Клавиатурный шпион кейлоггер (keylogger) на страже кибербезопасности предприятия

Кейлоггер (от англ. "Keylogger") - это программа или устройство для регистрации нажатия клавиш на клавиатуре ПК с сохранением логов для последующего анализа. Современный клавиатурный шпион может быть быстро и незаметно интегрирован в компьютер или ноутбук интересующего человека, после чего начинает свою деятельность по сбору информации о действиях пользователя с отправкой этих сведений своему владельцу.

кейлоггер

Целью кейлоггера не всегда является нанесение ущерба, хотя зачастую он применяется хакерами для сбора конфиденциальной информации и использования ее в личных корыстных целях. В последнее время повышенный интерес к перехватчикам нажатий клавиш проявляют специалисты по промышленной кибербезопасности для выявления неблагонадежных сотрудников, в результате чего кейлоггер становится средством для мониторинга персонала, учета рабочего времени и подсчета продуктивности. В этой статье мы поговорим о том, для чего нужен и каким образом работает кейлоггер, а также о его преимуществах при разумном использовании.

Dashboard

Кейлоггер на страже кибербезопасности

Система Bitcop собирает данные, которые выявляют потенциальных нарушителей

Мониторинг всех операций пользователей с построением подробных отчетов и сохранением скриншотов - это разумный и действенный способ выявить неблагонадежных сотрудников уже сейчас. Мгновенные уведомления на e-mail позволят предотвратить опасные инциденты, а оценка продуктивности поможет превратить штат в эффективную команду специалистов.

Попробовать бесплатно

Виды кейлоггеров в зависимости от способа установки и собираемых данных

В персональный компьютер своей "жертвы" клавиатурные шпионы могут попадать различными способами и быть ориентированными на сбор различных данных. В зависимости от этого выделяют акустические, аппаратные и программные кейлоггеры.

  • акустический кейлоггер Акустический кейлоггер используется сравнительно редко. Основное назначение этого устройства - запись звуков нажатия клавиш, из различий в тональности звучания которых можно восстановить последовательность набранных символов. Имеет значение и скорость нажатий, она также анализируется как дополнительный фактор для извлечения конфиденциальных сведений. Минус таких кейлоггеров - это объемные файлы протоколов, по которым их можно обнаружить, поскольку данный вид перехватчиков вынужден записывать много сопутствующей информации, чтобы облегчить последующую расшифровку.
  • аппаратный кейлоггер Аппаратный кейлоггер представляет собой устройство, которое физическим образом внедряется в компьютер пользователя, после чего начинает перехват нажатий клавиш. Примерами таких устройств могут служить накладки на клавиатуры банкоматов, встраиваемые в материнскую плату "жучки" или незаметные переходники, которые вставляются в разъем на клавиатуре. Основное назначение эргономики таких кейлоггеров - это их незаметность: они имеют малый размер или изготавливаются так, чтобы не привлекать к себе внимание, маскируясь под другое устройство. Аппаратные кейлоггеры невозможно обнаружить с помощью антивируса, выявить их поможет только внимательный осмотр техники специалистом или даже ее рентгеновское просвечивание. Минусы у таких устройств тоже имеются: чтобы внедрить аппаратный кейлоггер в целевой компьютер, злоумышленник должен обеспечить себе к нему доступ, что сузит круг подозреваемых, если факт существования "жучка" будет раскрыт, акцентировав подозрения на коллегах, сервисном персонале или недавних посетителях. К аппаратным кейлоггерам с небольшой натяжкой можно отнести и мини-камеры, которыми похитители пин-кодов оснащают банкоматы для получения доступа к чужим банковским картам.
  • программный кейлоггер Программный кейлоггер - это шпионское программное обеспечение, которое устанавливается на компьютер пользователя при посещении зараженного сайта или общедоступного сетевого хранилища, а также при открытии вложения из зараженного письма в электронной почте, которое может совсем не походить на спам, а маскироваться под важную деловую рассылку. Такие перехватчики иногда встраиваются во вполне безобидные программы, которые пользователь скачивает из сети или загружает с внешнего носителя. Существуют и официальные лицензионные разработки, которые поставляются как дополнение к операционной системе и призваны упростить работу пользователя: вовремя автоматически переключить раскладку клавиатуры, напомнить забытый пароль или помочь восстановить важные данные.

