17301

Шпигунські програми й методи захисту від них

Лекция

Информатика, кибернетика и программирование

Лекція 11. Шпигунські програми й методи захисту від них Програмне забезпечення й апаратні пристрої призначені для прихованого спостереження за діяльністю користувачів персональних комп'ютерів одержали останнім часом саме широке поширення. У світовій мережі Інтернет

Украинкский

2013-06-30

135.5 KB

9 чел.

Лекція 11. Шпигунські програми й методи захисту від них

Програмне забезпечення й апаратні пристрої, призначені для прихованого спостереження за діяльністю користувачів персональних комп'ютерів, одержали останнім часом саме широке поширення. У світовій мережі Інтернет можна знайти багато ресурсів і документів, присвячених різним аспектам даної проблеми (юридичним, технічним, політичним і т.д.).

Особливу небезпеку представляють моніторингові програмні продукти й апаратні пристрої, які можуть бути потай і несанкціоновано ( як правило, дистанційно) установлені без відома власника (адміністратора безпеки) автоматизованої системи або без відома власника конкретного персонального комп'ютера. Дана категорія моніторингових продуктів далі буде іменуватися як " програми-шпигуни" або " продукти-шпигуни".

Санкціоновані ж моніторингові програмні продукти використовується адміністратором безпеки обчислювальної системи (службою інформаційної безпеки підприємства або організації) для забезпечення її спостережності - властивості обчислювальної системи, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об'єктів, а також однозначно встановлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки й/або забезпечення відповідальності за певні дії. Саме ця властивість, залежно від якості її реалізації, дозволяє тією чи іншою мірою контролювати дотримання співробітниками підприємства встановлених правил безпечної роботи на комп'ютерах і політики безпеки.

Між моніторинговими продуктами для забезпечення спостережності й продуктами-шпигунами дуже тонка грань - це грань між керуванням безпекою й порушенням безпеки. При цьому є наявність у програмі таких спеціальних функції як:

  •  можливість попередньої конфігурації модуля (клієнта, агента й т.п.) моніторингу й одержання "скомплектованого" виконуваного файлу, який при інсталяції не виводить ніяких повідомлень і не створює вікон на екрані;
  •  вбудовані засоби доставки й дистанційної установки сконфігурованого модуля на комп'ютер користувача;

сприяє перетворенню продукту для моніторингу й спостережності в продукт-шпигун. Напроти, наявність у програмі наступних вимог:

  •  можливість інсталяції й конфігурації модуля моніторингу тільки при безпосередньому фізичному доступі до комп'ютера користувача;
  •  обов'язкова наявність прав адміністратора для інсталяції й конфігурації програми;

найчастіше робить продукт малопридатним для шпигунських цілей і несанкціонованого застосування. Виключення становлять випадки, коли, наприклад, зловмисником є сам адміністратор.

Відзначимо, що законність/незаконність використання моніторингових (і шпигунських) програм залежить від законодавства кожної конкретної країни (або адміністративної одиниці), а також від дотримання правил використання цих програм, установлених законодавством.

Для чого використовуються моніторингові програми? 

Їхнє застосування дозволяє фахівцеві, відповідальному за інформаційну безпеку підприємства:

  •  визначити (локалізувати) усі випадки спроб несанкціонованого доступу до конфіденційної інформації з точною вказівкою часу й мережного робочого місця, з якого така спроба здійснювалася;
  •  визначити факти несанкціонованої установки програмного забезпечення;
  •  проконтролювати можливість використання персональних комп'ютерів у неробочий час і виявити мету такого використання;
  •  визначити всі випадки несанкціонованого використання модемів у локальній мережі шляхом аналізу фактів запуску несанкціоновано встановлених спеціалізованих додатків;
  •  визначити всі випадки набору на клавіатурі критичних слів і словосполучень, підготовки яких-небудь критичних документів, передача яких третім особам приведе до матеріального збитку;
  •  визначити факти нецільового використання персональних комп'ютерів:
  •  одержати достовірну інформацію, на підставі якої буде розроблятися політика інформаційної безпеки підприємства;
  •  контролювати доступ до серверів і персональним компютерам;
  •  контролювати контакти власних дітей при серфінгу в мережі Інтернет;
  •  проводити інформаційний аудит;
  •  досліджувати й розслідувати комп'ютерні інциденти;
  •  проводити наукові дослідження, пов'язані з визначенням точності, оперативності й адекватності реагування персоналу на зовнішні впливи;
  •  визначити завантаження комп'ютерних робочих місць підприємства;
  •  відновити критичну інформацію після збоїв комп'ютерних систем;
  •  і т.д.

