هل تذكر كم مرة قمت فيها بالولوج الى أحد حساباتك سواء كانت بريد الكترونى او مواقع اجتماعيه او منتديات عن طريق حاسب لا يخصك او حاسب عام فى مقهى انترنت او حتى حاسب يخص احد اصدقائك ؟ بالتأكيد الكثير منا يضطر احيانا الى استخدام حاسب غير موثوق فيه او لا يخصه للوصول الى الانترنت و لكنه لا يدرى الخطوره التى تكمن فى هذا او بطريقه اخرى ما قد يسببه ذلك على سريه المعلومات الخاصه بحسابك سواء كانت اسم مستخدم او كلمه مرور , هل تتصور انه يمكن _و بسهوله_ التجسس على كل ما تفعله على لوحه المفاتيح باستخدام ما يسمى بـ KeyLogger ؟ اذن اكمل معى هذه التدوينه .
ما معنى KeyLogging ؟
هل عمليه تتبع و تسجيل لكل ما يقوم المستخدم بالضغط عليه على لوحه المفاتيح فأى حدث او Action يحدث من خلال لوحه المفاتيح يتم تسجيله وذلك بدون علم المستخدم , و احيانا تسمى هذه العمليه Keystroke Logging , و هذه العمليه بالكامل غير مرئيه للمستخدم لانها تعتمد على اساليب مخادعه , أما ال Keylogger فهى الاداه التى تقوم بتنفيذ هذه العمليه و قد تكون عباره عن software او hardware او طرق اخرى سنتعرف عليها .
Software-based keylogger
هذا هو ابسط شكل لل Keylogger و المعروف لدى اغلبنا , ببساطه هو عباره عن كود برمجى يقوم بتسجيل الضغطات Strokes التى يقوم بها المستخدم , بالنسبه للجانب البرمجى لهذا الكود _و الذى اعتقد انه لا يهم اغلبنا بما انك تقرأ مدونه فى الشبكات_ فهو قد ينقسم الى عده انواع , فهناك انواع تصعب كتابتها و تصعب كشفها ايضا , و فى الجانب الاخر هناك انواع سهله الكتابه لاى شخص مبتدىء فى اى لغه برمجيه ولكن يسهل كشفها , و اشهر هذه الانواع هى Hypervisor-based , Kernel-based , Packet analyzers , Form grabbing based , لا يهمك ان تعرف تفاصيل هذه الانواع الا اذا كنت مبرمج و لكن على كل حال ساتحدث عن ما يميز كل نوع , Kernel-based هو الاصعب على الاطلاق فى كتابته و لكن ايضا يصعب اكتشافه لانه يكون موجود فى ال Kernel-Level حيث يصعب على برامج المستخدم العاديه او user-mode applications الوصول الى هذا المكان , والـ Hypervisor-based يكون فى العاده عباره عن برنامج صغير مصاحب لل Malware مثل اى كود خبيث trojan على سبيل المثال ,اما Packet analyzers فهذا النوع الذى نعرفه جميعا هو عباره عن اى برنامج Sniffer فقد تم اعتبار هذا النوع ك KeyLogger لانه يمكنه معرفه بعض ال strokes عن طريق فحص الحزم Packets التى تمر فى الشبكه .
