Keylogger zainstalowany na komputerze użytkownika nie zdradza żadnych symptomów swojej obecności. Jest w stanie zarejestrować każdą literę wpisywaną z klawiatury, odwiedzoną stronę w Sieci, wedrzeć się do prywatnej korespondencji, podejrzeć rozmowy prowadzone przy pomocy komunikatora internetowego, a to wszystko, włącznie ze zrzutami ekranu, przesłać na zdalny komputer, podczas gdy nieświadoma ofiara kompletnie nie ma pojęcia o tym, co się dzieje. Co gorsza, zarówno komercyjnych jak i w pełni amatorskich odmian keyloggerów, w Internecie długo szukać nie trzeba – są ich całe biblioteki. Każdy z nas może stać się celem ataku. Dlatego też warto wiedzieć, jak się przed ‘szpiegowaniem’ odpowiednio zabezpieczyć.

Szpiegowanie komercyjne

Z problemem keyloggerów możemy się spotkać nie tylko w życiu prywatnym. Zdarzyć się może również, że zapobiegliwy członek rodziny, kolega lub też pracodawca będzie pałał żądzą wiedzy o każdym naszym posunięciu. Oprogramowanie monitorujące w miejscu pracy, wydaje się być w tym wypadku najbardziej kontrowersyjną, a zarazem delikatną sprawą. Aby monitorować produktywność swoich pracowników i jednocześnie nie popaść w konflikt z prawem, wykorzystane mogą być specjalnie dostosowane do tego celu aplikacje komercyjne, jak chociażby Spector Pro, EBlaster, WinWhatWhere, XPCSpy, XPCSpy Pro, czy Desktop Surveillance Personal Edition.

Co ciekawe, zdemaskowanie takiego ‘szpiega’ w swoim komputerze nie musi nastręczać dużego problemu. Większość producentów tego typu programów stosuje bowiem metodę wyjścia z trybu ‘cichej pracy’ przy pomocy odpowiedniej kombinacji klawiszy. Potencjalna ofiara, posiadając te informacje, może natychmiast spowodować przejście zaszytego w systemie keyloggera w stan widoczności i odinstalować go. Dla przykładu, dla programu Spector Pro, wystarczy wcisnąć naraz klawisze CTRL + ALT + SHIFT + S. Dla XPCSpy sygnałem do pobudki będzie CTRL + ALT + X lub przejście do menu START, wybranie polecenia RUN (Uruchom) i wpisanie tam komendy o treści ‘rx’. Przykłady tego typu można mnożyć w nieskończoność i zazwyczaj wskazówki dotyczące sposobów dezaktywacji keyloggera znajdziemy na stronach internetowych ich producentów.

Kiedy już dojdzie do tego, że zlokalizujemy takiego ‘szpiega’ w naszym systemie, często nie będziemy mogli dotrzeć do jego ustawień. Zazwyczaj atakujący zabezpiecza je hasłem co, uniemożliwia ich zmianę. Będziemy mieli za to spektrum wiedzy o tym, jakie aspekty naszej aktywności są monitorowane oraz, rzecz jasna, świadomość, że jesteśmy ‘obserwowani’. Co gorsza, jeśli zdecydujemy się na usunięcie z komputera wykrytego keyloggera, może on odpowiednio wcześniej zaalarmować o tym fakcie swojego właściciela. W przypadku komputerów firmowych sytuację komplikuje dodatkowo fakt, iż pracodawca ma prawo instalować tego typu programy na komputerach swoich pracowników. Nie trzeba chyba dodawać, jakie problemy mogą wyniknąć z próby usunięcia keyloggera w takiej sytuacji…

Szpiegowanie niekomercyjne i obrona przed nim

O ile w przypadku komercyjnych keyloggerów łatwo jest zlokalizować ich autora, o tyle w sytuacji w pełni prywatnych programów szpiegujących jest to nie lada wyzwanie. Dodatkowo, ich nieporównywalnie większa ilość oraz możliwość swobodnej dystrybucji stwarza o wiele większe pole do popisu dla atakującego i relatywnie mniejsze dla nieświadomej ofiary. Z pomocą tym ostatnim przyjść może cała armia programów wykrywających ‘nieproszonych gości’ na naszym komputerze. A oto niektóre z nich:

