Protokollierung von Tastenanschlägen - Keystroke logging

Teil einer Serie über
Informationssicherheit
Verwandte Sicherheitskategorien
Fahrzeugsicherheit Cyberkriminalität Cybersex-Handel Computerbetrug Cybergeddon Cyber ​​Terrorismus Cyber-Krieg Elektronische Kriegsführung Informationskrieg Internet sicherheit Mobile Sicherheit Netzwerksicherheit Kopierschutz Management von Digitalen Rechten
Bedrohungen
Adware Erweiterte anhaltende Bedrohung Ausführung von beliebigem Code Hintertüren Hardware-Hintertüren Codeinjektion Crimeware Cross-Site-Scripting Cryptojacking-Malware Botnetze Datenleck Drive-by-Download Browser-Hilfsobjekte Computerkriminalität Viren Daten-Scraping Denial of Service Lauschen E-Mail-Betrug E-Mail-Spoofing Exploits Keylogger Logikbomben Zeitbomben Gabelbomben Zip-Bomben Betrügerische Dialer Malware Nutzlast Phishing Polymorphe Engine Privilegieneskalation Ransomware Rootkits Bootkits Scareware Shellcode Spamming Social Engineering (Sicherheit) Siebscraping Spyware Softwarefehler trojanische Pferde Hardware-Trojaner Trojaner für den Fernzugriff Verletzlichkeit Web-Shells Wischer Würmer SQL-Injektion Rogue-Sicherheitssoftware Zombie
Verteidigungen
Anwendungssicherheit Sichere Codierung Standardmäßig sicher Sicher durch Design Missbrauchsfall Computerzugriffskontrolle Authentifizierung Multi-Faktor-Authentifizierung Genehmigung Computersicherheitssoftware Antiviren Software Sicherheitsorientiertes Betriebssystem Datenzentrierte Sicherheit Code-Verschleierung Verschlüsselung Firewall Einbruchmeldesystem Hostbasiertes Intrusion Detection System (HIDS) Anomalieerkennung Sicherheitsinformations- und Ereignismanagement (SIEM) Mobiles sicheres Gateway Selbstschutz der Laufzeitanwendung
v T e

Die Protokollierung von Tastenanschlägen , oft als Keylogging oder Tastaturerfassung bezeichnet , ist die Aktion des Aufzeichnens (Protokollierens) der auf einer Tastatur angeschlagenen Tasten, normalerweise verdeckt, sodass eine Person, die die Tastatur verwendet, nicht weiß, dass ihre Aktionen überwacht werden. Die Daten können dann von der Person, die das Protokollierungsprogramm bedient, abgerufen werden. Ein Tastenanschlag-Recorder oder Keylogger kann entweder Software oder Hardware sein .

Während die Programme selbst legal sind, von denen viele darauf ausgelegt sind, Arbeitgebern die Überwachung der Computernutzung zu ermöglichen, werden Keylogger am häufigsten zum Stehlen von Passwörtern und anderen vertraulichen Informationen verwendet .

Keylogging kann auch verwendet werden, um die Dynamik von Tastenanschlägen oder die Mensch-Computer-Interaktion zu untersuchen . Es existieren zahlreiche Keylogging-Verfahren, die von hardware- und softwarebasierten Ansätzen bis hin zur akustischen Kryptoanalyse reichen.

Anwendung

Softwarebasierte Keylogger

Ein Keylogger-Beispiel für eine Bildschirmaufnahme, die potenziell vertrauliche und private Informationen enthält. Das Bild unten enthält das entsprechende Keylogger-Textergebnis.

Eine Logdatei von einem softwarebasierten Keylogger, basierend auf der obigen Bildschirmaufnahme

Ein softwarebasierter Keylogger ist ein Computerprogramm, das entwickelt wurde, um jede Eingabe von der Tastatur aufzuzeichnen. Keylogger werden in IT- Organisationen verwendet, um technische Probleme mit Computern und Unternehmensnetzwerken zu beheben. Familien und Geschäftsleute verwenden Keylogger legal, um die Netzwerknutzung ohne das direkte Wissen ihrer Benutzer zu überwachen. Microsoft erklärte öffentlich, dass Windows 10 in seiner endgültigen Version über einen integrierten Keylogger verfügt, „um die Tipp- und Schreibdienste zu verbessern“. Allerdings können böswillige Personen Keylogger auf öffentlichen Computern verwenden, um Passwörter oder Kreditkarteninformationen zu stehlen. Die meisten Keylogger werden nicht durch die HTTPS- Verschlüsselung gestoppt, da diese nur die Daten bei der Übertragung zwischen Computern schützt ; Softwarebasierte Keylogger laufen auf dem Computer des betroffenen Benutzers und lesen Tastatureingaben direkt während der Benutzereingabe.

