Hlavní navigace

Jak se kradou bankovní hesla

31. 5. 2007

Sdílet

Co myslíte, že je největším nebezpečím pro počítačové soukromí? Červi, šířící se pomocí poštovních programů? Bezpečnostní slabiny nebo odkládaná instalace záplat? A co třeba záznam stisků vaší klávesnice?

Přestože by se mohlo zdát, že nejnebezpečnější postupy a technologie ze zásoby kyberzločinců musí být, obzvláště v současné době, zároveň těmi nejsložitějšími a nejpropracovanějšími, pozastavíme se v tomto článku přinejmenším u jedné výjimky z tohoto pravidla. Ukážeme si, že i na tomto poli může zvítězit jednoduché řešení, pokud je použito na správném místě a za příznivých okolností. Podloudné přímé zaznamenávání stisků kláves osobních počítačů nebo též keystroke logging (zkráceně keylogging) je totiž technikou stále živou a nesmírně aktuální.


Realizace této špionážní aktivity je naplněním ne jediné, ale hned několika prostých myšlenek. V první řadě, sledování stisků kláves míří přímo k podstatě věci: pokud uživatel počítače používá hesla, různé kódy PIN a všelijaké kontrolní řetězce, může být softwarová ochrana v operačním systému sebelepší a stejně bude neúčinná. Jednotlivé stisky jsou totiž zachytávány těsně „po svém narození“ dávno předtím, než je aplikace či funkce operačního systému stihnou zpracovat.



Druhá myšlenka s tím těsně souvisí: přes všemožné futuristické vize i experimenty je klasická klávesnice s tlačítky a připojením pomocí kabelu drtivě nejrozšířenějším vstupním zařízením pro zápis alfanumerických znaků. A proto tedy téměř vše tajné či privátní projde doslova našimi prsty, ihned poté kabelem mezi klávesnicí a skříní PC a následně jednotným rozhraním pro komunikaci počítače s touto běžnou periferií.

Z dalších pomocných okolností zmiňme třeba argumenty z oblasti zvané sociotechnika (též social engineering). V praxi kupříkladu řada aplikací či přímo operační systém dokáže nabídnout alternativu riskantního přenosu stisků klávesnice pomocí vyobrazení klávesnice s možností stisků kláves pomocí myši, avšak pro nepohodlnost tuto variantu málokdo používá. V rozsáhlých firemních prostorách, často zcela otevřených volnému průchodu (open space), je pak jen málokdy uplatňována důsledná kontrola hardwarových zapojení u tak „primitivních“ zařízení, jakými jsou klávesnice.

V neposlední řadě pak nesmíme zapomínat na pocit falešného bezpečí, který je vytvářen všemožnými programy pro zabezpečení privátních dat – máme pocit, že když je něco chráněno při zápisu „hvězdičkami“ nebo je blokováno pro zaslání pomocí internetového formuláře, je to v bezpečí.

Při hodnocení zvrhlé krásy a jednoduchosti techniky keyloggingu nesmíme opomenout v počítačovém světě velmi tradiční parametr, označovaný jako „poměr cena/výkon“. Jinými slovy, proč dlouhé týdny a měsíce prolamovat firewally, hackovat různé aplikace, klást všemožné rafinované síťové pasti či krást notebooky a analyzovat jejich disky, když umístění vhodného hardwarového keyloggeru (viz dále) je tak snadné, levné a dokonale účinné?

Tradičním řešením podloudného snímání kláves je instalace špionážního softwaru přímo do pro-středí operačního systému. Okolnosti a potenci­ální nebezpečí se mohou velmi lišit v závislosti na způsobu, jak je tento software proveden. Těs-ně souvisí mimo jiné s oprávněními uživatele, jenž na daném počítači pracuje.


Jednou z možností je instalace špionážního softwaru ve formě klasické služby operačního sy­stému Windows. Tento způsob se často využívá v případě, že sledování stisků klávesnice je sou-částí všestrannějšího monitorování aktivity uži­vatele, často za zcela „legálním“ účelem odha­lení nekalých aktivit pracovníků ve firemním pro-středí. Jednou z nevýhod takovéhoto přístupu je nutnost odepřít uživateli práva lokálního admi­nistrátora příslušného počítače, aby nemohl sle­dovací software odstranit.

