Összefoglaló. Bevezető

Átírás

1 CFA DEFENDER

2 Összefoglaló A billentyűzetfigyelők komoly biztonsági fenyegetést jelentenek, ami rendkívül káros lehet mind a vállalatoknak, mind az egyéni felhasználóknak. A jelenlegi mechanizmusok nem nyújtanak elegendő védelmet a felhasználónak ezektől a fenyegetésektől. Az alább bemutatott megoldás segít a felhasználóknak enyhíteni a kémvírusok okozta veszélyt és megmutatja, hogy a CFA Defender hogyan előzheti meg az információlopást a jelenlegi és a jövőbeli billentyűzetfigyelők esetén egyaránt. Bevezető Noha a PC felhasználók aggódnak azon kémprogramok miatt, amelyek követik, hogy milyen weboldalakat látogatnak meg, és amelyektől összeomolhat a számítógépük, valójában sokkal alattomosabb veszélyek is léteznek. Egy újfajta, sokkal erőteljesebb kémszoftver képes rögzíteni a billentyű karaktereket (beleértve a jelszavakat és a hitelkártya számokat) és továbbítani ezt az információt a bűnözőknek. Ezt a típusú szoftvert hívják billentyűzetfigyelőnek. A billentyűzetfigyelő egyfajta kémszoftver, ami képes rögzíteni minden egyes leütést egy naplófájlba. A billentyűzetfigyelő rögzíteni tudja a chat üzeneteket, az -eket és bármilyen információt, amit bármikor gépelünk a billentyűzet használatával. A billentyűzetfigyelő által készített naplófájl ezután elküldhető egy meghatározott címzettnek. Néhány billentyűzetfigyelő azt is rögzíti, hogy milyen e- mail címekre írsz, és milyen weboldalakat látogatsz.

3 Ez a veszély mostanában került előtérbe, amikor a Sumitomo Mitsui Banking Corporation felfedezte Londonban, hogy billentyűzetfigyelő lett feltöltve hálózatukra. Voltak más hangsúlyos ügyek is. New York-ban, több mint 14 Kinko üzletben fedeztek fel billentyűzetfigyelő szoftvereket. Az elkövető installálta a szoftvert, és 450 felhasználó személyes adatait összegyűjtve, néhány nevét felhasználva bankszámlákat nyitott. Gabe Newell, a Valve Szoftver vállalat alapítója pedig azt vette észre, hogy a cége Half Life 2 játékához tartozó forráskódot ellopták, miután valaki egy billentyűzetfigyelőt helyezett el a számítógépen ban a New York Times számítógépes rendszerén találtak kémvírust, amely a lap bizalmas informátorairól gyűjtött adatokat. A billentyűzetfigyelők komoly biztonsági fenyegetést jelentenek, ami rendkívül káros lehet, mind a vállalatoknak, mind az egyéni felhasználóknak. A leütött karakterek rögzítésével a hackerek hozzá tudnak férni személyes és pénzügyi adatokhoz, bankszámlákhoz, kártyaszámokhoz és TAJ számokhoz melyek mindegyike felhasználható csalás céljából. Ennek bekövetkeztéről pedig nem is fogunk tudni, amíg le nem lepleződik egy kimutatáson, számlán, vagy telefonon keresztül, ami napok, hetek vagy hónapok kérdése is lehet. Hogyan működnek a kémvírusok A kémvírusok a Windows üzenetváró-listájára kapcsolódva működnek. Ezt viszonylag könnyű véghezvinni, és így nyomon követni az összes Windows üzenetet (mint például leütött karaktereket), mielőtt azok eljutnak az alkalmazáshoz. A kémvírusok ezután rögzítik a leütött karaktereket egy naplófájlba. A kémvírusok tipikusan IRC hálózaton keresztül kommunikálnak, és ezen keresztül juttatják el a rögzített karaktereket tartalmazó fájlt a hacker-nek. Sok kémvírus megtévesztő mechanizmust - rootkit technikát alkalmaz -, hogy elrejtse létezését, így a vírusirtó szoftverek nem tudják felfedezni.

