SpyLogger — komputerowy szpieg na pendrive

Strona główna Lab Inne

O autorze

dobreprogramy, jak sama nazwa wskazuje, to serwis poświęcony dobrym programom – dobrym, a nie złym. Tym razem jednak przyszło mi testować coś, co jest programem złym, i to nie w sensie „lichym”, tylko służącym do popełniania czynów, z jakimi kojarzymy normalnie złośliwe oprogramowanie: naruszania prywatności naszych bliźnich. SpyLogger, bo o nim mowa, to polski produkt, reklamowany jako narzędzie do dyskretnego monitoringu komputera dziecka (masz 100% pewności, że twoje dziecko jest bezpieczne poznając w internecie nowe osoby?), monitorowania wszelkiej korespondencji partnera (masz wrażenie, że pojawił się ktoś trzeci?), czy wreszcie inwigilowania pracowników (kontroluj co twoi pracownicy robią na komputerze w pracy).

Propaguję w Sieci od wielu lat idee ochrony prywatności komunikacji, jak i narzędzia do tego celu służące. Biorąc SpyLoggera do ręki czułem się więc tak, jak musi się czuć medyk-mikrobiolog, biorący do ręki fiolkę z groźnym, chorobotwórczym bakcylem. Brzydzić się nie ma jednak co, trzeba znać swojego przeciwnika.

Monitoring nawet dla niewyszkolonego szpiega

Jako produkt, SpyLogger to aplikacja win32, instalowana w systemach Microsoftu z zabezpieczonego przed kopiowaniem pendrive'a o pojemności 8 GB. Typowy użytkownik, korzystający z menedżera plików Windows znajdzie na nim tylko widoczny plik panel.exe, z którego uruchamia się to szpiegowskie narzędzie. Bardziej ciekawski użytkownik znajdzie tu jeszcze ukryty katalog install ze spakowanymi plikami .dll, jednak samo jego skopiowanie na inny nośnik niewiele da – przy próbie uruchomienia panel.exe z z innego niż oficjalny pendrive'a otrzymamy komunikat o uszkodzonym pliku licencji. Ten oficjalny pendrive służyć ma w zamyśle autorów jako magazyn na gromadzone przez szpiegowski program dane.

Instalacja i konfiguracja SpyLoggera (którego testowałem w najbardziej rozbudowanej wersji PRO +email +audio) jest banalnie prosta. Program uruchamia się kliknięciem aplikacji panel.exe. Daje to nam dostęp do okna pozwalającego wybrać opcje instalacji/deinstalacji, a także przeniesienie zgromadzonych danych na pendrive i przeglądanie zgromadzonych danych. W opcjach konfiguracyjnych możemy m.in. ustawić reguły, według których działać mają podstawowe funkcje tego narzędzia: generowanie zrzutów ekranów i logów aktywności klawiatury, podsłuch audio czy wysyłanie przechwyconych materiałów na e-mail.

Te trzy funkcje w większości wypadków wystarczą, by ofiara takiej inwigilacji kompletnie pożegnała się z prywatnością. Pierwsza z nich, keylogger, pozwala na zapisanie wszystkich znaków wprowadzanych do monitorowanego komputera przy użyciu klawiatury do pliku, w sposób wykluczający pomyłki interpretacyjne. Bez problemu można w ten sposób np. przechwycić wpisywane przez użytkownika loginy i hasła. Log zawiera również dane o aktywności interfejsu użytkownika (np. minimalizowanie okien).

Drugą metodą inwigilacji (niedostępną w podstawowej wersji narzędzia) jest podsłuch audio, przechwytujący cały dźwięk z komputera, zarówno z mikrofonu, jak i z głośników. Dźwięk zapisywany jest do plików MP3 o zadanej w czasie długości. W ten sposób można przechwycić np. rozmowy prowadzone na Skype.

Trzecią metodą jest automatyczny zapis zrzutów ekranu, generujący je w zadanych okresach (np. co minutę), w określonym rozmiarze i jakości. Wykorzystanie tej metody w połączeniu z keyloggerem pozwala pozyskać w całości także hasła maskowane, stosowane np. przez systemy bankowości elektronicznej.