Ad-Aware

Wykrywa i bezpiecznie usuwa "szpiegowskie" oprogramowanie, które zostało zainstalowane w systemie Windows przez systemy reklamowe (np. przez aplikacje typu adware, jak KaZaA). Program wykrywa następujących szpiegów: Adware, Alexa, Aureate, Comet Cursor, Cydoor, Doubleclick, DSSAgent, EverAd, OnFlow, Flyswat, Gator, TimeSink, Web3000 oraz Webhancer. Na życzenie użytkownika pliki te zostają usunięte z dysku. Program może utworzyć kopie zapasową usuwanych plików - niektóre programy adware przestają funkcjonować po odłączeniu bibliotek penetrujących komputer.

Ad-Aware 6.181 Standard do pobrania z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/753/Ad.Aware.6.181.Standard.html

Ad-Aware polski interfejs:

http://www.pcworld.pl/ftp/pc/programy/1165/Ad.Aware.polski.interfejs..html

Spy Bot

Może nas ochronić przed wścibskimi programami typu spyware oraz przed różnego typu dialerami. Program skanuje dysk komputera w poszukiwaniu podejrzanych elementów: wpisów do rejestru, programów rejestrujących teksty wpisywane z klawiatury, czy tzw. dialerów. Co więcej, SpyBot wykrywa również pliki cookies, pochodzące z serwisów reklamowych, zbierających dane o użytkownikach. Zaletą programu jest fakt, że sprawdza pamięć podręczna nie tylko Internet Explorera, ale również Netscape'a i Opery. Po zakończeniu skanowania Spybot umożliwia naprawę wykrytych nieprawidłowości (użytkownik może wybrać, które elementy mają zostać zmodyfikowane). Bardzo przydatną funkcją jest wyświetlanie przy każdej pozycji dodatkowych informacji - po kliknięciu myszą pojawi się okienko ze szczegółowym opisem zagrożenia. Interfejs programu został częściowo przetłumaczony na polski.

Spy Bot 1.3 Beta 4 do pobrania z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/2503/SpyBot.1.3.Beta.4.html

Spy Cleaner

Darmowa obrona przed programami typu spyware. Aplikacja wyszukuje i usuwa oprogramowanie szpiegowskie korzystając z dużej bazy danych dotyczacej programów spyware. Narzędzie cechuje niezwykle prosty w obsłudze i intuicyjny interfejs. Spy Cleaner przechowuje kopię zapasową usuniętych plików, dzięki czemu w razie jakiegokolwiek błędu można szybko przywrócić stabilność systemu. Baza szkodliwych programów może być automatycznie uaktualniana.

Spy Cleaner 8.0 do pobrania z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/3139/Spy.Cleaner.8.0.html

Spy Remover

Program przeszukuje system lokalnego komputera pod kątem obecności wszelkiego rodzaju oprogramowania szpiegującego. Wykrywane i usuwane są wszelkiego rodzaju programy spyware, adware, trojany, dialery, spyboty, keyloggery. Oprócz tego można włączyć blokadę automatycznego otwierania okien np. z reklamami (pop-up) lub okienek informacyjnych komunikatorów internetowych. Istnieje opcja uaktualniania on-line listy kłopotliwego oprogramowania. W najnowszej wersji poprawiono kilka drobnych błędów oraz usprawniono pracę programu.

Spy Remover 1.60 do pobrania z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/3064/SpyRemover.1.60.html

Pest Patrol

Kolejne wydanie znakomitego programu służącego do zapewnienia bezpieczeństwa danych i ochrony prywatności na lokalnym komputerze. Aplikacja wykrywa ponad 40 tysięcy "niewirusowych zagrożeń" takich, jak: programy szpiegujące (spyware i adware), konie trojańskie, itd.

Pest Patrol 4.4.0.24 do pobrania z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/2703/PestPatrol.4.4.0.24.html

Polecamy również odwiedzenie strony internetowej Pest Patrola, na której znajdziecie pokaźną listę keyloggerów, wraz opisem działania i metodami ich usuwania z systemu:

http://pestpatrol.com/PestInfo/key_logger.asp

Nie otwieraj drzwi obcym

W walce z niewidocznym szpiegiem pomóc może również stosowanie firewalla, który monitoruje wychodzące i napływające z Sieci informacje. Będzie on w stanie skutecznie uniemożliwić nieupoważnionym programom działającym w tle na ustanawianie połączeń ze zdalnymi komputerami. Przykładowo, jeden z najpopularniejszych obecnie firewalli programowych – Zone Alarm – w sytuacji, gdy keylogger będzie chciał wykraść z naszego komputera dane, poinformuje nas o tym odpowiednio wcześniej.

