Регистрация нажатий клавиш

Действие записи нажатия клавиш на клавиатуре

Регистрация нажатий клавиш , часто называемая кейлоггером или захватом клавиатуры , представляет собой действие записи (протоколирования) нажатий клавиш на клавиатуре , ^{[1] [2]} как правило, скрытно, так что человек, использующий клавиатуру, не знает, что его действия отслеживаются. Затем данные могут быть извлечены человеком, управляющим программой регистрации. Регистратор нажатий клавиш или кейлоггер может быть как программным , так и аппаратным .

Хотя сами программы являются законными, ^[3] и многие из них разработаны для того, чтобы позволить работодателям контролировать использование их компьютеров, кейлоггеры чаще всего используются для кражи паролей и другой конфиденциальной информации . ^{[4] [5]} Регистрация нажатий клавиш также может использоваться для наблюдения за действиями детей в школах или дома, а также сотрудниками правоохранительных органов для расследования злонамеренного использования. ^[6]

Кейлоггерство также может быть использовано для изучения динамики нажатия клавиш ^[7] или взаимодействия человека с компьютером . Существует множество методов кейлоггерства, от аппаратных и программных подходов до акустического криптоанализа.

История

В середине 1970-х годов Советский Союз разработал и внедрил аппаратный кейлоггер, нацеленный на пишущие машинки . Названный «selectric bug», он измерял движения печатающей головки пишущих машинок IBM Selectric посредством тонких влияний на региональное магнитное поле, вызванное вращением и движениями печатающей головки. ^[8] Ранний кейлоггер был написан Перри Киволовицем и опубликован в группе новостей Usenet net.unix-wizards, net.sources 17 ноября 1983 года. ^[9] Публикация, по-видимому, является мотивирующим фактором в ограничении доступа к /dev/kmemсистемам Unix . Программа пользовательского режима работала, находя и выгружая списки символов (клиентов), поскольку они были собраны в ядре Unix.

В 1970-х годах шпионы установили клавиатурные шпионы в зданиях посольства и консульства США в Москве . ^{[10] [11]} Они установили жучки в электрических пишущих машинках Selectric II и Selectric III. ^[12]

Советские посольства использовали ручные пишущие машинки вместо электрических для секретной информации — по-видимому, потому, что они невосприимчивы к таким подслушивающим устройствам. ^[12] По состоянию на 2013 год российские спецслужбы все еще используют пишущие машинки. ^{[11] [13] [14]}

Применение кейлоггера

Программные кейлоггеры

Пример захвата экрана кейлоггером, который содержит потенциально конфиденциальную и личную информацию. Изображение ниже содержит соответствующий текстовый результат кейлоггера.

Лог -файл программного кейлоггера, основанный на снимке экрана выше

Программный кейлоггер — это компьютерная программа, предназначенная для записи любого ввода с клавиатуры. ^[15] Кейлоггеры используются в ИТ- организациях для устранения технических проблем с компьютерами и бизнес-сетями. Семьи и бизнесмены используют кейлоггеры на законных основаниях для мониторинга использования сети без прямого ведома их пользователей. Microsoft публично заявила, что в финальной версии Windows 10 есть встроенный кейлоггер «для улучшения служб набора и письма». ^[16] Однако злоумышленники могут использовать кейлоггеры на общественных компьютерах для кражи паролей или информации о кредитных картах. Большинство кейлоггеров не останавливаются шифрованием HTTPS , поскольку оно защищает только данные, передаваемые между компьютерами; программные кейлоггеры работают на компьютере затронутого пользователя, считывая ввод с клавиатуры непосредственно по мере того, как пользователь печатает.

С технической точки зрения существует несколько категорий:

