BIZTONSÁG ÉS VÉDELEM A SZÁMÍTÁSTECHNIKÁBAN 2006/07. tanév II. félév Keylogger-ek, 2 keylogger működésének bemutatása

BIZTONSÁG ÉS VÉDELEM A SZÁMÍTÁSTECHNIKÁBAN 2006/07. tanév II. félév Keylogger-ek, 2 keylogger működésének bemutatása

A keylogger általánosságban: A keylogging (eredetileg 'keystroke logging") szó szerint a billentyűlenyomások nyomon követését jelenti, és eredetileg elsősorban hardveres eszközzel, a klaviatúrához csatlakoztatott vagy abba titokban beépített készülékkel végezték. A szoftveres keyloggerek a leütött billentyűk naplózásánál sokkal többre képesek; előszeretettel használják őket a bűnüldözésben és a titkosszolgálatoknál is. Az amerikai szövetségi nyomozóhivatal, az FBI 2001-ben el is ismerte, hogy bizonyos ügyek felderítésére keyloggert használt - a lebukott szövetségi kémprogramot Magic Lantern-nek (csodalámpa) hívták.

Ahhoz képest, hogy mások fájljai és mailjei között turkálni törvénytelen, 2002-ben soha nem látott mennyiségű keylogger, a gépen végzett tevékenységet ellenőrző program árasztotta el a piacot - az önjelölt kémek 65 százalékkal több kémprogramhoz juthattak hozzá, mint az azelőtti évben. A VeriSign idefense biztonságtechnikai cég összesen 6191 ingyen letölthető vagy boltban megvásárolható kémalkalmazásról tud, míg 2001-ben csak 3753 volt forgalomban, 2000-ben pedig alig 300.

Csakhogy az online lövöldözés legális, az online kémkedésért viszont börtön jár. A keyloggereket a szakma nem is spyware-nek (kémprogram) hanem egyenesen criemeware-nek (bűnprogram) nevezi, mert az ilyen szoftver használatát a világ legtöbb országában, így Magyarországon is, törvény tiltja. A keyloggerekkel ugyanis minden különös hackerképzettség nélkül nyomon követhető a kiszemelt áldozat számítógépes tevékenysége, megszerezhető hitelkártyaszáma, elolvashatók bizalmas levelei és dokumentumai, és megtekinthető minden olyan kép, amelyet ő is megtekint. A keyloggerek, a számítógépes tevékenységet titokban figyelő és jelentő programok teljesen illegálisak.

Működésüknek jellemzői: Intuitív, még kezdők számára is könnyen kezelhető kezelőfelület. Teljességgel láthatatlan működés. Telepítés a távolból. A csillag karakterekként megjelenő jelszavak rögzítése. A beírt szöveg és jelszavak rögzítése böngészőkből, anonnali üzenetküldő alkalmazásokból, vágólapból, egyéb alkalmazásokból. A képernyő tartalmának mentése. Egér kattintások körüli képrészlet mentése. Jelentések ütemezésének lehetősége. Jelentés e-mailben. Jelentés ftp szerverre. Jelentés helyi hálózaton belül.

Részletes bemutatás: A két keylogger alkalmazás működésének bemutatására a tesztelések során három vírusirtót ( Nod32, F-secure, Kaspersky ), és két tűzfalat (ZoneAlarm, Sunbelt Kerio) használtunk. 3 tesztgépen a következő képpen használtuk a fentiekben megnevezett szoftvereket: Kaspersky antivirus Nod32 antivirus + Sunbelt Kerio Personal Firewall F-secure Internet Security A szoftverek 2007-es, legfrissebb kiadásúak.

1. PERFECT KEYLOGGER

1.1 A naplózó program telepítése: Először is állítsunk le minden vírus figyelő alkalmazást, legyen az víruskereső, illetve tűzfal, a hálózati kártyából a biztonság kedvéért húzzuk ki az UTP kábelt! És kezdhetjük is a fő program telepítését:

1. lépés: Kikapcsoljuk saját magunk naplózását

2. lépés: Elindítjuk a Percfect keylogger naplózó alkalmazást

3. lépés: Tovább gombra kattintunk

4. lépés: A licenszt elfogadva a yes -t kijelöljük, és a Tovább gombra kattintunk

5. lépés: Megadunk egy nevet a főprogramunknak, és a Tovább gombra kattintunk

6. lépés: Megadjuk a telepítési céljegyzéket, és a Tovább gombra kattintunk

7. lépés: Beállítjuk a Startmenüt, és a Tovább gombra kattintunk

8. lépés: Befejezés gombra kattintunk

9. lépés: A futó főprogram, amit majd használhatunk a célgépről kapott log fájlok megnyitására

1.2 A deployment package elkészítése: A keylogger lényege abban rejlik, hogy a Saját gépre, ahova majd küldi a megfigyelt gép az adatokat, ki legyen kapcsolva minden víruskereső, tűzfal alkalmazás, illetve a sajátmagunk megfigyelése addig, amíg elkészítjük a kis programunkat a Remote installation menüpont alatt. Ezzel a kis varázslóval azt tudjuk elérni, hogy a néhány Kb-ból álló úgynevezett keylogger engine -t hozzá tudjuk fűzni bármilyen kiterjesztésű, bármilyen nagyságú fájlhoz, beállíthatjuk a működését ( későbbiekben képekel illusztráljuk ), így végeredményül kapunk egy harmadik fájlt ( keylogger engine + amihez hozzáfűzzük), amely hiba nélkül le fog futni, azzal a kisebb fajta különbséggel az eredeti fájlhoz képest, hogy a háttérben láthatatlanul - legjobb esetben a víruskereső program tudta nélkül feltelepül a keylogger engine-ünk, ami ezek után az előre beállított tevékenységeket fogja végrehajtani.

