Кейлоггер для кибербезопасности и оптимизации

Кейлоггер для кибербезопасности и оптимизации


 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision

Кейлоггер (keylogger) - это средство для получения информации о нажатии клавиш клавиатуры, которое может использоваться внутри разных продуктов ИТ, ИБ, устройств и даже вредоносного ПО. В текущей статье мы разберем возможности сервиса и его применение для решения разных задач.

Применение сервиса в первую очередь развивалось шпионами и злоумышленниками для фиксации действий пользователей. Когда пользователь ищет что-то в интернете, работает с файлами и вводит пароли, он использует различные средства ввода: джойстик, мышь, клавиатуру, сенсорный экран. При этом система фиксирует нажатые клавиши и выполняет соответствующие действия: перемещает аватар в видеоигре и метавселенной, выводит текст на экран, открывает меню и запускает программы. Злоумышленники могут использовать эти данные для получения доступа к сервисам, защищённым паролем, поэтому для защиты важно использовать антивирусы и EDR-системы, которые могут обнаружить и остановить подозрительную активность.

Однако сам по себе кейлоггер как инструмент не несёт вреда и может помочь родителям в контроле детей, компаниям в расследовании инцидентов ИБ или управлении доступом подрядчиков к чувствительным сервисам для повышения безопасности. Ниже мы разберем классические задачи и решения, применяющие клавиатурный перехват.

Действия кейлоггера можно сравнить с работой секретарей на судебных заседаниях, которые тщательно протоколируют все сказанное и произошедшее в зале, для хранения и публикации в соответствии с законом. С точки зрения аудитов и ИТ кейлоггер применяется в системах классов PAM (Privileged Access Management), которые используются для безопасного доступа к базам данных и важным сервисам компании. Система позволяет фиксировать вводимые ИТ-специалистами команды, управляющие данными в сервисах, а также проводить аудит, если что-то в результате работы пошло не так.

ИБ-системы классов UAM (User Activity Monitoring), которые мы уже разбирали ранее, также применяют кейлоггер для задач кибербезопасности: машинное обучение позволяет снимать «клавиатурный почерк» сотрудника, определяя кто использует корпоративный ПК или ноутбук без запуска веб-камеры или системы видеонаблюдения и СКУД в офисе. По скорости набора текста, опечаткам и частым словам/фразам кейлоггер позволяет достаточно точно определить, если вместо нужного пользователя на компьютере авторизовался злоумышленник.

Системы защиты конфиденциальных данных, такие как DLP (Data Loss Prevention), также часто собирают данные, передаваемые в сети интернет и иногда мессенджерах (стоит отметить, что легитимное применение таких средств возможно только на корпоративных устройствах и с получением согласия пользователя, поскольку вмешательство в частную жизнь может привести к штрафам). Поскольку некоторые каналы передачи информации технически невозможно защитить (мессенджеры с шифрованием, проприетарные протоколы в браузерах), кейлоггер позволяет оценить наличие конфиденциальных сведений в тексте ещё до шифрования и поэтому может использоваться для проведения расследований инцидентов. Для безопасности самих пользователей такие системы обычно не сохраняют все сведения и могут формировать инциденты, удаляя сам текст, но позволяя вовремя отреагировать на возможную утечку базы данных клиентов или передачу персональных данных за пределы компании.

Опечатки и другие ошибки при наборе текста – естественное явление, которое, с одной стороны, позволяет определить сотрудника и защитить его устройство, но также может мешать и разряжать. Каждый из нас скорее всего печатал текст на другой раскладке (Ghbdtn! Rfr ltkf&) или просто делал опечатки. Клавиатурный перехват позволяет автоматически обнаружить подобные неудобства и даже автоматически исправить ошибку. Кейлоггер в таких программах, как Punto Switcher, позволяет упростить обычным людям жизнь, но может использоваться злоумышленниками, поэтому для собственной безопасности стоит задуматься о балансе между удобством и возможными последствиями. Помимо клавиатуры современные средства позволяют взаимодействовать и с буфером обмена при копировании и вставке текста, а также осуществлять автозамену, подставляя вместо коротких комбинаций и символов целые слова и фразы. Такой подход можно сравнить с трафаретами и лекалами, которые используются в инженерной графике и начертательной геометрии или граффитистами, которые применяют повторяющиеся элементы в своём творчестве.

Различные сервисы могут использовать искусственный интеллект для подсказок пользователю: в современных мобильных устройствах клавиатуры обычно собирают статистику и предлагают умные варианты для продолжения текста, подходящие эмодзи, которые позволяют быстрее формулировать мысли. Развитые подсказки появились в любимых бизнесом устройствах blackberry, которые всегда славились своими клавиатурам. А после начали применяться и в других продуктах: в зависимости от стиля письма и персональных словарей пользователей перехват текущего вводимого текста позволяет предугадать слова, которые могут пригодиться для продолжения текста. Чем больше пользователь печатает, тем качественнее клавиатура предлагает новые слова, поэтому кейлоггер может ускорить общение. Используется он не только в мобильных устройствах, но и, например в браузерах и поисковиках в интернете. Современные электронные словари и переводчики также применяют кейлоггер для быстрого вывода результата: ещё до того, как слово или фраза набраны целиком. В итоге получаются сервисы, которые чем-то похожи на навигаторы в картах: определяя текущее местоположение по GPS, направление взгляда и финальную точку маршрута, системы могут помочь быстрее найти себя в городских джунглях и дойти до цели. Только вместо координат в спутниковых системах ГЛОНАСС или Starlink, кейлоггер использует статистику нажатых на клавиатуре клавиш.

Интересные публикации