Архив метки: Кейлоггеры

HP, Synaptics и кейлоггеры в новых ноутбуках

В западной прессе с определённой регулярностью появляются новости о том, что исследователи обнаруживают кейлоггеры в новых ноутбуках или компьютерах прямо из магазина.

Keyloggers on new notebooks

Иногда это просто человеческий фактор (например, инициатива продавца в магазине) или результат ошибки, а иногда очень похоже на правду, как было в случае с ноутбуками Samsung.

Неделю назад исследователь Michael Myng заявил, что обнаружил функционал кейлоггера в драйвере для тачпада Synaptics на новых ноутбуках HP. Причём этой «уязвимости» были подвержены более 460 моделей ноутбуков HP, в том числе EliteBook, HP Pavilion и ZBook.

Через несколько дней компания Synaptics закончила свои проверки касательно этой ситуации и ответила, что масштаб проблемы сильно преувеличен. Драйверы тачпадов действительно содержат режим отладки, который позволяет перехватывать данные с устройств ввода и сохранять их в локальный лог. Это применяется для настройки драйверов и анализа ошибок в их работе. Перед продажей устройств режим отладки отключается.

Для его включения необходимо изменить значение определённого ключа в реестре операционной системы, находящегося под защитой UAC и доступного только пользователю с администраторскими правами.

Для исключения каких-либо недомолвок, HP выпустила программное обновление, удаляющее из системы режим отладки этого драйвера.

США: Военные беспилотники, возможно, заражены вирусом

кейлоггерСогласно сообщению Wired.com, система безопасности в сентябре зафиксировала присутствие вируса в системах управления дронами на военной базе в Неваде.

Вирус или кейлоггер заразил программы управления беспилотниками «Предатор» и «Риппер«.

Пока военные не могут точно сказать, что именно произошло — злонамеренный взлом или какое-то случайное заражение.

На данный момент сообщается, что в полёты дронов вирус никак не вмешивался, так что вспоминать сюжет игры «Call of Duty: Black Ops II» пока не стоит.

Однако, секретность военных данных вполне может быть нарушена.

Обнаружив вирус на своём домашнем компьютере, не вините себя. Они иногда проникают даже на самые защищённые объекты в мире.

Кейлоггеры и закон: на чужих ошибках

В связи с очередной новостью об уголовном преследовании за использование кейлоггеров в очередной раз хотелось бы поднять тему о законности их применения.

shutterstock_154122851

А ещё рассказать об одном важном нововведении в интерфейсе наших программ, призванном уберечь пользователей от неумышленного нарушения закона.

personal-monitor-setup-1

Читать далее

Шпионский скандал в Германии

Шпионский скандал в ГерманииБерлинская хакерская группировка Chaos Computer Club (CCC) обнародовала обнаруженный факт применения властями шпионского программного обеспечения, что привело к серьёзному скандалу на высоком уровне.

Программу-шпион хакеры обнаружили на ноутбуке, принадлежащем человеку, которого обвиняют в незаконном экспорте медицинских препаратов. Предположительно, программа была установлена туда при прохождении им таможенного досмотра в аэропорту.

Эта программа перехватывает адреса посещённых веб-сайтов и переписку по электронной почте и отправляет собранные данные на удалённый сервер, предположительно за пределами страны. Кроме того, она позволяет скачивать и удалённо запускать на компьютере любые другие приложения.

Министр внутренних дел Баварии Иоахим Германн подтвердил, что на данной территории государственные чиновники используют шпионский софт с 2009 года, но примеры привести отказался. На его взгляд, это не противоречит законодательству, хотя вопрос и требует внимательного рассмотрения. Власти еще трех земель (Баден-Вюртемберга, Бранденбурга и Нижней Саксонии) подтвердили, что тоже использовали подобные программы.

В связи с бурной реакцией общественности, ситуацию были вынуждены прокомментировать и высокопоставленные чиновники.

Министр юстиции Германии Сабина Лойтхойзер-Шнарренбергер и канцлер Ангела Меркель потребовали провести тщательное расследование инцедента и разработать механизмы соблюдения конституционных прав граждан на защиту от слежки.

Таким образом, в ближайшее время законодательство Германии, касающееся использования программ-шпионов, может сильно измениться.

