Agent 007: šmírování PC
28.4.2014, Milan Šurkala, článek
Cítíte se bezpečně? Myslíte si, že máte své soukromí a nikdo vás nemůže sledovat? Praxe takto růžová není a až byste se divili, jak je snadné a levné získat technologie běžné v kriminálních seriálech. V tomto díle se podíváme na špehování PC.
Kapitoly článku:
- Důvody pro šmírování
- Keyloggery aneb "Kterou klávesu jsi zmáčknul?"
- Závěr
Monitorování stisknutých kláves se dá využít k mnoha věcem. A většina z nich je samozřejmě nelegálních a hodně kulhá i z morálního pohledu. Lze takto získat přístupová hesla k e-mailu nebo třeba internetovému bankovnictví. A jak si ukážeme, ani klávesnice na obrazovce není vůči všemu imunní. Zatímco přenos zadaných dat po síti přes HTTPS je dnes dost bezpečná záležitost, hodně nebezpečně je samotné zadávání dat do formuláře.
Klávesnice většinou vaše tajemství nikomu neřekne. Najdou se ale takoví, kteří se budou zatraceně moc snažit z ní tyto informace získat. A i stroj může podlehnout tomuto digitálnímu "mučení".
Keyloggery, jak se aplikace, které zaznamenávají stisky kláves, nazývají, určitě nejsou něco, co byste chtěli mít doma. Pokud si myslíte, že existují jen ve formě škodlivého softwaru, asi vás hodně překvapí, kolik způsobů záznamu stisknutých kláves existuje.
Začněme tou nejjednodušší variantou, a to je prosté vytažení nezašifrovaných dat ze síťové komunikace. Pokud běžíte přes běžné HTTP, data jsou nezašifrovaná (pokud se o to nepostaráte jinak) a není problém si v TCP paketech najít to, co potřebujete. HTTPS pomocí SSL už před odesláním veškerou komunikaci šifruje a je tedy podstatně bezpečnější. Platí samozřejmě v případě, že opravdu tuto komunikaci používáte a nebyl vám podstrčen falešný web, který se jen tváří jako ten, kam se chcete přihlásit (dnes velmi oblíbený phishing). Vy si tak můžete myslet, že jste na internetovém bankovnictví vaší banky a přitom jste na webu útočníka, který tak jen vypadá. Na špatnou adresu se můžete dostat např. odkazem z e-mailu, případně můžete být špatně přesměrováni hacknutým záznamem v DNS.
Jsem opravdu na PayPalu?
Funguje to docela jednoduše. Váš počítač pošle serveru žádost o komunikaci. Ten mu pošle certifikát, který obsahuje i veřejný klíč. Váš počítač zkontroluje pravost certifikátu a veřejným klíčem serveru zašifruje svůj vygenerovaný klíč pro danou komunikaci. Nekalým živlům je veřejný klíč serveru k ničemu, ví sice jak jím šifrovat, ale neví, jak jej dešifrovat (to ví jen server s pomocí svého soukromého klíče). Server na základě svého soukromého klíče "prolomí" šifru vámi zašifrovaných dat, dostane se tedy k datům zašifrovaným jeho veřejným klíčem (o což se postaral váš počítač) a získá váš klíč.
Na základě těchto klíčů (vašeho a veřejného ze serveru) se získá společný klíč, kterým je veškerá komunikace šifrována. Útočník zná pouze veřejný klíč serveru, ale už nezná váš klíč ani ten soukromý ze serveru. Neví v podstatě nic. Vy znáte váš klíč i ten veřejný od serveru, ale nikoli jeho soukromý. A naopak server zná sice svůj veřejný i soukromý, ale nezná ten váš. Ten mu ale vy pošlete zašifrovaný jeho veřejným klíčem.
