Keylogger: Så avlyssnas det du skriver med tangentloggare

Det finns många typer av skadlig kod och lika många metoder för att spionera på dig och ditt företag, skaffa tillgång till ditt it-system, och för att stjäla dina data. Ett sinistert sätt att komma runt svårigheten att knäcka svåra lösenord är att helt enkelt avlyssna dina tangentbordstryckningar med hjälp av så kallade keyloggers, eller tangentloggare, och spela in det lösenord du skriver in. Då hjälper varken kryptering eller komplexa lösenord. Här går vi igenom vad keyloggers är, hur de fungerar och hur du skyddar dig.

Vad är en tangentloggare?

En tangentloggare är ett verktyg som kan spela in, spara och skicka iväg en datoranvändares aktiviteter när användaren interagerar med en dator. Det engelska ordet keylogger är en förkortning för ”keystroke logger”, och ett av de huvudsakliga sätt som en tangentloggare kan spåra dig är genom att spela in det du skriver samtidigt som du skriver det. Men som du kommer att se finns det olika typer av tangentloggare, och vissa av dem spelar in mer än andra.

Att någon kan ”se” vad du gör kan kännas läskigt, och tangentloggare installeras ofta av cyberkriminella för illasinnade syften. Men det finns även legitima, eller i vart fall lagliga, användningsområden, till exempel om föräldrar vill hålla koll på vad barnen gör på nätet, eller arbetsgivare som vill hålla koll på sina anställda.

Vad gör en tangentloggare?

Den grundläggande funktionaliteten hos en tangentloggare är att spela in dina tangentbordstryckningar och på ett eller annat sätt skicka den informationen till vemhelst som installerade tangentloggaren. Vi går in mer i detalj om detta nedan.

Eftersom mycket av din interaktion med din dator, och i förlängningen de människor du kommunicerar med, sker via ditt tangentbord finns det egentligen ingen ände på all information som kan snappas upp av snokaren. Det kan gälla allt från lösenord och bankinformation till din privata korrespondens.

Vissa tangentloggare kan mer än att ”bara” logga ditt tangentbord och spela in text, utan kan göra många andra saker, till exempel:

• Logga buffertminnet när du klipper och klistrar text mellan dokument.
• Spåra aktiviteter som att öppna kataloger, dokument och applikationer.
• Spela in slumpmässigt tagna skärmdumpar.
• Plocka ut textinformation från vissa styrfunktioner på skärmen, vilket kan vara användbart för att snappa upp lösenord.

Vilka typer av tangentloggare finns det och hur fungerar de?

Termen tangentloggare täcker ett brett område av verktyg, varav vissa ger samma resultat fast på väldigt olika sätt. Vi går in på detaljerna om de olika typerna och lite om hur de fungerar.

Det första generella kategorin är tangentloggningsmjukvara. Detta är program som körs på din dator eller annan enhet och spelar in tangentbordstryckningar och andra aktiviteter.

Den kanske vanligaste typen av tangentloggningsmjukvara är tangentloggare som körs på användarnivå, eller API-nivå som det också kallas. Dessa program har inga administratörsrättigheter, men kan ändå snappa upp information som överförs av de API:er som gör att olika applikationer kan ta emot data från tangentbordet.

På Windows följer dessa tangentloggare API-funktionerna GetAsyncKeyState eller GetKeyState och använder en DLL (Dynamic Link Library) för att spela in insamlad data.

Tangentloggare på kärnnivå är svårare att utveckla och installera, men om det väl lyckas når de djupare in i operativsystemet och blir svårare att upptäcka och bli av med.

I andra änden av spektrat återfinns så kallade skärmskrapare (screen scrapers) som inte loggar tangentbordstryckningar utan utnyttjar datorns förmåga att ta skärmdumpar för att fånga text på skärmen, och det finns även tangentloggare på webbläsarnivå som ”bara” kan fånga upp text som matas in i webbläsaren – men med tanke på hur mycket av våra liv som sker på nätet är det fortfarande rejält farligt.

