Como detectar software espião / keylogger? [duplicado]

9

Tenho sérias suspeitas de que meu chefe tenha instalado algum tipo de software espião. Talvez um keylogger, captura de tela ou algo para saber o que faço quando ele não está no escritório.

Não tenho nada a esconder, então não sei se ele não me diz nada porque não encontrou nada fora do lugar ou porque estou sendo paranóica e ele não está me espionando.

De qualquer forma, quero ter certeza se estou sendo espionado porque:

  1. Eu não quero trabalhar para alguém que ele não confia em mim
  2. É ilegal e não permitirei que ninguém armazene minhas senhas (eu acesso meu email pessoal, homebanking e conta do Facebook durante os intervalos para o almoço) e informações pessoais.

Então ... como posso detectar software espião em um iMac executando o OS X 10.6.8? Eu tenho permissões de administrador completas.

Tentei digitalizar todas as pastas da Biblioteca do usuário e do sistema, mas nada tocou, mas como acho que qualquer um desses softwares ocultaria a pasta (por local ou nome). Acho que não vou encontrar uma pasta chamada Employeee Spy Data

Também observei todos os processos em execução em momentos diferentes com o Activity Monitor, mas novamente ... não é como se o processo fosse chamado SpyAgent Helper

Existe uma lista de pastas / processos possíveis conhecidos a serem procurados?

Alguma outra maneira de detectar?

snow-leopard privacy Juan
fonte
5
Este é o seu chefe. Venha me ver amanhã. Não, só estou brincando. Dependendo de sua habilidade, você pode começar verificando o software disponível desse tipo para o Mac OS X e tentando, por exemplo, pressionar as teclas que o ativam. Além disso, não encontrei uma solução comercial que ofereça captura de senha.
Harold Cavendish
11
Não é necessariamente ilegal, mas depende do que o seu contrato de trabalho diz e eu suspeito que poderia ser legal apenas becuse você estiver usando equipamentos de propriedade da empresa
user151019
11
Uma pergunta semelhante no Superusuário . Você também pode tentar monitorar o tráfego de rede com um aplicativo como o Little Snitch .
Lri 01/08/2012

Respostas:

10

Qualquer tipo de rootkit digno de seu sal será quase indetectável em um sistema em execução, porque eles se conectam ao kernel e / ou substituem os binários do sistema para se esconder. Basicamente, o que você está vendo não pode ser confiável porque o sistema não pode ser confiável. O que você precisa fazer é desligar o sistema, conectar uma unidade de inicialização externa (não conectá-la ao sistema em execução) e, em seguida, inicializar o sistema a partir de um disco externo e procurar programas suspeitos.

Tyr
fonte
2

Farei a hipótese de que você já verificou minuciosamente todos os RATs mais comuns que estão desativados ou mortos (todos os compartilhamentos, ARD, Skype, VNC ...).

  1. Em um Mac externo e totalmente confiável executando o 10.6.8, instale um (ou ambos) desses 2 detectores de rootkits:

    1. rkhunter esta é uma tradição tgzpara construir e instalar

    2. chkrootkit que você pode instalar através brewou macports, por exemplo:

      port install chkrootkit

  2. Teste-os neste Mac confiável.

  3. Salve-os em uma chave USB.

  4. Conecte sua chave no seu sistema suspeito em execução no modo normal com tudo como de costume e execute-o.

dan
fonte
11
Se o rootkit puder detectar a operação de um executável em um flash, ele poderá ocultar suas ações. Melhor, para inicializar o mac suspeito no modo de destino e digitalizar a partir do mac confiável.
Sherwood Botsford
Quem revisou o código fonte de todos os programas chkrootkit C, especialmente o script "chkrootkit", para garantir que eles não estejam infectando nossos computadores com rootkits ou key loggers?
Curt
1

Uma maneira definitiva de verificar se algo suspeito está em execução é abrir o aplicativo Monitor de Atividade, que você pode abrir com o Spotlight ou acessar Aplicativos > Utilitários > Monitor de Atividade . Um aplicativo pode ocultar à vista, mas se estiver em execução na máquina, ele definitivamente aparecerá no Monitor de Atividade. Algumas coisas lá têm nomes engraçados, mas deveriam estar em execução; portanto, se você não tiver certeza do que é, talvez pesquise no Google antes de clicar em Sair do processo ou desative algo importante.

woz
fonte
2
Alguns softwares podem corrigir as rotinas da tabela de processos e se ocultar. Programas simples e aqueles com o objetivo de serem mais confiáveis ​​(já que uma modificação desse baixo nível do sistema pode causar problemas) não ocultarão os processos ou arquivos que ele deixa para trás. No entanto, dizer categoricamente que todos os aplicativos são exibidos definitivamente não é uma boa afirmação, pois é trivial corrigir o Activity Monitor ou a própria tabela de processos com algum trabalho de engenharia de luz.
bmike
Esta é uma confiança arriscada em um aplicativo conhecido ( Activity Monitor) não muito difícil de mentir.
dan
0

Se você foi hackeado, o keylogger deve informar. Ele pode fazer isso imediatamente ou armazená-lo localmente e periodicamente, para algum destino de rede.

Sua melhor aposta é pegar um laptop antigo, de preferência com 2 portas Ethernet ou, na falta dele, com uma placa de rede PCMCIA. Instale um sistema BSD ou Linux nele. (Eu recomendaria o OpenBSD, depois o FreeBSD apenas por causa do gerenciamento mais fácil)

Configure o laptop para agir como uma ponte - todos os pacotes são passados. Execute o tcpdump no tráfego para frente e para trás. Escreva tudo em uma unidade flash. Altere periodicamente a unidade, leve a unidade cheia para casa e use ethereal ou snort ou similar para percorrer o arquivo de despejo e veja se você encontra algo estranho.

Você está procurando tráfego para uma combinação incomum de ip / porta. Isso é difícil. Não conheço nenhuma boa ferramenta para ajudar a peneirar o joio.

Existe a possibilidade de o spyware gravar no disco local que cobre suas faixas. Você pode verificar isso inicializando em outra máquina, inicialize o seu Mac no modo de destino (ele funciona como um dispositivo firewire). Digitalize o volume, capturando todos os detalhes que puder.

Compare duas execuções disso em dias separados usando diff. Isso elimina o arquivo que é o mesmo em ambas as execuções. Isso não vai encontrar tudo. Por exemplo, um aplicativo Blackhat pode criar um volume de disco como um arquivo. Isso não mudará muito se o aplicativo Black puder organizar as datas para não serem alteradas.

O software pode ajudar: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Útil para observar arquivos / permissões alterados. Destinado a * ix, não tenho certeza de como ele lida com atributos estendidos.

Espero que isto ajude.

Sherwood Botsford
fonte
-2

Para detectar e excluir aplicativos, você pode usar qualquer software de desinstalação para Macintosh (como CleanMyMac ou MacKeeper).

user63452
fonte
Como essa pessoa encontraria o spyware em primeiro lugar (antes de usar o aplicativo de desinstalação)?
MK
O mackeeper é o pior software de todos os tempos #
Juan Juan