Для чого використовуються несанкционированно встановлювані моніторингові програми, тобто програми-шпигуни? 

Їхнє застосування дозволяє зловмисникові:

  •  несанкціоновано перехоплювати чужу інформацію;
  •  здійснювати економічне шпигунство;
  •  здійснювати політичне шпигунство;
  •  одержати несанкціонований доступ до систем " банк-клієнт";
  •  одержати несанкціонований доступ до системи криптографії користувача персонального комп'ютера - відкритим і закритим ключам, парольним фразам;
  •  одержати несанкціонований доступ до авторизаційних даних кредитних карток;
  •  і т.д.

Продукти-шпигуни становлять серйозну небезпеку захисту окремих і з'єднаних у мережу комп'ютерних систем. 

Одна з найнебезпечніших особливостей усіх програм-шпигунів і апаратних пристроїв-кейлогерів - реєстрація натискань клавіш, зроблених користувачем, з метою контролю комп'ютерної активності. Коли користувач набирає на клавіатурі пароль і дані своєї кредитної картки, можливо, у цей момент записується кожне натискання клавіші. Крім цього, сучасні програми-шпигуни дозволяють захоплювати текст із вікон додатків і робити знімки (скриншоти) екрана й окремих вікон. Інакше кажучи, програма-шпигун може перехопити текст із документа, навіть якщо користувач його не набирав із клавіатури, а просто відкрив і переглянув файл.

Далі постараємося більш детально освітити питання, що ж собою представляють продукти-шпигуни, які можуть бути використані для прихованого знімання інформації з персонального комп'ютера, і які існують сьогодні засоби для захисту конфіденційної/секретної інформації, збереженої на жорсткому диску персонального комп'ютера, від наведених вище загроз.

Програмні кейлогери (keyloggers, key loggers, keystroke loggers, key recorders, key trappers, key capture programs і безліч інших варіантів назви) належать до тієї групи програмних продуктів, які здійснюють контроль над діяльністю користувача персонального комп'ютера. Спочатку програмні продукти цього типу призначали винятково для запису інформації про натискання клавіш клавіатури, у тому числі й системних, у спеціалізований журнал реєстрації ( Log-файл), який згодом вивчався людиною, що встановила цю програму. Log-файл може відправлятися по мережі на мережний диск, Ftp - сервер у мережі Інтернет, по Email і ін. Останнім часом програмні продукти, що мають дану назву, виконують багато додаткових функцій - це перехоплення інформації з вікон, перехоплення кличів миші, "фотографування" знімків екрана й активних вікон, ведення обліку всіх отриманих і відправлених Email, моніторинг файлової активності, моніторинг системного реєстру, моніторинг черги завдань, відправлених на принтер, перехоплення звуку з мікрофона й відео-зображення з веб-камери, підключених до комп'ютера й ін.

Кейлогери можуть бути вбудовані в комерційні, безкоштовні й умовно-безкоштовні програми, троянські програми, віруси й хробаки. Як приклад можна привести нашумілу епідемію хробака Mydoom, який містив у собі кейлогер. Ця епідемія викликала цілу хвилю публікацій, що показують особливу актуальність проблеми захисту від програм-шпигунів.

І це - не єдиний приклад. Серйозні й найнебезпечніші попередники Mydoom також містили кейлогери. При цьому нерідко для поширення хробаків використовувалася широко відома уразливість Iframe браузера Microsoft Internet Explorer, яка дозволяла запустити довільний код на комп'ютері користувача при простому перегляді HTML документа в браузері або поштовому клієнтові Outlook. І хоча вона була "залатана" ще в 2001 році, широкомасштабні вірусні епідемії в недавньому минулому ще раз показали, що багато користувачів дотепер працюють на застарілих системах без відновлень і патчів, незважаючи на регулярні попередження антивірусних компаній. Крім того, компанія Microsoft регулярно випускає патчі для нових уразливостей, що не дозволяють зловмисникові виконувати довільний код на комп'ютері користувача.