HOWTO access software-based keyloggers
بما ان ال KeyLogger تم زرعه عن طريق شخص ما فى جهاز معين فحتما هذا الشخص سيحتاج الى الاطلاع على هذه المعلومات , فكيف هذا ؟ هناك طرق عديده تمكنه من ذلك فاذا كان ال keylogger تم زرعه على جهازك عندها فيمكن برمجته ليقوم بارسال المعلومات الى E-mail تم تحديده مسبقا او رفعه عن طريق بروتوكول ال FTP على موقع معين و الادهى من ذلك انه يمكن برمجته ايضا بطريقه معينه تمكن الشخص من عمل Remote-Login _مثل الذى تقوم به انت للاتصال بروتر او سويتش خارج الشبكه_ على الجهاز ليكون لديه Access للبيانات التى تم تسجيلها , فتخيل معى نفسك انت واحد اصدقائك جالسين على الحاسب الخاص بك و اذا به يطلب منك كوب ماء ,و اثناء ما تجلب له الماء يقوم بزرع Keylogger بجهازك و عندها يستطيع بالطرق السابقه معرفه كل ما كتبته على لوحه المفاتيح و التى ستشمل بالتأكيد على الكثير من المعلومات السريه . الطريقه التقليديه التى رأيت الكثيرين يستخدمونها هى زرع ال keylogger فى اجهزتهم الخاصه , و يقومون بخداع شخص ما ليقوم بالدخول الى بريده او حسابه فى اى موقع اجتماعى عن طريق الجهاز الذى تم زرع البرنامج عليه من قبل ,عندها يمكنهم الحصول على كلمات المرور عن طريق رؤيه ملف ال log وعند اغلب المستخدمين يكون لديهم كلمه مرور مشتركه لمعظم حساباتهم , لذلك فكن حظر عند استخدام اى جهاز لا يخصك او لا تثق فى صاحبه .
Hardware-based Keylogger
بخلاف النوع الاول الذى تعرفنا عليه فهذا النوع غير معروف لدى الكثيرين و غير منتشر مثل الاول , هذا النوع عباره عن دائره Circuit تقوم بوضعها بين ال Keyboard connector و المنفذ فيقوم بتسجيل كل ما يمر به فى ذاكره داخليه يمكن الوصول لها لاحقا , هذا هو احدى اشكال هذا النوع – فاحذر اذا رأيت شىء مثل هذا فى جهاز ما
هناك ميزه مهمه جدا لهذا النوع و هو انه بعيد تماما عن النظام System فلا يستطيع اى برنامج كشفه , ولكن يبقى شكله الفيزيائى الملفت للنظر كوصله بين لوحه المفاتيح و المنفذ , بعض الانواع من هذا النوع لديها القدره على ارسال المعلومات بشكل لاسلكى و التحكم بها ايضا بنفس الطريقه .
OTHER Hardware-based Keylogger
تعرفنا على الشكل العادى او التقليدى لل Hardware-based Keylogger ولكن هناك طرق اخرى تم تصنيفها مع هذا النوع وهى غريبه بعض الشىء لدى البعض و لا يمكن تطبيقها بسهوله و هذه بعض الامثله
- Wireless keyboard sniffers
هناك انواع من لوحات المفاتيح تستخدم الاتصال اللاسلكى مع الحاسب و هذه الانواع يمكن استخدام Sniffer للتجسس على هذا الاتصال .
- Keyboard overlays
هذه الطريقه هى الاغرب على الاطلاق فهى تعتمد على تغطيه لوحه المفاتيح الاساسيه بلوحه اخرى فتبدو على انها مجرد لوحه واحده , تم استخدام هذه الطريق من قبل اشخاص على مكينات ال ATM للاستيلاء ال PIN الخاص بالعملاء , فكل ضغطه على اللوحه المزيفه يتم تسجيلها و تبدو هذه اللوحه المزيفه الموجوده فوق الحقيقيه كالاضافه عاديه للعملاء فلا يشك احد فى الامر .
- Acoustic keyloggers
هى عمليه مراقبه الاصوات الصادره من شخص يكتب على ال Keyboard , و لأن كل ضغطه على زر لها صوت معين اشبه بالبصمه فانه يمكن تحليل هذه الاصوات لمعرفه الازرار التى تم ضغطها , تعتمد هذه الطريقه على طرق احصائيه عديده مثل التحليل الاحصائى frequency analysis و اشياء اخرى مثل الوقت بين كل ضغطه و اخرى و تكرار صوت معين كل فتره زمنيه , فهى عمليه معقده .
