TIỂU LUẬN MÔN AN NINH MẠNG ĐỀ TÀI : Keylogger và cách phòng chống Keylogger không phải là một vấn đề mới và báo chí cũng đã đề cập đến rất nhiều. Tuy nhiên, với sự gia tăng ngày càng nhiều về số lượng phần mềm có chức năng keylog¬ger được tung lên mạng, cũng như sự phổ biến của những thiết bị phần cứng mới hỗ trợ kỹ thuật keylogger, vẫn có nhiều người sử dụng máy tính trở thành nạn nhân của việc mất trộm thông tin cá nhân, đặc biệt là username và password.
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Khoa Quốc Tế và Đào Tạo Sau Đại Học
TIỂU LUẬN MÔN
AN NINH MẠNG
ĐỀ TÀI : Keylogger và cách phòng chống
GVHD: PGS.TSKH HOÀNG ĐĂNG HẢI THỰC HIỆN: LÊ ANH TRUNG
NGUYỄN DUY CƯƠNG NGUYỄN VIẾT QUÝ
Hà Nội , Tháng 12 - 2012
Trang 2MỤC LỤC
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG 1
Khoa Quốc Tế và Đào Tạo Sau Đại Học 1
MỤC LỤC 1
LỜI NÓI ĐẦU 2
I.PHÂN LOẠI 3
1.Hard keylogger 3
2.Soft keylogger 4
II.CÁCH HOẠT ĐỘNG CỦA KEYLOGGER 4
1.Thành phần của Keylogger 4
2.Cách thức cài đặt vào máy 4
3.Cách hoạt động 5
III.PHÒNG, TRÁNH VÀ CHỐNG KEYLOGGER 5
1.Phòng 5
2.Tránh keylogger 6
3.Chống keylogger 7
IV.TÀI LIỆU THAM KHẢO 9
Trang 3LỜI NÓI ĐẦU
Keylogger không phải là một vấn đề mới và báo chí cũng đã đề cập đến rất nhiều Tuy nhiên, với sự gia tăng ngày càng nhiều về số lượng phần mềm có chức năng keylogger được tung lên mạng, cũng như sự phổ biến của những thiết bị phần cứng mới hỗ trợ kỹ thuật keylogger, vẫn có nhiều người sử dụng máy tính trở thành nạn nhân của việc mất trộm thông tin cá nhân, đặc biệt là username và password
Lúc đầu Keylog là ứng dụng được tạo ra với mục đích là giúp các bậc phụ huynh giám sát con em mình khi sử dụng máy tính, theo dõi hoạt động nhân viên tại cty , nhưng với tính năng của nó các hacker đã sớm tận dụng và đưa vào làm phần mềm gián điệp giúp hacker đánh cắp mật khẩu, thông tin cá nhân
Vậy keylog là gì? Ban đầu Keylog, keylogger là chương trình ghi lại các thao tác trên bàn phím, chuột Hiện nay các loại keylogger có thể hiện đại hơn rất nhiều
Đó là lưu lại hoạt động của cả con chuột, chụp lại ảnh màn hình Và tinh vi hơn nữa là keylogger không chỉ lưu lại, mà còn tự động gửi các thông tin đã lưu lại cho chủ nhân của mình theo thời gian hay chế độ đặt sẵn (…) qua email hoặc upload file (FTP)
Nội dung của bài tiểu luận của nhóm em dưới đây xin được trình bày vấn đề về keylogger và cách phòng chống Nhóm em xin trân thành cảm ơn PGS.TSKH Hoàng Đăng Hải đã hướng dẫn nhóm em thực hiện đề tài này!