Прикладами відомих програмних кейлогерів є Activity Logger, Boss Everyware, Ghost Keylogger, Hookdump, Iambigbrother, Invisible Keylogger Stealth, iopus STARR, ispynow, Keycopy, Keykeeper, Keykey, Keylog, Keyspy, Keystroke Reporter, PC Spy, Perfect Keylogger, Probot, Realtime Spy, Spector Pro, Spyagent, Spybuddy, Winwhatwhere Investigator. У світі на сьогоднішній день існують сотні подібних продуктів, що відрізняються друг від друга функціональністю, зручністю роботи, інформативністю звітів, можливостями по невидимості й захисту від виявлення/видалення.

Апаратні кейлогери (keystroke recording device, hardware keylogger та ін.) являють собою мініатюрні пристрої, які можуть бути прикріплені між клавіатурою й комп'ютером або вбудовані в саму клавіатуру. Вони реєструють усі натискання клавіш, зроблені на клавіатурі. Процес реєстрації абсолютно прозорий для кінцевого користувача. Апаратні кейлогери не вимагають установки якої-небудь програми на комп'ютері об'єкта, що цікавить, щоб успішно перехоплювати всі натискання клавіш. Такий пристрій може бути таємно прикріплений до ПК об'єкта ким завгодно - колегою, прибиральницею, відвідувачем і т.д.. Коли апаратний кейлогер прикріплюється, абсолютно не має значення, у якому стані перебуває комп'ютер - включеному або виключеному.

Потім атакуючий може зняти пристрій у будь-який зручний момент, а його вміст (записані натискання клавіш) скачати, коли йому це буде зручно. Обсяги внутрішньої енергонезалежної пам'яті даних пристроїв дозволяють записувати до 10 мільйонів натискань клавіш. Дані пристрої можуть бути виконані в будь-якому вигляді, так що навіть фахівець не в змозі іноді визначити їхню наявність при проведенні інформаційного аудиту.

Особливо відомі на ринку наступні апаратні кейлогери - Keykatcher, Keyghost, Microguard, Hardware Keylogger, виробниками яких є компанії Allen Concepts Inc., Amecisco, Keyghost Ltd., Microspy Ltd.

Апаратні кейлогери підрозділяються на зовнішні й внутрішні, відмінні риси яких наведені нижче:

Зовнішні апаратні кейлогери

Внутрішні апаратні кейлогери

Зовнішні апаратні кейлогери підключаються між звичайною клавіатурою ПК і комп'ютером і реєструють кожне натискання клавіш. Для роботи їм не потрібні батареї, установлені програми, і вони можуть працювати на будь-якому ПК. Ви можете підключити їх до одного комп'ютера, щоб записати інформацію, а потім, при необхідності, підключити до іншого, щоб відтворити її.

Сучасні апаратні кейлогери являють собою вбудовані пристрої, які виглядають, як устаткування для ПК.

Складніше всього виявити (і знешкодити) внутрішній апаратний кейлогер, у якого апаратний модуль перехоплення натискань клавіш вбудований у корпус клавіатури.

Сучасний внутрішній апаратний кейлогер являє собою вбудований пристрій, який виглядає, як клавіатура ПК.

Невеликий пристрій, впроваджений в розрив шнура клавіатури й покритий теплоізоляційним матеріалом.

Методи протидії програмам-шпигунам

Для виявлення й видалення моніторингових програмних продуктів, які можуть бути встановлені без відома користувача ПК, у наш час використовуються програми різних типів, що забезпечують більш-менш ефективний захист винятково тільки проти ВІДОМИХ програм-шпигунів за допомогою сигнатурного аналізу. Для ефективної роботи програм даного типу необхідно одержати зразок програми-шпигуна, виділити з неї сигнатуру й включити дану сигнатуру у свою базу. При оновленні сигнатурної бази користувачі персонального комп'ютера одержують можливість боротися з даним варіантом програми-шпигуна. По даному принципу працюють багато відомих фірм виробники антивірусного програмного забезпечення.

