Keylogger Nedir? Korunma Yöntemleri Nelerdir?
Keyloggerlar klavye tuşlarını dinleyen, takip eden, kaydeden ve klavye yakalama olarak adlandırılan zararlı uygulamalardır. Amaç, sanal veya fiziksel klavyeyi kullanan kişinin tüm tuş vuruşlarını öğrenmek, bunları kaydederek izlemek ve siber saldırgana iletmektir.
Genel olarak keyloggerlar fiziksel klavyeler için geliştirilmiş olsa da sanal (ekran) klavyelerin siber saldırganlar tarafından hedeflenmesiyle klavye dinleyicilerinin de ortaya çıktığını görmekteyiz.
Tuş kaydediciler olarak da ifade edilen bu uygulamalar, kullanıcı tarafından yapılan tuş vuruşlarını kaydetmek için tasarlanmış, genelde kötü amaçlı üretilen bir zararlı yazılım türüdür. En eski siber tehdit türlerinden biri olan bu tuş kaydediciler, bir web sitesine veya uygulamaya yazdığınız bilgileri kaydeder ve üçüncü bir tarafa (genelde siber saldırganlara) iletir. Legal türleri ise kurum iş takibi veya ebeveyn takibi gibi uygulamalarda görülmektedir.
Yapılarına Göre Keylogger Türleri
Siber saldırganların kurban hesaplarına girebilmek için kullanıcı adı ve parolaları ele geçirmeleri gerekmektedir. Bu noktada keyloggerlar aktif ve yaygın bir şekilde kullanılır. Bilgisayarınızın klavyesinde bastığınız her tuş bu uygulamalar ile kaydedilerek siber saldırganlara iletilebilir. Maalesef ki sanal klavye kullanımı da siber saldırıları önlemede yeterli değildir. Sanal klavyeler, donanım tabanlı keyloggerları veya yazılım tabanlı bazı tuş kaydedicileri durdurabilse de sanal klavyelerin de yetersiz kaldığı keylogging teknikleri de mevcuttur.
İlk keylogger uygulamaları 1970’li yıllarda Sovyetler Birliği’nde ortaya çıkmıştır. O zamanlar genel iletişim yöntemi elektrikli daktilolar tarafından yazılan mektuplardı ve istihbarat örgütleri bu bilgilerin peşindeydi. Sovyet ajanları ABD büyükelçiliklerinden bilgi elde edebilmek için, ABD'li diplomatların istihbarat amaçlı kullanmış oldukları IBM Selectric adındaki daktilolara yazıcı kafasının üzerindeki şeritleri kaydeden bir donanım yerleştirmişlerdi. Bu sayede yazılan her veri, yazıcı kafasına kaydediliyor ve sonrasında istihbarat birimlerine iletilerek okunabiliyordu. Sovyet ajanlarının gizli bilgi edinme çabaları elbette ki bununla sınırlı değildi. Ayrıca ABD Büyükelçilik binalarının duvarlarına gizlenen donanım tabanlı keyloggerlar da bu yıllarda kullanılmıştı.
Yazılım Tabanlı Keyloggerlar
Yazılım tabanlı keyloggerlar, klavyede gerçekleşen her tuş hareketini kaydetmek amacıyla tasarlanmış kod tabanlı bilgisayar uygulamalarıdır. Bu uygulamalar bilgisayarınıza bulaştıktan / yerleştirildikten sonra tüm tuş girişleriniz kaydedilerek siber saldırgana iletilir. Klavyede bir tuşa bastığınız zaman klavye, işletim sisteminize bu tuş girişini iletir. Keyloggerlar ise tam bu sırada araya girerek basılan tuşu başka bir yere kaydeder. Bu kaydetme işlemi sırasında ise farklı teknikler kullanan çok sayıda türler geliştirilmiştir.
Yazılım Tabanlı Keylogger Türleri
1. Çekirdek tabanlı keyloggerlar; İşletim sistemi altında çalışan ve en tehlikeli türlerden biridir. Bu türe karşı alınabilecek önlemler maalesef ki sınırlıdır. Kök erişimi elde ettikleri için tespit edilmesi de çok zordur. Bu türdeki keyloggerlar çekirdek erişimi için rootkit kullanır ve genellikle donanımlara yetkisiz erişim elde ederek işlevlerini yerine getirir.
2. Yönetici tabanlı keyloggerlar; İşletim sistemi altında hipervizör katmanında çalışan keylogger türlerinden biridir. Etkilidir ve bir sanal makine olarak çalışmaktadır.