Aus technischer Sicht gibt es mehrere Kategorien:

• Hypervisor-basiert : Der Keylogger kann sich theoretisch in einem Malware- Hypervisor befinden , der unter dem Betriebssystem läuft und somit unangetastet bleibt. Es wird effektiv zu einer virtuellen Maschine . Blue Pill ist ein konzeptionelles Beispiel.
• Kernel- basiert : Ein Programm auf dem Computer erhält Root-Zugriff , um sich im Betriebssystem zu verstecken und fängt Tastenanschläge ab, die den Kernel passieren. Diese Methode ist sowohl schwer zu schreiben als auch zu bekämpfen. Solche Keylogger befinden sich auf Kernel-Ebene , was es schwierig macht, sie zu erkennen, insbesondere für Anwendungen im Benutzermodus, die keinen Root-Zugriff haben. Sie werden häufig als Rootkits implementiert, die den Betriebssystemkern unterwandern, um unbefugten Zugriff auf die Hardware zu erlangen. Das macht sie sehr mächtig. Ein keylogger Verwendung dieser Methode kann als eine Tastatur handeln Gerätetreiber , zum Beispiel, und somit Zugriff auf alle Informationen über die Tastatur eingegeben gewinnenda es an das Betriebssystem geht.
• API-basiert : Diese Keylogger binden Tastatur- APIs in eine laufende Anwendung ein. Der Keylogger registriert Tastendruckereignisse, als ob es sich um einen normalen Teil der Anwendung und nicht um Malware handelte. Der Keylogger empfängt jedes Mal ein Ereignis, wenn der Benutzer eine Taste drückt oder loslässt. Der Keylogger zeichnet es einfach auf.
  • Windows-APIs wie GetAsyncKeyState(), GetForegroundWindow(), usw. werden verwendet, um den Status der Tastatur abzufragen oder Tastaturereignisse zu abonnieren. Ein neueres Beispiel fragt einfach das BIOS nach Pre-Boot-Authentifizierungs- PINs ab , die nicht aus dem Speicher gelöscht wurden.
• Form-Grabbing-basiert : Form-Grabbing- basierte Keylogger protokollieren die Übermittlung von Webformularen, indem sie die Formulardaten bei Übermittlungsereignissen aufzeichnen. Dies geschieht, wenn der Benutzer ein Formular ausfüllt und absendet, normalerweise durch Klicken auf eine Schaltfläche oder Drücken der Eingabetaste. Diese Art von Keylogger zeichnet Formulardaten auf, bevor sie über das Internet übertragen werden.
• Javascript-basiert: Ein bösartiges Skript-Tag wird in eine Ziel-Webseite eingefügt und lauscht auf Schlüsselereignisse wie onKeyUp(). Skripte können über eine Vielzahl von Methoden eingefügt werden, darunter Cross-Site-Scripting , Man-in-the-Browser , Man-in-the-Middle oder eine Kompromittierung der Remote-Website.
• Memory-Injection-basiert : Mit Memory Injection ( MitB ) basierende Keylogger führen ihre Logging-Funktion durch, indem sie die mit dem Browser und anderen Systemfunktionen verknüpften Speichertabellen ändern. Durch das Patchen der Speichertabellen oder das direkte Injizieren in den Speicher kann diese Technik von Malware-Autoren verwendet werden, um Windows UAC (User Account Control) zu umgehen. Die Trojaner Zeus und SpyEye verwenden ausschließlich diese Methode. Nicht-Windows-Systeme verfügen über Schutzmechanismen, die den Zugriff auf lokal aufgezeichnete Daten von einem entfernten Standort aus ermöglichen. Die Fernkommunikation kann erreicht werden, wenn eine dieser Methoden verwendet wird:
  • Die Daten werden auf eine Website, Datenbank oder einen FTP- Server hochgeladen .
  • Die Daten werden regelmäßig per E-Mail an eine vordefinierte E - Mail-Adresse gesendet .
  • Die Daten werden drahtlos unter Verwendung eines angeschlossenen Hardwaresystems übertragen.
  • Die Software ermöglicht eine Remote-Anmeldung am lokalen Computer aus dem Internet oder dem lokalen Netzwerk für Datenprotokolle, die auf dem Zielcomputer gespeichert sind.