4 Miért nem működnek a jelenlegi eszközök Minden üzenetszűrő és vírusirtó eszköz alapja, hogy pásztázza a számítógép fájljait egy adott azonosító aláírás után kutatva. Az ismert kártevő fájlok azonosítóit tartalmazó adatbázist folyamatosan frissíteni kell. A nagy dilemma ebben a megközelítésben egy ismert problémás fájl aláírásának létezése. A spammelők és a bűnözők jelenleg kifinomult szoftvereket használnak, amelyek dinamikusan megváltoztatják a fájlok azonosítóját. Ezért az üzenetszűrő eszközök már nem hatékonyak a kémvírusokkal szemben. Ezen felül, jelentős idő telik el egy új kémvírus felfedezése, és a kémvírus azonosítójának a vírusirtó szoftvereken történő frissítése között. Ez az idő lehet egy, vagy akár néhány hónap is. Néhány kémvírus elleni szoftver úgy működik, hogy megakadályozza a kémvírust a Windows horgok használatában (a Windows horgokat használják a kémvírusok arra, hogy kikémleljék az alkalmazáshoz küldött billentyűzet karaktereket). Ugyanakkor ezek nem mindig hatékonyak, és a legtöbb esetben a kémvírusok ki tudják kerülni őket. Hogyan kerül a kémvírus a számítógépbe A billentyűzetfigyelő számos módon kerülhet az áldozat számítógépébe. Hordozhatja vírus vagy kémszoftver. csatolmányként is érkezhet. Például: a Corporate IT Forum (Tif) spam -je tartalmazza egy weboldal linkjét, amelyre kattintva kémvírus töltődik a számítógépre. De akár egy mp3 fájlba beágyazva is érkezhet, vagy egy XSS támadáson keresztül (kereszt oldal scriptelés útján).

5 Hogyan védi a CFA DEFENDER TM a felhasználókat A CFA Defender más megközelítést alkalmaz a kémvírusok elleni védelemre. Ahelyett, hogy megpróbálná felismerni a kémvírust, inkább megelőző taktikát alkalmaz. A rendszermag lehetséges legalacsonyabb rétegében védi meg a billentyűzetet. A leütött karakterek titkosításra kerülnek, és egy sávon kívüli csatornán ( Out-of-Band ) jutnak el a böngészőbe, kihagyva a Windows üzenetváró-listát. Rendszerünk rendelkezik egy beépített önellenőrző képességgel. Ez megakadályozza azt, hogy más szoftverek kikerülhessék. Ha a mi szoftverünket bármi megpróbálja befolyásolni, az figyelmezteti a felhasználót a kísérletre. 1. Ábra CFA Defender

6 A következő táblázat a CFA Defender és más kémvírus elleni termékek összehasonlítását mutatja be: Egyéb kémvírus elleni termékek CFA DEFENDER TM Feketelista / fehérlista alapú Windows belső rendszer alapú Frissítés rendszeresen szükséges Nincs szükség frissítésre Visszaható védelem alapú Megelőző védelem alapú Nem titkosított bevitel Titkosít minden bevitelt Könnyen kijátszható a fájl nevek és méretek manipulálásával Majdnem lehetetlen kijátszani 1. Táblázat CFA Defender tulajdonságok összehasonlítása

7 CryptoColor színtechnológia Billentyűzettitkosító rendszerünk egyedülálló módon jelzi a felhasználónak, hogy a termék dolgozik, és a felhasználói bevitel védett. A szövegbeviteli mező színes, amikor a felhasználó felviszi az adatokat. A szín a felhasználó által választható. Ez erős vizuális visszajelzést nyújt a felhasználónak arról, hogy biztonságos környezetben dolgozik, és billentyű leütései védettek. A CryptoColor színtechnológia mutatja, amikor a program használatra kész (azáltal, hogy színes az aktív beviteli mező)

8 CryptoState állapotjelző Bizonyos esetekben rendszerünk nem képes megvédeni a felhasználói bevitelt. Ez egyes nem- HTML oldalak és bizonyos felugró ablakok esetén történhet meg. Ilyen esetekben rendszerünk a CFA Defender eszköztáron elhelyezett státuszgomb színének megváltoztatásával figyelmezteti a felhasználót, hogy a titkosítás kikapcsolt állapotban van. 3 státusz létezik (1) Activate (Aktiválni kell a szoftvert), (2) On (azt jelzi, hogy a billentyűk titkosítva vannak), és (3) Off (azt jelzi, hogy a billentyűkódok nincsenek titkosítva). Státuszgombok:

9 Megállítja a kémvírusokat a lopásban!