Dodatkowo dysponujemy w wersji PRO programu możliwością skonfigurowania wysyłki przechwytywanych danych na wybrany adres e-mail, nawet jeśli nie mamy już dostępu do inwigilowanego w ten sposób komputera. Można tu określić, jakie dane mają być wysyłane, co jaki czas i w jaki sposób (aplikacja nie ma własnego serwera SMTP, korzysta z zewnętrznego). Warto pamiętać, że taka podejrzana aktywność sieciowa generowana przez SpyLoggera może zaalarmować ofiarę, że coś się dzieje.

Warto też wspomnieć, że w ostatnich aktualizacjach SpyLoggera pojawiła się możliwość aktywacji monitoringu po wpisaniu przez ofiarę określonych słów kluczowych, jak również śledzenia zmian we wskazanych plikach.

W normalnym scenariuszu użytkowania, gdy nie korzystamy z opcji e-mail, normalnym sposobem na dostęp do zgromadzonych danych jest podłączenie pendrive'a SpyLoggera do portu USB komputera ofiary. Tam po zgraniu danych uzyskujemy możliwość ich podejrzenia – w katalogu Monitoring pojawią się katalogi o nazwach odpowiadających datom i godzinom prowadzonego monitoringu, z dalszym podziałem na poszczególne typy danych.

Jak się obronić?

Od samego początku interesowało mnie, jak w praktyce zachowa się oprogramowanie ochronne dostępne dla przeciętnego użytkownika Windows wobec SpyLoggera. Niestety nie mam dla Was dobrych wiadomości. Nie ma żadnej gwarancji, że używane przez nas antywirusy poradzą sobie z tym szpiegiem. Zacznijmy jednak od początku.

Pierwsza seria testów wykonana została na komputerze z zainstalowanym Windows 7 SP1. Dostępne w systemie mechanizmy ochronne nie miały ze SpyLoggerem żadnych szans. Szpiegowskie narzędzie wykorzystuje wysokiej klasy rootkita, ukrywającego jego obecność tak, że w systemowym menedżerze i narzędziach administracyjnych nie znajdziemy nic podejrzanego.

Zrobiłem za pomocą Clonezilli kilka binarnych kopii systemu, a następnie kolejno instalowałem antywirusy, testując ich reakcje na instalację i obecność SpyLoggera. Po sprawdzeniu, czyściłem dysk, odtwarzałem obraz systemu, instalowałem kolejny antywirus. Spośród sprawdzonych sześciu popularnych programów antywirusowych, tylko trzy zareagowały na samą instalację, a tylko dwa (i to w trybie offline, po uruchomieniu ze specjalnego nośnika ratunkowego) wykryły, że w systemie jest coś niedobrego.

Następnie zmieniłem system komputera na Windows 8.1. Okazało się, że wersja SpyLoggera dostarczona mi do testów, z nową wersją „okienek” nie jest kompatybilna. System ogłosił, że nie może jej uruchomić, nawet w trybie kompatybilności. Dla posiadaczy SpyLoggera nie powinno być to żadną przeszkodą: producent dostarcza narzędzie do aktualizacji, za pomocą którego możemy sflashować posiadany pendrive do najnowszej wersji oprogramowania, kompatybilnej już z Windows 8.1. Jak twierdzi producent, taka bezpłatna aktualizacja możliwa jest przez rok od zakupu urządzenia.

Zaktualizowana wersja bez problemu zainstalowała się na „gołym” Windows 8.1. Po uzbrojeniu systemu w oprogramowanie antywirusowe, już tak łatwo SpyLogger nie miał. Spośród testowanych sześciu pakietów ochronnych, cztery wykryły próbę instalacji czegoś niedobrego, żądając zatwierdzenia wyjątku, by kontynuować. Jeśli jednak potencjalny napastnik z tym by sobie poradził, to dalej jest znacznie gorzej. Na już zainfekowanym komputerze żaden z pakietów nie był w stanie wykryć SpyLoggera, także w trybie skanowania offline. Wynika z tego, że producent na bieżąco udoskonala swój rootkit, uodparniając go na mechanizmy ochronne pakietów antywirusowych. Oczywiście to, że dzisiaj nie udało się w ten sposób SpyLoggera wykryć, nie oznacza, że za kilka miesięcy będzie tak samo – programy antywirusowe też ewoluują.