Tastendruckprotokollierung in der Schreibprozessforschung

Das Keystroke-Logging ist seit 2006 eine etablierte Forschungsmethode zur Untersuchung von Schreibprozessen. Es wurden verschiedene Programme entwickelt, um Online-Prozessdaten von Schreibaktivitäten zu sammeln, darunter Inputlog , Scriptlog, Translog und GGXLog .

Die Protokollierung von Tastenanschlägen wird in mehreren Schreibkontexten legitimerweise als geeignetes Forschungsinstrument verwendet. Dazu gehören Studien zu kognitiven Schreibprozessen, die u. a

• Beschreibungen von Schreibstrategien; die Schreibentwicklung von Kindern (mit und ohne Schreibschwierigkeiten),
• Rechtschreibung,
• Schreiben in der ersten und zweiten Sprache und
• Fachgebiete wie Übersetzung und Untertitelung.

Die Protokollierung von Tastenanschlägen kann verwendet werden, um insbesondere das Schreiben zu erforschen. Es kann auch in Bildungsbereiche für das Erlernen von Zweitsprachen, Programmierfähigkeiten und Schreibfähigkeiten integriert werden.

Verwandte Funktionen

Software-Keylogger können mit Funktionen erweitert werden, die Benutzerinformationen erfassen, ohne sich auf Tastendrücke auf der Tastatur als einzige Eingabe zu verlassen. Einige dieser Funktionen umfassen:

• Protokollierung der Zwischenablage. Alles, was in die Zwischenablage kopiert wurde, kann vom Programm erfasst werden.
• Bildschirmprotokollierung. Screenshots werden erstellt, um grafikbasierte Informationen zu erfassen. Anwendungen mit Bildschirmprotokollierungsfunktionen können Screenshots des gesamten Bildschirms, nur einer Anwendung oder sogar nur um den Mauszeiger herum erstellen. Sie können diese Screenshots regelmäßig oder als Reaktion auf das Benutzerverhalten (z. B. wenn ein Benutzer mit der Maus klickt) erstellen. Die Bildschirmprotokollierung kann verwendet werden, um Daten zu erfassen, die mit einer Bildschirmtastatur eingegeben wurden.
• Programmgesteuertes Erfassen des Textes in einem Steuerelement . Die Microsoft Windows API ermöglicht es Programmen, den Text 'Wert' in einigen Steuerelementen anzufordern. Dies bedeutet, dass einige Passwörter erfasst werden können, auch wenn sie hinter Passwortmasken (normalerweise Sternchen) verborgen sind.
• Die Aufzeichnung jedes geöffneten Programms/Ordners/Fensters einschließlich eines Screenshots jeder besuchten Website.
• Die Aufzeichnung von Suchmaschinenanfragen , Instant-Messenger- Gesprächen, FTP-Downloads und anderen internetbasierten Aktivitäten (einschließlich der verwendeten Bandbreite).

Hardwarebasierte Keylogger

Ein hardwarebasierter Keylogger

Ein vernetzter hardwarebasierter Keylogger

Hardwarebasierte Keylogger hängen nicht von der Installation von Software ab, da sie auf Hardwareebene in einem Computersystem vorhanden sind.

