do klawiatury:
http://img525.imageshack.us/img525/9944/klawaiatura.png
2.Test nr 2
Czy Twój program potrafi zapobiec przechwytywaniu zawartości ekranu? Comodo tak, owszem.
Taka sama sytuacja, osoba atakująca z jego/jej keyloggerem nie pobierze zawartości, może i nawet cennych informacji wynikających z naszego pulpitu.
http://img812.imageshack.us/img812/2937/screenlogger.png
3.Test 3, przechwytywanie obrazu z kamery.
Bardzo nieprzyjemna sytuacja. Był taki wirus, dawno, ale było o nim głośno. Szpiegował swoje ofiary poprzez przechwytywanie obrazu z kamerki internetowej.
Czy CIS potrafi zapobiec takiej sytuacji? Po części tak, a właściwie w całości.
Nie jest to jasny alert typu “program próbuje uzyskać bezpośredni dostęp do kamery internetowej”, ale…
Chodzi o modyfikacje klucza odpowiedzialną za to. Tutaj CIS jest czujny. Pisałem do nich o takim typowym module anty-loggerowym, może coś poradzą.
http://img9.imageshack.us/img9/7813/kamerka.png
- Test ostatni, czwarty.
Czy Twój program potrafi zapobiec przechwytywaniu zawartości schowka?
Wyobraźmy sobie sytuację,że kopiujemy 16-sto cyfrowy kod do naszego konta bankowego. Keyloggery potrafią przechwycić tą informację. Czy CIS zapobiegnie tej sytuacji?? Tak, oczywiście:
http://img257.imageshack.us/img257/4900/schowek.png
Na innych tego typu leaktestach zauważyłem,że CIS ma problemy z prewencją przed przechwyceniem screena(jest dużo tego typu testów) i nie potrafi ostrzec przez przechwyceniem głosu z mikrofonu. Ale jak już wspominałem ‘haker’ nie otrzyma tych danych, bo nawet jeśli zaczną one być wysyłane to firewall zablokuje to[my].Sprawdziłem też na ustawieniach domyślnych - efekt taki sam, wszystko jest blokowane.
Coś jest ‘nie halo’ z piaskownicą. Tam CIS ma trudności w blokowaniu, lecz gdy wypuścimy aplikację do systemu ładnie wszystko kontroluje. Pojawiło się kilka tematów opisujących podobny problem na anglojęzycznym forum - pewnie coś z tym zrobią do nowej wersji.
Taki temat z serii “Jak to działa…”
To nie jest laurka jak niektórzy sugerują ;). Mogłem pisać chamskim językiem, ale po co.