3. Api tabanlı keyloggerlar; İşletim sistemi API’lerine erişim sağlayarak çalışan bu türdeki keyloggerlar işletim sisteminin algıladığı tüm tuş girişlerine bir kanca atarak kopyalamaktadır. Bellekte kalan doğrulama PIN kodlarınızdan BIOS sorgulamasına kadar birçok alanda aktiftirler.
4. Form tabanlı keyloggerlar; Yalnızca form verilerini kaydetmek ve web formlarında araya girmek amaçlı üretilmişlerdir. Bir kayıt formundan giriş formlarına kadar her türlü formu dinleyebilme ve bu formlardan gönderilen tüm verileri kopyalayabilme yeteneklerine sahiptirler. Bu türlerin geneli Web uygulamalarına yöneliktir.
5. Javasctipt tabanlı keyloggerlar; Web uygulamalarındaki kullanıcı bilgilerini çalmaya yönelik keyloggerlardır. Bir web sayfası hacklenerek zararlı bir kod enjekte edilir. Bu sayede web sayfasına girip işlem yapan herkesin klavyede bastığı tuşlar kaydedilerek hesap bilgileri çalınmaktadır.
6. Bellek tabanlı keyloggerlar; İşletim sistemlerine bulaştıklarında kendilerini bellekte çalıştıran, bellekte yer alan tüm uygulamaları izleyerek bilgi çalmayı hedefleyen keylogger türüdür. Bellekte çalıştıkları için iz bırakmazlar ve tespit edilmeleri zordur. Genel olarak Windows tabanlı bilgisayarlarda işletim sisteminin bir güvenlik mekanizması olan UAC’yi atlatmayı amaçlamaktadır.
Donanım Tabanlı Keyloggerlar
Donanım tabanlı keyloggerlar bilgisayar donanımına yerleşen özel cihazlardır. Donanımlara özel olarak üretilirler ve işletim sistemi yerine donanım üzerinden tuş kayıtlarını alır. Herhangi bir yazılıma da ihtiyaç duymadan çalışabilir.
Donanım Tabanlı Keylogger Türleri
Üretici tabanlı keyloggerlar; Fiziksel klavye üzerinde basılan her tuşu BIOS düzeyinde kaydeden sabit donanımlardır. Bu noktada üretici tarafından geliştirildiği için en üst düzeyde erişime sahip olarak çalışabilir.
Klavye tabanlı keyloggerlar; Bilgisayarın klavye bileşeni içerisine yerleştirilen keylogger donanımlarıdır. Genel olarak klavyenin kablo bağlantısı üzerinde bir devre olarak yer almaktadır. Tüm tuş vuruşları kablodan geçerken kayıt altına alınır. Araya giriş için USB çevirici içerisine yerleştirilen ya da dizüstü bilgisayarlar için PCI kartlarına yerleştirilen türleri mevcuttur.
Kablosuz keyloggerlar; Kablosuz klavye ve fareler için üretilmiş pasif algılama kabiliyetine sahip keylogger türleridir. Klavye ve USB’ye bağlı olan alıcı arasındaki şifreli iletişimi ve tüm klavye tuşlarını kaydetme yeteneklerine sahiptirler. Kayıtlı kriptolu veri daha sonra saldırgan tarafından kırılmaktadır.
Klavye katmanlı keyloggerlar; Genelde kurbanların finans işlemleri ve diğer kritik işlemlerde kullanmış oldukları PIN kodlarını kaydetmeye yönelik kullanılır. Genellikle ATM cihazlarının klavye altlarına gizlenen türleri mevcuttur. ATM tuş mekanizmasında basılan tüm tuşlar kaydedilerek PIN kodu çalınır.
Akustik Keyloggerlar; Klavyede tuşa basarken çıkan sesleri izlemek ve çözmek için üretilmişlerdir. Klavyedeki her tuşun akustik bir imzası tespit edilerek daha sonra frekans analizi ve özel olarak hazırlanan istatistik yöntemleri ile basılan tuşlar öğrenilir.
Elektromanyetik Keyloggerlar; Kablolu klavyelerin elektromanyetik izlerini tespit etmek ve yakalamak üzerine kurgulanmıştır. Genel olarak 20 metreye kadar bu izlerin takip ve tespit edilmesi mümkündür.
Diğerleri; Optik gözlem, fiziksel kanıt ve sensörler gibi farklı yöntem ve kullanım amacına göre üretilmiş keyloggerlar mevcuttur.