Але є й інша група програм-шпигунів, яка найнебезпечніша для будь-яких автоматизованих систем - це НЕВІДОМІ програми-шпигуни. Вони підрозділяються на програми п'яти типів:

  1.  Програми-шпигуни, що розроблені під егідою урядових організацій ( як приклад - продукт Magic Lantern, проект за назвою Cyber Knight, США).
  2.  Програми-шпигуни, які можуть створюватися розроблювачами різних операційних систем і включатися ними до складу ядра операційної системи.
  3.  Програми-шпигуни, які розроблені в обмеженій кількості (часто тільки в одній або декількох копіях) для рішення конкретного завдання, пов'язаного з викраденням критичної інформації з комп'ютера користувача (наприклад, програми, застосовувані хакерами-професіоналами). Дані програми можуть являти собою трохи видозмінені відкриті вихідні коди програм-шпигунів, узяті з мережі Інтернет і скомпільовані самим хакером, що дозволяє змінити сигнатуру програми-шпигуна.
  4.  Комерційні, особливо, корпоративні програмні продукти, які дуже рідко вносяться в сигнатурні бази, а якщо й вносяться, то тільки за політичними мотивами ( як приклад - програмні продукти таких відомих фірм, як Winwhatwhere Corporation, Spectorsoft Corporation, Exploreanywhere Software LLC, Omniquad Ltd. і ін.).
  5.  Програми-шпигуни, що представляють собою keylogging модулі, що включаються до складу програм-вірусів. До внесення сигнатурних даних у вірусну базу дані модулі є невідомими. Приклад - всесвітньо відомі віруси, що накоїли багато лиха в останні роки, що мають у своєму складі модуль перехоплення натискань клавіатури й відправлення отриманої інформації в мережу Інтернет, наприклад -

http://securityresponse.symantec.com/avcenter/venc/data/w32.dumaru.y@mm.html 

http://securityresponse.symantec.com/avcenter/venc/data/w32.yahttpb@mm.html 

http://securityresponse.symantec.com/avcenter/venc/data/w32.http.fizzer@mm.html 

Інформація про програми-шпигуни першого й третього типу, як правило (якщо не відбувається витоків інформації), ніде не опубліковується, і, відповідно, їхній код не може бути внесений у сигнатурні бази, тому вони не можуть виявлятися ніякими програмними продуктами, що використовують сигнатурний аналіз.

Інформація про програми-шпигунах другого типу ніде не опубліковується, даний код працює на рівні ядра операційної системи й, відповідно, вони не можуть виявлятися ніякими додатками.

Інформація про програми-шпигунах четвертого типу вноситься в сигнатурні бази дуже рідко, тому що це суперечить законодавству багатьох країн світу. Але навіть якщо й внести такі програми в сигнатурні бази, то деактивувати, а, тим більше, вилучити їх найчастіше неможливо без руйнування операційної системи. Вони не мають своїх процесів, а ховаються у вигляді потоків у системні процеси, вони можуть працювати тільки з пам'яттю комп'ютера й не працювати з жорстким диском, вони мають режими контролю цілісності й самовідновлення після збоїв.

Інформація про програми-шпигунах п'ятого типу вноситься в сигнатурні бази через кілька годин або днів після початку відповідної вірусної атаки. А за цей час конфіденційна інформація користувача персонального комп’ютера вже може бути украдена й відіслана в мережу Інтернет на заздалегідь підготовлені адреси.

Що ж може протиставити користувач персонального комп'ютера програмам-шпигунам?

Рішення даної проблеми можливо тільки у використанні комплексу програмних продуктів:

  •  Програмний продукт N1 - це продукт, який використовує евристичні механізми захисту проти програм-шпигунів, створені фахівцями, що мають великий досвід боротьби із програмами-шпигунами. Він надає захист безупинно й не використовує ніякі сигнатурні бази.
  •  Програмний продукт N2 - це Антивірусний програмний продукт, що використовує постійно оновлювані сигнатурні бази.
  •  Програмний продукт N3 - це персональний Firewall Інтернет, що контролює вихід у мережу з персонального комп'ютера на підставі політик, які встановлює сам користувач.

