Фильтры. Клавиатурные шпионы этого типа работают по следующему алгоритму

Имитаторы

Клавиатурные шпионы этого типа работают по следующему алгоритму. Зло­умышленник внедряет в операционную систему программный модуль, кото­рый имитирует приглашение пользователю зарегистрироваться для того, чтобы войти в систему. Затем внедренный модуль (в принятой терминоло­гии — имитатор) переходит в режим ожидания ввода пользовательского идентификатора и пароля. После того как пользователь идентифицирует себя и введет свой пароль, имитатор сохраняет эти данные там, где они дос­тупны злоумышленнику. Далее имитатор инициирует выход из системы (что в большинстве случаев можно сделать программным путем), и в результате перед глазами у ничего не подозревающего пользователя появляется еше одно, но на этот раз уже настоящее приглашение для входа в систему. Обманутый пользователь, видя, что ему предлагается еще раз ввести пароль, приходит к выводу о том, что он допустил какую-то ошибку во время преды­дущего ввода пароля, и послушно повторяет всю процедуру входа в систему заново. Некоторые имитаторы для убедительности выдают на экран монитора правдоподобное сообщение о якобы совершенной пользователем ошибке. На­пример, такое: "НЕВЕРНЫЙ ПАРОЛЬ. ПОПРОБУЙТЕ ЕЩЕ РАЗ".

Перехват пароля зачастую облегчают сами разработчики операционных сис­тем, которые не затрудняют себя созданием усложненных по форме при­глашений пользователю зарегистрироваться для входа в систему. Подобное пренебрежительное отношение характерно для большинства версий опера­ционной системы UNIX, в которых регистрационное приглашение состоит из двух текстовых строк, выдаваемых поочередно на экран терминала: login: password:

фильтры "охотятся" за всеми данными, которые пользователь операционной системы вводит с клавиатуры компьютера. Самые элементарные фильтры просто сбрасывают перехваченный клавиатурный ввод на жесткий диск или _в какое-то другое место, к которому имеет доступ злоумышленник. Более изошренные программные закладки этого типа подвергают перехваченные данные анализу и отфильтровывают информацию, имеющую отношение к пользовательским паролям.

Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, которые связаны с обработкой сигналов от кла­виатуры. Эти прерывания возвращают информацию о нажатой клавише и введенном символе, которая анализируется фильтрами на предмет выявле­ния данных, имеющих отношение к паролю пользователя. Известны несколько фильтров, созданных специально для различных вер­сий операционной системы DOS. В 1997 г. отмечено появление фильтров для операционных систем Windows 3.11 и Windows 95.

Надо сказать, что изготовить подобного рода программную закладку не со­ставляет большого труда. В операционных системах Windows 3.11 и Win­dows 95/98 предусмотрен специальный программный механизм, с помощью которого в них решается ряд задач, связанных с получением доступа к вводу с клавиатуры, в том числе и проблема поддержки национальных раскладок клавиатур. К примеру, любой клавиатурный русификатор для Windows пред­ставляет собой самый что ни на есть настояший фильтр, поскольку призван перехватывать все данные, вводимые пользователем с клавиатуры компью­тера. Нетрудно "доработать" его таким образом, чтобы вместе со своей ос­новной функцией (поддержка национальной раскладки клавиатуры) он за­одно выполнял бы и действия по перехвату паролей. Тем более, что во многих учебных пособиях и руководствах пользователя операционных сис­тем Windows имеются исходные тексты программных русификаторов кла­виатуры. "Перепрофилировав" этот русификатор так, чтобы он взял на себя выполнение функций клавиатурного шпиона, его можно встроить перед на­стоящим русификатором или после него, и в результате вся информация, вводимая пользователем с клавиатуры, пойдет и через клавиатурного шпиона Таким образом задача создания фильтра становится такой простой, что не требует наличия каких-либо специальных знаний у злоумышленника. Ему остается только незаметно внедрить изготовленную им программную закладку в операционную систему и умело замаскировать ее присутствие. " общем случае можно утверждать, что если в операционной системе раз­решается переключать клавиатурную раскладку во время ввода пароля, то для этой операционной системы возможно создание фильтра. Поэтому, чтобы обезопасить ее от фильтров, необходимо обеспечить выполнение следующих трех условий:

- во время ввода пароля переключение раскладок клавиатуры не разреша­ется;

- конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя, может только системный администратор;

- доступ к файлам этих модулей имеет исключительно системный админи­стратор.

Соблюсти первое из этих условий в локализованных для России версиях операционных систем принципиально невозможно. Дело в том, что средства создания учетных пользовательских записей на русском языке являются не­отъемлемой частью таких систем. Только в англоязычных версиях систем Windows NT и UNIX предусмотрены возможности, позволяющие поддержи­вать уровень безопасности, при котором соблюдаются все 3 перечисленные условия.

Дата добавления: 2014-01-15; Просмотров: 529; Нарушение авторских прав?; Мы поможем в написании вашей работы!