Предустановленный кейлоггер на ноутбуках Samsung

StarloggerМухамед Хассан (Mohamed Hassan), выпускник английского университета города Norwich по специальности «защита информации» и владелец фирмы NetSec Consulting, приобрёл ноутбук Samsung R525 и после полного сканирования системы антишпионским и антивирусным ПО обнаружил в каталоге С:\Windows\SL коммерческий кейлоггер StarLogger.

Тщательно изучив систему, Мухамед пришёл к выводу, что кейлоггер был установлен производителем.

Поменяв (по другой причине) ноутбук на новый Samsung R540 из другого магазина, пользователь обнаружил точно такой же шпионский софт и на нём.

StarLogger (разработчик — Willebois Consulting, цена — от $23) — коммерческий кейлоггер, который перехватывает нажатия клавиш, создаёт снимки экрана и отправляет все собранные данные по электронной почте.

Мухамед дозвонился до службы технической поддержки компании Samsung (обращение № 2101163379) и потребовал объяснений. Реакция специалистов техподдержки постепенно менялась от полного отрицания к попытке обвинить Microsoft как поставщика всего ПО и наконец к признанию того, что компания сознательно устанавливает подобные программы чтобы «следить за производительностью компьютера и понимать, как он используется».

Похоже, Samsung собирает данные об использовании своих ноутбуков без получения согласия пользователей. Не забудьте проверить свой ноутбук.

Спустя 3 недели после инцедента Jason Redmond (Manager, Marketing Communications at Samsung Electronics, Samsung) сообщил, что на данный момент происходит тщательное внутреннее расследование сложившейся ситуации.

Keykeriki: новое устройство для перехвата беспроводного трафика

Keykeriki version 2Новое устройство, перехватывающее трафик с большого количества беспроводных устройств (включая клавиатуры, различные пульты, медицинские приборы и другую технику), работает на базе открытого программного обеспечения и называется «Keykeriki version 2».

Оно перехватывает весь поток беспроводных данных с помощью чипов Nordic Semiconductor. Разработано устройство специалистами компании Dreamlab Technologies и стоит всего около $100.

Но Keykeriki — не просто аппаратный сниффер. В отличие от первой версии, в набор его функций входит не только возможность перехвата пакетов, но и возможность проводить инъекции сигналов, то есть ещё и удалённо управлять наблюдаемыми устройствами.

В ходе демонстрации устройства на конференции CanSecWest специалист компании-разработчика продемонстрировал полноценную атаку на систему с помощью Keykeriki: атака началась с перехвата сигнала беспроводной клавиатуры Microsoft, затем было взломано её XOR-шифрование сигнала и получена возможность полного удалённого управления компьютером, к которому она была подключена.

Эксперты считают, что аналогичные действия привели бы к успешному результату и в случае использования более устойчивого шифрования, это потребовало бы лишь немного большего времени.

Разработчиков «шпионских» программ призвали к порядку

Конфликт компании-разработчика CyberSpy Software с Федеральной торговой комиссией США разрешился во внесудебном порядке. Суть конфликта заключалась в нарушении разработчиками правил добросовестной торговли при реализации программы-кейлоггера RemoteSpy.

Разработчиков шпионских программ призвали к порядку

RemoteSpy позиционировался как универсальная шпионская программа, полностью защищённая от обнаружения, и снабжалась подробными инструкциями по его установке на компьютер, в том числе и без ведома его владельца.

Эта программа представляет из себя типичный кейлоггер со всеми характерными для этого класса ПО функциями: скрытный перехват нажатых клавиш, создание снимков экрана, сохранение переписки в системах обмена мгновенными сообщениями и истории посещённых сайтов.

Несмотря на заявления разработчиков, программа RemoteSpy классифицируется многими антивирусами как потенциально опасная или шпионская. Например, антивирус от Лаборатории Касперского определяет её как Riskware — программа, которая способна причинить вред, будучи использована в незаконных целях.

ФТК запретила разработчикам использовать провокационные заявления и подстрекательства к несанкционированному использованию в рекламе своих продуктов. Покупатели программного обеспечения обязаны быть проинформированы о возможной ответственности за его противозаконное применение.

Сами же программные продукты должны обозначать своё присутствие в системе и иметь полноценный инсталлятор с опцией отказа от установки. Это сделает сложным незаконное применение и практически не помешает при использовании программы по назначению.

