Jak mogę wykryć keylogger w moim systemie?

52

Skąd mam wiedzieć, czy w moim systemie jest keylogger, a przynajmniej jeśli jest on teraz aktywny?

NaomiJO
źródło
2
W Ubuntu, chyba że jest już złamany lub zhakowany (rzadki scenariusz) obecność Keyloggera nie jest możliwa. Ma inny i solidny moduł bezpieczeństwa w porównaniu do systemu Windows.
atenz
2
@atenz Nieprawda, jeśli korzystasz z menedżera wyświetlania X.org. Aby zobaczyć, jak łatwo jest naruszyć bezpieczeństwo, przejdź do „izolacji GUI” Google. Dla porównania, system Windows lepiej izoluje GUI od czasu Vista.
Nanashi No Gombe

Odpowiedzi:

44

Czy teraz działa keylogger?

  • Po pierwsze, założymy, że używasz podstawowego systemu Ubuntu, który X zainstalował i który zawsze był pod kontrolą X - gdzie X to ty lub ktoś, komu absolutnie ufasz.

  • Ponieważ jest to system zapasowy, a całe oprogramowanie zostało zainstalowane z oficjalnych repozytoriów, możesz być pewien, że nie ma tam ukrytego keyloggera , np. Ktoś modyfikuje jądro specjalnie, aby cię szpiegować, tak że jest bardzo trudny do wykrycia.

  • Następnie, jeśli keylogger jest uruchomiony, jego procesy będą widoczne. Wszystko, co musisz zrobić, to użyć ps -auxlub htopprzejrzeć listę wszystkich uruchomionych procesów i dowiedzieć się, czy coś jest podejrzane.

    • Najpopularniejsze „legalne” keyloggery Linuxa lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. Logkeys jest jedynym dostępnym w repozytoriach Ubuntu.

Czy przypadkowo pobrałem keyloggera trojana / wirusa ?

  • Zazwyczaj ryzyko to jest bardzo minimalne w systemie Ubuntu / Linux ze względu na suwymagane uprawnienia ( ).
  • Możesz spróbować użyć detektora „rootkit”, jak zauważył Mitch w swojej odpowiedzi .
  • W przeciwnym razie sprowadza się do analizy kryminalistycznej, takiej jak śledzenie / debugowanie procesów, sprawdzanie modyfikacji plików / znaczników czasu między rozruchami, wąchanie aktywności sieci itp.

Co się stanie, jeśli korzystam z „niezaufanego” systemu Ubuntu?

Co z tego, jeśli jesteś w kafejce internetowej, w bibliotece, w pracy itp.? A może nawet komputer domowy używany przez wielu członków rodziny?

W takim przypadku wszystkie zakłady są wyłączone. Szpiegowanie naciśnięć klawiszy jest dość łatwe, jeśli ktoś ma wystarczającą umiejętność / pieniądze / determinację:

  • Te modyfikujące jądro ukryte keyloggery, które są prawie niemożliwe do wprowadzenia w czyimś systemie, są znacznie łatwiejsze do wprowadzenia, gdy jesteś administratorem publicznego laboratorium komputerowego i umieszczasz je na swoich systemach.
  • Istnieją sprzętowe keyloggery USB lub PS / 2, które znajdują się między klawiaturą a komputerem, rejestrując każde naciśnięcie klawisza w pamięci wewnętrznej; mogą być ukryte w klawiaturze, a nawet w obudowie komputera.
  • Kamery można ustawić tak, aby naciśnięcia klawiszy były widoczne lub można je było rozgryźć.
  • Jeśli wszystko inne zawiedzie, państwo policyjne zawsze może wysłać swoich zbirów za tobą, aby zmusić cię do powiedzenia im, co piszesz na celowniku:

Najlepszym sposobem na niezaufany system jest wzięcie własnego dysku Live-CD / Live-USB i skorzystanie z niego, zabranie własnej klawiatury bezprzewodowej i podłączenie jej do portu USB innego niż ten, na którym działa klawiatura systemu ( eliminując rejestratory sprzętowe zarówno ukryte w klawiaturze, jak i te na tym porcie ukrytym w komputerze, w nadziei, że nie użyły rejestratora sprzętowego dla każdego portu w całym systemie), nauczą się rozpoznawać kamery (w tym prawdopodobne miejsca dla ukrytych) , a jeśli jesteś w policji, dokończ to, co robisz, i znajdź się gdzie indziej w krótszym czasie niż czas reakcji lokalnej policji.

