Центр исследования компьютерной преступности

home контакты

Применение специальных программ для оперативного съема информации с персонального компьютера

Дата: 27.11.2004
Источник: www.crime-research.ru
Автор: Юрий Степанов


etc/eye.jpgЦелью данного сообщения является рассмотрение получения доступа к информации представляющей оперативный интерес, но которая находится в персональном компьютере (ПК) в зашифрованном виде. Информация, изложенная в материале, будет полезной для ознакомления специальным подразделениям ОБОП, ОТУ и ГСБЭП и применима только в случаях, специально разрешенных законом [Конституция Украины ст.31].

Для сокрытия важной информации правонарушителями применяется ряд программных продуктов, суть которых состоит в том, что файлы или папки, которые хотят “спрятать”, шифруют, и чтобы получить к ним доступ, нужно ввести пароль, который установили при “закрытии” документа.

Существует несколько способов добывания пароля для “открытия” нужной оперативному работнику информации:
- применение парольных взломщиков;
- применение мониторинговых программ.

Что касается парольных взломщиков, то они будут наиболее эффективны, когда пользователь ПК вводит для защиты информации короткий пароль. Если пароль содержит буквы и цифры разных регистров и длину более 7 символов, то применение данных программ неэффективно, т.к. подбор пароля, даже на очень производительном компьютере будет осуществляться годами. Информацию можно шифровать разными способами, поэтому мы должны знать, что ищем. Есть пароли для входа пользователя в сеть локальную, Интернет (SAM, PWL), пароли для открытия архивов (ZIP, RAR), пароли закрытия документов прикладного пакета Microsoft Office, а так же пароли для доступа к зашифрованным дискам [1, с.5,16].

Не всегда использование парольных взломщиков эффективно, но из этой ситуации есть выход – мониторинговые программы или аппаратные устройства, которые могут скрытно и, как правило, дистанционно устанавливаться на конкретный ПК владельца. Можно отметить, что наиболее простым и эффективным в данной ситуации будет применение аппаратных и программных устройств – кейлоггеров (которые регистрируют нажатия клавиш, сделанных пользователем, с целью получения оперативным работником пароля для доступа к соответствующим ресурсам). Чем хороши эти программы? Они позволяют “захватить” текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон. Другими словами, данная программа может перехватить нужный оперативному работнику текст из документа, даже если пользователь не набирал его с клавиатуры, а просто открыл и посмотрел файл.

Существуют программные и аппаратные кейлоггеры. Программные кейлоггеры принадлежат к той группе программных продуктов, при помощи которых можно осуществлять контроль над деятельностью пользователя ПК. Программы этого типа записывают информацию о нажатии клавиш в специальный журнал регистрации (Log-файл), который впоследствии изучается специалистом, установившим эту программу. Log-файл может быть отправлен по сети на сетевой диск, Ftp – сервер в сети Интернет, по Email. Более поздние версии таких программных продуктов дополнены следующими возможностями:
- перехват информации с “окон”;
- перехват кликов мыши;
- “фотографирование” снимков экрана и активных окон;
- ведение учета всех полученных и отправленных Email;
- мониторинг очереди заданий, отправленных на принтер;
- перехват звука и видео-изображения с веб-камеры, подключенной к компьютеру.

Аппаратные кейлоггеры не требуют установки какой-либо программы на ПК объекта, а может быть тайно прикреплён кем угодно, коллегой, уборщицей, посетителем. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находиться компьютер – включённом или выключенном [2, с.3,5].

Затем оперативный работник может снять устройство в подходящий момент, а его содержимое “скачать” себе на компьютер. Объем внутренней энергонезависимой памяти данных устройств позволяет записывать до 10 миллионов нажатий клавиш.
Аппаратные кейлоггера подразделяются на внешние и внутренние. Камуфлирование данных устройств производится таким образом, что даже специалист не в состоянии иногда определить их наличие во время проведения информационного аудита.

Таким образом, негласное применение вышеописанных программных продуктов позволяет оперативному работнику получать доступ к информации, представляющей оперативный интерес, даже если она зашифрована самыми стойкими риптографическими программами, и получить эту информацию другими способами невозможно, что, в свою очередь, способствует раскрытию преступлений связанных с использованием компьютерной техники. Хочется отметить, что использование данных программных продуктов допустимо только специальными подразделениями с соблюдением нормативно-правового аспекта данной проблемы [Закон Украины об ОРД ст.8ч.2], а также при наличии соответствующего разрешения. Получение же информации при помощи вышеуказанных программ “частным образом” является уголовно наказуемым, ст.363 УК Украины.

1. Безмалый В.Ф., Безмалая Е.В. Чем нас пытаются взломать (краткий обзор программ-взломщиков паролей) / 23c. - http://www.zahist.kiev.ua.

2. Красноступ Н.Д., Кудин Д. Шпионские программы и новейшие методы защиты от них./ 12c. – www.bezpeka.com.


Добавить комментарий
2005-02-17 05:42:42 - К сожалению, хочу отметить неточность в... Безмалый Владимир
Всего 1 комментариев


Copyright © 2001–2013 Computer Crime Research Center

CCRC logo
Cyber Safety Unit – проект посвященный проблемам киберпреступности