O problemach keyloggerów rozmawialiśmy także z Krzysztofem Łabno, redaktorem serwisu Hacking.pl (http://www.hacking.pl ): "Rozprzestrzenianie się programów typu keylogger czy też trojanów w głównej mierze powiązane jest z samym spamem, ponieważ spora część internautów nieświadomie pobiera takie programy, które zwiększają zagrożenie oraz znacznie ułatwiają działanie hakerom. Oczywiście programy takie możemy otrzymać w zawirusowanym mailu bądź podstępem przesłane nawet przez najbliższego przyjaciela."

PCWK: Czy tego typu oprogramowanie jest skuteczne?

KŁ: "Z całą pewnością tak. Jak wiadomo Keylogger to program służący do przechwytywania i zapisywania w pliku znaków wpisywanych przez użytkownika za pośrednictwem klawiatury. Zakładając, że taki program został uprzednio zainstalowany na komputerze bez naszej wiedzy i podczas np. próby logowania na konto pocztowe - gdzie wpisujemy nazwę użytkownika i hasło - w tym samym momencie wszystkie te informacje zostaną przechwycone przez program i zapisane do pliku ukrytego gdzieś na dysku lokalnym. Niczego sobie nie świadomy użytkownik nawet nie wie, że potencjalny haker, intruz czy też osoba odpowiedzialna za uruchomienie tego programu na naszym komputerze, bez problemu otrzymuje nazwę użytkownika i hasło do konta pocztowego. Stąd już tylko jeden krok do 'nieszczęścia'. Przechwycone informacje można wykorzystać to własnych 'niecnych' czynów."

PCWK: Jak często takie programy wykorzystywane są w Polsce?

KŁ: "Trudno jest odpowiedzieć na to pytanie, ponieważ nie ma czegoś takiego jak rejestr zainstalowanych takich programów, ale z całą pewnością takie programy są często wykorzystywane. Bardzo dobrym przykładem może być tutaj kafejka internetowa, do której jak wiadomo przychodzi sporo osób. Wystarczy teraz tylko zainstalować odpowiednie narzędzie i pod koniec dnia przyjść i cieszyć się zdobytymi informacjami. A są one bardzo 'obfite': hasła dostępu do konta pocztowego, numery i hasła kart kredytowych itd. Informacji tych jest naprawdę dość sporo, bo przecież wszystko, co wpiszemy zostanie zapisane. Zatem jak widać problem ten może być dość poważny - dla przykładu wystarczy przeprowadzić zmasowaną akcję instalacji tego programu we wszystkich kafejkach internetowych w danym mieście - skarbnica wiedzy. Zatem jak widać skala takiego problemu może być nie tylko lokalna ale i światowa."

PCWK: Czy pracodawca ma prawo instalować keyloggery, aby monitorować swoich pracowników?

KŁ: "I tak i nie. Tak, jeśli pracodawca w swojej firmie zainstaluje taki keylogger i poinformuje wszystkich pracowników o tym fakcie i wytłumaczy jego istotę działania (zapisuje wszystko to co wpiszemy) - pracownik został poinformowany o tym fakcie, zatem będzie bardziej przestrzegał tego co pisze, pracodawca zaś będzie spokojny. A co z granicami prywatności? Można pracowników monitorować w inny sposób nie koniecznie wykorzystując keyloggera - jeżeli mówimy o monitoringu np. przeglądanych witryn internetowych to wystarczy robić raporty z poziomu odpowiedniego narzędzia (serwera Proxy) i jest to jak najbardziej prawe. W przypadku, gdy chodzi o monitoring rozmów poprzez komunikator rozwiązanie jest jeszcze bardziej prostsze - zablokować ich działanie. Nie dość, że zwiększy się efektywność pracy pracownika to nie będziemy musieli przekraczać granice prywatności. Zatem jak widać spekulacje na temat czy pracodawca ma do tego prawo czy też nie można rozwijać w nieskończoność."