ish
źródło
Moje pytanie było bardziej zorientowane na twój ostatni punkt. Trzy wymienione przez ciebie przykłady nie są w rzeczywistości powiązane z systemem, więc użycie płyty CD na żywo nie pomogłoby. Mówię tylko o samym systemie, a nie o aparatach i innych urządzeniach. Skąd mam wiedzieć, czy w moim systemie jest hak, który rejestruje moje klucze?
NaomiJO
13

Chcę tylko wrzucić coś, o czym nie wiedziałem, że istnieje w systemie Linux: Bezpieczne wprowadzanie tekstu.

W Xterm Ctrl+ kliknij -> „Bezpieczna klawiatura”. To powoduje prośbę o izolację klawiszy Xterm od innych aplikacji x11. Nie zapobiega to rejestratorom jądra, ale stanowi tylko jeden poziom ochrony.

andychaza
źródło
2
Twoja odpowiedź jest jedyną, która dała mi trochę nowego wglądu. Nigdy nie wiedziałem, że Xterm ma taką możliwość.
shivams
9

Tak, Ubuntu może mieć rejestrator kluczy. Jest daleko posunięty, ale może się zdarzyć. Można go wykorzystać za pomocą przeglądarki, a osoba atakująca może uruchomić kod z uprawnieniami użytkownika. Może korzystać z usług automatycznego uruchamiania, które uruchamiają programy podczas logowania. Każdy program może uzyskać kody skanowania naciśniętych klawiszy w systemie X Window. Można to łatwo zademonstrować za pomocą xinputpolecenia. Zobacz izolację GUI, aby uzyskać więcej informacji. 1

Rejestratory kluczy linux muszą mieć dostęp do konta root, aby móc monitorować klawiaturę. chyba że nie uzyskają tego uprawnienia, nie będą mogli uruchomić programu do rejestrowania kluczy. Jedyne, co możesz zrobić, to sprawdzić rootkity. Aby to zrobić, możesz użyć CHKROOTKIT

1 Źródło: superuser.com

Mitch
źródło
1
Jestem trochę zdezorientowany: „Każdy program może uzyskać kody skanowania naciśniętych klawiszy w systemie X Window”. vs. „rejestratory kluczy linux muszą mieć dostęp do konta root, aby móc monitorować klawiaturę”. Czy to nie jest sprzeczność?
guntbert,
1
I po prostu wybredny: w repozytorium znajdują się keyloggery, ponieważ istnieją ważne przypadki użycia jednego z nich (patrz packages.ubuntu.com/raring/logkeys ), więc nie jest to dalekie
pobranie
Kto sprawdził kod źródłowy wszystkich programów chkrootkit C, a zwłaszcza skrypt „chkrootkit”, aby upewnić się, że nie infekują one naszych komputerów rootkitami lub rejestratorami kluczy?
Curt
@guntbert Jeśli X jest uruchomiony, domyślnie każde oprogramowanie, które może uzyskać dostęp do sesji X, może rejestrować klucze, w przeciwnym razie musisz mieć uprawnienia do bezpośredniego dostępu do urządzenia zdarzeń z Linuksem (ten tylko root ma w niektórych konfiguracjach).
L29Ah,
1

Keyloggery Linuksa mogą być tworzone z języków, które są kompatybilne z systemem i wymagałyby użycia lokalnej pamięci plików do rejestrowania tych danych, a jeśli tak zaprogramowano, to jeśli masz keyloggera, który został ręcznie zaprogramowany lub pobrany do pracy z tym system operacyjny, może to być plik, którego nazwa może wyglądać jak plik systemowy w dowolnym miejscu w systemie.

Kiedy ostatnio tworzyłem / posiadałem keylogger w moim systemie, taka sytuacja była łatwa do wykrycia i usunięcia, ale obejmowała ręczne znalezienie źródła i zajęło to trochę czasu.

Jeśli masz keylogger tego typu, spróbuję go znaleźć i usunąć, ale jeśli rzeczywiście jest to coś, co zostało pobrane lub zainstalowane, uważam to za bardzo mało prawdopodobne, ponieważ Linux jest bezpiecznym systemem operacyjnym, którego zwykle nie podejrzewa się formy wirusów, które normalnie można znaleźć w systemach Windows.

Kozak
źródło