Uwaga! Szpiedzy obserwują klawiatury!

Rok 2005 będzie rekordowy pod względem liczby nowych keyloggerów - czyli programów szpiegowskich, których zadaniem jest przechwytywanie danych, wprowadzanych za pomocą klawiatury. Tak przynajmniej wynika z danych firmy iDefense, która opublikowała właśnie raport analizujący problem keyloggerów. Dowiadujemy się z niego m.in., że w 2005 r. pojawiło się ponad 6 tys. takich programów - to aż o 65% więcej niż w 2004 r. Problem jest poważny, ponieważ keyloggery stanowią ulubione narzędzie przestępców wykradających numery kart kredytowych oraz hasła dostępu do banków internetowych.

Istnieje wiele różnych rodzajów programów zwanych keyloggerami - ich wspólną cechą jest to, że bez wiedzy użytkownika przechwytują znaki wprowadzane za pomocą klawiatury i przekazują je dalej (np. pocztą elektroniczną). Program taki może przechwytywać wszystkie znaki lub uaktywniać się tylko w określonych okolicznościach - np. gdy użytkownik wejdzie na stronę e-banku lub serwisu płatniczego. Keyloggery sporadycznie są samodzielnymi programami - z reguły zawarte są one w kodzie koni trojańskich oraz aplikacji typu spyware.

Z obserwacji prowadzanych przez amerykańską firmę iDefense i podsumowanych w wydanym właśnie raporcie wynika, że w bieżącym roku w Internecie pojawi się w sumie ok. 6,2 tys. programów posiadających funkcjonalność keyloggera. Będzie ich więc aż o 65% więcej niż w poprzednim roku. Oznacza to prawdziwą eksplozję popularności tego typu oprogramowania.

Komentuje Michał Jarski, ekspert z Internet Security Systems Polska

Z całą pewnością można powiedzieć, że w ostatnim roku pojawiło się wyjątkowo dużo wszelkiej rodzaju oprogramowania szpiegowskiego - rok 2005 to okres wyjątkowej aktywności autorów spyware'u i koni trojańskich. Prawdopodobnie dotyczy to również keyloggerów - aczkolwiek nie dysponuję szczegółowymi danymi na ten temat.

Problem z pewnością jest poważny i globalny - nie ominął też Polski. Wystarczy przypomnieć głośną sprawę banku BPH - ktoś napisał konia trojańskiego dystrybuowanego za pośrednictwem poczty elektronicznej, którego zadaniem było wykradanie danych o kontach w BPH. Nieoficjalnie mówi się, że za jego pośrednictwem klientom banku skradziono łącznie nawet ok. 1 000 000 zł. Przyznać jednak trzeba, ze zmobilizowało to kierownictwo banku do zmodernizowania serwisu e-bankowego - w tej chwili powtórzenie się takiego oszustwa jest praktycznie niemożliwe.

Rosnąca popularność wszelkiego rodzaju programów szpiegowskich to kolejny dowód na to, że autorzy wirusów i programów szpiegowskich nie piszą ich już dla satysfakcji czy sławy - teraz chodzi im o pieniądze. W tym sensie keyloggery rzeczywiście stają się narzędziem przestępczym. Aczkolwiek warto pamiętać o tym, że program przechwytujący znaki z klawiatury wcale nie jest najlepszym narzędziem dla przestępcy - czasami o wiele bardziej przydatne informacje może on zdobyć poprzez włamanie się do systemu i uzyskanie dostępu do lokalnych plików (np. plików tymczasowych przeglądarki).

Liczba szpiegów rośnie lawinowo

Statystyki aktywności keyloggerów iDefense zaczęła prowadzić w 2000 r. - wtedy wykryto ich ok. 300. Rok później - w 2001 r. - zanotowano spadek liczby nowych keyloggerów (wykryto ich tylko 275). Kolejny rok (2002 r.) przyniósł 444 nowych "szpiegów" zaś w 2003 r. nastąpił pierwszy wyraźny wzrost ich liczby - do 1230. Rok później wykryto 3753 keyloggery, zaś w roku bieżącym, według szacunków iDefense, pojawi się łącznie ok. 6,2 tys. nowych programów, rejestrujących znaki wprowadzane za pomocą klawiatury.

Zdaniem Ramsesa Martineza z iDefense, przyczyna tak wyraźnego wzrostu liczby nowych keyloggerów jest bardzo prosta - jest ich coraz więcej, ponieważ stanowią one doskonałe narzędzie dla przestępców chcących uzyskać nieautoryzowany dostęp do kont w bankach internetowych. Skoro z roku na rok rośnie liczba użytkowników e-banków, to naturalnym zjawiskiem jest pojawianie się coraz większej liczby narzędzi przestępczych. To jednak nie wszystko - według Martineza, z keyloggerów chętnie korzystają osoby wykradające numery kart kredytowych (wszak handel skradzionymi numerami kart kwitnie).

Keylogger pocztowy

Z danych iDefense wynika, że keyloggery najczęściej dystrybuowane są za pośrednictwem poczty elektronicznej - wraz z spyware'm i wszelkiego rodzaju wirusami. Dlatego też użytkowników, którzy chcą się zabezpieczyć przed nimi, obowiązują standardowe zasady bezpieczeństwa w Internecie (mowa tu przede wszystkim o ostrożnym postępowaniu ze wszelkimi podejrzanymi wiadomościami e-mail).