Mnohem pokročilejší a také nebezpečnější cestou je implementace v podobě zákeřné kom­ponenty, zvané rootkit. Tato veskrze neblahá forma útoku funguje na principu doplnění operačního systému o speciální dodatečný ovladač, jenž pracuje s ostatními ovladači hardwaru a některých programů (personální firewally, an­tivir apod.) v tzv. režimu jádra. Zásadní výhodou je, že program v této situaci může zcela krýt svou činnost a naprosto nerušeně provádět sle­dování aktivit včetně stisků kláves, aniž by bylo možné jej běžnými technikami rozpoznat či odstranit. Navíc má přístup prakticky ke všem pohybům dat v operačním systému, takže ho mechanizmy utajení v různých aplikacích nijak nemohou omezit. Je důležité si uvědomit, že ne­pozorované zavedení takovéhoto softwaru je poměrně snadné, pokud jako uživatelé disponujeme na svém počítači právy lokálního administrátora.

Právě zmínka o uživatelských oprávněních nás dovádí k důležitému aspektu, jímž je způsob zavedení programu typu keylogger na cílový počítač. Jde-li o „legální“ cílenou aktivitu v podání majitele či provozovatele počítače (kupříkladu ze strany zaměstnavatele), běžné instalaci nic nebrání. Administrátor prostě aplikaci nainstaluje a nastaví hlavní parametry (kam se budou data ukládat, jak budou chráněna). Jsme-li však útočníky, stojí nám v cestě řada překážek, neboť potřebujeme uživa­tele donutit, aby instalaci sám spustil a navíc mu­síme spoléhat na to, že bude mít dostatečná oprávnění. Právě zde je účinným lékem nepřihlašovat se pro běžnou síťovou práci (brouzdání po internetu, čtení pošty, stahování souborů) se sil­nými administrátorskými právy. Klasickým me­chanizmem nákazy je totiž spuštění útočného skriptu na neznámé webové stránce, instalace na­prosto neznámého softwaru pochybného původu či povolení běhu programu s reklamními informa­cemi (adware). Velmi běžnou metodou šíření je rovněž červ v elektronické poště.

FakeGINA
Klasický představitel a v podstatě školský příklad podvržené části operačního systému s cílem zaznamenat citlivé údaje. Tento proslulý program představoval spíše poukaz na nedostatek v návrhu zabezpečení OS Windows a pracuje na principu záměny úvodní přihlašovací obrazovky Windows na platformě NT (přesněji NT 4.0 a 2000). Zachycuje komunikaci mezi procesem Winlogon a grafickým dialogem při zápisu hesla uživatelského přihlášení (GINA), který je útočníkem podvržen. Výhodou je přímý zápis hledaných údajů do souboru na disk, nevýhodou pak aktuální nepoužitelnost, neboť výrobce zareagoval přepracováním bezpečnostních mechanizmů. Nicméně jde stále o krásnou ukázku principu i jeho realizace.



PC Acme
http://www.softsecurity.com/
Tradiční zástupce skupiny programů pro „vnitrofiremní špionáž“ či sledování aktivity uživatelů v monitorovaném pracovním prostředí. Sledování stisků klávesnice je jen malou součástí funkcionality tohoto softwaru – umí kupříkladu zachytit přenosy dat ve schránce Windows, otevírání oken, práci s aplikacemi atd. Buďte si jisti, že pokud toto váš zaměstnavatel používá, je lepší si soukromé aktivity nechat na doma. Bez zajímavosti není ani fakt, že stejná společnost nabízí i programy pro antikeylogging, tedy odhalování špionážního softwaru tohoto druhu.

UI21

Ne nadarmo jsme hardwarové provedení myšlenky keyloggingu označili oním neblaze proslulým názvem – přesnější označení si totiž jen stěží lze představit. Hardwarový keylogger si lze snadno představit jako zcela obyčejný konektor, často k nerozeznání podobný od běžného (pravého) konektoru, jímž je klávesnice ve skutečnosti k osobnímu počítači připojena. Toto zařízení o velikosti do 10 cm je vybaveno příslušnými zásuvkami na obou stranách, takže je lze velmi snadno a rychle nasadit na běžnou klávesnici vlastně jako bezkonfliktní „mezikus“, přes nějž posléze protéká veškerý komunikační signál. Uvnitř takovéto plastové „redukce“ se pak samozřejmě ukrývá to nejdůležitější – detektor přenášených signálů, jenž odečítá zasílané stisky kláves a ukládá je do zabudovaného paměťového modulu. Z vnitřní paměti lze pak kdykoliv v budoucnu záznam vydolovat, obvykle pomocí společně dodávaného speciálního programového vybavení.




