По включению в сигнатурные базы
Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и анти-вирусных программных продуктов.
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую, никогда не будут в них включена по различным причинам:
кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;[
кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
коммерческие, особенно, включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может способствовать в превращению последнего в шпионский программный продукт, который не обнаруживается анти-шпионскими программными продуктами или анти-вирусными программными продуктами;
кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
Цели применения
Санкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу компьютера:
- определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
- иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
- определить (локализовать) все случаи попыток перебора паролей доступа;
- проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить что набиралось на клавиатуре в данное время;
- исследовать компьютерные инциденты;
- проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
- восстановить критическую информацию после сбоев компьютерных систем;
Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:
- создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
- создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)
Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:
- перехватывать чужую информацию, набираемую пользователем на клавиатуре;
- получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
- получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
- получить несанкционированный доступ к авторизационным данным кредитных карточек;