Keylogger Nedir? Korunma Yöntemleri Nelerdir?

Genel olarak keyloggerlar fiziksel klavyeler için geliştirilmiş olsa da sanal (ekran) klavyelerin siber saldırganlar tarafından hedeflenmesiyle klavye dinleyicilerinin de ortaya çıktığını görmekteyiz.

Tuş kaydediciler olarak da ifade edilen bu uygulamalar, kullanıcı tarafından yapılan tuş vuruşlarını kaydetmek için tasarlanmış, genelde kötü amaçlı üretilen bir zararlı yazılım türüdür. En eski siber tehdit türlerinden biri olan bu tuş kaydediciler, bir web sitesine veya uygulamaya yazdığınız bilgileri kaydeder ve üçüncü bir tarafa (genelde siber saldırganlara) iletir. Legal türleri ise kurum iş takibi veya ebeveyn takibi gibi uygulamalarda görülmektedir.

Yapılarına Göre Keylogger Türleri

Siber saldırganların kurban hesaplarına girebilmek için kullanıcı adı ve parolaları ele geçirmeleri gerekmektedir. Bu noktada keyloggerlar aktif ve yaygın bir şekilde kullanılır. Bilgisayarınızın klavyesinde bastığınız her tuş bu uygulamalar ile kaydedilerek siber saldırganlara iletilebilir. Maalesef ki sanal klavye kullanımı da siber saldırıları önlemede yeterli değildir. Sanal klavyeler, donanım tabanlı keyloggerları veya yazılım tabanlı bazı tuş kaydedicileri durdurabilse de sanal klavyelerin de yetersiz kaldığı keylogging teknikleri de mevcuttur.

İlk keylogger uygulamaları 1970’li yıllarda Sovyetler Birliği’nde ortaya çıkmıştır. O zamanlar genel iletişim yöntemi elektrikli daktilolar tarafından yazılan mektuplardı ve istihbarat örgütleri bu bilgilerin peşindeydi. Sovyet ajanları ABD büyükelçiliklerinden bilgi elde edebilmek için, ABD’li diplomatların istihbarat amaçlı kullanmış oldukları IBM Selectric adındaki daktilolara yazıcı kafasının üzerindeki şeritleri kaydeden bir donanım yerleştirmişlerdi. Bu sayede yazılan her veri, yazıcı kafasına kaydediliyor ve sonrasında istihbarat birimlerine iletilerek okunabiliyordu. Sovyet ajanlarının gizli bilgi edinme çabaları elbette ki bununla sınırlı değildi. Ayrıca ABD Büyükelçilik binalarının duvarlarına gizlenen donanım tabanlı keyloggerlar da bu yıllarda kullanılmıştı.

Yazılım Tabanlı Keyloggerlar

Yazılım tabanlı keyloggerlar, klavyede gerçekleşen her tuş hareketini kaydetmek amacıyla tasarlanmış kod tabanlı bilgisayar uygulamalarıdır. Bu uygulamalar bilgisayarınıza bulaştıktan / yerleştirildikten sonra tüm tuş girişleriniz kaydedilerek siber saldırgana iletilir. Klavyede bir tuşa bastığınız zaman klavye, işletim sisteminize bu tuş girişini iletir. Keyloggerlar ise tam bu sırada araya girerek basılan tuşu başka bir yere kaydeder. Bu kaydetme işlemi sırasında ise farklı teknikler kullanan çok sayıda türler geliştirilmiştir.

Yazılım Tabanlı Keylogger Türleri

1. Çekirdek tabanlı keyloggerlar; İşletim sistemi altında çalışan ve en tehlikeli türlerden biridir. Bu türe karşı alınabilecek önlemler maalesef ki sınırlıdır. Kök erişimi elde ettikleri için tespit edilmesi de çok zordur. Bu türdeki keyloggerlar çekirdek erişimi için rootkit kullanır ve genellikle donanımlara yetkisiz erişim elde ederek işlevlerini yerine getirir.

2. Yönetici tabanlı keyloggerlar; İşletim sistemi altında hipervizör katmanında çalışan keylogger türlerinden biridir. Etkilidir ve bir sanal makine olarak çalışmaktadır.

3. Api tabanlı keyloggerlar; İşletim sistemi API’lerine erişim sağlayarak çalışan bu türdeki keyloggerlar işletim sisteminin algıladığı tüm tuş girişlerine bir kanca atarak kopyalamaktadır. Bellekte kalan doğrulama PIN kodlarınızdan BIOS sorgulamasına kadar birçok alanda aktiftirler.

4. Form tabanlı keyloggerlar; Yalnızca form verilerini kaydetmek ve web formlarında araya girmek amaçlı üretilmişlerdir. Bir kayıt formundan giriş formlarına kadar her türlü formu dinleyebilme ve bu formlardan gönderilen tüm verileri kopyalayabilme yeteneklerine sahiptirler. Bu türlerin geneli Web uygulamalarına yöneliktir.

5. Javasctipt tabanlı keyloggerlar; Web uygulamalarındaki kullanıcı bilgilerini çalmaya yönelik keyloggerlardır. Bir web sayfası hacklenerek zararlı bir kod enjekte edilir. Bu sayede web sayfasına girip işlem yapan herkesin klavyede bastığı tuşlar kaydedilerek hesap bilgileri çalınmaktadır.

