Uwaga! Szpiedzy obserwują klawiatury!
Rok 2005 będzie rekordowy pod względem liczby nowych keyloggerów - czyli programów szpiegowskich, których zadaniem jest przechwytywanie danych, wprowadzanych za pomocą klawiatury. Tak przynajmniej wynika z danych firmy iDefense, która opublikowała właśnie raport analizujący problem keyloggerów. Dowiadujemy się z niego m.in., że w 2005 r. pojawiło się ponad 6 tys. takich programów - to aż o 65% więcej niż w 2004 r. Problem jest poważny, ponieważ keyloggery stanowią ulubione narzędzie przestępców wykradających numery kart kredytowych oraz hasła dostępu do banków internetowych.
Istnieje wiele różnych rodzajów programów zwanych keyloggerami - ich wspólną cechą jest to, że bez wiedzy użytkownika przechwytują znaki wprowadzane za pomocą klawiatury i przekazują je dalej ( np. pocztą elektroniczną ). Program taki może przechwytywać wszystkie znaki lub uaktywniać się tylko w określonych okolicznościach - np. gdy użytkownik wejdzie na stronę e-banku lub serwisu płatniczego. Keyloggery sporadycznie są samodzielnymi programami - z reguły zawarte są one w kodzie koni trojańskich oraz aplikacji typu spyware.
Z obserwacji prowadzanych przez amerykańską firmę iDefense i podsumowanych w wydanym właśnie raporcie wynika, że w bieżącym roku w Internecie pojawi się w sumie ok. 6,2 tys. programów posiadających funkcjonalność keyloggera. Będzie ich więc aż o 65% więcej niż w poprzednim roku. Oznacza to prawdziwą eksplozję popularności tego typu oprogramowania.
Liczba szpiegów rośnie lawinowo
Statystyki aktywności keyloggerów iDefense zaczęła prowadzić w 2000 r. - wtedy wykryto ich ok. 300. Rok później - w 2001 r. - zanotowano spadek liczby nowych keyloggerów ( wykryto ich tylko 275 ). Kolejny rok ( 2002 r. ) przyniósł 444 nowych "szpiegów" zaś w 2003 r. nastąpił pierwszy wyraźny wzrost ich liczby - do 1230. Rok później wykryto 3753 keyloggery, zaś w roku bieżącym, według szacunków iDefense, pojawi się łącznie ok. 6,2 tys. nowych programów, rejestrujących znaki wprowadzane za pomocą klawiatury.
Zdaniem Ramsesa Martineza z iDefense, przyczyna tak wyraźnego wzrostu liczby nowych keyloggerów jest bardzo prosta - jest ich coraz więcej, ponieważ stanowią one doskonałe narzędzie dla przestępców chcących uzyskać nieautoryzowany dostęp do kont w bankach internetowych. Skoro z roku na rok rośnie liczba użytkowników e-banków, to naturalnym zjawiskiem jest pojawianie się coraz większej liczby narzędzi przestępczych. To jednak nie wszystko - według Martineza, z keyloggerów chętnie korzystają osoby wykradające numery kart kredytowych ( wszak handel skradzionymi numerami kart kwitnie ).
Keylogger pocztowy
Z danych iDefense wynika, że keyloggery najczęściej dystrybuowane są za pośrednictwem poczty elektronicznej - wraz z spyware'm i wszelkiego rodzaju wirusami. Dlatego też użytkowników, którzy chcą się zabezpieczyć przed nimi, obowiązują standardowe zasady bezpieczeństwa w Internecie ( mowa tu przede wszystkim o ostrożnym postępowaniu ze wszelkimi podejrzanymi wiadomościami e-mail ).
Średnia strata - 4 tys. USD
W raporcie znajdziemy również inne ciekawe informacje - jego autorzy powołują się na badania firmy National Mutual Insurance, z których wynika, że po zainstalowaniu w systemie keylogger przechwytuje dane niezbędne do zalogowania się do e-banku lub serwisu finansowego średnio w 81 godzin. NMI podaje również, że w przypadku udanego włamania z wykorzystaniem keyloggera przeciętne straty poniesione przez użytkownika wynoszą 4 tys. USD ( więcej informacji o finansowych aspektach działalności twórców programów szpiegowskich można znaleźć w tekście "Twórcy wirusów lecą na kasę" - http://www.idg.pl/news/85209.html ).
"Główny problem z keyloggerami polega na tym, że wielu użytkowników wciąż jeszcze nie zdaje sobie sprawy z zagrożenia, jakie one stanowią. Wiedzą, że trzeba uważać na wirusy, na phishing, ale nie potrafią dostrzec niebezpieczeństwa związanego z wykradaniem ich danych" - komentuje Joe Payne z iDefense. "Dlatego naszym zdaniem podstawową metodą walki z tym zjawiskiem powinno być uważne monitorowanie organizacji i serwisów internetowych dystrybuujących takie programy. Oczywiście, użytkownicy nie powinni także zapominać o korzystaniu z uaktualnionego programu antywirusowego oraz odpowiednio skonfigurowanego firewalla" - dodaje Payne.
Polski wątek
Z tezami przedstawionymi w raporcie nie do końca zgadza się Jakub Dębski, kierownik projektu silnika ArcaVir - "Znacznie bardziej niebezpieczne [od keyloggerów - red.] dla zwykłych użytkowników są programy spyware, które umieszczane są często jako elementy adware, czyli oprogramowania wyświetlającego reklamy. Oprogramowanie to jest w stanie przesłać pod wybrany adres dowolną informację, którą użytkownik wprowadza na stronie WWW ( też na stronie banku lub sklepu internetowego ). Częścią programu spyware może być także keylogger, ale naprawdę istotne informacje potencjalny złodziej może zebrać też w inny sposób" - tłumaczy Jakub Dębski.
Przedstawiciela firmy ArcaBit zapytaliśmy również, jak często do jego zespołu zgłaszają się użytkownicy borykający się z problemem keyloggera - "Nie otrzymujemy takich zgłoszeń od użytkowników. Ale nie jest to nic dziwnego - użytkownicy zwykle nie są w stanie stwierdzić, czy w ich systemach działa keylogger" - mówi Jakub Dębski. "Brak nam statystyk ilustrujących aktywność keyloggerów w Polsce. Rzeczywiste statystyki można zebrać jedynie od banków lub sklepów internetowych, zaś mało która organizacja ze względów marketingowych udostępnia informacje o tym, ile zostało wykonanych na jej stronie przestępczych operacji. Wszyscy - z oczywistych względów - reklamują jedynie swoje bezpieczeństwo" - wyjaśnia Dębski.
"Samo wykrycie keyloggera jest problematyczne, ponieważ wiele aplikacji monitoruje naciskanie klawiszy i sprawdza, czy użytkownik jest wciąż aktywny ( przykładowo komunikatory internetowe przełączają w tryb "zaraz wracam" ). Dodatkowo niektóre typy monitorowania są wykorzystywane powszechnie np. w grach, które sprawdzają które klawisze użytkownik wciska. Z tego powodu nie jest możliwe stworzenie modułu blokującego keyloggery. Skutecznym rozwiązaniem broniącym użytkownika jest program antywirusowy z aktualną bazą sygnatur takich programów" - podsumowuje nasz rozmówca.