Trang 4I PHÂN LOẠI
Hiện nay Keylogger được chia làm hai loại, một loại keylogger phần cứng (hard keylogger ) và một loại là phần mềm (soft keylogger)
1 Hard keylogger
Hard keylogger là những thiết bị phần cứng được các hãng sản xuất và cung cấp trên thị trường Thiết bị keylogger có thể ở dạng PS/2 hay USB, với kích thước tương đương với một USB flash chẳng hạn, thiết bị Chúng gồm có hai đầu nối, trong
đó, một đầu dùng để nối trực tiếp vào máy tính, đầu còn lại nối với bàn phím
Còn có những thiết bị tinh vi hơn, được gắn vào ngay bên trong bàn phím của máy tính để bàn Với bàn phím của các laptop cũng có khả năng bị gắn thiết bị keylogger
Ngoài ra, wireless keylogger có lẽ là loại thiết bị được sử dụng nhiều Nó đóng vai trò như thiết bị phát sóng không dây Khi đó, kẻ xâm nhập sẽ kết nối vào thiết bị này thông qua sóng không dây với các thông tin cấu hình mà họ đã lập
Trang 5
2 Soft keylogger
Phần mền Keylogger có thể được phân loại theo mức độ nguy hiểm nhu sau: Loại số 1: keylogger loại bình thường; chạy công khai, có thông báo cho người
bị theo dõi, đúng với mục đích giám sát
Loại số 2 : keylogger nguy hiểm; chạy ngầm, hướng đến mục đích do thám nhiều hơn là giám sát (nguy hại đến các thông tin cá nhân như là tài khoản cá nhân, mật khẩu, thẻ tín dụng vì người dùng không biết)
Loại số 3: keylogger loại rất nguy hiểm; ẩn dấu hoàn toàn theo dõi trên một phạm vi rộng, mục đích do thám rõ ràng
Loại số 4: keylogger nguy hiểm nghiêm trọng, thường được mang theo bởi các trojan-virus cực kỳ khó tháo gỡ, là loại keylogger nguy hiểm nhất Chính vì vậy (và cũng do đồng thời là “đồng bọn” của trojan-virus) nó thường hay bị các chương trình chống virus tìm thấy và tiêu diệt
II CÁCH HOẠT ĐỘNG CỦA KEYLOGGER
1 Thành phần của Keylogger
Thông thường, một chương trình keylogger sẽ gồm có ba phần chính:
- Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động, tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Keylogger Phần này là phần được giấu kỹ nhất của keylogger, thông thường chỉ có thể gọi
ra bằng một tổ hợp phím tắt đặt biệt
- Tập tin hook, hoặc là một chương trình monitor dùng để ghi nhận lại các thao tác bàn phím, capture screen (đây là phần quan trọng nhất)
- Tập tin nhật ký (log), nơi chứa đựng/ghi lại toàn bộ những gì hook ghi nhận được
Ngoài ra, tùy theo loại có thể có thêm phần chương trình bảo vệ (guard, protect), chương trình thông báo (report)…
2 Cách thức cài đặt vào máy
Đối với loại hard keylogger chúng cần phải được kết nối trực tiếp với máy tính bằng nhiều hình thức: kết nối thông qua jack cắm bàn phím, kết nối ngầm trong bàn
Trang 6phím, kết nối với máy tính thông qua cổng usb như các thiết bị không dây(chuột bàn phím không dây, usb wifi )
Đối với các loại soft keylogger:
Các loại keylogger từ 1 - 3 thông thường khi cài đặt vào máy cũng giống như mọi chương trình máy tính khác, đều phải qua bước cài đặt Đầu tiên nó sẽ cài đặt các tập tin dùng để hoạt động vào một thư mục đặc biệt (rất phức tạp), sau đó đăng ký cách thức hoạt động rồi đợi người dùng thiết lập thêm các ứng dụng Sau đó nó bắt đầu hoạt động
Loại keylogger số 4 có thể vào thẳng máy của người dùng bỏ qua bước cài đặt, dùng tính năng autorun để cùng chạy với hệ thống Một số loại tự thả (drop) mình vào các chương trình khác, để khi người dùng sử dụng các chương trình này keylogger sẽ
tự động chạy theo
3 Cách hoạt động
Trong một hệ thống (Windows, Linux, Mac…), khi bấm 1 phím trên bàn phím, bàn phím sẽ chuyển nó thành tính hiệu chuyển vào CPU CPU sẽ chuyển nó tới hệ điều hành để hệ điều hành dịch thành chữ hoặc số cho chính nó hoặc các chương trình khác sử dụng Nhưng khi trong hệ thống đó có keylogger, không những chỉ có hệ điều hành theo dõi mà cả hook file/monitor program của keylogger theo dõi nó sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin nhật ký Đồng thời nó còn có thể theo dõi cả màn hình và thao tác chuột