İşletmenizi ve İtibarınızı Siber Tehditlere Karşı Korumak İçin Berqnet Firewall Teklifi Alın
Keyloggerlara Karşı Alınabilecek Önlemler
Keyloggerlara karşı alınabilecek birçok önlem ve farkındalık yöntemi bulunmaktadır. Genel olarak donanım tabanlı keyloggerlara karşı fiziksel önlemler tavsiye edilerek kapalı devre video gözetimi, kapı kimlik kontrol sistemleri ve üretici / tedarikçi güvenliği ön plana çıkmaktadır. Kritik sektörler için periyodik görsel inceleme ve dinleyici tespit araçları ile kontrol mekanizmaları uygulanır.
Yazılım tabanlı keyloggerlara karşı dikkat edilmesi gereken en önemli husus, güvenlik ürünlerinin kullanılması ve sürekli olarak güncellenmesidir. Hatta birçok güvenlik ürününün yanı sıra Anti-logger ve Anti-keylogger uygulamaları geliştirilmiştir. Bu ürünler bir bilgisayarda yüklü olan zararlı kodları tespit etmekte oldukça başarılıdır. Geleneksel antivirüslerin aksine araya giren keyloggerlara karşı geliştirilmişlerdir.
Birçok antivirüs yazılımı sistem bütünlüğünü korumaya ve kötü amaçlı hareketlere karşı odaklanırken, antilogger ürünleri veya antikeyloggerlar klavye tuşları aktiviteleri sırasında araya giren uygulamalara karşı tespit konusunda başarılı olmuştur. Yasal keyloggerların olması, yasal takip uygulamalarının geliştirilmeleri sonucunda antivirüsler sistem güvenliğine odaklansa da anti-keyloggerlar çok daha gelişmiş teknikler kullanarak zararlı aktivite sergileyen keyloggerlara karşı güvenlik sağlayabilir.
Keyloggerları tespit etmek oldukça zor ve karmaşık bir iştir. Ancak kurum ağının yeni nesil bir firewall ile denetlenmesi, kullanıcı bilgisayarlarında aktif ve güncel olarak çalışan güvenlik duvarı ve antivirüs uygulamaları kullanılmasının yanı sıra, anti-keylogger uygulamaları ile desteklemek ve maksimum güvenlik için bu mekanizmaları optimize etmek her zaman faydalı olacaktır.
Sıkça Sorulan Sorular
Farklı tabirleriyle casus yazılım ya da izleme yazılımı gibi isimlerle de bilinen Keylogger, bilgisayarınızdaki tüm işlemlerin kaydını tutar ve verilerinizi bunu kullanmak isteyen art niyetli kişilere gönderir. Casus yazılım olarak da adlandırılan bu tip yazılımlar, bilgisayar üzerinde yaptığınız neredeyse her türlü işlemi kayıt altına alabilir. Keylogger en basit haliyle internet ya da bilgisayarınıza bağladığınız USB gibi harici depolama aygıtı ile bulaşabilir.
Keylogger yazılımlarının farklı kullanımları bulunur. Biri cihaz sahibinin izni ile kullanılabilir iken diğeri kötü niyetli kişiler tarafından bilgisayara gizlice yüklenerek kullanılır. İzin yoluyla kullanılanlar genellikle ebeveyn kontrolü içeren, yetişkin olmayan kişilerin bilgisayarlarında tercih edilen yazılımlardır. Kötü niyetli kişilerce kullanılan keylogger yazılımlarını ise cihaz üzerindeki kişisel tüm bilgileri ele geçirmek üzere kullanmak mümkündür.
Kötü amaçlı bir keylogger yazılımı genellikle indirdiğiniz bir dosya vasıtasıyla bilgisayarınıza bulaşır. Bilgisayarınızda buna dair bir koruma bulunmuyorsa indirme işlemi ile birlikte artık cihaz üzerinden yaptığınız her hareket izleniyor demektir.
Keylogger yazılımları bilgisayarınıza yüklendiyse bunu anlamanız kolay olmaz. Ancak bazı durumlar şüphelenmeniz için ipucu niteliği taşıyabilir. Bu şüpheli durumlardan biri, internet üzerinde yaptığınız işlemlerin yavaşlığıdır. Keylogger’ın arka planda gizlice çalıştığı durumlarda cihazın önemli ölçüde yavaşladığını gözlemleyebilirsiniz. Bir diğer şüpheli durum ise, bilgisayarda yazı yazdığınız sırada bastığınız harflerin ekranda geç görünmesi ya da hiç görünmemesi halidir. Bu gibi olağan dışı hallerde bilgisayarınızda kötü niyetli bir yazılımın olup olmadığından şüphe edebilirsiniz.