• Firmware-basiert: BIOS -Ebene Firmware dass Griffe Tastaturereignisse modifiziert werden können , um diese Ereignisse zu erfassen , wie sie verarbeitet werden. Für die Maschine ist ein physischer und/oder Root-Level-Zugriff erforderlich, und die in das BIOS geladene Software muss für die spezifische Hardware erstellt werden, auf der sie ausgeführt wird.
• Tastaturhardware: Hardware-Keylogger werden zur Protokollierung von Tastenanschlägen verwendet, wobei eine Hardwareschaltung verwendet wird, die irgendwo zwischen der Computertastatur und dem Computer angeschlossen ist, normalerweise inline mit dem Kabelanschluss der Tastatur. Es gibt auch Hardware-Keylogger mit USB- Anschluss sowie solche für Laptops (die Mini-PCI-Karte wird in den Erweiterungssteckplatz eines Laptops eingesteckt). Verstohlenere Implementierungen können in Standardtastaturen installiert oder eingebaut werden, sodass kein Gerät am externen Kabel sichtbar ist. Beide Typen protokollieren alle Tastaturaktivitäten in ihrem internen Speicher , auf den später beispielsweise durch Eingabe einer geheimen Tastenfolge zugegriffen werden kann. Hardware-Keylogger erfordern keine Installation von Software auf dem Computer eines Zielbenutzers, wodurch der Betrieb des Computers nicht beeinträchtigt wird und es weniger wahrscheinlich ist, dass sie von der darauf ausgeführten Software erkannt werden. Seine physische Präsenz kann jedoch erkannt werden, wenn es beispielsweise außerhalb des Gehäuses als Inline-Gerät zwischen Computer und Tastatur installiert wird. Einige dieser Implementierungen können unter Verwendung eines drahtlosen Kommunikationsstandards ferngesteuert und überwacht werden.
• Kabellose Tastatur- und Maus-Sniffer: Diese passiven Sniffer sammeln Datenpakete, die von einer kabellosen Tastatur und ihrem Empfänger übertragen werden. Da zur Absicherung der drahtlosen Kommunikation zwischen den beiden Geräten eine Verschlüsselung verwendet werden kann, muss diese ggf. zuvor geknackt werden, wenn die Übertragungen gelesen werden sollen. In einigen Fällen ermöglicht dies einem Angreifer, beliebige Befehle in den Computer des Opfers einzugeben.
• Tastatur-Overlays: Es ist bekannt, dass Kriminelle Tastatur-Overlays an Geldautomaten verwenden , um die PINs von Personen zu erfassen. Jeder Tastendruck wird von der Tastatur des Geldautomaten sowie der darüber liegenden Tastatur des Kriminellen registriert. Das Gerät ist so konzipiert, dass es wie ein integrierter Teil des Automaten aussieht, sodass Bankkunden seine Anwesenheit nicht bemerken.
• Akustische Keylogger: Akustische Kryptoanalyse kann verwendet werden, um den Ton zu überwachen, der von jemandem erzeugt wird, der auf einem Computer tippt. Jede Taste auf der Tastatur erzeugt beim Anschlagen eine subtil andere akustische Signatur. Über statistische Verfahren wie zB die Häufigkeitsanalyse kann dann festgestellt werden, welche Tastendrucksignatur sich auf welches Tastaturzeichen bezieht . Die Wiederholungsfrequenz ähnlicher akustischer Tastendrucksignaturen, die Zeitabstände zwischen verschiedenen Tastenanschlägen und andere Kontextinformationen wie die wahrscheinliche Sprache, in der der Benutzer schreibt, werden bei dieser Analyse verwendet, um Töne auf Buchstaben abzubilden. Eine ziemlich lange Aufnahme (1000 oder mehr Tastenanschläge) ist erforderlich, damit ein ausreichend großes Sample gesammelt wird.
• Elektromagnetische Emissionen: Es ist möglich, die elektromagnetischen Emissionen einer kabelgebundenen Tastatur aus einer Entfernung von bis zu 20 Metern (66 ft) zu erfassen , ohne physisch mit ihr verbunden zu sein. Im Jahr 2009 testeten Schweizer Forscher 11 verschiedene USB- , PS/2- und Laptop-Tastaturen in einer reflexionsarmen Kammer und fanden sie alle anfällig, hauptsächlich wegen der unerschwinglichen Kosten für die zusätzliche Abschirmung während der Herstellung. Die Forscher verwendeten einen Breitbandempfänger , um sich auf die spezifische Frequenz der von den Tastaturen abgestrahlten Emissionen einzustellen.
• Optische Überwachung: Die optische Überwachung ist zwar kein Keylogger im klassischen Sinne, aber dennoch ein Ansatz, mit dem Passwörter oder PINs erfasst werden können. Eine strategisch platzierte Kamera, z. B. eine versteckte Überwachungskamera an einem Geldautomaten , kann es einem Kriminellen ermöglichen, die Eingabe einer PIN oder eines Passworts zu beobachten.
• Physischer Beweis: Bei einer Tastatur, die nur zur Eingabe eines Sicherheitscodes verwendet wird, weisen die tatsächlich verwendeten Schlüssel viele Fingerabdrücke auf. Ein vierstelliger Passcode wird, wenn die betreffenden vier Ziffern bekannt sind, von 10.000 Möglichkeiten auf nur 24 Möglichkeiten reduziert (10 ⁴ gegenüber 4! [ Fakultät von 4]). Diese könnten dann bei unterschiedlichen Gelegenheiten für einen manuellen "Brute-Force-Angriff" verwendet werden.
• Smartphone-Sensoren: Forscher haben gezeigt, dass es möglich ist, die Tastenanschläge von Computertastaturen in der Nähe nur mit dem handelsüblichen Beschleunigungsmesser von Smartphones zu erfassen . Der Angriff wird ermöglicht, indem ein Smartphone in der Nähe einer Tastatur auf demselben Schreibtisch platziert wird. Der Beschleunigungsmesser des Smartphones kann dann die durch das Tippen auf der Tastatur erzeugten Vibrationen erkennen und dieses rohe Beschleunigungsmessersignal dann mit einer Genauigkeit von bis zu 80 Prozent in lesbare Sätze umwandeln. Die Technik beinhaltet das Durcharbeiten der Wahrscheinlichkeit, indem anstelle einzelner Tasten Paare von Tastenanschlägen erkannt werden. Es modelliert "Tastaturereignisse" paarweise und ermittelt dann, ob sich das gedrückte Tastenpaar auf der linken oder rechten Seite der Tastatur befindet und ob sie bei der QWERTZ-Tastatur nahe beieinander oder weit auseinander liegen. Hat es dies herausgefunden, vergleicht es die Ergebnisse mit einem vorinstallierten Wörterbuch, in dem jedes Wort auf die gleiche Weise aufgeschlüsselt wurde. Ähnliche Techniken haben sich auch bei der Erfassung von Tastenanschlägen auf Touchscreen-Tastaturen als effektiv erwiesen, in einigen Fällen in Kombination mit einem Gyroskop oder dem Umgebungslichtsensor.
• Körper-Keylogger: Körper-Keylogger verfolgen und analysieren Körperbewegungen, um festzustellen, welche Tasten gedrückt wurden. Der Angreifer muss mit der Tastenbelegung der getrackten Tastatur vertraut sein, um zwischen Körperbewegungen und Tastenposition korrelieren zu können. Das Verfolgen hörbarer Signale der Benutzerschnittstelle (zB ein Ton, den das Gerät erzeugt, um den Benutzer darüber zu informieren, dass ein Tastendruck aufgezeichnet wurde) kann die Komplexität der Keylogging-Algorithmen des Körpers reduzieren, da es den Moment markiert, in dem eine Taste gedrückt wurde.