• На основе гипервизора : теоретически кейлоггер может находиться во вредоносном гипервизоре, работающем под операционной системой, которая, таким образом, остается нетронутой. Он фактически становится виртуальной машиной . Blue Pill — концептуальный пример.
• На основе ядра : программа на машине получает доступ root , чтобы спрятаться в ОС и перехватывать нажатия клавиш, проходящие через ядро. Этот метод сложен как для написания, так и для борьбы с ним. Такие кейлоггеры находятся на уровне ядра , что затрудняет их обнаружение, особенно для приложений пользовательского режима, не имеющих доступа root. Они часто реализуются как руткиты , которые подрывают ядро ​​операционной системы, чтобы получить несанкционированный доступ к оборудованию. Это делает их очень мощными. Кейлоггер, использующий этот метод, может действовать как драйвер устройства клавиатуры , например, и, таким образом, получать доступ к любой информации, набранной на клавиатуре, по мере ее поступления в операционную систему.
• На основе API : эти кейлоггеры подключают API клавиатуры внутри работающего приложения. Кейлоггер регистрирует события нажатия клавиш, как если бы это была обычная часть приложения, а не вредоносная программа. Кейлоггер получает событие каждый раз, когда пользователь нажимает или отпускает клавишу. Кейлоггер просто записывает его.
  • API Windows, такие как GetAsyncKeyState(), GetForegroundWindow(), и т. д., используются для опроса состояния клавиатуры или для подписки на события клавиатуры. ^[17] Более поздний ^{[ когда? ]} пример просто опрашивает BIOS на предмет PIN-кодов предзагрузочной аутентификации , которые не были очищены из памяти. ^[18]
• Основанные на захвате форм : основанные на захвате форм кейлоггеры регистрируют отправку веб-форм , записывая данные форм при событиях отправки. Это происходит, когда пользователь заполняет форму и отправляет ее, обычно нажимая кнопку или ввод. Этот тип кейлоггеров записывает данные форм до того, как они будут переданы через Интернет.
• На основе JavaScript: вредоносный скрипт-тег внедряется в целевую веб-страницу и прослушивает ключевые события, такие как onKeyUp(). Скрипты могут внедряться различными способами, включая межсайтовый скриптинг , man-in-the-browser , man-in-the-middle или компрометацию удаленного веб-сайта. ^[19]
• Основанные на инъекции памяти : кейлоггеры, основанные на инъекции памяти ( MitB ), выполняют свою функцию регистрации, изменяя таблицы памяти, связанные с браузером и другими системными функциями. Путем исправления таблиц памяти или непосредственного внедрения в память этот метод может использоваться авторами вредоносных программ для обхода Windows UAC (контроля учетных записей пользователей). Трояны Zeus и SpyEye используют исключительно этот метод. ^[20] Системы, отличные от Windows, имеют защитные механизмы, которые позволяют получать доступ к локально записанным данным из удаленного местоположения. ^{[ необходимо разъяснение ]} Удаленная связь может быть достигнута при использовании одного из этих методов:
  • Данные загружаются на веб-сайт, в базу данных или на FTP- сервер.
  • Данные периодически отправляются по электронной почте на заранее указанный адрес электронной почты .
  • Данные передаются по беспроводной связи с использованием подключенной аппаратной системы.
  • Программное обеспечение позволяет осуществлять удаленный вход на локальный компьютер из Интернета или локальной сети для доступа к журналам данных, хранящимся на целевом компьютере.

Регистрация нажатий клавиш в исследовании процесса письма

С 2006 года регистрация нажатий клавиш является общепринятым методом исследования процессов письма. ^{[21] [22]} Были разработаны различные программы для сбора онлайн-данных о процессах письма, ^[23] включая Inputlog , Scriptlog, Translog и GGXLog.

Регистрация нажатия клавиш используется законно как подходящий исследовательский инструмент в нескольких контекстах письма. Они включают исследования когнитивных процессов письма, которые включают

• описания стратегий письма; развитие письма у детей (с трудностями письма и без них),
• написание,
• письменность на первом и втором языке, и
• специальные навыки в таких областях, как перевод и субтитрирование.

Регистрация нажатия клавиш может быть использована для исследования письма, в частности. Она также может быть интегрирована в образовательные домены для изучения второго языка, навыков программирования и навыков набора текста.

Связанные особенности

Программные кейлоггеры могут быть дополнены функциями, которые захватывают информацию пользователя, не полагаясь на нажатия клавиш клавиатуры как на единственный ввод. Некоторые из этих функций включают:

• Ведение журнала буфера обмена. Все, что было скопировано в буфер обмена, может быть зафиксировано программой.
• Журналирование экрана. Снимки экрана делаются для захвата графической информации. Приложения с возможностями журналирования экрана могут делать снимки всего экрана, только одного приложения или даже только вокруг курсора мыши. Они могут делать эти снимки экрана периодически или в ответ на поведение пользователя (например, когда пользователь щелкает мышью). Журналирование экрана может использоваться для захвата данных, вводимых с помощью экранной клавиатуры.
• Программный захват текста в элементе управления . API Microsoft Windows позволяет программам запрашивать текст «значение» в некоторых элементах управления. Это означает, что некоторые пароли могут быть захвачены, даже если они скрыты за масками паролей (обычно звездочками). ^[24]
• Запись каждой открытой программы/папки/окна, включая снимок экрана каждого посещенного веб-сайта.
• Запись запросов поисковых систем , разговоров в мессенджерах , загрузок по FTP и других действий в Интернете (включая используемую полосу пропускания).

Аппаратные кейлоггеры

Аппаратный кейлоггер

Подключенный аппаратный кейлоггер

Аппаратные кейлоггеры не зависят от установки какого-либо программного обеспечения, поскольку они существуют на аппаратном уровне в компьютерной системе.