Utöver tangentloggare i form av mjukvara finns det även dito hårdvara, inklusive inspelningsenheter som kan installeras på tangentbordets kabel, eller enheter som ser ut som usb-minnen som kan petas in i en usb-port på datorn. Det finns även prylar som kan spela in kommunikation över bluetooth mellan trådlösa tangentbord och datorn.

En särskilt esoterisk variant, som har visat sig fungera i labbmiljö, är en akustisk tangentloggare som med kuslig precision kan avgöra vilka tangenter du trycker på bara utifrån det ljud som uppstår när du trycker på tangenterna. Avsevärt enklare är idén om tredjeparts-inspelning som går ut på att i hemlighet montera en kamera riktad mot din skärm och ditt tangentbord.

Alla dessa olika varianter behöver spara data någonstans, och givet att hårddiskarna numer är betydligt större än förr är det generellt enkelt att hitta ett ställe att spara undan data på.

Tangentloggare skickar ibland tillbaka den insamlade informationen över internet till den som kontrollerar loggaren, ofta som dolda data för att tangentloggaren inte ska avslöjas. Även hårdvaruloggare kan skicka data över nätverk, men ibland behöver enheterna samlas in rent fysiskt.

Innan vi går vidare behöver vi ta upp en annan distinktion mellan olika tangentloggare. Här handlar det inte om teknik, utan huruvida de är lagliga eller inte. Alla exempel ovan skulle kunna installeras av en illasinnad angripare som är ute efter att stjäla personlig information eller lösenord, men om ägaren installerar tangentloggare på sina egna datorer kommer saken i en annan dager, med reservation för hur detta ser ut i olika jurisdiktioner.

Många kommersiella tangentloggare marknadsförs till föräldrar som önskar övervaka sina barns internetaktiviteter, och i många länder anses detta ligga inom lagens råmärken givet att föräldrarna äger datorn i fråga.

Hur kommer tangentloggare in i din dator?

En fysisk tangentloggare måste handgripligen pluggas in i en dator och kräver förstås direkt tillgång till maskinen, vilket är en knepig uppgift, men som kan utföras genom social manipulation eller genom en illasinnad insider.

Men den vanligaste typen av olagliga tangentloggare är ändå de mjuka varianterna, vilka bäst kan beskrivas som tangentloggande skadlig kod. Faktum är att tangentloggare, eftersom de kan samla in så lukrativa data, utgör en av de vanligaste nyttolasterna som kan levereras av maskar, virus och trojaner.

Tangentloggare tar sig in i ditt system på samma sätt som de flesta andra typer av skadlig kod, vilket betyder att det bästa sättet att hålla otyget borta är att tillämpa de vanliga metoderna för cybersäkerhestmässig hygien. Därför behöver du:

• Se upp för nätfiske och inte öppna eller ladda ned bifogade filer om du inte här helt säker på var de kommer ifrån.
• Undvika att ladda ned och/eller installera applikationer om de inte kommer från en betrodd källa. Detta inkluderar webbläsarmoduler som är en vanlig attackvektor.
• Hålla datorn säker genom att se till att ditt antivirus hålls uppdaterat.

Så upptäcker du en tangentloggare

Hur kan du veta att det finns en tangentloggare på ditt system? Hårdvaruloggare är förstås en ”no-brainer” – kolla att det inte sitter konstiga saker i datorns usb-kontakter eller liknande. Om du arbetar på en av företagets stationära datorer bör du ibland kolla att det inte sitter främmande saker på baksidan.

När det kommer till mjuka tangentloggare finns det vissa tecken du kan kolla på egen hand. Tangentloggare kan ibland dra ned prestanda för webbläsare, utlösa ovanliga felmeddelanden eller störa laddningen av webbsidor. Detta är egenheter som kan komma sig av skadlig kod generellt; ibland kan du kanske känna att det är något skumt med din dator.

Tecken specifika för tangentloggare kan visa sig genom att musrörelser laggar eller att tecknen du skriver på tangentbordet inte visas så snabbt på skärmen som de borde. På en mobil kan du märka att skärmdumparna inte tas så snabbt som de brukar. Och ja, tangentloggare kan installeras på mobiler också, precis som med många andra typer av skadlig kod.

