Шпионские программы и методы защиты от них

Программное обеспечение и аппаратные устройства, предназначенные для скрытого слежения за деятельностью пользователей персональных компьютеров, получили в последнее время самое широкое распространение.

В мировой сети Интернет можно найти много ресурсов и документов, посвященных различным аспектам данной проблемы (юридическим, техническим, политическим и т.д.).

Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно установлены без ведома владельца автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как "программы-шпионы" или "продукты-шпионы".

Санкционированные же мониторинговые программные продукты используется администратором безопасности вычислительной системы для обеспечения ее наблюдаемости:

» свойства вычислительной системы, позволяющего фиксировать деятельность пользователей и процессов, использование пассивных объектов

» а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия

Именно это свойство, в зависимости от качества его реализации, позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.

Между мониторинговыми продуктами для обеспечения наблюдаемости и продуктами-шпионами очень тонкая грань - это грань между управлением безопасностью и нарушением безопасности. При этом наличие в программе таких специальных функции как:

» возможность предварительной конфигурации модуля (клиента, агента и т.п.) мониторинга и получение "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране
» встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя

способствует и содействует превращению продукта для мониторинга и наблюдаемости в продукт-шпион. Напротив, наличие в программе следующих требований:

» возможность инсталляции и конфигурации модуля мониторинга только при непосредственном физическом доступе к компьютеру пользователя
» обязательное наличие прав системного администратора для инсталляции и конфигурации программы

зачастую делает продукт малопригодным для шпионских целей и несанкционированного применения. Исключение составляют случаи, когда, например, злоумышленником является сам администратор.

Отметим, что законность и/или незаконность использования мониторинговых и шпионских программ зависит от законодательства каждой конкретной страны или административной единицы, а также от соблюдения правил использования этих программ, установленных законодательством.

Их применение позволяет специалисту, ответственному за информационную безопасность предприятия:

» определить (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;

» определить факты несанкционированной установки программного обеспечения;

» проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;

» определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;

» определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;

» определить факты нецелевого использования персональных компьютеров;

» получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;

» контролировать доступ к серверам и персональным компьютерам;

» контролировать контакты собственных детей при серфинге в сети Интернет;

» проводить информационный аудит;

» исследовать и расследовать компьютерные инциденты;

» проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;

» определить загрузку компьютерных рабочих мест предприятия;

» восстановить критическую информацию после сбоев компьютерных систем;

Их применение позволяет злоумышленнику:

» несанкционированно перехватывать чужую информацию;

» осуществлять экономический шпионаж;

» осуществлять политический шпионаж;

» получить несанкционированный доступ к системам "банк-клиент";

» получить несанкционированный доступ к системам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;

» получить несанкционированный доступ к авторизационным данным кредитных карточек;

Одна из наиболее опасных особенностей всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных пользователем, с целью контроля компьютерной активности.

Когда пользователь набирает на клавиатуре пароль и данные своей кредитной карточки, возможно, в этот момент записывается каждое нажатие клавиши.

Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон.

Другими словами, программа-шпион может перехватить текст из документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл.

Ниже мы постараемся более детально осветить вопрос, что же собой представляют продукты-шпионы, которые могут быть использованы для скрытого съема информации с персонального компьютера, и какие существуют сегодня средства для защиты конфиденциальной/секретной информации, хранимой на жестком диске персонального компьютера, от описанных выше угроз.

Программные кейлоггеры (keyloggers, key loggers, keystroke loggers, key recorders, key trappers, key capture programs и множество других вариантов названия) принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера.

Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (Log-файл), который впоследствии изучался человеком, уставившим эту программу.

Log-файл может отправляться по сети на сетевой диск, ftp сервер в сети Интернет, по Email и др.

В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций – это:

» перехват информации из окон
» перехват кликов мыши
» "фотографирование" снимков экрана и активных окон
» ведение учета всех полученных и отправленных Email
» мониторинг файловой активности
» мониторинг системного реестра
» мониторинг очереди заданий, отправленных на принтер
» перехват звука с микрофона и видео-изображения с веб-камеры, соединенных к компьютеру и др.

Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, троянские программы, вирусы и черви.

В качестве примера можно привести нашумевшую эпидемию сетевого червя Mydoom, который содержал в себе кейлоггер. Эта эпидемия вызвала целую волну публикаций, показывающих особую актуальность проблемы защиты от программ-шпионов.

И это - не единственный пример. Многие серьезные и наиболее опасные предшественники Mydoom также содержали кейлоггеры.

При этом нередко для распространения червей использовалась широко известная уязвимость IFrame браузера Microsoft Internet Explorer, которая позволяла запустить произвольный код на компьютере пользователя при простом просмотре HTML документа в браузере или почтовом клиенте Outlook.

И хотя она была "залатана" еще в 2001 году, широкомасштабные вирусные эпидемии в недавнем прошлом еще раз показали, что многие пользователи до сих пор работают на устаревших системах без обновлений и патчей, несмотря на регулярные предупреждения антивирусных компаний.

Кроме того, компания Microsoft регулярно выпускает патчи, закрывающие новые уязвимости, позволяющие злоумышленнику выполнять произвольный код на компьютере пользователя.

Примерами известных программных кейлоггеров являются Activity Logger, Boss Everyware, Ghost Keylogger, HookDump, IamBigBrother, Invisible KeyLogger Stealth, iOpus STARR, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Keystroke Reporter, PC Spy, Perfect Keylogger, ProBot, Realtime Spy, Spector Pro, SpyAgent, SpyBuddy, WinWhatWhere Investigator.

В мире на сегодняшний день существуют сотни подобных продуктов, отличающихся друг от друга функциональностью, удобством работы, информативностью отчетов, возможностями по невидимости и защите от обнаружения/удаления.