Geschichte

Mitte der 1970er Jahre entwickelte und installierte die Sowjetunion einen Hardware-Keylogger für Schreibmaschinen . Als "selectric bug" bezeichnet, maß es die Bewegungen des Druckkopfs von IBM Selectric-Schreibmaschinen über subtile Einflüsse auf das regionale Magnetfeld, die durch die Rotation und Bewegungen des Druckkopfs verursacht werden. Ein früher Keylogger wurde von Perry Kivolowitz geschrieben und am 17. November 1983 in der Usenet-Newsgroup net.unix-wizards, net.sources gepostet. Der Posting scheint ein motivierender Faktor zu sein, um den Zugriff auf /dev/kmem auf Unix- Systemen einzuschränken . Das User-Mode- Programm arbeitete durch das Lokalisieren und Dumping von Zeichenlisten (Clients), wie sie im Unix-Kernel zusammengestellt wurden.

In den 1970er Jahren installierten Spione in den Gebäuden der US-Botschaft und des US-Konsulats in Moskau Keylogger . Sie installierten die Wanzen in den elektrischen Schreibmaschinen Selectric II und Selectric III.

Die sowjetischen Botschaften verwendeten manuelle Schreibmaschinen anstelle von elektrischen Schreibmaschinen für geheime Informationen – anscheinend, weil sie gegen solche Fehler immun sind. Ab 2013 verwenden russische Spezialdienste immer noch Schreibmaschinen.

Knacken

Das Schreiben einfacher Softwareanwendungen für das Keylogging kann trivial sein und wie jedes ruchlose Computerprogramm als Trojanisches Pferd oder als Teil eines Virus verbreitet werden . Was für einen Angreifer jedoch nicht trivial ist, ist die Installation eines verdeckten Tastendruck-Loggers, ohne erwischt zu werden, und das Herunterladen von Daten, die protokolliert wurden, ohne nachverfolgt zu werden. Ein Angreifer, der sich manuell mit einem Host-Rechner verbindet, um protokollierte Tastenanschläge herunterzuladen, riskiert, verfolgt zu werden. Ein Trojaner, der Keylog-Daten an eine feste E-Mail-Adresse oder IP-Adresse sendet, riskiert die Offenlegung des Angreifers.

Trojaner

Die Forscher Adam Young und Moti Yung diskutierten mehrere Methoden zum Senden von Tastendruckprotokollen. Sie präsentierten einen bestreitbaren Passwort-Snatching-Angriff, bei dem der Trojaner zur Protokollierung von Tastenanschlägen mithilfe eines Virus oder Wurms installiert wird . Ein Angreifer, der mit dem Virus oder Wurm erwischt wird, kann behaupten, ein Opfer zu sein. Der Cryptotrojaner verschlüsselt die gestohlenen Login/Passwort-Paare asymmetrisch mit dem öffentlichen Schlüssel des Trojaner-Autors und sendet den resultierenden Geheimtext heimlich . Sie erwähnten, dass der Geheimtext steganographisch kodiert und an ein öffentliches Schwarzes Brett wie das Usenet gesendet werden kann .

