Most pedig nézzük a kémprogramokat. Elég széles választék van belőlük. Jelen bejegyzésben nem szándékozom az összes létező ilyen programot számba venni, csupán két terméket emelnék ki a sok közül. Természetesen a reklámanyagokban mindegyik kémprogram nagyon ütősnek állítja be magát azonban a valóságban a helyzet az, hogy egy hozzáértő pár perc alatt felfedezi az ilyen programot, ha éppenséggel gyanúja támad, hogy van egy ilyen a gépen. ehhez Windows gépeken a
Process Explorer-t és a
Process Revealer Free edition-t lehet gyorsan használni. (Különböző programok installálása nélkül)
Az alábbi linken lehet letölteni : a Process Explorer-t
http://technet.microsoft.com/en-us/sysinternals/bb896653A két programot egymás mellett futtatva azok az elemek a gyanúsak amik a process explorerben nem látszanak de a Process Revealerben igen. (Azok a rejtett processzek)
Ennek a segítségével fel lehet fedezni vírusokat, kémprogramokat és egyéb kártékony kódokat amik a tudtunk nélkül futnak a gépünkön és megpróbálnak elrejtőzködni.
Itt van egy ennél sokkal bővebb leírás rejtett proceszekről :
http://www.ntinternals.org/process_detection_test.php Itt van egy sereg "felismerő" szoftver is amikkel fel lehet deríteni az illegális támadásokat. A
GMER-t és az
Avast Anti-rootkit-et próbáltam ki, de azok nem minősítették a keyloggereket "károsnak" (nem is erre valók) viszont a rejtőzködő
MPK.EXE-t még ezek is simán kiszúrták. (Ennyit a nagy rejtőzködési tudományáról a keyloggolóknak...)
Kipróbáltam pár Anti-keylogger terméket is és amit leginkább ajánlani tudok az a
SpyShelter Premium. Ez felismerte a keylogoló programokat és fel is kínálta, hogy leállítsa vagy letörölje a kódokat. A Refog-ot és a Green Day-t is szépen detektálta.
Fut XP-n és windows 7-en 32 és 64 bites verzióban. A program nem ingyenes, de 14 napos próbaidőre lehet használni. Detektálásra kiváló. Akinek meg állandóra kell, vegye meg. Free programot egyelőre nem találtam ami ilyen jó lenne mint ez.
(Kipróbáltam pár másikat is - Anti Keylogger, Advanced Anti Keylogger - de vagy el sem indultak, vagy lefagyasztották a gépeket...legtöbb free nem tud 64 bites módban futni, vagy nem eléggé áttekinthető a kezelőfelülete) Tehát keylogger detektálásra
SpyShelter Premium...
Jelen bejegyzésben két keylogger vagyis kémprogram kerül bemutatásra. Az egyik a
Refog keylogger ill. ennek a különböző változatai a másik pedig a
Green Day elnevezésű kémprogram.
Nézzük először a Refog-ot. Ez egy igen régi keylogger. Ennek megfelelően eléggé ki van dolgozva. Többféle változata elérhető. Van teljesen ingyenes verziója, ami nem tud távolba riportolni és az ikon a taskbáron jelezni fogja, hogy fut a szoftver. Meg még nem tud néhány dolgot amire esetleg szükség lehet, például képernyőmentéseket nem csinál, stb. de alapvetően a billentyűzet leütések monitorozására alkalmas szoftver. Helyben tárolja az adatokat és később vissza tudjuk nézni, hogy mi történt a gépünkön. Távfelügyeletre nem teljesen alkalmas, de lokális használatra, saját gépre épp elegendő ez is. A másik verziója ennek az EmployeeMonitor, ami 30 napig ingyenesen kipróbálható. (A többi verzió csak 3 napig ingyenes) Ez mindent tud amire szükség van, de 30 naponta újra kell telepítgetni - vagy amikor újra szükség lesz rá. A termék ára 100$ ami végülis nem túl olcsó (vannak fel ennyiért is keyloggerek már a piacon) de elég jó szolgáltatást nyújt. Képes a logokat e-mailben vagy ftp-n továbbítani (pl óránként) és szép összesítő riportokat is generál. Meg sok színes szagos funkciója van amire általában semmi szükség sincs. Az emberek legtöbb esetben a billentyű leütéseket akarják megtudni és a meglátogatott webhelyeket. Ezeket mind tudja, és ez általában elegendő is. Még annyival tud többet az ingyenes verziónál, hogy megpróbál elrejtőzködni ami azt jelenti, hogy közönséges módszerekkel nem lehet kilistázni , vagyis nem látszik, hogy fut.