Pokud útočník není schopen rozšifrovat tuto zašifrovanou komunikaci, musí přijít na to, jaká byla informace ještě před tím, než se zašifruje. A k tomu slouží právě keyloggery. Jako první tu máme softwarové keyloggery a začneme těmi jednoduššími a snáze odhalitelnými, softwarovými API keyloggery. Tento škodlivý software se "zahákne" do běžné aplikace a přebírá všechna volání klávesnice, každý stisk klávesy. Jednoduše se začne tvářit jako ona aplikace, do které si myslíte, že zadáváte údaje. Ano, vy zadáváte, ale ve skutečnosti je zadáváte do keyloggeru, který je teprve pak po přečtení pošle do pravé aplikace. A kolik taková sranda stojí? Útočníka vyjde na zhruba 30 až 80 amerických dolarů (600-1600 Kč).
Špehem lze být i zadarmo.
O něco horší je to se softwarovými kernel keyloggery, neboli těmi, kteří se naroubují přímo do jádra (kernelu) operačního systému. Ty jsou hůře zjistitelné a v podstatě fungují na tom principu, že na sebe převezmou úlohu např. něčeho tak zdánlivě neškodného, jako je ovladač klávesnice. Proč by si ovladač klávesnice nemohl ukládat data někde bokem? Bohužel to takový nepravý ovladač může. I když je o něco těžší takový keylogger jednak naprogramovat a jednak uvést do provozu, o to těžší je jej vůbec detekovat a zbavit se jej. S tím souvisí třeba i hacky BIOSů.
Tím ale legrace rozhodně nekončí. Vedle softwarových keyloggerů totiž existují i hardwarové keyloggery. Ty mohou být i hodně nenápadné, třeba ve formě PS/2 redukce. Níže vidíte obrázek a všimněte si, kdo by potřeboval konvertovat PS/2 na... PS/2? Asi nikdo. Jenže tento malinký kousek špionské techniky jednoduše vložíte mezi PS/2 konektor počítače a klávesnice, takže vypadá jako klasická redukce a nikoho by ani nenapadlo, že nic "neredukuje". Stejně tak existují i verze pro USB port. Nyní už jen data z klávesnice projdou tímto zařízením až skončí v počítači tak, jako vždycky. Mezitím se ale také uloží do paměti tohoto keyloggeru, která může mít pár desítek MB nebo i několik GB. Toto zařízení žádným antivirem nezjistíte a málokdo si všimne, že tu něco nehraje. Pro zajímavost, ceny těchto věciček se na internetu pohybují okolo 50 až 100 USD (1 000 až 2 000 Kč).
Tohle opravdu není PS/2 redukce, ale nenápadný špión, který se tak jen tváří.
Podobně si můžete koupit třeba USB klíčenky, které nahrají softwarový keylogger do počítače během několika sekund a ten už si žije svým životem a vám v pravidelných intervalech posílá e-maily s tím, co se zmáčklo. I zde se útočník vejde zhruba do 150 dolarů. Jednoduše řečeno, špehovat může kdekoho a ani ho to nebude stát moc peněz. Je až nechutné, jak snadno se útočníci mohou dostat k takové technice. Ale to ještě není všechno. Co třeba takové virtuální klávesnice u internetového bankovnictví?
Virtuální klávesnice v internetovém bankovnictví, 100% řešení? Kéž by!
Virtuální klávesnice v internetovém bankovnictví mají pár výhod. Jednak každá banka v takovém případě využívá vysoce zabezpečenou komunikaci přes HTTPS, jednak útočník i při sledování kláves nic nezjistí, protože se žádné klávesy nemačkají. Nicméně i přesto toto řešení není stoprocentní a i zde se dá zjistit, co jste myší vyklikali. Když se dají sledovat stisky klávesnice, proč by se nedaly jednoduše automaticky pořizovat screenshoty a sledovat, kde je myš v okamžiku stisknutí "myšítka"?
K odhalení toho, co píšete, se dá použít dokonce i mikrofon. Stačí nahrát zvuky kláves vaší klávesnice a zjistit, která klávesa má jaký zvuk. Mezerník se pozná docela snadno, dále stačí využívat statistických analýz každého jazyka, co se týče počtu hlásek nebo dvojhlásek. Třeba v angličtině se velmi často vyskytuje spojení "th", takže opakující se stejná sekvence dvou zvuků může znamenat třeba tato dvě písmena. A takto lze následně rozšifrovat celou klávesnicovou zvukovou abecedu. Z 10 minut psaní na klávesnici byli vědci schopni dešifrovat 96 % napsaných znaků.