Men, om en tangentloggare orsakar dessa typer av problem är det knappast en bra tangentloggare. Det betyder inte att du inte kan bli infekterad av en tangentloggare som orsakar de här problemen – det finns många cyberkriminella som är villiga att snabbt släppa loss medioker skadlig kod bara för att testa.

Men du bör inte invaggas i en känsla av säkerhet bara för att din dator funkar som den ska. En kommersiell tangentloggare, eller en tangentloggare utvecklad av skickliga cyberkriminella kan göra sitt jobb i bakgrunden utan att du märker ett skvatt. Det är anledningen till att hålla sig med en bra datorsäkerhetslösning: dessa plattformar jagar efter tangentloggare på din maskin, och de uppdateras kontinuerligt med de senaste signaturerna för skadlig kod så att de kan upptäcka nya varianter.

Nätverkssäkerhetssystem har även de en roll att spela för att upptäcka tangentloggare. Glöm inte att de data som samlas in av en tangentloggare behöver på något sätt skickas tillbaka till kontrollören, och i allmänhet går trafiken över internet. Även om många tangentloggare gör sitt bästa för att kamouflera sin trafik kan bra säkerhetsverktyg avslöja dem.

Ändå borde du alltid vara beredd på risken att en tangentloggare lurar någonstans i ditt system. En bra försvarsmekanism mot potentiell avlyssning är att använda en lösenordshanterare. Dessa fyller i lösenord i webbläsaren på ett säkert sätt som de flesta tangentloggare inte kommer åt.

Så tar du bort en tengentloggare

Den dåliga nyheten är att du antagligen inte kommer att kunna avlägsna en tangentloggare på egen hand. Visst finns det webbsidor som rekommenderar att leta igenom aktivitetshanteraren i ditt operativsystem eller listan över installerade program, och ta bort allt som ser obekant eller misstänkt ut, och emedan det inte är en dålig idé kommer du inte kunna hitta tangentloggare med en hygglig grad av sofistikering.

Den bra nyheten är att säkerhetsprodukter för datorer i allmänhet tar bort skadlig kod utöver att upptäcka den. Om du kollar recensioner och topplistor över skyddsprodukter mot tangentloggare, till exempel på AntiVirus Guide eller Best Antivirus Pro, kommer du att se listor med de tyngsta aktörerna inom området: McAfee, Kaspersky, Norton, Bitdefender och så vidare. Om du väljer någon du gillar kommer den med all säkerhet att göra sitt jobb när det kommer till att städa din dator från tangentloggare.

Historiken kring tangentloggare: Exempel och berömda attacker

Den äldsta kända tangentloggaren utvecklades innan det fanns datorer i modern tappning. På 1970-talet utvecklade den sovjetiska säkerhetstjänsten en manick som kunde gömmas inuti IBMs elektriska skrivmaskiner och kunde skicka information om tangenttryckningar genom skurar av radiosignaler. De här tangentloggarna installerades sedan i de skrivmaskiner som användes på de amerikanska ambassaderna i Moskva och Leningrad.

Den första tangentloggaren avsedd för datorer som vi känner dem utvecklades 1983 av universitetsstudenten Perry Kivolowitz som ett så kallat proof-of-concept. En tangentloggare värd att notera var den som 2015 distribuerades med en så kallad ”mod” till spelet Grand Theft Auto V.

2017 upptäcktes det att hundratals modeller av bärbara datorer från Hewlett Packard skeppades från fabrik med tangentloggare installerat, fast HP menade att det inte rörde sig om en attack, utan om ett verktyg för att diagnostisera och testa tangentborden under tillverkningen, och som man missat att ta bort innan leverans.

Snake keylogger och Phoenix är de mest spridda tangentloggarna under senare tid, där det senare är ett äldre program som fått nytt liv med nya förmågor. Bägge är bevis för att cyberkriminella innoverar inom detta område, så se till att vara på din vakt.