A különbségek egyébként általában nem a figyelésben, hanem a reportolásban vannak ezeknél a programoknál. Mennyire áttekinthető, milyen gyorsan lehet benne eligazodni és megtalálni amit keres az ember.
Most nézzük a Green Day-t. Ezt a programot a
kalozok.com-ról lehet letölteni. Ingyenes, az adatokat emailben tudja elküldeni és mezei felhasználók elől el tudja rejteni magát. Általában az esetek 90%-ban ennél többre nincs is szükség. A fileok rejtett állapotban vannak a gépen és a konfigurációs állomány titkosított. Csak hozzáértő tudja észrevenni, hogy valami nem stimmel vele kapcsolatban.
Van hozzá egy nézegető program is, amivel az eltárolt vagy elküldött logokat meg lehet nézni.
Eddig nincs is semmi probléma ezekkel a programokkal. A probléma akkor kezdődik, amikor azt szeretnénk, hogy távolba is mentse el a logokat. Ez két (ill. három) féle módon szokott megtörténni :
1. smtp-n keresztül
2. ftp-n keresztül
3. lan drive-on keresztül másik gépre
1. Az smtp-s levél küldésnek csak egy hátulütője lehet : Néhány internet szolgáltató nem engedélyezi az smtp átmenő forgalmat és csak rajtuk keresztül lehetséges a hálózatból kifelé a levélküldés. Ebben az esetben a helyi szolgáltató smtp szerverét kell használni, az ott kapott e-mail fiók adatokkal, hogy távolba tudjunk levelet küldeni. Ennek védelmi okai vannak általában. Spam, és egyéb támadások elleni védekezés illetve a lekövethetőség miatt kell ez. Hogy lehessen látni, hogy ki küldte az adott levelet, mely személyhez köthető.
2. A második lehetőség, hogy bérelni kell egy ftp elérést vagy használni kell egy ingyenes tárhelyet és ide tölti fel a program az adatokat. Itt olyan szolgáltatót érdemes választani ami megbízhatóan működik, gyors és általában (mindig) elérhető.
3. A harmadik lehetőség csak üzemi környezetben működik, ugyanis ehhez az kell, hogy a gép ahova mentődik az anyag állandóan menjen és elérhető legyen. Például egy irodai szerver bent az irodában. de otthon nem valószínű, hogy állandóan menne minden gép, inkább csak akkor, ha szükség van rá. Vagyis a 3-ik megoldás kevésbé alkalmazható, de azért ha mégis van ilyen helyzet (egy háztartáson belül több számítógép van) akkor megoldható a dolog. (Mivel ehhez állandó hálózati kapcsolat kell a két gép között ez felfedhetőbb a másik két lehetőségnél)
Tehát nagyjából ezek a lehetőségek vannak. Akinek ez így túl szakmai vagy érthetetlen az nyugodtan forduljon a probléma megoldásával szakemberhez (leginkább magánnyomozó irodákhoz, ahol vannak erre specializálódott informatikai biztonságban jártas személyek). Több ilyen iroda is létezik hol van lehetőség ilyen szolgáltatás igénybevételére, például :
www.szaloki.hu,
www.magannyomozo.info,
www.castellocompany.hu,
www.barathandpartners.hu,
www.magannyomozobudapest.webnode.hu,
magannyomozo.net,
www.poliscope.hu