To ale ani zdaleka není vše, co se dá s klávesnicí dělat. Až směšně jednoduchým způsobem je klávesnici natočit na kameru, což je dnes záležitost tak malého množství peněz, až to pěkné není (více o tom v díle o skrytých kamerách). V neposlední řadě lze uživateli podstrčit modifikovanou klávesnici, která si do nějaké své paměti loguje záznamy. Může jít jak o modifikovanou klávesnici k počítači, tak třeba falešnou klávesnici u bankovních automatů. Možné je i zaznamenávat bezdrátové klávesnice.
Hacknutý může být i zbrusu nový router, a to rovnou bezpečnostními složkami jednotlivých států.
Velmi zajímavá je zejména "oficiální" činnost některých bezpečnostních složek. Např. podle Speigelu taková americká NSA velmi ráda hackuje zbrusu nová zařízení. Hovoří se např. o tom, že vybrané balíčky z Amazonu a jiných obchodů se mohou dostat do spárů NSA, kde se nainstaluje hacknutý firmware, balíček je znovu zabalen a putuje dál. Takto se upravují pevné disky v podstatě všech značek, nepravý firmware mohou občas tímto i jiným způsobem získat i některé routery Cisco, Juniper, Huawei nebo servery společnosti HP a Dell. Neméně zajímavou věcičkou je i vcelku běžný USB kabel, který však má v sobě rádiový vysílač a není nic jednoduššího, než někde v blízkosti tento signál zachytit. Nejde však jen o záležitost USA. Naopak se tvrdí, že podobně se chová např. Čína a "infikuje" exportované mobilní telefony Huawei a ZTE.
Ale ani FBI na tom není o mnoho lépe. Ti přišli např. na to, jak na notebooku aktivovat webkameru, aniž by se aktivovala LED dioda signalizující její činnost. V podstatě každý může být špehován a ani o tom neví. Toto ale dělají i klasické "nekalé živly", kteří tohle podle posledních informacích dokázali např. na starších počítačích MacBook. Této technice nabourání se do počítače se říká "ratting" a umožňuje útočníkům nejen vizuálně sledovat její oběť, ale také vzdáleně provádět s počítačem v podstatě cokoli.
Klávesnice většinou vaše tajemství nikomu neřekne. Najdou se ale takoví, kteří se budou zatraceně moc snažit z ní tyto informace získat. A i stroj může podlehnout tomuto digitálnímu "mučení".
Keyloggery, jak se aplikace, které zaznamenávají stisky kláves, nazývají, určitě nejsou něco, co byste chtěli mít doma. Pokud si myslíte, že existují jen ve formě škodlivého softwaru, asi vás hodně překvapí, kolik způsobů záznamu stisknutých kláves existuje.
Začněme tou nejjednodušší variantou, a to je prosté vytažení nezašifrovaných dat ze síťové komunikace. Pokud běžíte přes běžné HTTP, data jsou nezašifrovaná (pokud se o to nepostaráte jinak) a není problém si v TCP paketech najít to, co potřebujete. HTTPS pomocí SSL už před odesláním veškerou komunikaci šifruje a je tedy podstatně bezpečnější. Platí samozřejmě v případě, že opravdu tuto komunikaci používáte a nebyl vám podstrčen falešný web, který se jen tváří jako ten, kam se chcete přihlásit (dnes velmi oblíbený phishing). Vy si tak můžete myslet, že jste na internetovém bankovnictví vaší banky a přitom jste na webu útočníka, který tak jen vypadá. Na špatnou adresu se můžete dostat např. odkazem z e-mailu, případně můžete být špatně přesměrováni hacknutým záznamem v DNS.
Jsem opravdu na PayPalu?