Verwendung durch die Polizei

Im Jahr 2000 benutzte das FBI FlashCrest iSpy, um die PGP- Passphrase von Nicodemo Scarfo, Jr. , dem Sohn des Mafia-Boss Nicodemo Scarfo, zu erhalten . Ebenfalls im Jahr 2000 lockte das FBI zwei mutmaßliche russische Cyberkriminelle mit einem ausgeklügelten Trick in die USA und erfasste ihre Benutzernamen und Passwörter mit einem Keylogger, der heimlich auf einem Computer installiert war, mit dem sie in Russland auf ihre Computer zugreifen . Das FBI benutzte diese Zugangsdaten dann, um sich Zugang zu den Computern der Verdächtigen in Russland zu verschaffen, um Beweise für ihre strafrechtliche Verfolgung zu erhalten.

Gegenmaßnahmen

Die Wirksamkeit von Gegenmaßnahmen variiert, da Keylogger verschiedene Techniken zum Erfassen von Daten verwenden und die Gegenmaßnahme gegen die jeweilige Datenerfassungstechnik wirksam sein muss. Im Fall von Windows 10 Keylogging von Microsoft kann es durch das Ändern bestimmter Datenschutzeinstellungen deaktiviert werden. Eine Bildschirmtastatur ist effektiv gegen Hardware-Keylogger; Transparenz wird einige – aber nicht alle – Bildschirmprotokollierer besiegen. Eine Anti-Spyware- Anwendung, die nur Hook-basierte Keylogger deaktivieren kann, ist gegen Kernel-basierte Keylogger wirkungslos.

Autoren von Keylogger-Programmen können möglicherweise den Code ihres Programms aktualisieren, um sich an Gegenmaßnahmen anzupassen, die sich als wirksam erwiesen haben.

Anti-Keylogger

Ein Anti-Keylogger ist eine Software, die speziell entwickelt wurde, um Keylogger auf einem Computer zu erkennen und typischerweise alle Dateien auf dem Computer mit einer Datenbank von Keyloggern zu vergleichen und nach Ähnlichkeiten zu suchen, die auf das Vorhandensein eines versteckten Keyloggers hinweisen könnten. Da Anti-Keylogger speziell für die Erkennung von Keyloggern entwickelt wurden, haben sie das Potenzial, effektiver zu sein als herkömmliche Antiviren-Software. Einige Antivirenprogramme betrachten Keylogger nicht als Malware, da Keylogger unter bestimmten Umständen als legitime Software angesehen werden können.

Live-CD/USB

Ein Neustart des Computers mit einer Live-CD oder einem schreibgeschützten Live-USB ist eine mögliche Gegenmaßnahme gegen Software-Keylogger, wenn die CD frei von Schadsoftware ist und das darauf enthaltene Betriebssystem gesichert und vollständig gepatcht ist, damit es nicht sofort infiziert werden kann gestartet. Das Booten eines anderen Betriebssystems hat keinen Einfluss auf die Verwendung eines Hardware- oder BIOS-basierten Keyloggers.

Anti-Spyware / Anti-Virus-Programme

Viele Anti-Spyware- Anwendungen können einige softwarebasierte Keylogger erkennen und unter Quarantäne stellen, deaktivieren oder entfernen. Da jedoch viele Keylogging-Programme unter Umständen legitime Software sind, versäumt Anti-Spyware oft, Keylogging-Programme als Spyware oder Virus zu kennzeichnen. Diese Anwendungen können softwarebasierte Keylogger anhand von Mustern im ausführbaren Code , Heuristiken und Keylogger-Verhalten (wie die Verwendung von Hooks und bestimmten APIs ) erkennen.

Keine softwarebasierte Anti-Spyware-Anwendung kann gegen alle Keylogger zu 100 % wirksam sein. Softwarebasierte Anti-Spyware kann Nicht-Software-Keylogger besiegen (z. B. erhalten an Tastaturen angeschlossene Hardware-Keylogger immer Tastenanschläge vor einer softwarebasierten Anti-Spyware-Anwendung).