Така послідовність обрана неспроста.

Антивірусний програмний продукт встигає відреагувати на проникнення вірусу з keylogging модулем, коли вже здійснене перехоплення інформації, тому що вірусна база ще не встигла поповнитися новою інформацією, а, відповідно, і обновитися на комп'ютері користувача.

Персональний Firewall задає багато запитань, на які навіть дуже добре підготовлений користувач може відповісти некоректно, тим самим неправильно його сконфігурував. Наприклад, деякі комерційні моніторингові програми використовують процеси програмних продуктів, яким свідомо дозволений вихід в Інтернет (браузери, поштові клієнти і т.д.). Як правило, користувач зобов'язаний дозволити їм вихід в Інтернет. А це приводить до того, що та інформація, яка була вже украдена при повній бездіяльності антивірусної програми, спокійно буде передана в мережу Інтернет на заздалегідь підготовлений хакером (або кимось іншим) інтернет-адресу.

І тільки програмний продукт першого типу працює мовчки, не задаючи непотрібних запитань користувачеві, і здійснює свою роботу безупинно у фоновому режимі.

Антивірусних програмних продуктів, що використовують постійно оновлювані сигнатурні бази, у світі створене безліч (AVP, Dr.Web, Panda Antivirus, Norton Antivirus і багато інші). Персональних міжмережевих екранів створено ще більше (Norton Internet Security, Blackice Defender, Guardianpro Firewall, Tiny Personal Firewall і багато інших). А захисні програмні продукти першого типу представлені на сьогоднішній день усього лише одним продуктом, що не має аналогів у світі. Цей продукт називається Privacykeyboard.

Privacykeyboard блокує роботу програм-шпигунів без використання сигнатурних баз. Це стало можливим завдяки тому, що були знайдені рішення й розроблені алгоритми, які дозволили відрізнити роботу програми-шпигуна від будь-якого іншого додатка, який установлений у системі.

Privacykeyboard має у своєму складу модулі, що забезпечують

  •  захист від перехоплення натискань клавіш клавіатури;
  •  захист від перехоплення тексту з вікон;
  •  захист від зняття зображення робочого стола;
  •  захист від зняття зображення активних вікон.

Для власного захисту від зовнішнього руйнівного впливу програм-шпигунів програмний продукт Privacykeyboard має систему контролю цілісності й інші захисні функції.

Методи протидії апаратним кейлоггерам

Ніякі програмні продукти не в змозі визначити наявність установлених апаратних пристроїв, які забезпечують перехоплення натискань клавіатури користувачем персонального комп'ютера.

Сьогодні існує тільки два методи протидії апаратним кейлогерам при роботі на стандартному персональному комп'ютері:

  •  фізичний пошук і усунення апаратного кейлогера;
  •  використання віртуальних клавіатур для вводу особливо важливої інформації (логіни, паролі, коди доступу, PIN коди кредитних карт і т.д.).

Зупинимося детальніше на другому пункті.

Програмний продукт Privacykeyboard має у своєму складі модуль захисту від апаратних кейлогерів, виконаний у вигляді віртуальної екранної клавіатури, яка викликається користувачем якщо буде потреба.

Розкладка віртуальної клавіатури переключається автоматично при переключенні розкладки основної клавіатури персонального комп'ютера й підтримує всі мови й розкладки, які встановлені в операційній системі Microsoft Windows.

Структурна схема й короткий опис механізму функціонування програми Privacykeyboard представлені нижче.

Модуль блокування програмних кейлогерів є активним за замовчуванням, забезпечуючи постійний і прозорий захист "на льоту" від різних типів програмних кейлогерів. Його можна легко виключити/включити одиночним лівим клацанням миші на іконці Privacykeyboard у системному треї. Коли Модуль блокування програмних кейлогерів включений, Privacykeyboard придушує будь-які кейлогери, які можуть бути включені до складу комерційних, безкоштовних і умовно безкоштовних продуктів, а також "троянських коней" і вірусів, що використовують самі різні принципи функціонування й заснованих на модулях користувацького рівня або рівня ядра системи - dll, exe, sys і ін., які створюють лог - файли на жорсткому диску, у пам'яті, реєстрі, на мережних дисках, або пересилають лог - файли на заздалегідь вказані адреси по протоколах SMTP, FTP, HTTP і ін.