Hardwarové řešení nabízí hned několik zásadních výhod. V první řadě je umístěno tak blízko zdroji, jak je to jen možné. Nic jiného nestojí v cestě a nelze stisky kláves odfiltrovat či ukrýt, pakliže má klávesnice běžně fungovat. Nejsme závislí na operačním systému a jeho bezpečnostních mechanizmech, nic takového nám ne-překáží. Další výhodou je způsob jeho použití. Ačkoliv nutnost fyzického umístění (zapojení) svádí k domněnce, že jde o nešikovné řešení, opak je často pravdou, neboť propracovaná a funkční distribuce pomocí internetu může znamenat mnohem komplikovanější postup. Zde je totiž po-třeba chápat rozdílné cílové skupiny: zavedení hardwarového keyloggeru na domácí počítač je jistě značný problém a zde nám spíše poslouží softwarový červ, neboť cena privátních dat na domácím stroji většinou za vloupání do bytu a následnou instalaci štěnice nestojí. Na druhou stranu scénář „šikovného uklízeče“ (viz rámeček) napovídá, že se jedná o problém velkých a složitých firemních prostředí. Významným faktorem je zde určitě již zmiňovaný poměr cena/výkon. Koupě takového zařízení přijde na několik desítek dolarů. I když při-čteme náklady na umístění na správné místo (rozuměj třeba úplatek správné osobě), stále se jedná o velmi levný způsob útoku na potenciálně velmi cenná a hlavně čistá tajná data.

KeyGhost
http://www.keyghost.com/
Jeden z typických produktů hardwarového keyloggingu, jenž splňuje typické požadavky: kapacita paměti postačuje na statisíce stisků, montáž je jednoduchá a stav po instalaci není pro běžného uživatele nijak nápadný. Výrobce dodává varianty pro různé typy klávesnic (USB, PCI) a jeho stránky stojí rozhodně za shlédnutí.

Naprosto klasickým odstrašujícím příkladem využití technologie hardwarového keyloggeru je jeho nasazení v prostředí velkých firem, jejichž prostory projdou během dne noci stovky lidí, mezi nimiž se často najde řada potenciálních útočníků. Fyzická ostraha firemních otevřených prostor (open space) a kanceláří většinou není schopna zajistit, že návštěvy, noční uklízeči či jiný příležitostný personál nezůstanou sami a budou vždy pod kontrolou. Navíc je zde výrazně snížena možnost fyzické kontroly počítačů, mimo jiné díky jejich enormnímu množství. Velmi snadno si tak lze představit scénář, kdy potenciální útočník po jistém období monitorování situace kupříkladu kontaktuje někoho z uklízecí čety a po příslušném stručném proškolení a poskytnutí finanční motivace zajistí zapojení kolekce keyloggerů na správná místa, stejně jako po určitém shromažďovacím období jejich následný sběr. Řada výhod je na straně útočníka: nic neprovádí osobně a je tedy chráněn před po-lapením, rutinní kontrola „čistoty“ hardwaru prakticky nikde neexistuje, umístěné štěnice jsou ne-nápadné a nijak neovlivňují práci běžných uživatelů. v případě špatné funkčnosti některého z nich dokáže použití větší kolekce určitá data zajistit. A co více, motivovat „prostředníka“ z řad příležitostného personálu je většinou neskonale snazší než inscenovat funkční útok po síti.

Přestože technika keyloggingu vypadá hrozivě (a hrozivá skutečně může být), dodržováním ně-kterých běžných zásad se lze řadě potíží vyhnout. Pokusíme se zde navrhnout několik hlavních pravidel, na něž se vyplatí myslet.


* Při využívání veřejných počítačů předpokládejte, že vás někdo odposlouchává. Tato mentální bariéra vám zabrání zadávat citlivá hesla či kódy PIN na fyzicky nekontrolovatelném počítači. Výjimkou mohou být hesla časově omezená či jednorázová – pokud však o něčem takovém slyšíte poprvé či netušíte, zda něco takového využíváte, buďte paranoidní a žádné citlivé informace nepoužívejte.

* Naučte se používat pro brouzdání po nebezpečných webových stránkách uživatelský účet bez správcovského oprávnění. Čím méně podezřelého softwaru nainstalujete, tím větší naději na udržení čistoty máte.

* Používejte personální firewall a antivir, dokáží řadu aktivit zachytit a rozpoznat. Firewall může „ulovit“ keylogger během snahy odeslat posbírané sekvence znaků do internetu svému „majiteli“.

* V pracovním, resp. firemním prostředí se na-učte být mírně paranoidní. Zběžná kontrola připojení klávesnice k počítači trvá asi 10 sekund a je opravdu jednoduchá. Pokud se bojíte sledování ze strany zaměstnavatele, nechte prostě soukromé aktivity na doma, neboť bez totální kontroly nad počítačem (tedy bez práv administrátora) si nebudete jisti, co na stroji opravdu běží.