• На основе прошивки: прошивка уровня BIOS , которая обрабатывает события клавиатуры, может быть изменена для записи этих событий по мере их обработки. Требуется физический и/или корневой доступ к машине, а программное обеспечение, загружаемое в BIOS, должно быть создано для конкретного оборудования, на котором оно будет работать. ^[25]
• Аппаратное обеспечение клавиатуры: Аппаратные кейлоггеры используются для регистрации нажатий клавиш с использованием аппаратной схемы, которая подключается где-то между клавиатурой компьютера и компьютером, как правило, в линию с разъемом кабеля клавиатуры. Существуют также аппаратные кейлоггеры на основе разъема USB , а также для ноутбуков (карта Mini-PCI подключается к слоту расширения ноутбука). Более скрытные реализации могут быть установлены или встроены в стандартные клавиатуры, так что никакое устройство не будет видно на внешнем кабеле. Оба типа регистрируют всю активность клавиатуры во внутренней памяти , к которой впоследствии можно получить доступ, например, введя секретную последовательность клавиш. Аппаратные кейлоггеры не требуют установки какого-либо программного обеспечения на компьютере целевого пользователя, поэтому не мешают работе компьютера и менее вероятно будут обнаружены программным обеспечением, работающим на нем. Однако его физическое присутствие может быть обнаружено, если, например, он установлен снаружи корпуса как встроенное устройство между компьютером и клавиатурой. Некоторые из этих реализаций можно контролировать и контролировать удаленно с помощью стандарта беспроводной связи. ^[26]
• Снифферы беспроводной клавиатуры и мыши: эти пассивные снифферы собирают пакеты данных, передаваемых с беспроводной клавиатуры и ее приемника. Поскольку для защиты беспроводной связи между двумя устройствами может использоваться шифрование, его может потребоваться взломать заранее, если передачи должны быть прочитаны. В некоторых случаях это позволяет злоумышленнику вводить произвольные команды в компьютер жертвы. ^[27]
• Клавиатурные накладки: преступники, как известно, используют клавиатурные накладки на банкоматах для перехвата PIN-кодов людей. Каждое нажатие клавиши регистрируется клавиатурой банкомата, а также клавиатурой преступника, которая размещена над ним. Устройство спроектировано так, чтобы выглядеть как неотъемлемая часть машины, так что клиенты банка не знают о его присутствии. ^[28]
• Акустические кейлоггеры: Акустический криптоанализ может использоваться для мониторинга звука, создаваемого кем-то, печатающим на компьютере. Каждая клавиша на клавиатуре создает слегка отличающуюся акустическую сигнатуру при нажатии. Затем можно определить, какая сигнатура нажатия клавиши относится к какому символу клавиатуры с помощью статистических методов, таких как частотный анализ . Частота повторения похожих акустических сигнатур нажатия клавиши, время между различными нажатиями на клавиатуре и другая контекстная информация, такая как вероятный язык, на котором пишет пользователь, используются в этом анализе для сопоставления звуков с буквами. ^[29] Требуется довольно длинная запись (1000 или более нажатий клавиш), чтобы собрать достаточно большую выборку . ^[30]
• Электромагнитное излучение: можно зафиксировать электромагнитное излучение проводной клавиатуры на расстоянии до 20 метров (66 футов), не будучи физически подключенным к ней. ^[31] В 2009 году швейцарские исследователи протестировали 11 различных USB , PS/2 и ноутбуковых клавиатур в полубезэховой камере и обнаружили, что все они уязвимы, в первую очередь из-за непомерно высокой стоимости добавления экранирования во время производства. ^[32] Исследователи использовали широкополосный приемник , чтобы настроиться на определенную частоту излучений, излучаемых клавиатурой.
• Оптическое наблюдение: Оптическое наблюдение, хотя и не является кейлоггером в классическом смысле, тем не менее, является подходом, который может быть использован для захвата паролей или PIN-кодов. Стратегически размещенная камера, например скрытая камера наблюдения в банкомате , может позволить преступнику наблюдать за вводом PIN-кода или пароля. ^{[33] [34]}
• Физические доказательства: Для клавиатуры, которая используется только для ввода кода безопасности, клавиши, которые фактически используются, будут иметь доказательства использования в виде множества отпечатков пальцев. Пароль из четырех цифр, если эти четыре цифры известны, сокращается с 10 000 возможностей до всего лишь 24 возможностей (10 ⁴ против 4! [ факториал 4]). Затем их можно использовать в отдельных случаях для ручной «атаки методом перебора».
• Датчики смартфона : Исследователи продемонстрировали, что можно фиксировать нажатия клавиш близлежащих компьютерных клавиатур, используя только обычный акселерометр, который есть в смартфонах. ^[35] Атака становится возможной, если поместить смартфон рядом с клавиатурой на том же столе. Акселерометр смартфона может затем обнаружить вибрации, создаваемые при наборе текста на клавиатуре, а затем преобразовать этот необработанный сигнал акселерометра в читаемые предложения с точностью до 80 процентов. Метод включает в себя работу с вероятностью путем обнаружения пар нажатий клавиш, а не отдельных клавиш. Он моделирует «события клавиатуры» парами, а затем вычисляет, находится ли пара нажатых клавиш на левой или правой стороне клавиатуры и находятся ли они близко или далеко друг от друга на клавиатуре QWERTY . После того, как он это выяснил, он сравнивает результаты с предварительно загруженным словарем, где каждое слово было разбито таким же образом. ^[36] Аналогичные методы также показали свою эффективность при захвате нажатий клавиш на сенсорных клавиатурах ^{[37] [38] [39]} , а в некоторых случаях в сочетании с гироскопом ^{[40] [41]} или с датчиком внешней освещенности. ^[42]
• Боди-кейлоггеры: Боди-кейлоггеры отслеживают и анализируют движения тела, чтобы определить, какие клавиши были нажаты. Злоумышленник должен быть знаком с раскладкой клавиш отслеживаемой клавиатуры, чтобы сопоставлять движения тела и положение клавиш. Отслеживание звуковых сигналов пользовательского интерфейса (например, звука, который устройство издает, чтобы сообщить пользователю о том, что нажатие клавиши было зарегистрировано) может снизить сложность алгоритмов боди-кейлоггеров, поскольку он отмечает момент нажатия клавиши. ^[43]

