Программное обеспечение и аппаратные устройства, предназначенные для скрытого слежения за деятельностью пользователей персональных компьютеров, получили в последнее время самое широкое распространение.
Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно установлены без ведома владельца автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как "программы-шпионы" или "продукты-шпионы".
Между мониторинговыми продуктами для обеспечения наблюдаемости и продуктами-шпионами очень тонкая грань - это грань между управлением безопасностью и нарушением безопасности. При этом наличие в программе таких специальных функции как:
» возможность предварительной конфигурации модуля (клиента, агента и т.п.) мониторинга и получение "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране;
» встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя способствует и содействует превращению продукта для мониторинга и наблюдаемости в продукт-шпион. Напротив, наличие в программе следующих требований:
- возможность инсталляции и конфигурации модуля мониторинга только при непосредственном физическом доступе к компьютеру пользователя;
- обязательное наличие прав системного администратора для инсталляции и конфигурации программы зачастую делает продукт малопригодным для шпионских целей и несанкционированного применения. Исключение составляют случаи, когда, например, злоумышленником является сам администратор.
2. Для чего используются мониторинговые программы?
Их применение позволяет специалисту, ответственному за информационную безопасность предприятия:
1. определить (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
2. определить факты несанкционированной установки программного обеспечения;
3. проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;
4. определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;
5. определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;
6. определить факты нецелевого использования персональных компьютеров;
7. получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;
8. контролировать доступ к серверам и персональным компьютерам;
9. контролировать контакты собственных детей при серфинге в сети Интернет;
10. проводить информационный аудит;
11. исследовать и расследовать компьютерные инциденты;
12. проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
13. определить загрузку компьютерных рабочих мест предприятия;
14. восстановить критическую информацию после сбоев компьютерных систем.
3. Для чего используются несанкционированно устанавливаемые мониторинговые программы, т.е. программы-шпионы?
Их применение позволяет злоумышленнику:
» несанкционированно перехватывать чужую информацию;
» осуществлять экономический шпионаж;
» осуществлять политический шпионаж;
» получить несанкционированный доступ к системам "банк-клиент";
» получить несанкционированный доступ к системам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;
» получить несанкционированный доступ к авторизационным данным кредитных карточек.
4. Продукты-шпионы представляют серьезную опасность защите отдельных и соединенных в сеть компьютерных систем
Одна из наиболее опасных особенностей всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных пользователем, с целью контроля компьютерной активности.
Когда пользователь набирает на клавиатуре пароль и данные своей кредитной карточки, возможно, в этот момент записывается каждое нажатие клавиши.
Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон.
Другими словами, программа-шпион может перехватить текст из документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл.
5. Программные кейлоггеры, предназначенные для контроля информации, вводимой пользователем персонального компьютера
Программные кейлоггеры (keyloggers, key loggers, keystroke loggers, key recorders, key trappers, key capture programs и множество других вариантов названия) принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера.
Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (Log-файл), который впоследствии изучался человеком, уставившим эту программу.
Log-файл может отправляться по сети на сетевой диск, ftp сервер в сети Интернет, по Email и др.
В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций – это:
» перехват информации из окон
» перехват кликов мыши
» "фотографирование" снимков экрана и активных окон
» ведение учета всех полученных и отправленных Email
» мониторинг файловой активности
» мониторинг системного реестра
» мониторинг очереди заданий, отправленных на принтер
» перехват звука с микрофона и видео-изображения с веб-камеры, соединенных к компьютеру и др.
Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, троянские программы, вирусы и черви.
Примерами известных программных кейлоггеров являются Activity Logger, Boss Everyware, Ghost Keylogger, HookDump, IamBigBrother, Invisible KeyLogger Stealth, iOpus STARR, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Keystroke Reporter, PC Spy, Perfect Keylogger, ProBot, Realtime Spy, Spector Pro, SpyAgent, SpyBuddy, WinWhatWhere Investigator.
В мире на сегодняшний день существуют сотни подобных продуктов, отличающихся друг от друга функциональностью, удобством работы, информативностью отчетов, возможностями по невидимости и защите от обнаружения/удаления.
Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно установлены без ведома владельца автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как "программы-шпионы" или "продукты-шпионы".
Между мониторинговыми продуктами для обеспечения наблюдаемости и продуктами-шпионами очень тонкая грань - это грань между управлением безопасностью и нарушением безопасности. При этом наличие в программе таких специальных функции как:
» возможность предварительной конфигурации модуля (клиента, агента и т.п.) мониторинга и получение "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране;
» встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя способствует и содействует превращению продукта для мониторинга и наблюдаемости в продукт-шпион. Напротив, наличие в программе следующих требований:
- возможность инсталляции и конфигурации модуля мониторинга только при непосредственном физическом доступе к компьютеру пользователя;
- обязательное наличие прав системного администратора для инсталляции и конфигурации программы зачастую делает продукт малопригодным для шпионских целей и несанкционированного применения. Исключение составляют случаи, когда, например, злоумышленником является сам администратор.
2. Для чего используются мониторинговые программы?
Их применение позволяет специалисту, ответственному за информационную безопасность предприятия:
1. определить (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
2. определить факты несанкционированной установки программного обеспечения;
3. проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;
4. определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;
5. определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;
6. определить факты нецелевого использования персональных компьютеров;
7. получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;
8. контролировать доступ к серверам и персональным компьютерам;
9. контролировать контакты собственных детей при серфинге в сети Интернет;
10. проводить информационный аудит;
11. исследовать и расследовать компьютерные инциденты;
12. проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
13. определить загрузку компьютерных рабочих мест предприятия;
14. восстановить критическую информацию после сбоев компьютерных систем.
3. Для чего используются несанкционированно устанавливаемые мониторинговые программы, т.е. программы-шпионы?
Их применение позволяет злоумышленнику:
» несанкционированно перехватывать чужую информацию;
» осуществлять экономический шпионаж;
» осуществлять политический шпионаж;
» получить несанкционированный доступ к системам "банк-клиент";
» получить несанкционированный доступ к системам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;
» получить несанкционированный доступ к авторизационным данным кредитных карточек.
4. Продукты-шпионы представляют серьезную опасность защите отдельных и соединенных в сеть компьютерных систем
Одна из наиболее опасных особенностей всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных пользователем, с целью контроля компьютерной активности.
Когда пользователь набирает на клавиатуре пароль и данные своей кредитной карточки, возможно, в этот момент записывается каждое нажатие клавиши.
Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон.
Другими словами, программа-шпион может перехватить текст из документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл.
5. Программные кейлоггеры, предназначенные для контроля информации, вводимой пользователем персонального компьютера
Программные кейлоггеры (keyloggers, key loggers, keystroke loggers, key recorders, key trappers, key capture programs и множество других вариантов названия) принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера.
Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (Log-файл), который впоследствии изучался человеком, уставившим эту программу.
Log-файл может отправляться по сети на сетевой диск, ftp сервер в сети Интернет, по Email и др.
В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций – это:
» перехват информации из окон
» перехват кликов мыши
» "фотографирование" снимков экрана и активных окон
» ведение учета всех полученных и отправленных Email
» мониторинг файловой активности
» мониторинг системного реестра
» мониторинг очереди заданий, отправленных на принтер
» перехват звука с микрофона и видео-изображения с веб-камеры, соединенных к компьютеру и др.
Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, троянские программы, вирусы и черви.
Примерами известных программных кейлоггеров являются Activity Logger, Boss Everyware, Ghost Keylogger, HookDump, IamBigBrother, Invisible KeyLogger Stealth, iOpus STARR, iSpyNOW, KeyCopy, KeyKeeper, KeyKey, KeyLog, KeySpy, Keystroke Reporter, PC Spy, Perfect Keylogger, ProBot, Realtime Spy, Spector Pro, SpyAgent, SpyBuddy, WinWhatWhere Investigator.
В мире на сегодняшний день существуют сотни подобных продуктов, отличающихся друг от друга функциональностью, удобством работы, информативностью отчетов, возможностями по невидимости и защите от обнаружения/удаления.