Одним из важных устройств, подключаемых к компьютеру, является клавиатура. С её помощью вводятся данные, пароли, набирается текст и т.д. Поэтому, одной из важнейших и наипервичных задач для служб безопасности, контролирующих деятельность пользователей компьютеров, стола задача перехвата клавиш, нажимаемых на клавиатуре.
Наиболее употребимо сокращение названия этой функции - «килоггер» или, как более распространено, «кейлоггер». По- английски ки - клавиша, логгер – регистратор.
Из фильмов про разведчиков или шпионов нам известны устройства, имеющие в своей основе сверхчувствительные микрофоны, способные улавливать на расстоянии или снимать с оконных стёкол, трубопроводных труб или строительных конструкций акустические сигналы.
По сути своей это – подслушивающие устройства, которые могут различать тональные DTMF-коды нажатия кнопок смартфона. Это акустические кейлоггеры, которые являются специальной техникой и запрещены в России к использованию без особого разрешения государственных органов. Ввиду этого, подробно на этих типах устройств останавливаться не будем.
Второй группой кейлоггеров можно считать аппаратные кейлоггеры, которые представляют из себя электронное устройство, подключаемое в разрыв соединения клавиатуры и компьютера.
Такой кейлоггер может перехватывать набираемую на клавиатуре информацию и записывать на своё встроенное или подключаемое устройство памяти, например, microCD карту. Если аппаратный кейлоггер оборудован передающим устройством беспроводной связи, то передача информации может осуществляться онлайн.
Недостатком такого рода устройств является их открытая установка, то есть пользователь осведомлён о том, что за ним наблюдают и имеет возможность физически извлечь кейлоггер или его карту памяти. Кроме этого, устройство функционально ограничено только одной возможностью контроля за пользователем компьютера.
Преимуществом аппаратных кейлоггеров является их дешевизна и простота установки.
Применяются такие кейлоггеры в небольших организациях для эпизодического контроля ограниченного количества компьютеров, или силовыми структурами в случае оперативной необходимости. Иногда встречаются ноутбуки и клавиатуры, в которых кейлоггер является их составной частью, то есть конструктивно в них встроен.
И, наконец, наиболее эффективным и распространённым средством перехвата нажатий клавиш компьютерной клавиатуры являются специальные программы. Точнее говоря, кейлоггер является одной из функций такой программы.
Программы кейлоггеры бывают, так называемыми, классическими, то есть, перехватывают только нажатия клавиатуры. Они аналогичны аппаратным кейлоггерам, в задачу которых входит только перехватить и сохранить нажатия клавиш на клавиатуре компьютера.
Существуют и программы кейлоггеры с расширенным функционалом, они позволяют снимать и сохранять скриншоты.
Классифицируются программные кейлоггеры и по уровню. Высокоуровневый кейлоггер только фиксирует набранный текст, а низкоуровневый сохраняет ещё и последовательность набора, то есть перехватывает нажатия функциональных клавиш (Ctr, Alt, Shift).
Перейдём теперь к рассмотрению конкретной программы, контролирующей действия пользователя персонального компьютера, имеющей в своём арсенале расширенного кейлоггера.
Такой программой является LanAgent.
LanAgent перехватывает все нажатия клавиш на клавиатуре. И набираемый текст, и нажатия системных клавиш. При этом предусмотрена функция, позволяющая оставить только сам текст.
Разумеется, учитывается язык ввода программы. В том числе даже экзотические языки.
Чтобы показать цельный текст, вместо набора отдельных слов, агент копит набираемые символы у себя в памяти, а в базу истории их запишет при смене окон программ или после некоторого периода отсутствия новых нажатий клавиш.
Благодаря этому, если пользователь пишет длинное письмо или заполняет документ в Word, то, в результате, можно просмотреть его также одним перехваченным текстом.
Как видно на скрине, сохраняется не только сам текст, а еще и время, когда он был набран, в какой программе это происходило, имя пользователя компьютера.
Указание программ, в которых были нажаты клавиши, помогает не просто быстрее сориентироваться в смысле текста, а еще и отфильтровать все перехваченное. Например, оставить только текст, набранный в Ворде.
Если больше интересует не содержимое набранных документов, а текст переписки в скайпе, почте или сообщений соц. сетей, то его удобнее будет просмотреть не среди логов кейлоггера, а прямо отдельными сообщениями.
LanAgent перехватывает целиком сообщения соц сетей, письма и переписку мессенджеров. Так с ними удобнее работать и искать в них нарушения.
Вот так выглядит история перехваченных сообщений соц. сетей:
А вот так – перехваченная почта:
А так, поисковые запросы, набираемые в яндексе или google:
Важное замечание: LanAgent никогда НЕ разрабатывался для перехвата чужих паролей!
Да, некоторые пароли, набираемые на клавиатуре компьютера, например в браузерах или других программах, будут перехвачены. Также как и любой другой текст.
Но, ещё раз подчеркивается, программа не ориентирована на такие цели.
Задачи LanAgent в обнаружении подозрительных действий пользователей на компьютере, анализе переписки и выявлении в ней ключевых слов, оповещении об угрозах.
LanAgent изначально разрабатывался для работы в компьютерной сети. У него есть отдельно серверная часть с централизованной базой данных. И следящий модуль – который и обеспечивает перехват всех действий, совершаемых на компьютере, в том числе перехват клавиатуры.
Тем не менее, можно все части программы поставить и на один компьютер и тогда слежение будет происходит за ним самим.
Если по какой-то причине серверный компьютер недоступен, то собранные данные могут временно хранится на контролируемом ПК. При восстановлении связи они будут переданы на сервер и дальше вы сможете их просматривать не зависимо от того, включен ли сейчас компьютер, за которым настроен контроль.
Установка агента на контролируемые ПК скрытом режиме возможна, если они находятся в локальной сети предприятия. В процессе работы следящий модуль себя никак не обнаруживает. Иконок в системном трее не создает, надписей на экран не выводит.
Важно отметить, что LanAgent – средство повышения безопасности, а не ее преодоления. Он НЕ использует средств распространения по типу вирусов. И для установки следящего модуля потребуются права администратора на компьютере, на котором производится установка.
В заключении еще раз нужно отметить, что клавиатурный шпион (или keylogger) это лишь одна из функций программного обеспечения LanAgent.