Трещины

Написание простых программных приложений для кейлоггеров может быть тривиальной задачей, и, как любая гнусная компьютерная программа, может распространяться как троянский конь или как часть вируса . Однако для злоумышленника нетривиальной задачей является установка скрытого регистратора нажатий клавиш без поимки и загрузка данных, которые были зарегистрированы без отслеживания. Злоумышленник, который вручную подключается к хост-компьютеру для загрузки зарегистрированных нажатий клавиш, рискует быть отслеженным. Троян, который отправляет данные кейлоггеров на фиксированный адрес электронной почты или IP-адрес, рискует раскрыть злоумышленника.

Трояны

Исследователи Адам Янг и Моти Юнг обсудили несколько методов отправки журнала нажатий клавиш. Они представили отрицаемую атаку перехвата пароля, в которой троян, регистрирующий нажатия клавиш, устанавливается с помощью вируса или червя . Злоумышленник, пойманный с вирусом или червем, может утверждать, что он жертва. Криптотроян асимметрично шифрует украденные пары логин/пароль, используя открытый ключ автора трояна, и скрытно транслирует полученный шифротекст . Они упомянули, что шифротекст может быть стеганографически закодирован и размещен на публичной доске объявлений, такой как Usenet . ^{[44] [45]}

Использование полицией

В 2000 году ФБР использовало FlashCrest iSpy, чтобы получить пароль PGP Никодемо Скарфо-младшего , сына главаря мафии Никодемо Скарфо . ^[46] Также в 2000 году ФБР заманило двух подозреваемых российских киберпреступников в США с помощью сложной уловки и перехватило их имена пользователей и пароли с помощью кейлоггера, который был тайно установлен на машине, которую они использовали для доступа к своим компьютерам в России . Затем ФБР использовало эти учетные данные, чтобы получить доступ к компьютерам подозреваемых в России и получить доказательства для их судебного преследования. ^[47]

Контрмеры

Эффективность контрмер варьируется, поскольку кейлоггеры используют различные методы для сбора данных, и контрмера должна быть эффективной против конкретного метода сбора данных. В случае с кейлоггером Windows 10 от Microsoft изменение определенных настроек конфиденциальности может отключить его. ^[48] Экранная клавиатура будет эффективна против аппаратных кейлоггеров; прозрачность ^{[ необходимо разъяснение ]} победит некоторые, но не все, экранные кейлоггеры. Антишпионское приложение, которое может отключать только кейлоггеры на основе хуков, будет неэффективно против кейлоггеров на основе ядра.

Авторы программ-кейлоггеров могут обновить код своих программ, чтобы адаптировать их к контрмерам, доказавшим свою эффективность.

Анти-кейлоггеры

Анти -кейлоггер — это часть программного обеспечения, специально разработанная для обнаружения кейлоггеров на компьютере, обычно сравнивающая все файлы на компьютере с базой данных кейлоггеров, ища сходства, которые могут указывать на присутствие скрытого кейлоггера. Поскольку анти-кейлоггеры были разработаны специально для обнаружения кейлоггеров, они могут быть более эффективными, чем обычное антивирусное программное обеспечение; некоторые антивирусные программы не считают кейлоггеры вредоносным ПО, так как при некоторых обстоятельствах кейлоггер может считаться законным программным обеспечением. ^[49]

LiveCD/USB

Перезагрузка компьютера с помощью Live CD или защищенного от записи Live USB является возможной мерой противодействия программным кейлоггерам, если CD не содержит вредоносных программ, а содержащаяся на нем операционная система защищена и полностью исправлена, так что ее невозможно заразить сразу после запуска. Загрузка другой операционной системы не влияет на использование аппаратного или BIOS-ориентированного кейлоггера.

Антишпионские/антивирусные программы

Многие антишпионские приложения могут обнаруживать некоторые программные кейлоггеры и помещать их в карантин, отключать или удалять. Однако, поскольку многие программы кейлоггеров являются легитимными программами при некоторых обстоятельствах, антишпионские программы часто пренебрегают маркировкой программ кейлоггеров как шпионских программ или вирусов. Эти приложения могут обнаруживать программные кейлоггеры на основе шаблонов в исполняемом коде , эвристик и поведения кейлоггеров (например, использование хуков и определенных API ).