C учётом выполнения всех этих требований, компания CyberSpy Software снова получила разрешение на реализацию программы RemoteSpy.

Виртуальная клавиатура от Google

Google добавил на страницы поиска и выдачи своей поисковой системы виртуальную экранную клавиатуру для набора текста на языке страны посетителя. Всего доступно 35 языков, кроме английского и китайского. Рядом со строкой поиска теперь появилась иконка, при нажатии на которую и запускается виртуальная клавиатура. Символы с её помощью вводятся кликами мышкой по нужной букве на экране.

Google виртуальная клавиатура

Около года назад был представлен программный интерфейс (API) для бесплатного использования такой клавиатуры на собственных сайтах или в браузерных скриптах.

Такая функция может оказаться полезной не только в том случае, если вы вынуждены использовать клавиатуру без необходимой национальной раскладки (например, в путешествиях), но и если вы опасаетесь возможного перехвата введённых вами с клавиатуры данных (например, при использовании публичных компьютеров, в интернет-кафе, и т.д.).

Использование виртуальной клавиатуры обезопасит вас не только от аппаратных кейлоггеров, но и от незаконно установленных примитивных программных шпионов.

От кейлоггера к мониторингу.

Первые программы, перехватывающие нажатия клавиш (кейлоггеры), появились ещё в 90-е годы. Они были весьма примитивны и выполняли одну единственную функцию — запись в лог-файл всей последовательности нажатий клавиш.  Позже они научились периодически отправлять этот файл на e-mail и надёжно прятаться в системе (в Windows 9x это было не сложно). К 2000 году насчитывалось уже более 300 различных программ-кейлоггеров. К 2002 году эти программы начинают специализироваться. Например, появляется платная программа для слежения за своими партнёрами — Loverspy, наделавшая немало шума в прессе.  Кроме того, основной целью подобных программ становятся не нажатые клавиши, а сетевая деятельность пользователя, в основном — e-mail переписка. К 2005 году число различных программ-кейлоггеров уже превысило 6000 и они условно разделились на две группы по способу применения: одни стали хакерскими инструментами или частью вирусов, другие  — законным инструментом, не подвергающим их пользователя юридической ответственности. Иными словами, для программ-шпионов нашлись законные способы использования:

  • наблюдение за действиями собственных детей в интернете для их защиты (parental control software);
  • наблюдение за другими пользователями собственного компьютера (personal monitoring software);
  • наблюдение за собственными подчинёнными с целью увеличения их производительности (employee monitoring software);
  • отслеживание службой безопасности фактов набора на клавиатуре критичных словосочетаний, являющихся коммерческой тайной;
  • правомерное проведение анализов и расследований инцидентов с использование персональных компьютеров;
  • проведение исследований, связанных с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
  • слежение пользователями за собственными действиями с целью сбора статистики и оптимизации своего труда.

Появились программы, защищающие пользователей от незаконных кейлоггеров и антишпионские модули в антивирусных программах. Кроме программных решений появились и аппаратные. Это маленькие устройства, встраиваемые в клавиатуру, системный блок или между ними, которые способны перехватывать и сохранять всю информацию, набираемую на клавиатуре. Такие устройства очень сложно обнаружить, а для их установки нет необходимости даже включать компьютер.

hardware keylogger

Чуть позже исследования учёных показали, что даже эти устройства не обязательны, так как до 96% информации, набранной с клавиатуры, можно восстановить, имея аудиозапись звуков, издаваемых клавиатурой при наборе текста. С ростом популярности социальных сетей и программ для обмена сообщениями в этих сетях, функции для перехвата такого рода общения появились и в современных программах для мониторинга. В настоящее время тенденции развития подобных программ снова меняются. Интернет становится всё более мобильным, а мобильные устройства — всё более функциональными. Современные телефоны оснащены мощными процессорами, быстрым подключением к интернету, датчиками GPS-позиционирования, что делает их мишенью программ для слежения. Например, уже существуют программы для защиты телефонов от кражи, которые периодически сообщают владельцу своё точное местонахождение.

 


Перехват сообщений icq — одна из первых функций, появившихся в программах Mipko. Основные сложности, связанные с ней — обилие разнообразных (в том числе низкокачественных) клиентских приложений-болталок для общения по протоколу ICQ.