Casus yazılımlar bilgisayara olduğu gibi tablet ya da telefonlarınıza da bulaşabilir. Özellikle akıllı telefonlara gelen mesajlar ya da e-postalar ile iletilen linklerin açılması yoluyla sızan zararlı yazılımlar sayesinde kötü niyetli kişilerce bu cihazlar kontrol altına alınabilir. Telefonunuza yerleşen bu zararlı yazılımları ise anlamak kolay değildir. Ancak telefonunuza bir siber saldırının gerçekleşip gerçekleşmediğini anlamanın bazı ipuçları vardır. Bu ipuçları şöyle sıralanabilir:
- Casus yazılım telefon üzerindeki tüm hareketleri kontrol ederek internet üzerinden bunları yazılımı kontrol eden kişiye gönderir. Bu sebeple cihaz, normalde kullandığınızdan fazla veri kullanır. İnternet kotanızın normalde olduğundan daha hızlı tükendiğini fark edebilirsiniz. Bu durumda cihazda casus bir yazılımın bulunup bulunmadığını kontrol etmeniz faydalı olur.
- Telefonun kolayca ısındığını ve pil ömründe azalma olduğunu gözlemliyorsanız cihazınız siber saldırıya maruz kalmış olabilir. Casus yazılımlar, cihaz çalıştığı sürece arka planda sürekli olarak çalışır. Bu da telefonun yavaşlamasına ve bataryasının hızla boşalmasına yol açabilir.
- Telefonunuza anlam veremediğiniz mesajlar geliyorsa casus yazılımlardan şüphe edebilirsiniz. Bu tip yazılımlar bulundukları cihazlara bazı kodları içeren SMS’ler gönderebilir. Böyle bir durumla karşılaşmanız halinde siber saldırı şüphesiyle telefonunuzu kontrol etmenizde fayda vardır.
- Telefon ile görüşme yaptığınız sırada arka planda farklı sesler duyuyorsanız bu, casus yazılımın bulunduğu anlamına gelebilir.
- Ne olduğunu bilmediğiniz bir uygulamayla karşılaşmanız halinde siber saldırı olup olmadığını kontrol etmenizde yarar vardır. Çünkü bu casus bir yazılım, cihaza yerleşmesi halinde onayınıza gerek kalmadan çalışır.
Keylogger, birçok casus yazılım gibi gizlice bilgisayarınıza yerleşerek siz farkında olmadan bilgilerinizi karşı tarafa iletir. Anlaşılması güç bir yazılım olduğundan kullandığınız cihazlarda önlem almanız faydalı olur. Keylogger’dan korunmanız için alabileceğiniz bazı önlemler ise şunlardır:
- Bilgisayarınıza iyi bir antivirüs programı yükleyerek casus yazılımlardan korunmasını sağlayın.
- Tercih ettiğiniz antivirüs programlarının daima en güncel versiyonunu kullanın.
- Kullandığınız hesaplara ait şifreleri düzenli aralıklarla değiştirin.
- Bilgisayarınızı kullandığınız sırada, karşınıza çıkan eklenti ve programlara dikkat edin.
- Size ulaşan dosya ve linkleri açmayın. Mümkün olduğunca, önce bunların virüs taramasından geçmesini sağlayın. Güvenilir olduğundan emin olduktan sonra açın.
- Kullandığınız hesaplarda güvenlik doğrulamasını açın. Böylece hesabınıza farklı kişiler tarafından ulaşılsa dahi size SMS yoluyla bildirilir. Bu gibi durumlarda şifrenizi değiştirerek hesabınızı koruyabilirsiniz.
Keylogger’ın bilgisayarınıza bulaştığından emin olmanız halinde, bilgisayarınız üzerinden herhangi bir işlem yapmamaya özen göstermelisiniz. Özellikle kullanıcı bilgileriniz, şifre ve diğer kişisel bilgilerinizi içeren hiçbir bilginin girişini yapmamanız gerekir. Sonrasında ise belirli yöntemleri kullanarak casus yazılımı bilgisayarınızdan silmelisiniz. Bu yöntemler ise şu şekilde sıralanabilir:
- İlk ve etkili yöntem olarak antivirüs programı kullanabilirsiniz. Bu programları kullanarak bilgisayarınıza yerleşmiş olan keylogger yazılımını tespit edip silebilirsiniz.
- Bir diğer yöntem ise bilgisayarınıza format atmanız olur. Format atarken dikkat etmeniz gereken unsur ise keylogger’ın nereye yüklendiğini tespit etmektir. Bunu tespit ederek hangi diskleri temizleyeceğinize kadar verebilir ya da tüm diskleri temizleyebilirsiniz.