А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Здесь можно выделить лишь следующие наиболее известные методы распространения кейлоггеров (без учета случаев покупки и установки их заботливым другом, супругом/ой и использования кейлоггеров службами безопасности организаций):

• при открытии зараженного файла, присоединенного к электронному письму;

• при запуске файла из каталога, находящегося в общем доступе в peer-to-peer сети;

• с помощью скрипта на веб-страницах, который использует особенности интернет-браузеров, позволяющие программам запускаться автоматически при заходе пользователя на данные страницы;

• с помощью ранее установленной вредоносной программы, которая умеет скачивать и устанавливать в систему себе подобные аналоги.

Кратко перечислим здесь основные известные нам методики поиска клавиатурных шпионов. Как оказалось, несмотря на всю изощренность клавиатурных шпионов, рассмотренных нами в главе 3, для их «отлова» (поиска) существуют свои, довольно успешные методики, которые мы рассмотрим ниже.

Поиск по сигнатурам. Данный метод в принципе не отличается от типовых методик поиска вирусов. Сигнатурный поиск позволяет однозначно идентифицировать клавиатурные шпионы, при правильном выборе сигнатур вероятность ошибки практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее известные и описанные в его базе данных объекты, так что эта база должна быть большой и ее нужно постоянно обновлять.

Эвристические алгоритмы. Это методики поиска клавиатурного шпиона по его характерным (индивидуальным) особенностям. Эвристический поиск всегда носит вероятностный характер, и он наиболее эффективен для поиска клавиатурных шпионов самого распространенного типа — основанного на ловушках, однако подобные методики иногда на практике дают много ложных срабатываний. Некоторые исследования показали, что существуют сотни безопасных программ, не являющихся клавиатурными шпионами, но устанавливающих ловушки для слежения за клавиатурным вводом и мышью. Наиболее известные примеры — программа Punto Switcher, программное обеспечение от мультимедийных клавиатур и мышей.

Мониторинг API-функций, используемых клавиатурными шпионами. Данная методика основана на перехвате ряда функций, применяемых клавиатурным шпионом, в частности, функций SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState. Вызов данных функций каким-либо приложением позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных срабатываний будут аналогичны предыдущему методу.

Отслеживание используемых системой драйверов, процессов и сервисов. Это универсальная методика, применимая не только против клавиатурных шпионов. В простейшем случае можно применять программы типа Kaspersky Inspector, которые отслеживают появление в системе новых файлов.

В основном — это всё то, что касается методик поиска, а теперь пройдемся по способам защиты как от программных, так и от аппаратных кейлоггеров.

Надо сказать, что большинство антивирусных компаний сегодня добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения, а именно:

• устанавливается антивирусный продукт;

• поддерживается актуальное состояние баз.

Впрочем, это помогает не всегда, поскольку большинство антивирусных продуктов относит кейлоггеры к классу потенциально опасного программного обеспечения, то вам прежде всего следует удостовериться, что при настройках по умолчанию используемый антивирусный продукт детектирует наличие программ данного класса. Если это не так, то для их детектирования необходимо выставить подобную настройку вручную. Это позволит реально защититься от большинства широко распространенных кейлоггеров.

Рассмотрим несколько подробнее методы защиты с неизвестными кейлоггерами или кейлоггерами, изготовленными специально для атаки конкретной системы.

Здесь надо сказать несколько слов о методологии безопасности. Так как основной целью использования любых клавиатурных шпионов является получение конфиденциальной информации (номера банковских карт, паролей и т. п.), то разумными методами защиты от них являются следующие:

• использование одноразовых паролей/двухфакторная аутентификация;

• использование систем проактивной защиты;

• использование виртуальных клавиатур;

• использование No-script расширений для браузеров.

Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться.

Поэтому, даже если такой пароль и будет перехвачен, злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации.

Для получения таких одноразовых паролей могут использоваться специальные аппаратные устройства:

а) в виде «брелка»-токена (например, Blizzard eToken)

б) в виде «калькулятора»

В случае использования устройства генерации пароля в виде «брелка», алгоритм получения доступа к защищенной информационной системе таков:

1) пользователь подключается к интернету и открывает диалоговое окно для ввода персональных данных;

2) далее пользователь нажимает на кнопку ключа для генерации одноразового пароля, после этого пароль на 15 секунд появляется на ЖК-дисплее брелка;

3) пользователь вводит в диалоговом окне свой логин, персональный PIN-код и сгенерированное значение одноразового пароля (обычно PIN-код и ключ вводятся последовательно в одно поле passcode);

4) введённые значения проверяются на стороне сервера, после чего принимается решение о том, имеет ли право их владелец на работу с закрытыми данными.

При использовании устройства в виде калькулятора для генерации пароля пользователь набирает свой PIN-код на клавиатуре устройства и нажимает кнопку.

Для получения одноразовых паролей могут также использоваться системы, основанные на отправке SMS с мобильного телефона, но это решение давно и прочно считается безопасниками не самым разумным и безопасным решением, поэтому рекомендуется, при прочих равных, избегать его использования.

Но вообще говоря самым надежным вариантом сейчас являются системы двухфакгорной авторизации основанной на генерации временных кодов.

По сути они являются аппаратными, т. к. для генерации используется отдельное устройство (телефон, планшет и т. п.) с установленным на него ПО, вроде Google Authenticator.