Czy to znaczy, że nie ma żadnej niezawodnej metody ochrony przed SpyLoggerem? I tak, i nie. Tak, jeśli ograniczymy się tylko do środowiska Windows. Nie, jeśli pomyślimy nieszablonowo. Największym wrogiem kosztującego 690 zł SpyLoggera jest pendrive zawierający darmowe, zaufane oprogramowanie chroniące prywatność. Ze swojej strony mogę polecić każdemu Tails, zbudowany na Debianie Linuksie system operacyjny typu Live. Uruchamiamy go bezpośrednio z nośnika, z pominięciem Windows, otrzymując dostęp do znakomitych narzędzi kryptograficznych, pozwalających na anonimowe, bezpieczne przeglądanie Sieci i komunikację bez pozostawiania śladów na dysku komputera.

Aktualizacja: specjalizowana ochrona przed keyloggerami

Po dodatkowych testach mogę wskazać na program, który w pełni zabezpiecza przed SpyLoggerem. To SpyShelter 9.0 Premium. Najnowsza wersja SpySheltera wykryła szkodliwą aktywność SpyLoggera i zablokowała ją. Logi z klawiatury są puste, automatyczne zrzuty ekranu to białe prostokąty, pliki dźwiękowe niczego nie zawierają. Co najważniejsze, SpyShelter działa nawet wówczas, jeśli zostanie na komputerze zainstalowany już po zainfekowaniu go SpyLoggerem. Niestety darmowa wersja SpySheltera już taka dobra nie jest, nie działa też w systemach 64-bitowych.

Spośród darmowych narzędzi ochronnych sprawdził się jeszcze Zemana AntiLogger Free, który zabezpiecza przez przechwyceniem naciśnięć klawiszy. Niestety zrzuty ekranu i nagrania audio wciąż mogą trafić w ręce napastnika.

Stosując SpySheltera warto dbać o jego aktualność. Znalazłem w Sieci jedną z wcześniejszych wersji tego programu (6.0). Nie poradziła sobie z aktualną wersją SpyLoggera.

Prawo, moralność, opłacalność

Nie jestem prawnikiem, nie jestem w stanie więc powiedzieć, na ile dopuszczalne jest w polskim systemie prawnym stosowanie narzędzi takich jak SpyLogger. Co ciekawe, zdania prawników, których zapytałem o opinię w tej sprawie, były podzielone. Oczywiście producent uważa, że wszystko jest OK. Panuje przekonanie, że inwigilacja pracowników – trzeci z przytaczanych scenariuszy – jest w Polsce nielegalna, jeśli się ich o tym nie poinformuje. Niekoniecznie musi być to jednak prawdziwe przekonanie. Co do pierwszego ze scenariuszy, inwigilacji dzieci, to najwyraźniej polskie prawo nie przewiduje dla młodych ludzi żadnego prawa do prywatności. Scenariusz drugi to terra incognita, wiadomo jednak, że w wielu sprawach rozwodowych sądy dopuściły dowody z inwigilacji elektronicznej prowadzonej przez tzw. agencje detektywistyczne.

Tyle prawo. Obyczaje to jednak zupełnie inna sprawa. Sądzę, że używanie takich metod inwigilacji wobec członków swojej rodziny to dowód na kompletną porażkę wychowawczą i niezdolność do budowy zdrowych związków małżeńskich. Sięgnięcie po takie metody szpiegowskie wobec pracowników (bez ich wiedzy) nie tylko jest podłe, ale i niekoniecznie efektywne. Istnieją znacznie efektywniejsze metody zarządzania informacją i dostępem do niej, pozwalające zablokować dostęp do niepożądanych aplikacji, serwisów internetowych i usług.

Jeśli jednak mam spojrzeć na to rozwiązanie od strony czysto technicznej, to praktycznie nic SpyLoggerowi nie mogę zarzucić. To rozwiązanie „na piątkę”, doskonale realizujące cel, do którego zostało stworzony. W zasadzie jedynym minusem jest krótki (ledwie roczny) okres aktualizacji. Za 690 złotych można oczekiwać by było dłuższego okresu. Przydałoby się, by narzędzie tego typu samo aktualizowało się w komputerze ofiary, zabezpieczając się w ten sposób przed wykryciem po kolejnej aktualizacji oprogramowania antywirusowego.

Jak zapewne zauważyliście, w powyższym tekście nie podałem żadnych szczegółów dotyczących wykorzystanych antywirusów. To celowy zabieg, aby utrudnić życie potencjalnym napastnikom.

© dobreprogramy