Слово кейлоггер происходит от английских key – клавиша и logger — регистрирующее устройство. Изначально так назывались программы, записывающие информацию о нажимаемых на клавиатуре клавишах, включая системные, в журнал регистрации (лог-файл), который затем просматривал установивший их человек. В настоящее время функционал кейлоггеров расширился.
Зачем нужен кейлоггер?
В настоящее время кейлоггер наряду с перехватом и фиксацией всех манипуляций с клавиатурой компьютера перехватывает информацию из окон, клики мыши, буфер обмена, изображения с веб-камеры и звук с микрофона, если таковые подключены к компьютеру, «фотографирует» снимки с монитора и активные окна, ведёт учёт всех отправляемых и получаемых e-mail, отслеживает файловую активность, работает с системным реестром, записывает отправленные на принтер задания и т. д. И отправляет все полученные сведения на сетевой диск, FTP-сервер, по e-mail и т. д. Словом, он стал полноценной шпионской программой.
Наряду с программными появились аппаратные кейлоггеры. Такой кейлоггер представляет собой миниатюрное приспособление, встраиваемое в клавиатуру либо крепящееся между ней и компьютером. Их функция – регистрация всех сделанных на клавиатуре нажатий клавиш. В отличие от программных они могут работать даже при выключенном компьютере: дополнительный источник питания здесь не нужен.
Кейлоггеры могут быть полезны:
- работодателям – для контроля за деятельностью персонала, исследования компьютерных инцидентов, восстановления критической информации после сбоя компьютерных систем;
- полицейским – для поиска доказательств соучастия в преступлении;
- разработчикам коммерческих программ – для создания систем быстрого поиска слов (электронных переводчиков, электронных словарей), создания систем быстрого поиска адресов, фамилий, фирм (электронных телефонных книг);
- родителям – для осуществления родительского контроля.
Доступ к ним в этом случае вполне санкционирован.
Но бывает так, что кейлоггеры используют в менее благородных целях:
- для перехвата набираемой на клавиатуре чужой информации;
- для получения доступа к паролям и логинам с целью проникновения в различные системы, в том числе в систему «банк-клиент»;
- для получения доступа к парольным фразам, обеспечивающим доступ к системам криптографической защиты информации.
Здесь уже можно говорить о несанкционированном доступе, преследуемом законодательно.
Виды кейлоггеров
Если при классификации кейлоггеров брать за основу техническую точку зрения, то различают программные кейлоггеры, в основе которых лежит:
- гипервизор. Они могут быть частью вредоносных программ, работой которых управляет оставшаяся неповреждённой операционная система, и, по существу, превращаться в виртуальные машины;
- ядро. Интересны тем, что их проблематично обнаружить, а также нельзя удалить, не обладая правами администратора. Обычно их функция – обеспечение доступа к аппаратным средствам. С этой целью они и внедряются в операционную систему;
- API. В этом случае идёт перехват сведений с помощью «API-крючков», передаваемых администратору;
- перехват трафика. Функция его – перехват интернет-мониторинга действий ПК-пользователя, а также перехват сведений при HTTPS-шифровании.
Что касается аппаратных кейлоггеров, то различают:
- основанные на микропрограммах. Такие занимаются считыванием клавиатурных событий на уровне BIOS и при этом обладают функциональными кодами программных кейлоггеров;
- основанные на встроенных элементах. Такие встраиваются внутрь клавиатуры либо устанавливаются между ней и компьютером в разных местах клавиатурного кабеля;
- беспроводную клавиатуру и снифферы. Их функция – сбор пакетов данных, передаваемых с беспроводной клавиатуры;
- накладные клавиатурные кнопки, которые размещаются поверх настоящих. Такие кейлоггеры очень часто ставят на банкоматах, чтобы перехватить PIN-код банковских карт.
Кейлоггер и законодательство
За кейлоггер как таковой можно ответить по ст. 274 УК РФ, поскольку их несанкционированная установка нарушает правила эксплуатации средств хранения, обработки или телепередачи компьютерной или информационно-телекоммуникационных сетей, а также по ст. 273 УК РФ, поскольку их можно признать вредоносными программами. Если выявленная при слежке информация копируется, модифицируется, блокируется или уничтожается, может наступить ответственность по ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».