Ни одно программное антишпионское приложение не может быть на 100% эффективным против всех кейлоггеров. ^[50] Программное антишпионское ПО не может победить непрограммные кейлоггеры (например, аппаратные кейлоггеры, подключенные к клавиатурам, всегда будут получать нажатия клавиш раньше любого программного антишпионского приложения).

Конкретная техника, которую использует антишпионское приложение, будет влиять на его потенциальную эффективность против программных кейлоггеров. Как правило, антишпионские приложения с более высокими привилегиями будут побеждать кейлоггеры с более низкими привилегиями. Например, антишпионское приложение на основе хука не может победить кейлоггер на основе ядра (так как кейлоггер получит сообщения о нажатии клавиш раньше антишпионского приложения), но оно потенциально может победить кейлоггеры на основе хука и API.

Сетевые мониторы

Сетевые мониторы (также известные как обратные брандмауэры) могут использоваться для оповещения пользователя всякий раз, когда приложение пытается установить сетевое соединение. Это дает пользователю возможность не допустить, чтобы кейлоггер " звонил домой " с набранной им информацией.

Программы автоматического заполнения форм

Программы автоматического заполнения форм могут предотвратить кейлоггерство, убрав требование для пользователя вводить личные данные и пароли с клавиатуры. Заполнители форм в первую очередь предназначены для веб-браузеров для заполнения страниц оформления заказа и входа пользователей в их учетные записи. После того, как информация об учетной записи и кредитной карте пользователя будет введена в программу, она будет автоматически введена в формы без использования клавиатуры или буфера обмена , тем самым уменьшая вероятность записи личных данных. Однако кто-то с физическим доступом к машине все равно может установить программное обеспечение, которое может перехватывать эту информацию в другом месте операционной системы или во время передачи по сети. ( Transport Layer Security (TLS) снижает риск того, что данные в пути могут быть перехвачены сетевыми снифферами и прокси-инструментами .)

Одноразовые пароли (OTP)

Использование одноразовых паролей может предотвратить несанкционированный доступ к учетной записи, данные для входа в которую были раскрыты злоумышленнику через кейлоггер, поскольку каждый пароль становится недействительным сразу после его использования. Это решение может быть полезным для того, кто использует публичный компьютер. Однако злоумышленник, имеющий удаленный контроль над таким компьютером, может просто подождать, пока жертва введет свои учетные данные, прежде чем выполнять несанкционированные транзакции от ее имени, пока ее сеанс активен.

Другой распространенный способ защиты кодов доступа от кражи клавиатурными шпионами — попросить пользователей ввести несколько случайно выбранных символов из их кода аутентификации. Например, их могут попросить ввести 2-й, 5-й и 8-й символы. Даже если кто-то следит за пользователем или использует клавиатурный шпион, он получит только несколько символов из кода, не зная их позиций. ^[51]

Токены безопасности

Использование смарт-карт или других токенов безопасности может повысить безопасность от атак воспроизведения в условиях успешной атаки кейлоггера, поскольку для доступа к защищенной информации потребуется как (аппаратный) токен безопасности, так и соответствующий пароль/парольная фраза. Знание нажатий клавиш, действий мыши, дисплея, буфера обмена и т. д., используемых на одном компьютере, впоследствии не поможет злоумышленнику получить доступ к защищенному ресурсу. Некоторые токены безопасности работают как тип аппаратной системы одноразовых паролей, а другие реализуют криптографическую аутентификацию вызов-ответ , которая может повысить безопасность способом, концептуально аналогичным одноразовым паролям. Считыватели смарт-карт и связанные с ними клавиатуры для ввода PIN-кода могут быть уязвимы для регистрации нажатий клавиш через так называемую атаку цепочки поставок ^[52] , когда злоумышленник заменяет оборудование для считывания карт/ввода PIN-кода на то, которое записывает PIN-код пользователя.

Экранные клавиатуры

Большинство экранных клавиатур (например, экранная клавиатура, которая поставляется с Windows XP ) отправляют обычные сообщения о событиях клавиатуры внешней целевой программе для ввода текста. Программные кейлоггеры могут регистрировать эти набранные символы, отправленные из одной программы в другую. ^[53]

Программное обеспечение для обнаружения помех при нажатии клавиш

Также доступно программное обеспечение для вмешательства в нажатия клавиш. ^[54] Эти программы пытаются обмануть кейлоггеры, вводя случайные нажатия клавиш, хотя это просто приводит к тому, что кейлоггер записывает больше информации, чем ему нужно. Задача злоумышленника — извлечь интересующие его нажатия клавиш — безопасность этого механизма, в частности, насколько хорошо он выдерживает криптоанализ , неясна.

Распознавание речи

Подобно экранным клавиатурам, программное обеспечение для преобразования речи в текст также может быть использовано против кейлоггеров, поскольку не требуется печатать или перемещать мышь. Самым слабым местом использования программного обеспечения для распознавания голоса может быть то, как программное обеспечение отправляет распознанный текст целевому программному обеспечению после обработки речи пользователя.