Funguje to docela jednoduše. Váš počítač pošle serveru žádost o komunikaci. Ten mu pošle certifikát, který obsahuje i veřejný klíč. Váš počítač zkontroluje pravost certifikátu a veřejným klíčem serveru zašifruje svůj vygenerovaný klíč pro danou komunikaci. Nekalým živlům je veřejný klíč serveru k ničemu, ví sice jak jím šifrovat, ale neví, jak jej dešifrovat (to ví jen server s pomocí svého soukromého klíče). Server na základě svého soukromého klíče "prolomí" šifru vámi zašifrovaných dat, dostane se tedy k datům zašifrovaným jeho veřejným klíčem (o což se postaral váš počítač) a získá váš klíč.
Na základě těchto klíčů (vašeho a veřejného ze serveru) se získá společný klíč, kterým je veškerá komunikace šifrována. Útočník zná pouze veřejný klíč serveru, ale už nezná váš klíč ani ten soukromý ze serveru. Neví v podstatě nic. Vy znáte váš klíč i ten veřejný od serveru, ale nikoli jeho soukromý. A naopak server zná sice svůj veřejný i soukromý, ale nezná ten váš. Ten mu ale vy pošlete zašifrovaný jeho veřejným klíčem.
Pokud útočník není schopen rozšifrovat tuto zašifrovanou komunikaci, musí přijít na to, jaká byla informace ještě před tím, než se zašifruje. A k tomu slouží právě keyloggery. Jako první tu máme softwarové keyloggery a začneme těmi jednoduššími a snáze odhalitelnými, softwarovými API keyloggery. Tento škodlivý software se "zahákne" do běžné aplikace a přebírá všechna volání klávesnice, každý stisk klávesy. Jednoduše se začne tvářit jako ona aplikace, do které si myslíte, že zadáváte údaje. Ano, vy zadáváte, ale ve skutečnosti je zadáváte do keyloggeru, který je teprve pak po přečtení pošle do pravé aplikace. A kolik taková sranda stojí? Útočníka vyjde na zhruba 30 až 80 amerických dolarů (600-1600 Kč).
Špehem lze být i zadarmo.
O něco horší je to se softwarovými kernel keyloggery, neboli těmi, kteří se naroubují přímo do jádra (kernelu) operačního systému. Ty jsou hůře zjistitelné a v podstatě fungují na tom principu, že na sebe převezmou úlohu např. něčeho tak zdánlivě neškodného, jako je ovladač klávesnice. Proč by si ovladač klávesnice nemohl ukládat data někde bokem? Bohužel to takový nepravý ovladač může. I když je o něco těžší takový keylogger jednak naprogramovat a jednak uvést do provozu, o to těžší je jej vůbec detekovat a zbavit se jej. S tím souvisí třeba i hacky BIOSů.
Tím ale legrace rozhodně nekončí. Vedle softwarových keyloggerů totiž existují i hardwarové keyloggery. Ty mohou být i hodně nenápadné, třeba ve formě PS/2 redukce. Níže vidíte obrázek a všimněte si, kdo by potřeboval konvertovat PS/2 na... PS/2? Asi nikdo. Jenže tento malinký kousek špionské techniky jednoduše vložíte mezi PS/2 konektor počítače a klávesnice, takže vypadá jako klasická redukce a nikoho by ani nenapadlo, že nic "neredukuje". Stejně tak existují i verze pro USB port. Nyní už jen data z klávesnice projdou tímto zařízením až skončí v počítači tak, jako vždycky. Mezitím se ale také uloží do paměti tohoto keyloggeru, která může mít pár desítek MB nebo i několik GB. Toto zařízení žádným antivirem nezjistíte a málokdo si všimne, že tu něco nehraje. Pro zajímavost, ceny těchto věciček se na internetu pohybují okolo 50 až 100 USD (1 000 až 2 000 Kč).
Tohle opravdu není PS/2 redukce, ale nenápadný špión, který se tak jen tváří.