Die spezielle Technik, die die Anti-Spyware-Anwendung verwendet, beeinflusst ihre potenzielle Wirksamkeit gegen Software-Keylogger. In der Regel werden Anti-Spyware-Anwendungen mit höheren Rechten Keylogger mit niedrigeren Rechten besiegen. Beispielsweise kann eine Hook-basierte Anti-Spyware-Anwendung einen Kernel-basierten Keylogger nicht besiegen (da der Keylogger die Tastendruck-Nachrichten vor der Anti-Spyware-Anwendung empfängt), könnte jedoch Hook- und API-basierte Keylogger besiegen.

Netzwerkmonitore

Netzwerkmonitore (auch als Reverse-Firewalls bezeichnet) können verwendet werden, um den Benutzer zu warnen, wenn eine Anwendung versucht, eine Netzwerkverbindung herzustellen. Dies gibt dem Benutzer die Möglichkeit zu verhindern, dass der Keylogger mit seinen eingegebenen Informationen " nach Hause telefoniert ".

Automatische Formularfüllprogramme

Programme zum automatischen Ausfüllen von Formularen können Keylogging verhindern, indem sie die Anforderung für einen Benutzer beseitigen, persönliche Daten und Kennwörter über die Tastatur einzugeben. Formularausfüller sind in erster Linie für Webbrowser zum Ausfüllen von Checkout-Seiten und zum Anmelden von Benutzern bei ihren Konten gedacht . Sobald die Konto- und Kreditkarteninformationen des Benutzers in das Programm eingegeben wurden, werden sie automatisch in Formulare eingegeben, ohne jemals die Tastatur oder die Zwischenablage zu verwenden , wodurch die Möglichkeit verringert wird, dass private Daten aufgezeichnet werden. Jemand mit physischem Zugriff auf den Computer kann jedoch möglicherweise immer noch Software installieren, die diese Informationen an anderer Stelle im Betriebssystem oder während der Übertragung im Netzwerk abfangen kann. ( Transport Layer Security (TLS) reduziert das Risiko, dass Daten während der Übertragung von Netzwerk-Sniffern und Proxy-Tools abgefangen werden können .)

Einmalpasswörter (OTP)

Die Verwendung von Einmalpasswörtern kann den unbefugten Zugriff auf ein Konto verhindern, dessen Zugangsdaten einem Angreifer über einen Keylogger offengelegt wurden, da jedes Passwort sofort nach der Verwendung ungültig wird. Diese Lösung kann für jemanden nützlich sein, der einen öffentlichen Computer verwendet. Ein Angreifer, der einen solchen Computer ferngesteuert hat, kann jedoch einfach warten, bis das Opfer seine Zugangsdaten eingibt, bevor er nicht autorisierte Transaktionen in seinem Namen durchführt, während seine Sitzung aktiv ist.

Sicherheitstoken

Die Verwendung von Smartcards oder anderen Sicherheitstoken kann die Sicherheit gegen Replay-Angriffe angesichts eines erfolgreichen Keylogging-Angriffs verbessern, da für den Zugriff auf geschützte Informationen sowohl das (Hardware-)Sicherheitstoken als auch das entsprechende Passwort/die entsprechende Passphrase erforderlich wäre. Die Kenntnis der Tastenanschläge, Mausaktionen, Anzeige, Zwischenablage usw., die auf einem Computer verwendet werden, hilft einem Angreifer später nicht, Zugriff auf die geschützte Ressource zu erhalten. Einige Sicherheitstoken funktionieren als eine Art hardwareunterstütztes Einmalpasswortsystem, andere implementieren eine kryptografische Challenge-Response-Authentifizierung , die die Sicherheit auf ähnliche Weise wie Einmalpasswörter verbessern kann. Smartcard-Lesegeräte und ihre zugehörigen Tastaturen für die PIN- Eingabe können durch einen sogenannten Supply-Chain-Angriff anfällig für die Protokollierung von Tastenanschlägen sein , bei dem ein Angreifer den Kartenleser/die PIN-Eingabe-Hardware durch eine Hardware ersetzt, die die PIN des Benutzers aufzeichnet.

Bildschirmtastaturen

Die meisten Bildschirmtastaturen (wie die mit Windows XP gelieferte Bildschirmtastatur ) senden normale Tastaturereignismeldungen an das externe Zielprogramm, um Text einzugeben. Software-Keylogger können diese eingegebenen Zeichen protokollieren, die von einem Programm zu einem anderen gesendet werden.

Software zur Störung von Tastenanschlägen

Eine Software zur Störung des Tastenanschlags ist ebenfalls verfügbar. Diese Programme versuchen, Keylogger zu täuschen, indem sie zufällige Tastenanschläge einführen, obwohl dies einfach dazu führt, dass der Keylogger mehr Informationen aufzeichnet, als er benötigt. Ein Angreifer hat die Aufgabe, die gewünschten Tastenanschläge zu extrahieren – die Sicherheit dieses Mechanismus, insbesondere wie gut er der Kryptoanalyse standhält , ist unklar.