Распознавание рукописного ввода и жестов мыши

Многие КПК и в последнее время планшетные ПК уже могут успешно преобразовывать движения пера (также называемого стилусом) на своих сенсорных экранах в понятный компьютеру текст. Жесты мыши используют этот принцип, используя движения мыши вместо стилуса. Программы жестов мыши преобразуют эти штрихи в определяемые пользователем действия, такие как ввод текста. Аналогично, графические планшеты и световые перья могут использоваться для ввода этих жестов, однако они становятся все менее распространенными. ^{[ временные рамки? ]}

Тот же потенциальный недостаток распознавания речи применим и к этой методике.

Макрорасширители/рекордеры

С помощью многих программ, казалось бы, бессмысленный текст может быть расширен до осмысленного текста и в большинстве случаев контекстно-зависимо, например, "en.wikipedia.org" может быть расширен, когда окно веб-браузера находится в фокусе. Самая большая слабость этой техники заключается в том, что эти программы отправляют свои нажатия клавиш непосредственно в целевую программу. Однако это можно преодолеть, используя описанную ниже «альтернирующую» технику, т. е. отправку щелчков мыши в неотзывчивые области целевой программы, отправку бессмысленных клавиш, отправку еще одного щелчка мыши в целевую область (например, поле пароля) и переключение туда и обратно.

Обманчивая печать

Попеременное набирание учетных данных для входа и символов в другом месте окна фокуса ^[55] может привести к тому, что кейлоггер запишет больше информации, чем ему нужно, но это может быть легко отфильтровано злоумышленником. Аналогичным образом, пользователь может перемещать курсор с помощью мыши во время набора текста, в результате чего записанные нажатия клавиш будут располагаться в неправильном порядке, например, набрав пароль, начинающийся с последней буквы, а затем используя мышь для перемещения курсора для каждой последующей буквы. Наконец, кто-то также может использовать контекстные меню для удаления, вырезания, копирования и вставки частей набранного текста без использования клавиатуры. Злоумышленник, который может перехватить только части пароля, будет иметь большее пространство клавиш для атаки, если он решит выполнить атаку методом перебора .

Другой очень похожий метод использует тот факт, что любая выделенная часть текста заменяется следующей набранной клавишей. Например, если пароль "secret", можно набрать "s", а затем несколько фиктивных клавиш "asdf". Эти фиктивные символы затем можно выбрать с помощью мыши и набрать следующий символ из пароля "e", который заменит фиктивные символы "asdf".

Эти методы ошибочно предполагают, что программное обеспечение для регистрации нажатий клавиш не может напрямую контролировать буфер обмена, выделенный текст в форме или делать снимок экрана каждый раз, когда происходит нажатие клавиши или щелчок мыши. Однако они могут быть эффективны против некоторых аппаратных кейлоггеров.

Смотрите также

• Анти-кейлоггер
• Криптоанализ черного мешка
• Компьютерное наблюдение
• Киберпреступность
• Цифровой след
• Аппаратный кейлоггер
• Обратное соединение
• Повтор сеанса
• Шпионское ПО
• троянский конь
• Виртуальная клавиатура
• Веб-отслеживание

