איך אפשר לרגל אחריך?
מחשבים הופכים להיות מודיעים ומלשנים. איך הם עושים את זה? כתבה שנייה בסדרה
מה יש במוניטור?
מוצרים לניתוח אירועי יומן (log file), מרחרחי חבילות מידע (packet sniffers), מקלטי הקלדה, נוטרי יישומים ולוכדי מסך (הידועים בשם activity monitors) הינם הכלים הנפוצים ביותר במגזר העסקי. גם משתמשים ביתיים, המעונינים בדרך כלל להציץ לתוך פעילות בני בית אחרים במחשב, נהנים מגישה אל אותם מוצרים. נוטרי מקלדת מקליטים כל תו שהוקש עליה. בחירתה של General Dynamics – תוכנת eBlaster היא דוגמה להקלטת פעולות מקלדת. גם תוכנות הריגול (spyware) הטרויאניות Back Orifice ו-Netbus מבוססות למעשה על כלי ניטור למקלדת.
תוכנת לניטור מקלדת לוכדת את המידע המועבר בין המקלדת למחשב, ואז שומרת אותו כקובץ או שולחת אותו למשתמש מרוחק. התוכנה יכולה לעקוב אחר כל תנועה של המשתמש, לרבות תווים אותם הקליד, תוכנות שהריץ, צ'טים ודברי דואר אותם שלח או קיבל. באופן טיפוסי יכולה התוכנה ליצור יומן אירועים ולשלוח אותו כדואר אלקטרוני - או לשמור אותו על כונן רשת. ההיבטים השליליים בהם נתקלנו הם הקלות בה משתמש מתוחכם יכול לזהות את נוכחות המוצרים הללו על המחשב שלו – או על שרת שיש לו גישה אליו - והעובדה שהמידע הנאסף אינו מוסתר טוב מספיק מעיניים חטטניות. החור הנפער באבטחה, ההקלטה כוללת סיסמאות ותעודות אותנטיזציה, יכול להיות מסוכן לפחות כמו התוכן הבעייתי שמייצרים החשודים.
מרגלים של סיליקון
קיימים גם מקלטי מקלדת מבוססי חומרה, המקליטים את המידע מהמקלדת על זיכרון שבבי בלי להשאיר עקבות על הדיסק. אמצעים אלה, המזכירים מתאם המחובר לכניסת מקלדת ב-PS/2 (במקרים אחדים משולבים במקלדת עצמה), מותקנים ומוסתרים בירכתי המחשב באופן המקשה לגלותם. כמובן שקיימים כמה חסרונות לניטור מבוסס חומרה. ראשית, משתמש המבחין באמצעי הניטור יכול לנתקו בקלות. שנית, מבצע המעקב חייב להיות בעל גישה מזדמנת למחשב כדי לקצור את הדו"חות. ללא גישה אין מידע. מכשירים אלה מוגבלים בקיבולתם. אמצעי חליפי ללכידת מידע מהמקלדת הוא תוכנות ללכידת תמונות מכרטיס הוידאו של המחשב. אמנם לא ניתן לתפוס כך את כל חטאי העובד, אלא אם כן תצלם את המסך מדי שניה, אולם צילום מזדמן מספק אינדיקציה טובה למדי לגבי סדר יומו.
מרחרחי חבילות וכלי ניתוח ליומן אירועים פועלים בשכבת הרשת, ומסוגלים להסיר את הלוט מעל תשדורות דואר אלקטרוני, שימוש בדפדפן ומידע על תכיפות הגישה לרשת. מרחרחי חבילות יושבים על מתג, צומת או נתב. הם בוחנים את תעבורת הרשת, ומביטים מקרוב בחבילות מידע. חבילות הינן קבצים שנפרסו לפרוסות מידע הנושאות מידע מזהה – כגון מחשב המקור והיעד. מרחרחים יכולים לבחון כל חבילה העוברת באזור, ולסנן את אלה הנושאות תוכנים, כתובת מקור או כתובת יעד מסוימים. כלים לניתוח יומן אירועים פועלים על יומן האירועים (log) בחפשם אחר אירועים שונים, למשל - התחברות לרשת או מחיקת קובץ בשרת ובתחנת העבודה.