- Electromagnetic Emissions
صدق او لا تصدق , هل تعلم انه يمكنك التقاط الانبعاثات الكهرومغناطيسيه Electromagnetic emissions الصادره من السلك الخاص بلوحه المفاتيح من مسافه 20 متر وذلك من دون ان تكون متصل به بأى شكل من الاشكال !! نعم ففى عام 2009 قام بعض الباحثين السوسريين بتجربه 11 نوع من ال USB, PS/2 KEYBOARDS و باستخدام جهاز استقبال واسع المدى قاموا باعداده على التردد الخاص بهذه الانبعاثات فى غرف شبه عازله تسمى anechoic chamber و كانت النتيجه هى النجاح فى التقاط ما يمر بالسلك , و السبب فى ذلك هو اهمال الشركات المصنعه للتغليف shielding للاسلاك توفيرا للاموال .
- Optical surveillance
هذا النوع مصنف وحده و هو القيام بمراقبه الشخص بكاميرا خفيه مثلا و ملاحظه ما قام بكتابته , تستخدم هذه الطريقه للاستيلاء على ال PIN و كلمات المرور الخاصه بالعملاء فى مكينات ال ATM بوضع كاميرا صغيره فى مكان مخفى يكون قريب من الضحيه .
تأثير الـ Keylogger على أمن الشبكه
اذا كان الوقوع فى فخ ال Keylogger بالنسبه للمستخدم العادى يقتصر على فقدانه سريه المعلومات التى يكتبها مما يترتب عليه سرقه او اختراق احد الحسابات فهو بالنسبه لمدير الشبكه اشد وطأه و ذلك لسببان ,السبب الاول هو ما قد ينتج عن هذا من سرقه معلومات تمكن شخص ما بالسيطره على الشبكه بشكل كامل عن طريق كلمات المرور الخاصه ببعض الروترات ,السبب الثانى هو ان المسئول عن الشبكه يجب ان يكون لديه بعض الاحتياط فلا يحاول الدخول الى اجهزته الشبكبه عن طريق حاسب غير موثوق به 100% لان عدم الاحتياط هنا قد يسبب كارثه . أيضا المستخدمين العاديين للشبكه لم يسلموا من خطر ال Keylogger , هناك العديد من الشركات تمكن مستخدميها من الوصول الى الشبكه من منازلهم و ذلك عن طريق عمل Remote-Access على الشبكه , واشهر طريقه هى Remote-Access IPSEC VPN ,بالطبع يتم اجراء عمليه للتحقق من المستخدمين Authentication و بعد ذلك السماح لهذا الشخص بالوصول الى الشبكه و هو فى منزله , الان تخيل معى اجهزه هولاء المستخدمين الخاصه وما تحتويه بدايه من الفيروسات و احصنه طرواده و الملفات خبيثه و كل ما لذ وطاب انتهاء بال Keylogger , فاذا استطاع شخص ما الحصول على كلمه مرور احد الموظفين عندها يستطيع الدخول الى الشبكه من اى مكان . لذلك قامت شركه سيسكو بابتكار طريقه لحل هذه المشكله وهى قبل ان يقوم المستخدم بالاتصال الى الشبكه عن طريق Remote-Access تجبره على قبول ملف يحتوى على برنامج صغير يقوم بالتأكد من خلو الجهاز من ال kelogger و التأكد من اجراءات الحمايه فى هذا الجهاز من جدار نارى و مضاد للفيروسات , يسمى هذا البرنامج Cisco Secure Desktop و لا يمكن استخدامه الا مع ال ASA , وبعد ان يتأكد البرنامج من خلو الجهاز من اى ملف خبيث فعندها يرسل النتيجه لل ASA ليسمح الاخير باكتمال الاتصال وبدأ ال Authentication. و بهذا تضمن نظافه الاجهزه التى تتصل بالشبكه Remote-Access .بغض النظر عن مكان وجودها فى سواء فى منزل الموظف او فى اى مكان اخر
طرق الحمايه من خطر ال Keylogger
طرق الحمايه كثيره وذلك يرجع الى تعدد انواع ال keylogger لذلك سأتحدث عن اشهرهم فقط و بعض الاجراءات الاحترازيه التى قد تساعد فى الحمايه .