Ссылки

1. Ньянг, Дэхун; Мохайсен, Азиз; Канг, Чонил (01.11.2014). «Протоколы визуальной аутентификации, устойчивые к кейлоггерам». Труды IEEE по мобильным вычислениям . 13 (11): 2566–2579. doi :10.1109/TMC.2014.2307331. ISSN  1536-1233. S2CID  8161528.
2. Конейн, Рианна; Кук, Кристина; ван Заанен, Менно; Ван Ваес, Луук (24 августа 2021 г.). «Раннее прогнозирование качества письма с использованием регистрации нажатий клавиш». Международный журнал искусственного интеллекта в образовании . 32 (4): 835–866. дои : 10.1007/s40593-021-00268-w . hdl : 10067/1801420151162165141 . ISSN  1560-4292. S2CID  238703970.
3. Использование легальных программных продуктов для компьютерного мониторинга, keylogger.org
4. "Keylogger". Оксфордские словари. Архивировано из оригинала 2013-09-11 . Получено 2013-08-03 .
5. Кейлоггеры: как они работают и как их обнаружить (часть 1), Secure List , «Сегодня кейлоггеры в основном используются для кражи пользовательских данных, относящихся к различным системам онлайн-платежей, и вирусописатели постоянно пишут новые троянские кейлоггеры именно для этой цели».
6. Rai, Swarnima; Choubey, Vaaruni; Suryansh; Garg, Puneet (2022-07-08). «Систематический обзор шифрования и кейлоггерства для безопасности компьютерных систем». 2022 Пятая международная конференция по вычислительным интеллектуальным и коммуникационным технологиям (CCICT) . IEEE. стр. 157–163. doi :10.1109/CCiCT56684.2022.00039. ISBN 978-1-6654-7224-1. S2CID  252849669.
7. Стефан, Деян, Сяокуй Шу и Данфэн Дафне Яо. «Надежность биометрии на основе динамики нажатия клавиш против синтетических подделок». Компьютеры и безопасность 31.1 (2012): 109-121.
8. "Электрический жук".
9. "Архивы Security Digest" . Получено 22.11.2009 .
10. "Советские шпионы прослушивали первые в мире электронные пишущие машинки". qccglobal.com . Архивировано из оригинала 2013-12-20 . Получено 2013-12-20 .
11. Джеффри Ингерсолл. «Россия переходит на пишущие машинки для защиты от кибершпионажа». 2013.
12. Шарон А. Манеки. «Учимся у врага: проект GUNMAN» Архивировано 03.12.2017 на Wayback Machine . 2012.
13. Agence France-Presse, Associated Press (13 июля 2013 г.). «Требуется: 20 электрических пишущих машинок для России, чтобы избежать утечек». inquirer.net .
14. Анна Арутюнян. «Российское агентство безопасности купит пишущие машинки, чтобы избежать слежки». Архивировано 21 декабря 2013 г. на Wayback Machine .
15. "Что такое кейлоггер?". Инструменты для ПК.
16. Калеб Чен (2017-03-20). «В Microsoft Windows 10 по умолчанию включен кейлоггер — вот как его отключить».
17. "Эволюция вредоносных IRC-ботов" (PDF) . Symantec . 2005-11-26: 23–24. Архивировано из оригинала (PDF) 15 марта 2006 г. . Получено 2011-03-25 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
18. Джонатан Броссар (2008-09-03). "Обход паролей предзагрузочной аутентификации путем инструментирования буфера клавиатуры BIOS (практические низкоуровневые атаки на программное обеспечение предзагрузочной аутентификации x86)" (PDF) . www.ivizsecurity.com. Архивировано из оригинала (PDF) 2008-09-13 . Получено 2008-09-23 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
19. "Веб-кейлоггер используется для кражи данных кредитных карт с популярных сайтов". Threatpost | Первая остановка для новостей безопасности . 2016-10-06 . Получено 2017-01-24 .
20. "SpyEye атакует пользователей Opera и Google Chrome". Krebs on Security . Получено 26 апреля 2011 г.
21. KPH Sullivan & E. Lindgren (ред., 2006), Исследования по письму: т. 18. Регистрация нажатий клавиш и письмо на компьютере: методы и приложения. Оксфорд: Elsevier.
22. VW Berninger (ред., 2012), Прошлый, настоящий и будущий вклад исследований когнитивного письма в когнитивную психологию. Нью-Йорк/Сассекс: Тейлор и Фрэнсис. ISBN 9781848729636 
23. Vincentas (11 июля 2013 г.). "Keystroke Logging in SpyWareLoop.com". Spyware Loop . Архивировано из оригинала 7 декабря 2013 г. Получено 27 июля 2013 г.
24. Microsoft. "EM_GETLINE Message()". Microsoft . Получено 2009-07-15 .
25. "Apple keyboard hack". Digital Society. Архивировано из оригинала 26 августа 2009 года . Получено 9 июня 2011 года .
26. "Удаление кейлоггера". SpyReveal Anti Keylogger. Архивировано из оригинала 29 апреля 2011 г. Получено 25 апреля 2011 г.
27. "Удаление кейлоггера". SpyReveal Anti Keylogger . Получено 26 февраля 2016 г.
28. Джереми Кирк (2008-12-16). "Поддельные терминалы кредитных карт". IDG News Service . Получено 2009-04-19 .
29. Эндрю Келли (10.09.2010). «Взлом паролей с использованием акустики клавиатуры и языкового моделирования» (PDF) .
30. Сара Янг (14 сентября 2005 г.). «Исследователи восстанавливают напечатанный текст с помощью аудиозаписи нажатий клавиш». UC Berkeley NewsCenter.
31. Найт, Уилл. «Год назад: шифропанки публикуют доказательство Tempest». ZDNet .
32. Мартин Вуанью и Сильвен Пасини (2009-06-01). Вуанью, Мартин; Пасини, Сильвен (ред.). «Компрометация электромагнитных излучений проводных и беспроводных клавиатур». Труды 18-го симпозиума по безопасности Usenix : 1–16.