Podobně si můžete koupit třeba USB klíčenky, které nahrají softwarový keylogger do počítače během několika sekund a ten už si žije svým životem a vám v pravidelných intervalech posílá e-maily s tím, co se zmáčklo. I zde se útočník vejde zhruba do 150 dolarů. Jednoduše řečeno, špehovat může kdekoho a ani ho to nebude stát moc peněz. Je až nechutné, jak snadno se útočníci mohou dostat k takové technice. Ale to ještě není všechno. Co třeba takové virtuální klávesnice u internetového bankovnictví?
Virtuální klávesnice v internetovém bankovnictví, 100% řešení? Kéž by!
Virtuální klávesnice v internetovém bankovnictví mají pár výhod. Jednak každá banka v takovém případě využívá vysoce zabezpečenou komunikaci přes HTTPS, jednak útočník i při sledování kláves nic nezjistí, protože se žádné klávesy nemačkají. Nicméně i přesto toto řešení není stoprocentní a i zde se dá zjistit, co jste myší vyklikali. Když se dají sledovat stisky klávesnice, proč by se nedaly jednoduše automaticky pořizovat screenshoty a sledovat, kde je myš v okamžiku stisknutí "myšítka"?
K odhalení toho, co píšete, se dá použít dokonce i mikrofon. Stačí nahrát zvuky kláves vaší klávesnice a zjistit, která klávesa má jaký zvuk. Mezerník se pozná docela snadno, dále stačí využívat statistických analýz každého jazyka, co se týče počtu hlásek nebo dvojhlásek. Třeba v angličtině se velmi často vyskytuje spojení "th", takže opakující se stejná sekvence dvou zvuků může znamenat třeba tato dvě písmena. A takto lze následně rozšifrovat celou klávesnicovou zvukovou abecedu. Z 10 minut psaní na klávesnici byli vědci schopni dešifrovat 96 % napsaných znaků.
To ale ani zdaleka není vše, co se dá s klávesnicí dělat. Až směšně jednoduchým způsobem je klávesnici natočit na kameru, což je dnes záležitost tak malého množství peněz, až to pěkné není (více o tom v díle o skrytých kamerách). V neposlední řadě lze uživateli podstrčit modifikovanou klávesnici, která si do nějaké své paměti loguje záznamy. Může jít jak o modifikovanou klávesnici k počítači, tak třeba falešnou klávesnici u bankovních automatů. Možné je i zaznamenávat bezdrátové klávesnice.
Hacknutý může být i zbrusu nový router, a to rovnou bezpečnostními složkami jednotlivých států.
Velmi zajímavá je zejména "oficiální" činnost některých bezpečnostních složek. Např. podle Speigelu taková americká NSA velmi ráda hackuje zbrusu nová zařízení. Hovoří se např. o tom, že vybrané balíčky z Amazonu a jiných obchodů se mohou dostat do spárů NSA, kde se nainstaluje hacknutý firmware, balíček je znovu zabalen a putuje dál. Takto se upravují pevné disky v podstatě všech značek, nepravý firmware mohou občas tímto i jiným způsobem získat i některé routery Cisco, Juniper, Huawei nebo servery společnosti HP a Dell. Neméně zajímavou věcičkou je i vcelku běžný USB kabel, který však má v sobě rádiový vysílač a není nic jednoduššího, než někde v blízkosti tento signál zachytit. Nejde však jen o záležitost USA. Naopak se tvrdí, že podobně se chová např. Čína a "infikuje" exportované mobilní telefony Huawei a ZTE.
Ale ani FBI na tom není o mnoho lépe. Ti přišli např. na to, jak na notebooku aktivovat webkameru, aniž by se aktivovala LED dioda signalizující její činnost. V podstatě každý může být špehován a ani o tom neví. Toto ale dělají i klasické "nekalé živly", kteří tohle podle posledních informacích dokázali např. na starších počítačích MacBook. Této technice nabourání se do počítače se říká "ratting" a umožňuje útočníkům nejen vizuálně sledovat její oběť, ale také vzdáleně provádět s počítačem v podstatě cokoli.
.webp)
