BIZTONSÁG ÉS VÉDELEM A SZÁMÍTÁSTECHNIKÁBAN 2006/07. tanév II. félév Keylogger-ek, 2 keylogger működésének bemutatása
A keylogger általánosságban: A keylogging (eredetileg 'keystroke logging") szó szerint a billentyűlenyomások nyomon követését jelenti, és eredetileg elsősorban hardveres eszközzel, a klaviatúrához csatlakoztatott vagy abba titokban beépített készülékkel végezték. A szoftveres keyloggerek a leütött billentyűk naplózásánál sokkal többre képesek; előszeretettel használják őket a bűnüldözésben és a titkosszolgálatoknál is. Az amerikai szövetségi nyomozóhivatal, az FBI 2001-ben el is ismerte, hogy bizonyos ügyek felderítésére keyloggert használt - a lebukott szövetségi kémprogramot Magic Lantern-nek (csodalámpa) hívták.
Ahhoz képest, hogy mások fájljai és mailjei között turkálni törvénytelen, 2002-ben soha nem látott mennyiségű keylogger, a gépen végzett tevékenységet ellenőrző program árasztotta el a piacot - az önjelölt kémek 65 százalékkal több kémprogramhoz juthattak hozzá, mint az azelőtti évben. A VeriSign idefense biztonságtechnikai cég összesen 6191 ingyen letölthető vagy boltban megvásárolható kémalkalmazásról tud, míg 2001-ben csak 3753 volt forgalomban, 2000-ben pedig alig 300.
Csakhogy az online lövöldözés legális, az online kémkedésért viszont börtön jár. A keyloggereket a szakma nem is spyware-nek (kémprogram) hanem egyenesen criemeware-nek (bűnprogram) nevezi, mert az ilyen szoftver használatát a világ legtöbb országában, így Magyarországon is, törvény tiltja. A keyloggerekkel ugyanis minden különös hackerképzettség nélkül nyomon követhető a kiszemelt áldozat számítógépes tevékenysége, megszerezhető hitelkártyaszáma, elolvashatók bizalmas levelei és dokumentumai, és megtekinthető minden olyan kép, amelyet ő is megtekint. A keyloggerek, a számítógépes tevékenységet titokban figyelő és jelentő programok teljesen illegálisak.
Működésüknek jellemzői: Intuitív, még kezdők számára is könnyen kezelhető kezelőfelület. Teljességgel láthatatlan működés. Telepítés a távolból. A csillag karakterekként megjelenő jelszavak rögzítése. A beírt szöveg és jelszavak rögzítése böngészőkből, anonnali üzenetküldő alkalmazásokból, vágólapból, egyéb alkalmazásokból. A képernyő tartalmának mentése. Egér kattintások körüli képrészlet mentése. Jelentések ütemezésének lehetősége. Jelentés e-mailben. Jelentés ftp szerverre. Jelentés helyi hálózaton belül.
Részletes bemutatás: A két keylogger alkalmazás működésének bemutatására a tesztelések során három vírusirtót ( Nod32, F-secure, Kaspersky ), és két tűzfalat (ZoneAlarm, Sunbelt Kerio) használtunk. 3 tesztgépen a következő képpen használtuk a fentiekben megnevezett szoftvereket: Kaspersky antivirus Nod32 antivirus + Sunbelt Kerio Personal Firewall F-secure Internet Security A szoftverek 2007-es, legfrissebb kiadásúak.
1. PERFECT KEYLOGGER
1.1 A naplózó program telepítése: Először is állítsunk le minden vírus figyelő alkalmazást, legyen az víruskereső, illetve tűzfal, a hálózati kártyából a biztonság kedvéért húzzuk ki az UTP kábelt! És kezdhetjük is a fő program telepítését:
1. lépés: Kikapcsoljuk saját magunk naplózását
2. lépés: Elindítjuk a Percfect keylogger naplózó alkalmazást
3. lépés: Tovább gombra kattintunk
4. lépés: A licenszt elfogadva a yes -t kijelöljük, és a Tovább gombra kattintunk
5. lépés: Megadunk egy nevet a főprogramunknak, és a Tovább gombra kattintunk
6. lépés: Megadjuk a telepítési céljegyzéket, és a Tovább gombra kattintunk
7. lépés: Beállítjuk a Startmenüt, és a Tovább gombra kattintunk
8. lépés: Befejezés gombra kattintunk
9. lépés: A futó főprogram, amit majd használhatunk a célgépről kapott log fájlok megnyitására
1.2 A deployment package elkészítése: A keylogger lényege abban rejlik, hogy a Saját gépre, ahova majd küldi a megfigyelt gép az adatokat, ki legyen kapcsolva minden víruskereső, tűzfal alkalmazás, illetve a sajátmagunk megfigyelése addig, amíg elkészítjük a kis programunkat a Remote installation menüpont alatt. Ezzel a kis varázslóval azt tudjuk elérni, hogy a néhány Kb-ból álló úgynevezett keylogger engine -t hozzá tudjuk fűzni bármilyen kiterjesztésű, bármilyen nagyságú fájlhoz, beállíthatjuk a működését ( későbbiekben képekel illusztráljuk ), így végeredményül kapunk egy harmadik fájlt ( keylogger engine + amihez hozzáfűzzük), amely hiba nélkül le fog futni, azzal a kisebb fajta különbséggel az eredeti fájlhoz képest, hogy a háttérben láthatatlanul - legjobb esetben a víruskereső program tudta nélkül feltelepül a keylogger engine-ünk, ami ezek után az előre beállított tevékenységeket fogja végrehajtani.