33. "Камера банкомата". www.snopes.com . 19 января 2004 г. Получено 19 апреля 2009 г.
34. Maggi, Federico; Volpatto, Alberto; Gasparini, Simone; Boracchi, Giacomo; Zanero, Stefano (2011). "Быстрая атака с использованием подслушивания сенсорных экранов" (PDF) . 2011 7-я Международная конференция по обеспечению безопасности информации (IAS) . 7-я Международная конференция по обеспечению безопасности информации. IEEE. стр. 320–325. doi :10.1109/ISIAS.2011.6122840. ISBN 978-1-4577-2155-7.
35. Марквардт, Филипп; Верма, Арунабх; Картер, Генри; Трейнор, Патрик (2011). (sp)iPhone: декодирование вибраций от близлежащих клавиатур с использованием акселерометров мобильных телефонов . Труды 18-й конференции ACM по компьютерной и коммуникационной безопасности. ACM. стр. 561–562. doi :10.1145/2046707.2046771.
36. «Акселерометр iPhone может шпионить за нажатиями клавиш компьютера». Wired . 19 октября 2011 г. Получено 25 августа 2014 г.
37. Овусу, Эммануэль; Хан, Джун; Дас, Саувик; Перриг, Адриан; Чжан, Джой (2012). ACCessory: вывод пароля с использованием акселерометров на смартфонах . Труды тринадцатого семинара по мобильным вычислительным системам и приложениям. ACM. doi : 10.1145/2162081.2162095.
38. Авив, Адам Дж.; Сапп, Бенджамин; Блейз, Мэтт; Смит, Джонатан М. (2012). "Практичность боковых каналов акселерометра на смартфонах". Труды 28-й ежегодной конференции по приложениям компьютерной безопасности - ACSAC '12 . Труды 28-й ежегодной конференции по приложениям компьютерной безопасности. ACM. стр. 41. doi :10.1145/2420950.2420957. ISBN 9781450313124.
39. Cai, Liang; Chen, Hao (2011). TouchLogger: определение нажатий клавиш на сенсорном экране по движению смартфона (PDF) . Труды 6-й конференции USENIX по актуальным темам безопасности. USENIX . Получено 25 августа 2014 г. .
40. Сюй, Чжи; Бай, Кунь; Чжу, Сенкунь (2012). TapLogger: вывод пользовательских данных на сенсорных экранах смартфонов с использованием бортовых датчиков движения . Труды пятой конференции ACM по безопасности и конфиденциальности в беспроводных и мобильных сетях. ACM. стр. 113–124. doi :10.1145/2185448.2185465.
41. Милуццо, Эмилиано; Варшавский, Александр; Балакришнан, Сухрид; Чоудхури, Ромит Рой (2012). Отпечатки пальцев: нажатия ваших пальцев имеют отпечатки пальцев . Труды 10-й международной конференции по мобильным системам, приложениям и услугам. ACM. С. 323–336. doi :10.1145/2307636.2307666.
42. Шпрейтцер, Рафаэль (2014). PIN-скимминг: использование датчика освещенности в мобильных устройствах . Труды 4-го семинара ACM по безопасности и конфиденциальности в смартфонах и мобильных устройствах. ACM. С. 51–62. arXiv : 1405.3760 . doi : 10.1145/2666620.2666622.
43. Хамейри, Пас (2019). «Body Keylogging». Hakin9 IT Security Magazine . 14 (7): 79–94.
44. Young, Adam; Yung, Moti (1997). «Отрицаемый перехват пароля: о возможности скрытного электронного шпионажа». Труды. 1997 IEEE Symposium on Security and Privacy (Cat. No.97CB36097) . стр. 224–235. doi :10.1109/SECPRI.1997.601339. ISBN 978-0-8186-7828-8. S2CID  14768587.
45. Young, Adam; Yung, Moti (1996). «Криптовирусология: угрозы безопасности, основанные на вымогательстве, и контрмеры». Труды симпозиума IEEE 1996 года по безопасности и конфиденциальности . С. 129–140. CiteSeerX 10.1.1.44.9122 . doi :10.1109/SECPRI.1996.502676. ISBN  978-0-8186-7417-4. S2CID  12179472.
46. Джон Лейден (2000-12-06). "Суд над мафией для проверки шпионской тактики ФБР: регистрация нажатий клавиш использовалась для слежки за подозреваемым в мафии с помощью PGP". The Register . Получено 2009-04-19 .
47. Джон Лейден (2002-08-16). «Русские обвиняют агента ФБР во взломе». The Register .
48. Алекс Стим (28.10.2015). «3 способа отключить встроенный в Windows 10 шпионский кейлоггер».
49. «Что такое Anti Keylogger?». 23 августа 2018 г.
50. Крейцбург, Райнер (29.01.2017). «Странный мир кейлоггеров — обзор, часть I». Electronic Imaging . 2017 (6): 139–148. doi :10.2352/ISSN.2470-1173.2017.6.MOBMU-313.
51. Горинг, Стюарт П.; Рабайотти, Джозеф Р.; Джонс, Антония Дж. (01.09.2007). «Меры по борьбе с кейлоггерами для безопасного входа в Интернет: пример закона непреднамеренных последствий». Компьютеры и безопасность . 26 (6): 421–426. doi :10.1016/j.cose.2007.05.003. ISSN  0167-4048.
52. Остин Модин (2008-10-10). «Организованная преступность вмешивается в работу европейских устройств для считывания карт». The Register . Получено 2009-04-18 .
53. Скотт Данн (2009-09-10). "Не позволяйте кейлоггерам перехватывать ваши пароли". Секреты Windows . Получено 2014-05-10 .
54. Кристофер Чиабарра (2009-06-10). "Anti Keylogger". Networkintercept.com. Архивировано из оригинала 2010-06-26.
55. Кормак Херли и Динеи Флоренсио (2006-02-06). «Как войти в интернет-кафе, не беспокоясь о кейлоггерах» (PDF) . Microsoft Research . Получено 2008-09-23 .

Внешние ссылки

Медиафайлы, связанные с регистрацией нажатий клавиш на Wikimedia Commons

• Кейлоггеры в Curlie