Đối với một số loại hard keylogger, chúng có thể được lưu trực tiếp các thông tin được nghi nhận lại trên chính thiết bị đó, hoặc được gửi thông qua mạng không dây, có dây tới các địa chỉ đã được cấu hình sẵn trên các thiết bị đó
http://www.youtube.com/watch?feature=player_embedded&v=sozLkW7mUYE
http://www.youtube.com/watch?feature=player_embedded&v=G8BF7i0MFNE
III PHÒNG, TRÁNH VÀ CHỐNG KEYLOGGER
1 Phòng
Keylogger thường bị vào máy qua hai con đường chính: được cài đặt hoặc bị cài đặt
Trang 7a Phòng ngừa “được cài đặt”
Cách tốt nhất là không cho ai sử dụng chung máy tính Bảo mật máy bằng cách khóa lại bằng các chương trình bảo vệ, hoặc mật khẩu khi đi đâu đó Nếu phải dùng chung nên thiết lập quyền của người dùng chung đó thật thấp (guest đối với Windows XP, user đối với Linux) để kiểm soát việc cài đặt chương trình của họ
b Phòng ngừa “bị cài đặt”
Bị cài đặt là cách để nói đến các trường hợp keylogger vào máy không do chính bản thân cài, lắp hoặc đưa vào trên máy đó mà do trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hề hay biết Các biện pháp phòng ngừa:
- Thường xuyên kiểm tra các thiết bị phần cứng được cắm vào máy tính một cách bất thường
- Không tùy tiện mở các tập tin lạ, không rõ nguồn gốc ( đặc biệt chú ý các tập tin có đuôi *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…) Tốt nhất là nên xóa đi, hoặckiểm tra (scan) bằng một chương trình antivirus và một chương trình antispyware, vì nhiều chương trình antivirus chỉ có thể tìm thấy virus, không thể nhận biết spyware
- Không vào các trang web lạ, đặc biệt là web đen vì có thể các trang web này ẩn chứa một loại worm, virus, hoặc là mã độc nào đó có thể âm thầm cài đặt
- Không click vào các đường link lạ do ai đó cho bạn
- Không cài đặt các chương trình lạ (vì nó có thể chứa virus, trojan)
- Không download chương trình từ các nguồn không tin cậy Nếu bạn có thể, xem xét chữ ký điện tử, để chắc chắn chương trình không bị sửa đổi
- Hạn chế download và sử dụng cracked-program
- Luôn luôn tự bảo vệ mình bằng các chương trình chuyên dùng chống virus, chống spyware (antivirus, antispyware) và dựng tường lửa (firewall) khi ở trong Internet
- Thường xuyên cập nhật đầy đủ các bản cập nhật bảo mật của hệ điều hành
- Hoặc chúng ta có thể download một số phần mềm chống keylog về để bảo vệ
2 Tránh keylogger
Khi nghi ngờ nó có keylogger mà không có điều kiện kiểm tra
a Diệt tập tin hook, chương trình theo dõi
Sử dụng một chương trình task manager (có thể gọi ra bằng tổ hợp phím tắt Ctrl+Alt+Del trên Windows) xem các chương trình đang chạy Nếu bạn thấy process nào lạ (đặc biệt đối với Windows XP là các tập tin được chạy dưới User name không phải là System) chưa thấy bao giờ hãy tắt (end, kill) nó đi Lưu ý, cách này có
Trang 8thể làm treo hệ thống nếu đó là một tập tin cần cho nó; vì vậy người dùng cần có kinh nghiệm
b Che mắt keylogger
Keylogger hoạt động trên nguyên tắc theo dõi bàn phím (monitoring keyboard) chỉ có rất ít có khả năng theo dõi chuột (dù có theo dõi được cũng không chính xác lắm) và có khả năng capture clipboard Vì vậy dù hệ thống có keylogger (trừ các keylogger có khả năng quay phim) có thể được vượt qua bằng cách:
- Sử dụng On-Screen Keyboard (bàn phím trên màn hình) (trong windows gọi
ra bằng Start/Run/osk) để nhập cách dữ liệu nhạy cảm (mật khẩu, thẻ tín dụng) bằng cách click chuột Vì đây là cách nhập liệu nằm ngoài vùng theo dõi của các tập tin hook (vì không qua bàn phím) nên keylogger sẽ không ghi nhận được thông tin gì Cách này dễ dùng nhưng người khác có thể trông thấy thông tin được nhập vào ( tiếng lóng thường dùng là đá pass) từ đó bạn mất password