Модуль блокування апаратних кейлогерів можна активувати шляхом натискання правої клавіші миші на іконці Privacykeyboard у системному треї й вибору опції Показати модуль блокування апаратних кейлогерів. При цьому на екрані з'явиться віртуальна клавіатура. Вона підтримує різні розкладки клавіатури й мови, установлені в системі. При роботі з віртуальною клавіатурою з метою безпеки стандартна клавіатура блокується. При включенні Модуля блокування апаратних кейлогерів автоматично включається Модуль блокування програмних кейлогерів, навіть якщо він перед цим був виключений. Настійно рекомендується використовувати спільне функціонування цих двох модулів для введення найбільш критичної інформації - логінів, паролів, кодів доступу й т.п.

Розроблювачем програми Privacykeyboard є ТОВ "Центр інформаційної безпеки" ( м.Запоріжжя, Україна). Доступна безкоштовна версія для ознайомлення, скачати яку можна за адресою: http://www.bezpeka.biz/download.html.


 

А также другие работы, которые могут Вас заинтересовать

70655. ОСНОВНЫЕ УРАВНЕНИЕ ДВИЖУЩЕГОСЯ ПОТОКА ЖИДКОСТИ И ГАЗА 765.02 KB
  Используя основное уравнение молекулярно-кинетической теории газов можно установить взаимосвязь между параметрами состояния идеального газа в любом термодинамическом состоянии. Изменение хотя бы одного из параметров приводит к изменению остальных пара-метров.
70656. ТЕХНОЛОГИЯ НАБОРА ПЕРСОНАЛА 652.55 KB
  Цель занятия сформировать у студентов понимание содержания технологии набора персонала и места данной технологии в процессе управления персоналом Задачи: определить сущность и цель процедуры набора как способа формирования работоспособного коллектива проанализировать ограничения...
70657. ПОНЯТИЕ О ПОТОКЕ ЖИДКОСТИ И ГАЗОВ, ВИДЫ ДВИЖЕНИЯ И ЕГО СВОЙСТВА 1.44 MB
  Аэрогидрогазодинамика как наука изучает явления, которые связаны с движением жидкости и газа. Изучение законов движения жидкости и газа, и взаимодействие их с твердыми телами возможно на основе теоретических познаний.
70660. Аппендицит 118.5 KB
  Летальность при остром аппендиците на протяжении последних 20 лет практически не изменилась, оставаясь в пределах 0.05-0.1%. Диагностические ошибки при этом заболевании встречаются в 12-30% случаев.
70661. НАГНОИТЕЛЬНЫЕ ЗАБОЛЕВАНИЯ ЛЕГКИХ И ПЛЕВРЫ 279 KB
  Острые инфекционные деструкции лёгких: а острый гнойный абсцесс лёгкого; б острый гангренозный абсцесс лёгкого; в распространённая гангрена лёгкого; г хронический абсцесс лёгкого. абсцесс и гангрена лёгкого Абсцесс легкого гнойный очаг в паренхиме легкого имеющий полость стенки и содержимое.
70662. ГРЫЖИ ЖИВОТА 104.5 KB
  Наружные грыжи - выхождение брюшных органов, покрытых пристеночной брюшиной, через дефекты в брюшной стенке под кожу. Внутренние грыжи – выхождение брюшных внутренностей в различные карманы брюшины или брыжейки, или через отверстия диафрагмы – в грудную полость...
70663. Патология диафрагмы 255.59 KB
  Грудинная часть диафрагмы самый незначительный отдел диафрагмы начинается от задней поверхности мечевидного отростка и переходит в сухожильный центр. Реберная часть диафрагмы составляет наибольшую часть диафрагмы и начинается зубцами от внутренней поверхности костных и хрящевых...