Spracherkennung

Ähnlich wie Bildschirmtastaturen kann eine Software zur Konvertierung von Sprache in Text auch gegen Keylogger verwendet werden, da keine Tipp- oder Mausbewegungen erforderlich sind. Der schwächste Punkt bei der Verwendung von Spracherkennungssoftware kann darin bestehen, wie die Software den erkannten Text an die Zielsoftware sendet, nachdem die Sprache des Benutzers verarbeitet wurde.

Handschrifterkennung und Mausgesten

Viele PDAs und neuerdings auch Tablet-PCs können bereits Stiftbewegungen (auch Stylus genannt) auf ihren Touchscreens erfolgreich in computerlesbaren Text umwandeln . Mausgesten verwenden dieses Prinzip, indem statt eines Stifts Mausbewegungen verwendet werden. Mausgestenprogramme konvertieren diese Striche in benutzerdefinierbare Aktionen, wie z. B. das Eingeben von Text. Auf ähnliche Weise können Grafiktabletts und Lichtstifte verwendet werden, um diese Gesten einzugeben, diese werden jedoch immer seltener.

Die gleiche potentielle Schwäche der Spracherkennung gilt auch für diese Technik.

Makro-Expander/-Recorder

Mit Hilfe vieler Programme lässt sich ein scheinbar bedeutungsloser Text zu einem sinnvollen Text und meist kontextsensitiv erweitern, zB "en.wikipedia.org" kann erweitert werden, wenn ein Webbrowser-Fenster den Fokus hat. Die größte Schwäche dieser Technik besteht darin, dass diese Programme ihre Tastenanschläge direkt an das Zielprogramm senden. Dies kann jedoch durch die nachfolgend beschriebene 'alternierende' Technik überwunden werden , dh Mausklicks in nicht reagierende Bereiche des Zielprogramms senden, sinnlose Tasten senden, einen weiteren Mausklick in den Zielbereich (zB Passwortfeld) senden und zurückschalten -und weiter.

Irreführende Eingabe

Der Wechsel zwischen der Eingabe der Anmeldeinformationen und der Eingabe von Zeichen an anderer Stelle im Fokusfenster kann dazu führen, dass ein Keylogger mehr Informationen aufzeichnet, als er benötigt, aber dies könnte von einem Angreifer leicht herausgefiltert werden. In ähnlicher Weise kann ein Benutzer seinen Cursor während des Tippens mit der Maus bewegen, was dazu führt, dass die protokollierten Tastenanschläge in der falschen Reihenfolge sind, zB indem er ein Passwort beginnt mit dem letzten Buchstaben eingibt und dann den Cursor mit der Maus für jeden nachfolgenden Buchstaben bewegt. Schließlich kann jemand auch Kontextmenüs verwenden , um Teile des eingegebenen Textes zu entfernen, auszuschneiden, zu kopieren und einzufügen, ohne die Tastatur zu verwenden. Ein Angreifer, der nur Teile eines Passworts erfassen kann, hat einen größeren Schlüsselraum zum Angriff, wenn er sich für einen Brute-Force-Angriff entscheidet .

Eine andere sehr ähnliche Technik verwendet die Tatsache, dass jeder ausgewählte Textabschnitt durch den nächsten eingegebenen Schlüssel ersetzt wird. zB wenn das Passwort "geheim" ist, könnte man "s" eingeben, dann einige Dummy-Schlüssel "asdf". Diese Dummy-Zeichen könnten dann mit der Maus ausgewählt und das nächste Zeichen aus dem Passwort "e" getippt werden, das die Dummy-Zeichen "asdf" ersetzt.

Diese Techniken gehen fälschlicherweise davon aus, dass Software zur Protokollierung von Tastenanschlägen die Zwischenablage, den ausgewählten Text in einem Formular nicht direkt überwachen oder bei jedem Tastenanschlag oder Mausklick einen Screenshot erstellen kann. Sie können jedoch gegen einige Hardware-Keylogger wirksam sein.

Siehe auch

• Anti-Keylogger
• Black-Bag-Kryptanalyse
• Computerüberwachung
• Digitaler Fußabdruck
• Hardware-Keylogger
• Umgekehrter Anschluss
• Sitzungswiederholung
• Spyware
• Trojanisches Pferd
• Virtuelle Tastatur
• Web-Tracking

Verweise

Externe Links

• Keylogger bei Curlie