Prim Hírek

"A keylogging alkalmazások naplózzák a billentyűleütéseket és a képernyőképeket. Ennek segítségével rekonstruálni lehet a felhasználó internetes tevékenységét" - magyarázta Peter Firstbrook, a META Group programigazgatója. "Ezek a programok rendkívül nagy kockázatot rejtenek magukban, hiszen segítségükkel a rosszindulatú betörő képes jelszavakat és egyéb bizalmas információkat ellopni, ezáltal pedig teljes hozzáférést nyerhet a vállalat belső informatikai rendszeréhez. Számos vállalat veszített már el pótolhatatlan információkat így. Például egy alkalmazás fejlesztő céget jelentős bevételtől fosztottak meg egy keylogger alkalmazás segítségével: ellopták ugyanis egy új termékük forráskódját, és feltették az internetre."

"Sajnos a kémprogramok Magyarországon is komoly problémát jelentenek. Munkánk során több olyan nagyvállalattal is találkoztunk már, ahol egyáltalán nem voltak tudatában annak, hogy több tucat fertőzött gép napi több száz 'jelentést' küld ki az anyaszerverének" - Mondta el Dávid András, a Websense céget Magyarországon képviselő RelNet Kft. ügyvezetője.

A keylogging alkalmazásoknak jelenleg két csoportját különböztetjük meg: a szabad elérésű, általános célú programok tartoznak az első csoportba, melyek ingyenesen letölthetők az internetről. A második csoportot a kimondottan támadási célú keylogging programok alkotják, ezek rosszindulatú kódok által végrehajtott összetett támadások részeként automatikusan telepítődnek fel a számítógépekre.

A szabad elérésű keylogging alkalmazásokat gyakran olyan programként kínálják a gyártók, melyek segítségével a felhasználó számára nyomon követhetővé válik, mit csinál a hitves vagy a gyermek a számítógép előtt akár online, akár offline üzemmódban. Jóllehet ezeket az alkalmazásokat a kereskedelmi vagy otthoni PC-használat szándékolt nyomon követésére szánták, könnyedén felhasználhatók rosszindulatú célokra - például egy vállalaton belül.

Egyre gyakoribb, hogy a hackerek támadási céllal vetik be a keyloggingot céljaik eléréséhez. Például a JS Scob ügy esetében, melyben a felhasználók úgy fertőzték meg gépeiket, hogy miközben gyanútlanul szörföltek a weben, néhány általuk látogatott weboldalról rosszindulatú kódok települtek fel a rendszerükre az ő tudtuk és beleegyezésük nélkül. De előfordult már az is, hogy egy bank weboldala lett módosítva oly módon, hogy oda csatlakozva a felhasználó neve, jelszava és számlaszáma automatikusan továbbításra került a keyloggert célba juttató hacker szerverére.

"A hackereknek egyre könnyebb dolguk van, hiszen a keylogging programok segítségével könnyűszerrel rögzítik a felhasználó által begépelt bizalmas információit" - fejtette ki Dan Hubbard, a Websense biztonságtechnikai kutatócsoportjának igazgatója. "Léteznek olyan keylogging programok, melyek kivárják, amíg egy végfelhasználó csatlakozik például egy bank weboldalára, és csak akkor kezdik meg tevékenységüket. A Websense új Keylogging szűrője proaktív módon akadályozza meg a rosszindulatú kódok lefutását, mivel már az ilyeneket tartalmazó webhelyekhez való csatlakozást sem engedélyezi. Így a vállalatok egy nagy lépést tehetnek a biztonsági szint növelésének irányába."

A Keylogging szűrő a Websense Client Policy Manager (CPM) együttes használatával az internetbiztonság jelenleg elérhető legmagasabb szintjét kínálja. A Websense alapesetben a keylogger alkalmazások kommunikációját blokkolja, míg a CPM komponens használata esetén az ilyen programok indítása is blokkolásra kerül.

Mind a Security Premium Group, mind a CPM jelenlegi ügyfeleinek ingyenesen, az addigi szolgáltatás kibővített részeként jár a szűrő.

Az internetbiztonságban új kategóriaként bevezetésre kerülő Keylogging szűrő figyelmét nem kerüli el a keylogging programokkal, illetve kódokkal fertőzött URL-ek és alkalmazások, melyek azonnal bekerülnek a szintén újonnan fejlesztett "Real-Time Security Updates" rendszerbe, ahonnan automatikusan, valós időben frissül az adatbázis.

A vállalatoknak valóban összetett védelmet nyújt a Websense Client Policy Manager, ugyanis nem csupán a támadási célú, hanem a szabadon elérhető, azonban a vállalat informatikai rendszerében nagy károkat okozó keylogging alkalmazások futását is blokkolja a munkaállomásokon. A CPM ezen felül egy úgynevezett "network lockdown" (hálózat lezáró) funkcióval is rendelkezik, mely gátolja a kategorizálatlan alkalmazások hálózathoz való kapcsolódását, így az esetlegesen naplózott információk továbbítása lehetetlenné válik. Ezen funkció a Websense Explorer használatával kombinálva lehetőséget biztosít a rendszergazdáknak arra, hogy sikeresen beazonosítsák, mely felhasználók gépe fertőzött keylogging programmal. A CPM további óriási előnye, hogy a laptopokat is védi függetlenül attól, hogy épp csatlakoztatva vannak a belső hálózathoz, vagy sem.