Если целью программного кейлоггера является скрытый сбор данных, то он работает незаметно для пользователя, не отображаясь в списке запущенных программ. Выявить шпиона бывает непросто даже современным антивирусным системам, хотя рано или поздно он обнаруживает себя, пытаясь переслать накопленные данные своему владельцу.

Возможности программных кейлоггеров значительно превышают простой сбор данных о нажатиях клавиш, и включают в себя копирование файлов и писем, протоколирование информации об использовании браузера, запись последовательности обращений к периферическим устройствам, скриншоты экрана и многое другое.

keylogger

Кейлоггеры могут хранить свои лог-файлы в оперативной памяти зараженного компьютера, на его жестком диске, на выделенном участке локальной сети, в реестре или на удаленном сервере. Передаваться заинтересованному лицу они могут путем отправки по электронной почте, размещения на FTP- или HTTP-сервере либо по беспроводным каналам связи. В случае аппаратного кейлоггера считывание накопленных данных возможно после его физического извлечения.

Легальные кейлоггеры - стражи продуктивности и кибербезопасности

Существуют полезные кейлоггеры, которые не занимаются кражей паролей и не переходят границ частной жизни, выполняя лишь те функции мониторинга, которые необходимы для обеспечения кибербезопасности и повышения производительности труда. В отличие от вредоносных программ-шпионов, установка в данном случае санкционирована и происходит с ведома и согласия администратора безопасности или непосредственного владельца компьютера. Они получили название систем учета рабочего времени и широко используются на предприятиях.

легальные кейлоггеры

Для чего нужны легальные кейлоггеры?

  • Их главное назначение - это отслеживание действий пользователя при работе за компьютером. Не секрет, что крупные корпорации особенно беспокоятся о сохранности конфиденциальных данных и о предотвращении утечек информации. Проблемы информационной безопасности предприятия, не решенные на начальном этапе, впоследствии могут привести к огромным репутационным и финансовым потерям. Программа-шпион поможет вовремя предотвратить попытку взлома или отследить злоумышленника по горячим следам.
  • Еще одна цель использования таких систем - это мониторинг действий сотрудников для оценки их эффективности. Данные, собранные учетными программами, помогут выявить перспективных специалистов и снизить издержки предприятия за счет отказа от услуг непродуктивных работников.
  • Наконец, системы контроля оказывают неоценимую помощь в расследовании любых инцидентов. Начиная с модификации или удаления важного документа и заканчивая срывом сроков серьезного проекта. Специалист по безопасности или руководитель подразделения, владеющий сведениями о последовательности операций пользователей, без труда найдет того, кто должен понести заслуженную ответственность за действия, повредившие имиджу или финансовой стабильности компании.

наблюдение за сотрудниками Система контроля и учета действий сотрудников Bitcop - это настоящее недремлющее око, которое ненавязчиво и неявно для пользователей протоколирует все их действия на компьютере в течение рабочего дня. Масштабируемость приложения позволит охватить мониторингом всю территориально распределенную сеть крупного предприятия, включая иногородние предприятия и персонал, работающий дистанционно.

В зависимости от политики безопасности, которой придерживается заказчик, базы данных Bitcop могут размещаться исключительно на внутренних серверах предприятия (коробочная версия) или же храниться в облаке. Сохранение поисковых запросов, периодические снимки рабочего экрана, протоколирование интервалов работы с различным программным обеспечением, собственно перехват нажатия клавиш (только для коробочного решения) и другие возможности Bitcop превратили систему в настоящего секьюрити, который бдительно следит за операциями пользователей и мгновенно уведомляет ответственное лицо о сомнительных действиях.

