А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Несколько слов следует сказать про проактивную защиту. Наиболее «распространенным» решением является использование систем проактивной защиты, которые могут предупредить пользователя об установке или активизации программных кейлоггеров.

Главный недостаток этого способа — необходимость активного участия пользователя для определения дальнейших действий с подозрительным кодом.

Если пользователь недостаточно технически подготовлен, из-за его некомпетентного решения кейлоггер может быть пропущен.

Если же участие пользователя в принятии решения системой проактивной защиты минимизировать, то keylogger может быть пропущен в следствии недостаточно жесткой политики безопасности системы.

Вот такая палка о двух концах. И чуть чуть выделим еще кое-что.

Последний из рассматриваемых способов защиты как от программных, так и от аппаратных кейлоггеров — использование виртуальной клавиатуры.

Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.

Надо сказать, что экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а как средство помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена любой вредоносной программой.

Конечно экранная клавиатура может быть использована для того, чтобы обойти keylogger, однако, она должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи (как правило, здесь применяется алгоритм смены позиции кнопок и цифр, а так же шифрование конечного результата).

А теперь очень кратко поговорим о программах для поиска и удаления кейлоггеров.

Здесь можно использовать такие простые решения:

• использовать любой антивирусный продукт. Большая часть антивирусов, в той или иной мере, может находить клавиатурные шпионы, но полагаться только на них нет смысла, ибо, как уже говорилось выше, это таки не совсем вирус;

• использовать утилиты, реализующие механизмы сигнатурного и эвристического поиска. Примером может служить утилита AVZ, сочетающая сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек;

• использовать специализированные утилиты и программы, предназначенные для обнаружения клавиатурных шпионов и блокирования их работы. Подобные программы наиболее эффективны для обнаружения и блокирования кейлоггеров поскольку, как правило, могут блокировать практически все их разновидности.

Есть конечно еще и другие решения, но этого набора должна хватить.

Итак, подведем краткие итоги этому разделу.

Несмотря на то, что все производители кейлоггеров позиционируют их как легальное ПО, большинство кейлоггеров может быть использовано для кражи персональной информации пользователей и осуществления экономического шпионажа.

В настоящее время кейлоггеры, наряду с фишингом и методами социальной инженерии, являются одним из главных методов электронного мошенничества. Компании, работающие в сфере компьютерной безопасности, фиксируют стремительный рост числа вредоносных программ, имеющих функциональность кейлогге-ра. Отмечается тенденция добавления в программные кейлоггеры рассмотренных в главе 3 rootkit-технологий, назначение которых — скрыть файлы кейлоггера так, чтобы они не были видны ни пользователю, ни антивирусному сканеру.

Очевидно, что обнаружить факт шпионажа с помощью кейлог-геров можно только с использованием специализированных средств защиты.

Для защиты от кейлоггеров следует использовать многоуровневую защиту от защиты браузера до антивирусов, виртуальной клавиатуры и пр.

Более трех десятилетий специалисты по компьютерной безопасности считали, что неизлечимый вирус, который навсегда остается в компьютерном оборудовании, это просто профессиональная сказка. Однако, как установили специалисты «Лаборатория Касперского», похоже, кое-кто потратил миллионы долларов, чтобы сделать эту сказку былью [5]. Журналисты, освещающие проблемы информационной безопасности трактуют эту историю в довольно паническом тоне, заявляя, что хакеры могут получать таким образом доступ к информации на большинстве компьютеров в мире.

Давайте прежде всего разберемся, что такое «перепрограммирование прошивки винчестера». Как известно обычный жесткий диск компьютера состоит из нескольких компонентов, самыми важными из которых являются собственно носитель информации (магнитные диски для классических винчестеров HDD или чипы флеш-памяти для SSD) и микросхема, которая управляет процессами чтения и записи на диск, а также многочисленными сервисными процедурами, например обнаружением и исправлением ошибок.

Поскольку таких служебных процедур очень много и они достаточно сложны, эта специализированная микросхема работает по достаточно обширной программе и, собственно говоря, сама по себе является уже маленьким компьютером. Программа этой микросхемы и называется прошивкой, и производители жестких дисков иногда хотят обновлять ее, чтобы исправить какие-то свои найденные ошибки или улучшить скорость работы диска.

Как раз этот механизм и научилась эффективно эксплуатировать хакеры, загружая свою собственную прошивку в жесткие диски 12 различных «категорий» (производителей/моделей). Надо прямо сказать, что функции модифицированной прошивки на момент выхода этой книги остаются загадкой, но вредоносное ПО на компьютере благодаря ей действительно получает возможность читать и писать данные в специальный подраздел жесткого диска. Эксперты пока только предполагают, что этот подраздел становится полностью скрытым как от операционной системы, так и от специальных аналитических программ, работающих с диском на низком уровне. Поэтому данные в этой области могут пережить даже процедуру форматирования диска!

Более того, теоретически эта прошивка способна повторно заражать загрузочную область жесткого диска, делая даже свежеуста-новленную операционную систему тоже инфицированной. Вопрос дополнительно усложняется тем парадоксальным фактом, что за проверку состояния прошивки и обновление прошивки отвечает сама эта прошивка. Поэтому сегодня никакие программы на компьютере не могут надежно проверить целостность кода прошивки или обновить его с надежным результатом. Иными словами, однажды зараженная прошивка практически недетектируема и неуничтожима. Понятно, что дешевле и проще просто выкинуть в урну подозрительный жесткий диск и купить себе новый.