1. lépés: Jobb klikk a tálcán lévő Perfect Keylogger ikonra, aztán kiválasztjuk a Remote Installation a menüpontot
2. lépés: Mielőtt a Tovább gombra kattintanánk először konfigurálnunk kell, hogy hogyan is működjön majd a mi programunk, végül a Tovább gombra kattintunk
3. lépés: Beállítjuk, hogy a létrejövő program a célgépen mit csináljon ( Install vagy Uninstall ), és azt, hogy milyen módon küldje el a naplózást, végül a Tovább gombra kattintunk
4. lépés: Beállítjuk, hogy mihez legyen hozzáfűzve a keylogger engine, és azt, hogy a célgépen hova települjön, végül a Tovább gombra kattintunk
5. lépés: Beállíthatjuk, hogy töltsön-e le a települő program egy másik futtatható programot, végül a Tovább gombra kattintunk
6. lépés: Kész a deployment package -ünk, végül a Befejezés gombra kattintunk
1.3 A deployment package beállításai:
1. lépés: A program indulásának beállítása
2. lépés: Naplózás módjának beállítása
3. lépés: Screenshotok beállítása
4. lépés: E-mailben kért naplózások beállítása
5. lépés: E-mail-ben történő kézbesítésnek a beállítása
6. lépés: A send test gombra kattintással leellenőrizhetjük, hogy valóban tud, a majd létrejövő program e-mail-t kézbesíteni
7. lépés: FTP szerverre kért naplózások beállítása
8. lépés: Ftp szerverre történő kézbesítésnek a beállítása
9. lépés: A Test ftp gombra kattintással leellenőrizhetjük, hogy valóban tud, a majd létrejövő program FTP szerverre kézbesíteni
10. lépés: Riasztás beállítása, amit azonnal e- mail-ben kézbesít, itt szavakat adhatunk meg amit figyel a naplózó program a célgépen
11. lépés: Mely alkalmazásokban történő cselekvéseket naplózza (mindegyiket, vagy csak a listában szereplőket)
12. lépés: Futás indulásakor értesítés beállítása
2. ARDAMAX KEYLOGGER:
2.1 A naplózó program telepítése: Az előző keylogger alkalmazáshoz hasonlóan.
1. lépés: Elfogadva a licenszt, az I Agree gombra kattintunk
2. lépés: Telepítendő komponenseket kiválasztjuk, és a Next gombra kattintunk
3. lépés: Beállítjuk, hova települjön a főprogram
4. lépés: Kész a főprogram telepítése, végezetül a Finish gombra kattintunk
5. lépés: A futó főprogram, amit majd használhatunk a célgépről kapott log fájlok megnyitására
2.2 A deployment package elkészítése: Annyiban különbözik a Perfect deployment package-étől, hogy a varázslóban megtalálható az Ardamax deployment package konfigurálása, így valamennyivel kevesebbet kell kattintgatnunk.
1. lépés: Tovább gombra kattintunk
2. lépés: Beállítjuk, hogy mihez legyen hozzáfűzve a keylogger engine-ünk, hogy hova települjön, végül a Tovább gombra kattintunk
3. lépés: Láthatatlanság beállítása, végül a Tovább gombra kattintunk
4. lépés: Biztonság beállítása, jelszóval levédhetjük a célgépen futó keylogger engine-t, végül a Tovább gombra kattintunk
5. lépés: Webes frissítés beállítása, végül a Tovább gombra kattintunk
6. lépés: Engine indulásának beállítása, végül a Tovább gombra kattintunk
7. lépés: Log fájlok kézbesítésének, típusának beállítása, végül a Tovább gombra kattintunk
8. lépés: : E-mailben kért naplózások kézbesítésének beállítása, végül a Tovább gombra kattintunk
9. lépés: Naplózás módjainak beállítása, végül a Tovább gombra kattintunk
10. lépés: Screenshot-ok beállítása, végül a Tovább gombra kattintunk
11. lépés: A deployment package létrehozási helyének, ikon típusának beállítása, végül a Tovább gombra kattintunk
12. lépés: Befejezés gombra kattintunk
3 Tesztelési eredmények
3.1 Kaspersky antivirus: Mindkét keylogger-t észrevette!
1. ábra: Perfect keylogger-t észleli Kaspersky antivirus
2. ábra: Az összes létrehozott deployment package-et észleli a Kaspersky hogy fertőzöttek
3. ábra: Az Ardamax keylogger-t észleli a Kaspersky antivirus
3.2 NOD32 antivirus + Sunvelt Kerio Personal Firewall: A Perfect által készített deployment package -et jelezte a vírusírtó program, ellentétben az Ardamax-éval, így végeredményképp az a tapasztalat, hogy azon rendszerek, ahol ezek a biztonsági szoftverek vannak telepítve tökéletesen tud működni az Ardamax által készített naplózó program, ami a célgépnél dolgozó felhasználót igen kellemetlen helyzetbe tudja hozni.
4. ábra: A Perfect keylogger, ahogy a NOD32 észreveszi futni indulását
5. ábra: Az Ardamax keylogger, ahogy a NOD32 NEM veszi észre futását
6. ábra: Ardamax küldi a célgépről a html-ben kódolt log fájlokat, és a screenshot-okat
3.3 F-secure Internet Security: Mindkét keylogger-t észrevette!
7. ábra: A Perfect keylogger, ahogy az F-secure észreveszi futni indulását
8. ábra: Az Ardamax keylogger-t észleli az F- secure
Forrás: F-secure antivirus Kaspersky antivirus Nod32 antivirus Sunbelt Kerio Personal Firewall Perfect keylogger Ardamax keylogger Illegális kémprogramok tesztje