"Легальные" кейлоггеры

[keldn]

Почему некоторые легально продающиеся средства мониторинга активности пользователя, проще говоря кейлоггеры

не обнаруживаются KIS ни в каком виде?

Пример - "All in One keylogger" Relytec, продукт успешно инсталлируется и работает при включенном KIS 2011 с включенным обнаружением любых угроз, максимальной эвристикой и пр.

Кейлоггер успешно маскирует файлы,процессы, мониторит все что может мониторить кейлоггер (и даже больше) и скрытно отсылает почтой.

 

Что больше всего раздражает в этой ситуации - эвристический анализатор KIS молчит!

Я допускаю что кейлоггер отстутсвует в антивирусных базах по причине малой популярности либо не квалифицируется как вирус потому что не подразумевает скрытной установки. Предыдущая версия частично обнаруживалась, но релиз 3.3 который был несколько месяцев назад до сих пор чист перед KIS аки calc.exe

 

Если эвристика свободно пропускает софт с таким количеством подозрительных направлений деятельности какова её ценность вообще тогда? Таких продуктов могут быть десятки если не сотни, и общее положение дел серьезно напрягает.

Строгое предупреждение от модератора Mark D. Pearlstone

Внимательно читайте правила раздела. Евгений Касперский не оказывает технической поддержки.

[Денис-НН]

Наверное, по тому что они легальные. Они не подходят под определение вирусов. А касперский это средство борьбы с вирусами, а не с легальными программами. PuntoSwitcher к примеру тоже спокойно устанавливается. Множество игр, видеоплееров. Удобно.

[Roman_Five]

а это тогда что?

 

 

 

а вот и в неинтерактивном режиме

[keldn]

а это тогда что?

 

Это ни о чем. KIS то же самое по поводу WOW Launcher пишет к примеру.

К тому же это происходит только в момент установки, которая и без того интерактивна.

К тому же при автоматических настройках (на коих работает большинство) не смотря на это сообщение последующая работа приложения разрешена.

 

Модуль предыдущей версии ответственный за рассылку логов, моментально отсекался эвристикой КИС как троян и удалялся безальтернативно, помогало только отключение эвристики. А теперь всё работает как часы, без танцев с исключениями, отключением эвристики и пр.

 

 

 

 

 

А касперский это средство борьбы с вирусами, а не с легальными программами. PuntoSwitcher к примеру тоже спокойно устанавливается. Множество игр, видеоплееров. Удобно.

 

Не знаю как сейчас но раньше насколько я помню KIS довольно громко верещал по поводу Radmina и проч. существовала даже отдельная категория - потенциально опасное ПО.

 

Что касается "легальных программ". Вам смешно, а я активно пользуюсь интернет банкингом, платежными картами, различн платежными системами и проч. Меня не сильно беспокоит что из моего домашнего компа сделают зомби и злые какеры из инета все украдут. Это как раз маловероятно с учетом файрволов, вэбнаворотов KIS и проч.

 

Но вот к примеру на работе комп моего начальника в соседнем кабенете очень даже доступен для меня. И воткнуть туда подобный продукт для меня раз плюнуть. После недели мониторинга у меня на руках будет все - от размеров окладов и сумм контрактов, домашних счетов ЖКХ, номеров кредиток и списка покупок, до личных порно-пристрастий и имен любовниц.

 

И я с грустью думаю что на моем рабочем компе теоретически в любой момент могло бы появиться нечто подобное. Успокаивает лишь то что мне скрывать особо нечего, а интернет-кражами коллеги не промышляют слава Богу.

Изменено 11 декабря, 2010 пользователем keldn

[Денис-НН]

1/ Потенциально опасное ПО и сейчас детектится. Настройки - угрозы и исключения - настройки - галочку на "другое"

2. Попробуйте запускать браузеры и пр. из безопасной среды. По крайней мере punto не перехватывает текст вводимый в безопасной среде. Попробуйте на ваших кейлогерах. У меня под рукой только один.

Ещё есть виртуальная клавиатура. Для ввода паролей.

Кстати, в 2011 версии в настройках вэб антивируса есть специальный режим интернет банкинга. - попробуйте, понастраивайте и при переходе к сайтам банков будет предлагаться просмотр в безопасной среде.

 

Комп начальника - если напугать начальника и напомнить ему о бдительности то можно

1 ограничить права пользователя.

2 Настроить ХИПС - пусть блокирует запуск всего неизвесного-неподписанного.

[keldn]

1/ Потенциально опасное ПО и сейчас детектится. Настройки - угрозы и исключения - настройки - галочку на "другое"

2. Попробуйте запускать браузеры и пр. из безопасной среды. По крайней мере punto не перехватывает текст вводимый в безопасной среде. Попробуйте на ваших кейлогерах. У меня под рукой только один.

Ещё есть виртуальная клавиатура. Для ввода паролей.