- Anti keyloggers
برامج صممت خصيصا للكشف على برامج ال Keylogger و تعتمد على مقارنه كل الملفات الموجوده بالجهاز مع قاعده بيانات تحتوى على كل برامج ال Keylogger فاذا حدث تتطابق يتم مسح البرنامج , هذه الطريقه لا تفيد اذا كنا بصدد Hardware-based Keylogger
- Live CD/USB
الاقلاع من اسطوانه حيه live-CD يتجاوز كل البرامج و التطبيقات التى قد يكون منها software-based keylogger .
- Anti-spyware / Anti-virus programs
بعض البرامج المضاده للفيروسات لديها القدره على كشف ال Keylogger و لكن فى حالات كثيره تخدع هذه البرامج و تعتبر ال Keylogger مجرد برنامج مسالم اخر .
- Network monitors
تعتمد هذه الطريقه على فكره ذكيه بعض الشىء و هى اترك ال Keylogger يتجسس كما يريد و عندما يحاول ارسال ما استطاع الحصول عليه الى جهه خارجيه عن طريق ارسال E-mail او استخدام ال FTP قم بمنع هذا النشاط .
- Automatic form filler programs
عندما تقوم بالدخول الى حسابك فى موقع ما من حاسبك الشخصى هل تقوم بكتابه الاسم و كلمه المرور فى كل مرة ؟ بالطبع لا فهناك خاصيه تسمى Automatic form filler تسمح بتعبأه هذه الحقول بطريقه تلقائيه من دون كتابه اى شىء عن طريق لوحه المفاتيح و هذا بدوره سيمنع ال keylogger من معرفه اى شىء .
- One-time passwords OTP
استخدام ال OTP مفيد جدا فى انه اذا ما نجح ال keylogger فى الحصول على كلمه مرور معينه و ارسالها الى المتلصص فعندها لن يكون لها ادنى فائده لان هذا الباسورد يستخدم مرة واحده فقط و بعدها يتم توليد اخر .
- On-screen keyboards
حل ممتاز لل Hardware-based keylogger ولكن بما ان معظم لوحات المفاتيح التى تظهر على الشاشه بما فيهم المصحوبه مع ويندوز XP تقوم بارسال نفس ال Events التى يتم ارسالها عن طريق لوحه المفاتيح لذا ستتمكن ال software-based keylogger من التقاط هذه الرسائل .
- Keystroke interference software
يتم هنا التشويش على ال Keylogger عن طريق ارسال keystrokes مزيفه حيث يحصل الشخص المتلصص على ال strokes الحقيقيه مصحوبه بالمزيفه فلا يستطيع التفرقه بين الاثنين .
- Non-technological methods
الان ناتى الى الطرق الغير تقنيه و التى افضلها فهى عمليه جدا اكثر من الحلول السابقه , و تعتمد على فكره خداع ال keylogger ب strokes مزيفه تقوم بكاتبتها و هذا مثال للتوضيح ,عندى جهاز متأكد ان عليه keylogger و احتاج الى استخدامه للدخول الى بريدى و كلمه المرور الخاص بالبريد هى secret فماذا افعل كى لا يكشف ال keylogger كلمه المرور ؟؟ عندما اذهب الى خانه كلمه المرور اقوم بكتابه اول حرفين فقط “se” بعد ذلك اقوم بفتح ملف text و اقوم بكتابه بعض الحروف المزيفه على سبيل المثال “xzc” و بعدها اكتب باقى كلمه المرور “cret” عندها يلتقط ال keylogger كلمه المرور بهذا الشكل sexzcret اى تم تغير شكل الكلمه تماما , يمكنك تنفيذ الفكره بطرق اخرى مثل كتابه كلمه المرور بترتيب غير صحيح و بعد ذلك اعاده ترتيبها بمؤشر الماوس او كتابه كلمه المرور ناقصه و استخدام ال copy\paste لتكملتها .
هكذا اكون قد انتهيت و اتمنى ان اكون ساهمت فى تقديم معلومة جديده بشكل مبسط
وبالتوفيــــق للجميع ,,,
الكاتب : شريف مجدي
www.afinis.co.cc : المصدر 