Średnia strata - 4 tys. USD

W raporcie znajdziemy również inne ciekawe informacje - jego autorzy powołują się na badania firmy National Mutual Insurance, z których wynika, że po zainstalowaniu w systemie keylogger przechwytuje dane niezbędne do zalogowania się do e-banku lub serwisu finansowego średnio w 81 godzin. NMI podaje również, że w przypadku udanego włamania z wykorzystaniem keyloggera przeciętne straty poniesione przez użytkownika wynoszą 4 tys. USD (więcej informacji o finansowych aspektach działalności twórców programów szpiegowskich można znaleźć w tekście "Twórcy wirusów lecą na kasę").

Komentuje Sławomir Górniak z CERT Polska

Istotnie można powiedzieć, że coraz częściej zgłaszane są do nas incydenty mające związek z malware'm, a także konkretnie ze spyware'm. Zjawisko to w tym roku nasiliło się, jakkolwiek ogólnie mamy do czynienia ze zdecydowanym wzrostem obsługiwanych przez nas incydentów.

Problem jak najbardziej istnieje także w Polsce - mieliśmy do czynienia nie tylko z keyloggerami, ale także np. z programami przesyłającymi obraz z kamery internetowej, jeśli była podłączona do komputera. Nie mieliśmy jednak do tej pory przypadku zgłoszenia np. kradzieży z banku na skutek działania keyloggera.

Trzeba jednak pamiętać, ze mieliśmy juz do czynienia z keyloggerami w latach 90-tych, wtedy jednak nie służyły do wykradania numerów kart kredytowych, gdyż technologie szyfrujące nie były jeszcze przygotowane do obsługiwania transakcji, lecz do wykradania haseł do komputerów.

Keylogger to bardzo prosty sposób na pozyskanie informacji. Nie wymaga znajomości socjotechniki do wyłudzenia numeru/hasła, nie wymaga włamania do zdalnego komputera, ze względu na małe rozmiary nawet na słabych komputerach działanie keyloggera pozostaje niezauważone. Stad właśnie duża popularność tego rodzaju oprogramowania w świecie przestępczym.

"Główny problem z keyloggerami polega na tym, że wielu użytkowników wciąż jeszcze nie zdaje sobie sprawy z zagrożenia, jakie one stanowią. Wiedzą, że trzeba uważać na wirusy, na phishing, ale nie potrafią dostrzec niebezpieczeństwa związanego z wykradaniem ich danych" - komentuje Joe Payne z iDefense. "Dlatego naszym zdaniem podstawową metodą walki z tym zjawiskiem powinno być uważne monitorowanie organizacji i serwisów internetowych dystrybuujących takie programy. Oczywiście, użytkownicy nie powinni także zapominać o korzystaniu z uaktualnionego programu antywirusowego oraz odpowiednio skonfigurowanego firewalla" - dodaje Payne.

Polski wątek

Z tezami przedstawionymi w raporcie nie do końca zgadza się Jakub Dębski, kierownik projektu silnika ArcaVir - "Znacznie bardziej niebezpieczne [od keyloggerów - red.] dla zwykłych użytkowników są programy spyware, które umieszczane są często jako elementy adware, czyli oprogramowania wyświetlającego reklamy. Oprogramowanie to jest w stanie przesłać pod wybrany adres dowolną informację, którą użytkownik wprowadza na stronie WWW (też na stronie banku lub sklepu internetowego). Częścią programu spyware może być także keylogger, ale naprawdę istotne informacje potencjalny złodziej może zebrać też w inny sposób" - tłumaczy Jakub Dębski.

Przedstawiciela firmy ArcaBit zapytaliśmy również, jak często do jego zespołu zgłaszają się użytkownicy borykający się z problemem keyloggera - "Nie otrzymujemy takich zgłoszeń od użytkowników. Ale nie jest to nic dziwnego - użytkownicy zwykle nie są w stanie stwierdzić, czy w ich systemach działa keylogger" - mówi Jakub Dębski. "Brak nam statystyk ilustrujących aktywność keyloggerów w Polsce. Rzeczywiste statystyki można zebrać jedynie od banków lub sklepów internetowych, zaś mało która organizacja ze względów marketingowych udostępnia informacje o tym, ile zostało wykonanych na jej stronie przestępczych operacji. Wszyscy - z oczywistych względów - reklamują jedynie swoje bezpieczeństwo" - wyjaśnia Dębski.

"Samo wykrycie keyloggera jest problematyczne, ponieważ wiele aplikacji monitoruje naciskanie klawiszy i sprawdza, czy użytkownik jest wciąż aktywny (przykładowo komunikatory internetowe przełączają w tryb "zaraz wracam"). Dodatkowo niektóre typy monitorowania są wykorzystywane powszechnie np. w grach, które sprawdzają które klawisze użytkownik wciska. Z tego powodu nie jest możliwe stworzenie modułu blokującego keyloggery. Skutecznym rozwiązaniem broniącym użytkownika jest program antywirusowy z aktualną bazą sygnatur takich programów" - podsumowuje nasz rozmówca.

Szczegółowe informacje o wszelkiego rodzaju keyloggerach oraz sposobach walki z takim oprogramowanie znaleźć można w opublikowanym kilka tygodni temu w naszym serwisie tekście "Keyloggery: jak walczyć z niewidzialnym szpiegiem?". Przedstawiamy w nim m.in. spis aplikacji, które są w stanie usunąć szpiegowskie programy z systemu Windows.

Aktualizacja: 22 listopada 2005 11:49

Tekst został uzupełniony o ramkę z komentarzem Sławomira Górniaka z CERT Polska.


Zobacz również