Эхохо..

галочка на другое проверена - в пролёте.

Безопасная среда - это смешно. Сей продукт кроме клавиатуры логирует: список открываемых программ, список запрашиваемых URl, скриншоты по условию (запуск, клик мыши, enter и проч), запись с микрофона и вебкамеры.

На всякий случай все же проверил работу "Безопасной среды" через AKLT - работет 9 методов перехвата клавы из 9.

Режим интернет банкинга по этой же причине бесполезен.

 

 

Комп начальника - если напугать начальника и напомнить ему о бдительности то можно

1 ограничить права пользователя.

2 Настроить ХИПС - пусть блокирует запуск всего неизвесного-неподписанного.

 

Пугать начальника не моя обязанность, я админ БД.

А так конечно можно и права у себя отобрать и политику в винде настроить, и антиспайварь отдельно поставить.

Можно даже на Линукс перейти, или еще лучше на Солярис.

 

Вопрос не в этом, а в том что подобные кейлоггеры - несомненно вредоносное ПО, только легализованное. И эвристика Касперского дает им

"низкое значение эвристически рассчитанного рейтинга" и кидает в слабые ограничения, позволяя их функционалу реализовываться полностью. Т.е. установленный с настройками по умолчанию Каспер смотрит на мониторинг клавы и отправку лога почтой сквозь пальцы.

Реализовать инсталляшку такого кейлоггера без выскакивающих окон и прилепить к какой нибудь бесплатной казульной игре - раз плюнуть.

 

Я схожую печальную картину наблюдал когда бесплатный Аваст не будучи способным идентифицировать прилетевшего с инета спам-бота тем не менее исправно проверял каждое из тысяч отсылаемых писем.

 

В общем ясно что Каспер таких мышей не ловит, взял на заметку и пока для себя ограничился добавлением SpyShelter.

Изменено 11 декабря, 2010 пользователем keldn

[valet]

Но вот к примеру на работе комп моего начальника в соседнем кабенете очень даже доступен для меня. И воткнуть туда подобный продукт для меня раз плюнуть. После недели мониторинга у меня на руках будет все - от размеров окладов и сумм контрактов, домашних счетов ЖКХ, номеров кредиток и списка покупок, до личных порно-пристрастий и имен любовниц.

Это явно задача не KIS, но ИБ-отдела. Если подобного отдела (службы) нет - то хотя бы посадить всех под гостевую учетку и по-максимуму урезать права (в том числе - на установку программ).

Изменено 11 декабря, 2010 пользователем valet

[keldn]

Это явно задача не KIS, но ИБ-отдела. Если подобного отдела (службы) нет - то хотя бы посадить всех под гостевую учетку и по-максимуму урезать права (в том числе - на установку программ).

Задача КИС в том чтобы прибивать кейлоггеры, даже легальные, чего он в данном случае не делает без дополнительных танцев с бубном. Хотя по идее должно быть всё наоборот - танцы с бубном должны использоваться для того чтобы доказать КИС что именно этот кейлоггер хороший и его прибитвать не надо.

 

Что касается отдела ИБ, я не знаю где работали вы, но я работал в трех банках и одной гос.конторе набитой старыми чекистами как булка изюмом.

Так вот на моем опыте три четверти сотрудников ИБ это бывшие служивые люди которые хорошо управляются с бумажками и регламентами, но реализовать беспроблемную работу под гостевой учеткой сотрудников отдела администрирования серверов это для них невыполнимая задача.

[Drru]

KIS это продукт для домашнего использования и ориентирован, прежде всего, на простых пользователей.

Тогда как в организациях есть специалисты, которые всегда смогут (и должны) докрутить систему, антивирус и если надо, немного потанцевать с бубном.

Интерактивный режим + запрет на запуск программ не входящих в группу "Доверенные" + пароль на KIS, но если

Но вот к примеру на работе комп моего начальника в соседнем кабенете очень даже доступен для меня

то есть при физическом доступе - установлю, что угодно и запущу. И программа будет и в "Доверенных", и в исключениях.

[valet]

Так вот на моем опыте три четверти сотрудников ИБ это бывшие служивые люди которые хорошо управляются с бумажками и регламентами, но реализовать беспроблемную работу под гостевой учеткой сотрудников отдела администрирования серверов это для них невыполнимая задача.

Вот видите: проблема не только и не столько в KIS - она комплексная, и какого-то волшебного способа ее решения (с помощью KIS или иного продукта) не существует.

"Информационная безопасность - это процесс, а не продукт" (с).

 

И с сообщением Drru тоже согласен. KIS - домашний продукт.

Изменено 12 декабря, 2010 пользователем valet

[keldn]

Вот видите: проблема не только и не столько в KIS - она комплексная, и какого-то волшебного способа ее решения (с помощью KIS или иного продукта) не существует.

