Come posso rilevare un keylogger sul mio sistema?

52

Come potrei sapere se c'è un keylogger nel mio sistema, o almeno se uno è attivo in questo momento?

keyboard  security 
NaomiJO
fonte
2
In Ubuntu, a meno che non sia già crackato o compromesso (scenario raro) la presenza di Keylogger non è possibile. Ha un modulo di sicurezza diverso e robusto rispetto a Windows.
atenz,
2
@atenz Non è vero, se si esegue il display manager di X.org. Solo per vedere quanto è facile compromettere la sicurezza, google "isolamento della GUI". Comparativamente, Windows ha fatto l'isolamento della GUI meglio da Vista.
Nanashi No Gombe,

Risposte:

44

Un keylogger è in esecuzione in questo momento?

  • Innanzitutto, supponiamo che tu stia utilizzando un sistema Ubuntu di serie che X è installato e che è sempre stato sotto il controllo di X - dove X è te stesso o qualcuno di cui ti fidi assolutamente.

  • Poiché si tratta di un sistema stock e tutto il software è stato installato dai repository ufficiali, si può essere certi che non vi sia alcun keylogger nascosto , ad esempio qualcuno modifica il kernel appositamente per spiarti in modo che sia molto difficile da rilevare.

  • Quindi, se è in esecuzione un keylogger, i suoi processi saranno visibili. Tutto quello che devi fare è usare ps -auxo htopguardare l'elenco di tutti i processi in esecuzione e capire se qualcosa è sospetto.

    • I keylogger Linux "legittimi" più comuni sono lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys è l'unico disponibile nei repository Ubuntu.

Ho scaricato accidentalmente un keylogger trojan / virus ?

  • Di solito questo rischio è molto minimo su Ubuntu / Linux a causa dei privilegi ( su) richiesti.
  • Puoi provare a usare un rilevatore di "rootkit" come ha notato Mitch nella sua risposta .
  • Altrimenti, si riduce all'analisi forense, come i processi di traccia / debug, guardando le modifiche / i timestamp dei file tra gli stivali, annusando l'attività di rete, ecc.

Cosa succede se mi trovo su un sistema Ubuntu "non attendibile"?

Quindi cosa succede se ti trovi in ​​un internet / cybercafe, in biblioteca, al lavoro, ecc.? O anche un computer di casa utilizzato da molti membri della famiglia?

Bene, tutte le scommesse sono disattivate in quel caso. È abbastanza facile spiare i tasti premuti se qualcuno ha abbastanza abilità / denaro / determinazione:

  • Quei keylogger nascosti che modificano il kernel che sono così quasi impossibili da introdurre nel sistema di qualcun altro sono molto più facili da introdurre quando sei l'amministratore di un laboratorio di computer pubblico e li stai inserendo nei tuoi sistemi.
  • Ci sono keylogger hardware USB o PS / 2 che si trovano tra la tastiera e il computer, registrando ogni sequenza di tasti nella memoria incorporata; possono essere nascosti all'interno della tastiera o persino all'interno del case del computer.
  • Le telecamere possono essere posizionate in modo tale che i tasti premuti siano visibili o possano essere individuati.
  • Se tutto il resto fallisce, uno stato di polizia può sempre inviare i propri sicari dopo di te per costringerti a dire loro cosa stavi scrivendo sotto minaccia: /

Quindi, il meglio che puoi fare con un sistema non attendibile è prendere il tuo Live-CD / Live-USB e usarlo, prendere la tua tastiera wireless e collegarla a una porta USB diversa da quella della tastiera del sistema ( eliminando i logger hardware nascosti sia nella tastiera, sia quelli su quella porta nascosti nel computer, nella speranza che non usassero un logger hardware per ciascuna porta dell'intero sistema), impara a individuare le telecamere (compresi i punti probabili per quelle nascoste) e se ti trovi in ​​uno stato di polizia, finisci ciò che stai facendo e sii altrove in meno tempo rispetto al tempo di risposta della polizia locale.

ish
fonte
La mia domanda era più orientata verso il tuo ultimo punto. I tre esempi che hai citato in realtà non sono correlati al sistema, quindi l'utilizzo di un CD live non sarebbe di aiuto. Sto solo parlando del sistema stesso, non delle telecamere o di altre cose hardware. Come posso sapere se sul mio sistema è presente un hook che registra le mie chiavi?
NaomiJO,
13

Voglio solo aggiungere qualcosa che non sapevo esistesse su Linux: Secure Text Input.

Su xterm, Ctrl+ clic - - "Tastiera protetta". Questo fa una richiesta per isolare i tasti xterm da altre app x11. Questo non impedisce i logger del kernel, ma è solo un livello di protezione.

andychase
fonte
2
La tua risposta è l'unica che mi ha dato alcune nuove intuizioni. Non ho mai saputo che xterm abbia questa possibilità.
Shivams,
9

Sì, Ubuntu può avere un key-logger. È inverosimile, ma può succedere. Può essere sfruttato tramite un browser e un utente malintenzionato può eseguire il codice con i privilegi dell'utente. Può utilizzare i servizi di avvio automatico che eseguono programmi all'accesso. Qualsiasi programma può ottenere codici di scansione dei tasti premuti in X Window System. È facilmente dimostrato con il xinputcomando. Vedi isolamento della GUI per maggiori dettagli. 1

I key logger di Linux devono avere un accesso root prima di poter monitorare la tastiera. a meno che non ottengano quel privilegio non possono eseguire un key logger. L'unica cosa che puoi fare è controllare i rootkit. Per fare ciò puoi usare CHKROOTKIT

1 fonte: superuser.com

Mitch
fonte
1
Sono un po 'confuso: "Qualsiasi programma può ottenere codici di scansione dei tasti premuti in X Window System." vs. "i keylogger linux devono avere un accesso root prima di poter monitorare la tastiera". Non è una contraddizione?
Guntbert,
1
E solo per essere pignoli: ci sono keylogger nei repository poiché ci sono casi d'uso validi per essere presenti (vedi pacchetti.ubuntu.com/raring/logkeys ) quindi non è molto recuperabile ;-)
Rinzwind
Chi ha esaminato il codice sorgente di tutti i programmi di chkrootkit C, in particolare lo script "chkrootkit", per assicurarsi che non stiano infettando i nostri computer con rootkit o key logger?
Curt,
@guntbert Se X è in esecuzione, per impostazione predefinita qualsiasi software che può accedere alla sessione X può registrare le chiavi, altrimenti è necessario disporre delle autorizzazioni per accedere direttamente al dispositivo eventi linux (che solo il root ha su alcune configurazioni).
L29Ah
1

I keylogger di Linux possono essere creati da lingue compatibili con il sistema e richiederebbero l'uso dell'archiviazione di file locale per registrare questi dati e, se programmato per farlo, se si dispone di un keylogger che è stato programmato o scaricato manualmente per funzionare con questo sistema operativo quindi potrebbe effettivamente essere un file, possibilmente rinominato per assomigliare a un file di sistema, in qualsiasi parte del sistema.

L'ultima volta che ho creato / avuto un keylogger sul mio sistema questa era la situazione ed era facile da rilevare e rimuovere ma includeva la ricerca manuale della fonte e questo ha richiesto un po 'di tempo.

Se hai un keylogger di questo tipo, proverei a trovarlo e rimuoverlo ma se è davvero qualcosa che è stato scaricato o installato lo considererei altamente improbabile poiché Linux è un sistema operativo sicuro che di solito non si sospetta forme di virus che normalmente potresti trovare sui sistemi Windows.

cossacksman
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.