6. Bellek tabanlı keyloggerlar; İşletim sistemlerine bulaştıklarında kendilerini bellekte çalıştıran, bellekte yer alan tüm uygulamaları izleyerek bilgi çalmayı hedefleyen keylogger türüdür. Bellekte çalıştıkları için iz bırakmazlar ve tespit edilmeleri zordur. Genel olarak Windows tabanlı bilgisayarlarda işletim sisteminin bir güvenlik mekanizması olan UAC’yi atlatmayı amaçlamaktadır.

Donanım Tabanlı Keyloggerlar

Donanım tabanlı keyloggerlar bilgisayar donanımına yerleşen özel cihazlardır. Donanımlara özel olarak üretilirler ve işletim sistemi yerine donanım üzerinden tuş kayıtlarını alır. Herhangi bir yazılıma da ihtiyaç duymadan çalışabilir.

Donanım Tabanlı Keylogger Türleri

Üretici tabanlı keyloggerlar; Fiziksel klavye üzerinde basılan her tuşu BIOS düzeyinde kaydeden sabit donanımlardır. Bu noktada üretici tarafından geliştirildiği için en üst düzeyde erişime sahip olarak çalışabilir.

Klavye tabanlı keyloggerlar; Bilgisayarın klavye bileşeni içerisine yerleştirilen keylogger donanımlarıdır. Genel olarak klavyenin kablo bağlantısı üzerinde bir devre olarak yer almaktadır. Tüm tuş vuruşları kablodan geçerken kayıt altına alınır. Araya giriş için USB çevirici içerisine yerleştirilen ya da dizüstü bilgisayarlar için PCI kartlarına yerleştirilen türleri mevcuttur.

Kablosuz keyloggerlar; Kablosuz klavye ve fareler için üretilmiş pasif algılama kabiliyetine sahip keylogger türleridir. Klavye ve USB’ye bağlı olan alıcı arasındaki şifreli iletişimi ve tüm klavye tuşlarını kaydetme yeteneklerine sahiptirler. Kayıtlı kriptolu veri daha sonra saldırgan tarafından kırılmaktadır.

Klavye katmanlı keyloggerlar; Genelde kurbanların finans işlemleri ve diğer kritik işlemlerde kullanmış oldukları PIN kodlarını kaydetmeye yönelik kullanılır. Genellikle ATM cihazlarının klavye altlarına gizlenen türleri mevcuttur. ATM tuş mekanizmasında basılan tüm tuşlar kaydedilerek PIN kodu çalınır.

Akustik Keyloggerlar; Klavyede tuşa basarken çıkan sesleri izlemek ve çözmek için üretilmişlerdir. Klavyedeki her tuşun akustik bir imzası tespit edilerek daha sonra frekans analizi ve özel olarak hazırlanan istatistik yöntemleri ile basılan tuşlar öğrenilir.

Elektromanyetik Keyloggerlar; Kablolu klavyelerin elektromanyetik izlerini tespit etmek ve yakalamak üzerine kurgulanmıştır. Genel olarak 20 metreye kadar bu izlerin takip ve tespit edilmesi mümkündür.

Diğerleri; Optik gözlem, fiziksel kanıt ve sensörler gibi farklı yöntem ve kullanım amacına göre üretilmiş keyloggerlar mevcuttur.

Keyloggerlara Karşı Alınabilecek Önlemler

Keyloggerlara karşı alınabilecek birçok önlem ve farkındalık yöntemi bulunmaktadır. Genel olarak donanım tabanlı keyloggerlara karşı fiziksel önlemler tavsiye edilerek kapalı devre video gözetimi, kapı kimlik kontrol sistemleri ve üretici / tedarikçi güvenliği ön plana çıkmaktadır. Kritik sektörler için periyodik görsel inceleme ve dinleyici tespit araçları ile kontrol mekanizmaları uygulanır.

Yazılım tabanlı keyloggerlara karşı dikkat edilmesi gereken en önemli husus, güvenlik ürünlerinin kullanılması ve sürekli olarak güncellenmesidir. Hatta birçok güvenlik ürününün yanı sıra Anti-logger ve Anti-keylogger uygulamaları geliştirilmiştir. Bu ürünler bir bilgisayarda yüklü olan zararlı kodları tespit etmekte oldukça başarılıdır. Geleneksel antivirüslerin aksine araya giren keyloggerlara karşı geliştirilmişlerdir.

Birçok antivirüs yazılımı sistem bütünlüğünü korumaya ve kötü amaçlı hareketlere karşı odaklanırken, antilogger ürünleri veya antikeyloggerlar klavye tuşları aktiviteleri sırasında araya giren uygulamalara karşı tespit konusunda başarılı olmuştur. Yasal keyloggerların olması, yasal takip uygulamalarının geliştirilmeleri sonucunda antivirüsler sistem güvenliğine odaklansa da anti-keyloggerlar çok daha gelişmiş teknikler kullanarak zararlı aktivite sergileyen keyloggerlara karşı güvenlik sağlayabilir.

Keyloggerları tespit etmek oldukça zor ve karmaşık bir iştir. Ancak kurum ağının yeni nesil bir firewall ile denetlenmesi, kullanıcı bilgisayarlarında aktif ve güncel olarak çalışan güvenlik duvarı ve antivirüs uygulamaları kullanılmasının yanı sıra, anti-keylogger uygulamaları ile desteklemek ve maksimum güvenlik için bu mekanizmaları optimize etmek her zaman faydalı olacaktır.