"Информационная безопасность - это процесс, а не продукт" (с).

 

И с сообщением Drru тоже согласен. KIS - домашний продукт.

Вот вы упрямые а? Третий раз говорю, теперь прямым текстом - ТЕМА ПРО ТО ЧТО KIS НЕ ЛОВИТ МНОГОФУНКЦИОНАЛЬНЫЙ КЕЙЛОГГЕР

Ваши умопостроения про ИБ, комплексную политику безопасности и проч. - они идут лесом, я это и без вас прекрасно знаю.

Пока ни одного нормального ответа нет на вопросы почему KIS игнориррует продукт который:

 

1. Ведет себя как полноценный руткит - скрывает процессы,скрывает файлы, скрывает ключи реестра.

2. Отключает средства antispyware (есть в нем такая функция)

2. Скрытно мониторит клаву, мышь, делает скриншоты, ведет видео и аудио запись, пишет логи и пр.

3. Одновременно с пунктами 1, 2, 3 опять же скрытно отправляет почтой накопленный материал.

 

Моих предположений пока два

1 Эвристика KIS лажается именно на технологиях используемых этим кейлоггером, возможно потому что не в состоянии сложить 2+2+2

2 Кейлоггер не ловится намеренно, как легальный продукт. В этом случае на ум приходят будущие легальные трояны и легальные ботнеты, как легальный корпоративный инструмент скрытого мониторинга пользовательской активности )))

[Nikolay Lazarenko]

Предложения по улучшению продуктов ЛК пишутся в ТП и в раздел предложений на оф.форуме ЛК

Изменено 12 декабря, 2010 пользователем Nikolay Lasarenko

[valet]

2 Кейлоггер не ловится намеренно, как легальный продукт.

Вам об этом еще во втором сообщении написали.

Поскольку это легальный продукт - то KIS его и не отслеживает.

А если необходимо избежать описанных Вами гипотетических ситуаций:

Но вот к примеру на работе комп моего начальника в соседнем кабенете очень даже доступен для меня. И воткнуть туда подобный продукт для меня раз плюнуть. После недели мониторинга у меня на руках будет все - от размеров окладов и сумм контрактов, домашних счетов ЖКХ, номеров кредиток и списка покупок, до личных порно-пристрастий и имен любовниц.

то здесь-то и нужен упомянутый выше комплексный подход к безопасности, а не зацикленность на KIS, который для решения данных задач просто не предназначен.

 

Развивая аналогию:

Кто Вам мешает в отсутствие начальника сделать копию жесткого диска на внешний носитель и в спокойной обстановке копаться в его содержимом?

Или установить абсолютно нелегальный кейлоггер. Внести его во всевозможные доверенные зоны и исключения в KIS. И спокойно сливать информацию?

 

P.S. Как еще понятнее объяснить - я не знаю. Попробуйте в техподдержку обратиться.

[keldn]

Вам об этом еще во втором сообщении написали.

Поскольку это легальный продукт - то KIS его и не отслеживает.

 

Ахаха, а как вы отличаете "легальный" продукт от "нелегального"? Тем что в ЛК так решили? Или тем что у продукта есть свой официальный сайт продаж?

Просто любопытно даже.

 

Кейлоггеры не используются для того чтобы следить за самим собой, а слежка за другими людьми не подразумевает уведомления.

Сей продукт изначально предназначен для кражи личных данных другого человека не подозревающего об этом.

Он не содержит функционала для корпоративных сетей, он позиционируется авторами как домашний "продукт".

Следить за человеком и собирать о нем сведения включая персональные данные в развитых странах могут только органы правопорядка и гос.безопасности,

т.о. использование этого продукта кем либо еще представляется нелегальным по определению.

 

А если необходимо избежать описанных Вами гипотетических ситуаций:

 

Я вам привел первую попавшуюся ситауцию. На самом деле такой продукт может быть установлен сыном на папин компьютер, женой на компьютер мужа, другом на ноут соседа, да кем угодно на чей угодно компьютер. Вы часто просматриваете список доверенных программ? Вы контролируете его содержимое и способны на глаз определить что там быть должно из пары сотен позиций, а что нет? Рядовой пользователь после недели чтения всей той хрени что KIS пишет в ручном режиме интерактивной защиты в "желто-зелененьких окошках" либо жмет да-разрешить на ВСЁ либо переводит в автоматиченский режим. В

автоматичеком режиме такой продукт ставится и функционирует без шума и пыли, и парольная защита настроек (которой чаще всего нет) тут не играет ни малейшей роли. И что самое забавное - после установки продукта его не обнаружить с помощью проверок KIS. Т.е в принципе при наличии на вашем компе винды и КИС он может давно и успешно стоять у вас. )))

 

Ладно, мне тоже надоело.

Чего копья ломать, кто предупреждён тот может идти )