1. lépés: Jobb klikk a tálcán lévő Perfect Keylogger ikonra, aztán kiválasztjuk a Remote Installation a menüpontot

2. lépés: Mielőtt a Tovább gombra kattintanánk először konfigurálnunk kell, hogy hogyan is működjön majd a mi programunk, végül a Tovább gombra kattintunk

3. lépés: Beállítjuk, hogy a létrejövő program a célgépen mit csináljon ( Install vagy Uninstall ), és azt, hogy milyen módon küldje el a naplózást, végül a Tovább gombra kattintunk

4. lépés: Beállítjuk, hogy mihez legyen hozzáfűzve a keylogger engine, és azt, hogy a célgépen hova települjön, végül a Tovább gombra kattintunk

5. lépés: Beállíthatjuk, hogy töltsön-e le a települő program egy másik futtatható programot, végül a Tovább gombra kattintunk

6. lépés: Kész a deployment package -ünk, végül a Befejezés gombra kattintunk

1.3 A deployment package beállításai:

1. lépés: A program indulásának beállítása

2. lépés: Naplózás módjának beállítása

3. lépés: Screenshotok beállítása

4. lépés: E-mailben kért naplózások beállítása

5. lépés: E-mail-ben történő kézbesítésnek a beállítása

6. lépés: A send test gombra kattintással leellenőrizhetjük, hogy valóban tud, a majd létrejövő program e-mail-t kézbesíteni

7. lépés: FTP szerverre kért naplózások beállítása

8. lépés: Ftp szerverre történő kézbesítésnek a beállítása

9. lépés: A Test ftp gombra kattintással leellenőrizhetjük, hogy valóban tud, a majd létrejövő program FTP szerverre kézbesíteni

10. lépés: Riasztás beállítása, amit azonnal e- mail-ben kézbesít, itt szavakat adhatunk meg amit figyel a naplózó program a célgépen

11. lépés: Mely alkalmazásokban történő cselekvéseket naplózza (mindegyiket, vagy csak a listában szereplőket)

12. lépés: Futás indulásakor értesítés beállítása

2. ARDAMAX KEYLOGGER:

2.1 A naplózó program telepítése: Az előző keylogger alkalmazáshoz hasonlóan.

1. lépés: Elfogadva a licenszt, az I Agree gombra kattintunk

2. lépés: Telepítendő komponenseket kiválasztjuk, és a Next gombra kattintunk

3. lépés: Beállítjuk, hova települjön a főprogram

4. lépés: Kész a főprogram telepítése, végezetül a Finish gombra kattintunk

5. lépés: A futó főprogram, amit majd használhatunk a célgépről kapott log fájlok megnyitására

2.2 A deployment package elkészítése: Annyiban különbözik a Perfect deployment package-étől, hogy a varázslóban megtalálható az Ardamax deployment package konfigurálása, így valamennyivel kevesebbet kell kattintgatnunk.

1. lépés: Tovább gombra kattintunk

2. lépés: Beállítjuk, hogy mihez legyen hozzáfűzve a keylogger engine-ünk, hogy hova települjön, végül a Tovább gombra kattintunk

3. lépés: Láthatatlanság beállítása, végül a Tovább gombra kattintunk

4. lépés: Biztonság beállítása, jelszóval levédhetjük a célgépen futó keylogger engine-t, végül a Tovább gombra kattintunk

5. lépés: Webes frissítés beállítása, végül a Tovább gombra kattintunk

6. lépés: Engine indulásának beállítása, végül a Tovább gombra kattintunk

7. lépés: Log fájlok kézbesítésének, típusának beállítása, végül a Tovább gombra kattintunk

8. lépés: : E-mailben kért naplózások kézbesítésének beállítása, végül a Tovább gombra kattintunk

9. lépés: Naplózás módjainak beállítása, végül a Tovább gombra kattintunk

10. lépés: Screenshot-ok beállítása, végül a Tovább gombra kattintunk

11. lépés: A deployment package létrehozási helyének, ikon típusának beállítása, végül a Tovább gombra kattintunk

12. lépés: Befejezés gombra kattintunk

3 Tesztelési eredmények

3.1 Kaspersky antivirus: Mindkét keylogger-t észrevette!

1. ábra: Perfect keylogger-t észleli Kaspersky antivirus

2. ábra: Az összes létrehozott deployment package-et észleli a Kaspersky hogy fertőzöttek

3. ábra: Az Ardamax keylogger-t észleli a Kaspersky antivirus

3.2 NOD32 antivirus + Sunvelt Kerio Personal Firewall: A Perfect által készített deployment package -et jelezte a vírusírtó program, ellentétben az Ardamax-éval, így végeredményképp az a tapasztalat, hogy azon rendszerek, ahol ezek a biztonsági szoftverek vannak telepítve tökéletesen tud működni az Ardamax által készített naplózó program, ami a célgépnél dolgozó felhasználót igen kellemetlen helyzetbe tudja hozni.

4. ábra: A Perfect keylogger, ahogy a NOD32 észreveszi futni indulását

5. ábra: Az Ardamax keylogger, ahogy a NOD32 NEM veszi észre futását

6. ábra: Ardamax küldi a célgépről a html-ben kódolt log fájlokat, és a screenshot-okat

3.3 F-secure Internet Security: Mindkét keylogger-t észrevette!

7. ábra: A Perfect keylogger, ahogy az F-secure észreveszi futni indulását

8. ábra: Az Ardamax keylogger-t észleli az F- secure

Forrás: F-secure antivirus Kaspersky antivirus Nod32 antivirus Sunbelt Kerio Personal Firewall Perfect keylogger Ardamax keylogger Illegális kémprogramok tesztje