Расследование инцидентов информационной безопасности

расследование инцидентов информационной безопасности Легальный кейлоггер, поставляемый в коробочной версии Bitcop, является мощным средством по расследованию компьютерных инцидентов на предприятии. С помощью анализа логов по нажатию клавиш сотрудниками можно:

  • Выявить ключевые слова и словосочетания, которые могут рассматриваться как попытка передачи конфиденциальной информации третьим лицам.
  • Отследить факты подбора паролей доступа (последовательное введение ряда наборов символов с небольшими отличиями за короткий промежуток времени).
  • Установить случаи использования чужих данных для доступа или обращений к запрещенным сетевым ресурсам.
  • Зафиксировать факты пользования компьютером во внерабочее время и для целей, не связанных с прямыми служебными обязанностями.
  • Восстановить пароли при их утере, важную информацию при ее повреждении.
  • Изучить на предмет скорости и правильности реагирование операторов на входящие рабочие запросы, чтобы сделать выводы о их квалификации и соответствии занимаемой должности.

Нелегальные кейлоггеры и их опасность для предприятия

нелегальные кейлоггеры В отличие от легальных кейлоггеров, призванных отслеживать действия пользователя для предотвращения ущерба предприятию, нелегальные кейлоггеры как раз и нацелены на нанесение такого ущерба. Их главным назначением является сбор конфиденциальных данных с последующим их использованием для шантажа, финансовых махинаций или кражи инноваций и разработок. Такие кейлоггеры устанавливаются несанкционированно, то есть без ведома и согласия владельца компьютера или администратора безопасности корпоративной системы.

Кейлоггеры крадут данные доступа к засекреченной информации, которые впоследствии могут быть использованы третьими лицами для предумышленного нанесения вреда хозяйственной деятельности предприятия. Так, логины и пароли для входа в корпоративную систему, попав в руки злоумышленника, могут сподвигнуть его на то, чтобы внести в нее искаженные сведения или повредить базу данных.

Доступ к финансовым операциям также может иметь плачевные последствия в виде изменения направления денежных потоков или утечек с банковского счета компании. Промышленный шпионаж для агентств, занимающихся креативными разработками, способен привести к тому, что конкурент раньше внедрит перспективную идею и начнет получать за нее доход.

Способы заражения вредоносными кейлоггерами

Аппаратные кейлоггеры могут внедряться людьми, имеющими непосредственный доступ к интересующему их персональному компьютеру. Это могут быть "засланные шпионы" (сотрудники, которые нанялись в компанию под благовидным предлогом для осуществления шпионажа в пользу своего основного хозяина), обиженные работники, которым посулили блага в компании-конкуренте за выполнение подобной услуги, или сторонние люди, нанятые злоумышленником и использующие любой повод для доступа к технике (под видом работников сервисных служб или рядовых посетителей). Для предотвращения внедрения аппаратного кейлоггера предприятиям следует ограничить доступ третьих лиц к офисной технике, проводить сервисное обслуживание силами внутреннего подразделения компании (при его наличии), регулярно устраивать проверку техники независимыми специалистами и рассмотреть введение видеонаблюдения.

заражение вирусом

Попадание программных кейлоггеров может произойти при открытии зараженного письма, посещении неблагонадежного сайта или сетевого хранилища, при установке сомнительного программного обеспечения. Часто программные кейлоггеры являются частью троянского вируса, поражающего систему. В условиях, когда компьютеры объединены в корпоративную сеть, инфицирование одного из них резко повышает риски остальных пользователей, поскольку при обращении к такому компьютеру или использовании созданных на нем файлов вирус проникает и на другие компьютеры сети.

Для борьбы с заражением предприятие должно регулярно использовать для очистки Kaspersky или другой антивирус с обновленными сигнатурными базами, поскольку методы выявления кейлоггеров постоянно совершенствуются вслед за все большим распространением таких шпионских программ. Хорошей профилактикой здесь также может быть использование легального кейлоггера Bitcop в составе коробочной версии, ведь в этом случае значительно легче отследить, кем и с какого ресурса вредоносное приложение могло быть занесено в систему.