- Sử dụng Copy and Paste (chép và dán): tìm một đoạn văn bản nào đó có các từ
nằm trong đoạn thông tin muốn giấu (ví dụ: mật khẩu là password bạn hãy tìm một đoạn văn có các từ p, a, s, w, o, r, d ( ví dụ to day Is a hot day, peter feel bad he want a cool drink or a ice-cream) copy từng chữ một và dán nó thành chữ password rồi gửi đi Cách này có ưu điểm là dễ dùng nhưng khá rắc rối và kém hiệu quả nhất bởi vì nhiều keylogger có chức năng theo dõi clipboard
- Sử dụng type and Click (bấm và nhấn): vì bản thân một keylogger thông
thường không thể theo dõi các bấm chuột Ví dụ muốn đánh một đoạn thông tin là password, đầu tiên hãy đánh một số từ có trong nó: psr rồi sử dụng chuột (không dùng bàn phím) chen ngang vào p và s đánh chữ a giữa s và r đánh chữ swo sau r là chữ d Dòng thông tin nhập vào password nhưng trong tập tin nhật
ký log keylogger ghi lại được là psraswod Cách này khá hay nhưng không phù hợp với các thông tin dài vì dễ gây quên
3 Chống keylogger
Đối với các thiết bị hard keylogger, chỉ cần tháo rời chúng ra khỏi máy tính chúng ta có đã có thể vô hiệu hóa được nó, nhưng với các soft keylogger việc chống lại nó sẽ khá phức tạp đối với các loại keylogger loại 3,4
a Cách phát hiện
Với một số loại soft keylogger thông thường sẽ sử dụng một tập tin *.dll đặc thù riêng để capture các thao tác với máy tính Để phát hiện máy có bị cài key logger hay không chúng ta chỉ cần kiểm tra xem các tập tin *.dll có xuất hiện trong máy không Ví dụ đối với Perfect Keylogger này thì sử dụng tập tin bpkhk.dll, Easy sử dụng Ekey.dll
Trang 9b Phương pháp đơn giản
Nhanh hiệu quả nhất là diệt trừ toàn bộ các chương trình đang theo dõi bàn phím đi Một số chương trình như là Keylogger Killer của Totto quét các process tìm các chương trình theo dõi cùng lúc quá nhiều ứng dụng (tìm các tập tin *.dll của keylogger) rồi đề nghị bạn tắt nó đi Thế nhưng một số chương trình tốt (như các chương trình giúp gõ bàn phím Unikey, Vietkey) cũng dùng cách này nên có thể gây diệt lầm
c Phương pháp nâng cao
Sử dụng một chương trình chống spyware chuyên dùng Các chương trình này
sẽ tự động quét, phân tích các chương trình đang chạy cũng như trên máy để từ đó nhận biết các chương trình keylogger và tự động diệt Một số chương trình còn có chế độ bảo vệ thời gian thực (Real-Time Protection) giúp bảo vệ bạn chống ngay khi spyware chuẩn bị cài vào máy
Trong một số trường hợp, người dùng chọn cách chống Keylogger theo cách
"sống chung với lũ" Lấy ví dụ về Keyscrambler là một trong số những phần mềm bảo
vệ máy tính theo phương pháp này Mọi dữ liệu về phím bấm được truyền đến Hệ điều hành và được Keyscrambler mã hóa trước (do keyscrambler tác động trực tiếp từ phần lõi Kennel), sau đó mới đến các phần mềm khác (bao gồm cả keylogger) và cuối cùng được giải mã lại cho đúng với các phím được gõ Phương pháp này có thể vô hiệu hóa
đa số các loại keylogger hiện tại, không yêu cầu người dùng cập nhật các trình anti-keylogger thường xuyên Tuy nhiên, nó cũng có những điểm yếu riêng Nếu anti-keylogger được viết để ghi lại các phím sau khi chúng được giải mã (ví dụ: cài keylogger như là một addon của trình duyệt ) thì xem như đã vô hiệu hóa được keyscrambler, và nó cũng chỉ hỗ trợ một số phần mềm nhất định Khi dùng chung với các phần mềm gõ tiếng Việt, người dùng sẽ phải tắt KeyScramble đi, đây là một sự phiền phức lớn dù nó minh chứng cho khả năng bảo mật của phần mềm này
Trang 10IV TÀI LIỆU THAM KHẢO
Trong khi thực hiện đề tài nhóm em có sử dụng một số tài liệu tham khảo là:
1 Bài viết trên diễn đàn tin học www.ddth.com/
2 Bài viết trên diễn dàn forum.cuasotinhoc.vn/
3 Bài viết trên trang: http://www.thongtincongnghe.com
4 Bài viết tren trang: http://sohoa.vnexpress.net