Аппаратные кейлоггеры (keystroke recording device, hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре.

Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере интересующего объекта, чтобы успешно перехватывать все нажатия клавиш.

Такое устройство может быть тайно прикреплен к ПК объекта кем угодно - коллегой, уборщицей, посетителем и т.д.. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном.

Затем атакующий может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш.

Фотографии, опубликованные ниже наглядно иллюстрирует, насколько легко прикрепить данное устройство к компьютеру пользователя. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита.

Особо известны на рынке следующие аппаратные кейлоггеры - KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger, производителями которых являются компании Allen Concepts Inc., Amecisco, KeyGhost Ltd., MicroSpy Ltd.

Аппаратные кейлоггеры подразделяются на внешние и внутренние, отличительные особенности которых описаны ниже:

Внешние аппаратные кейлоггеры

Внутренние аппаратные кейлоггеры

Наружные аппаратные кейлоггеры подключаются между обычной клавиатурой ПК и компьютером и регистрируют каждое нажатие клавиш. Для работы им не нужны батареи, установленные программы, и они могут работать на любом ПК. Вы можете подключить их к одному компьютеру, чтобы записать информацию, а затем, при необходимости, подключить к другому, чтобы воспроизвести ее. Современные аппаратные кейлоггеры представляют собой встроенные приспособления, которые выглядят, как оборудование для ПК.

Сложнее всего обнаружить (и обезвредить) внутренний аппаратный кейлоггер, у которого аппаратный модуль перехвата нажатий клавиш встроен в корпус клавиатуры. Современный внутренний аппаратный кейлоггер представляет собой встроенное приспособление, которое выглядит, как клавиатура ПК. Небольшое устройство, внедренное в разрыв шнура клавиатуры и покрытое теплоизоляционным материалом.

Внешние виды анализаторов аппаратных кейлоггеров приведены ниже:

Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы различных типов, обеспечивающие более или менее эффективную защиту исключительно только против ИЗВЕСТНЫХ программ-шпионов с помощью сигнатурного анализа.

Для эффективной работы программ данного типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить данную сигнатуру в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться с данным вариантом программы-шпиона.

По данному принципу работают многие известные фирмы производители антивирусного программного обеспечения.

Но есть и другая группа программ-шпионов, которая наиболее опасна для любых автоматизированных систем - это НЕИЗВЕСТНЫЕ программы-шпионы. Они подразделяются на программы пяти типов:

1. Программы-шпионы, разрабатываемые под эгидой правительственных организаций (как пример - продукт Magic Lantern, проект под названием Cyber Knight, США).

2. Программы-шпионы, которые могут создаваться разработчиками различных операционных систем и включаться ими в состав ядра операционной системы.

3. Программы-шпионы, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программы, применяемые хакерами-профессионалами). Данные программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из сети Интернет и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.

4. Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (как пример - программные продукты таких известных фирм, как WinWhatWhere Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad Ltd. и др.).

5. Программы-шпионы, представляющие собой keylogging модули включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными.

Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет, например:

» W32.Dumaru.Y@mm
» W32.Yaha.AB@mm
» W32.Bugbear.B@mm
» W32.HLLW.Fizzer@mm
» W32.Badtrans.B@mm

Информация о программах-шпионах первого и третьего типа, как правило (если не происходит утечек информации), нигде не опубликовывается, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому они не могут обнаруживаться никакими программными продуктами, использующими сигнатурный анализ.

Информация о программах-шпионах второго типа нигде не опубликовывается, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями.

Информация о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если и внести такие программы в сигнатурные базы, то деактивировать, а, тем более, удалить их зачастую невозможно без разрушения операционной системы. Они не имеют своих процессов, а прячутся в виде потоков в системные процессы, они могут работать только с памятью компьютера и не работать с жестким диском, они имеют режимы контроля целостности и самовосстановления после сбоев.

Информация о программах-шпионах пятого типа вносится в сигнатурные базы через несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьютера уже может быть украдена и отослана в сеть Интернет на заранее подготовленный вирусописателем адрес.

Что же может противопоставить пользователь персонального компьютера программам-шпионам?

Решение данной проблемы возможно только в использовании комплекса программных продуктов:

» Программный продукт N1 - это продукт, который использует эвристические механизмы защиты против программ-шпионов, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Он оказывает защиту непрерывно и не использует никакие сигнатурные базы.

» Программный продукт N2 - это Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.

» Программный продукт N3 - это персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.

Такая последовательность выбрана неспроста.

Антивирусный программный продукт успевает отреагировать на проникновение вируса с keylogging модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а, соответственно, и обновиться на компьютере пользователя.

Персональный Firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты и т.д.).

Как правило, пользователь обязан разрешить им выход в Интернет. А это приводит к тому, что та информация, которая была уже украдена при полном бездействии антивирусной программы, спокойно будет передана в сеть Интернет на заранее подготовленный хакером (или кем-то иным) Интернет-адрес.

И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме.

Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (Kaspersky, NOD32, AVG, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие). Персональных межсетевых экранов создано еще больше (Outpost, Norton Internet Security, KIS, GuardianPro Firewall, Tiny Personal Firewall и многие другие). А защитные программные продукты первого типа представлены на сегодняшний день всего лишь одним продуктом, не имеющим аналогов в мире. Этот продукт называется PrivacyKeyboard™.

Никакие программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем персонального компьютера.

К сожалению, сегодня существует только два метода противодействия аппаратным кейлоггерам при работе на стандартном персональном компьютере:

-- физический поиск и устранение аппаратного кейлоггера;
-- использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и т.д.)