Como posso detectar um keylogger no meu sistema?

52

Como eu poderia saber se existe um keylogger no meu sistema ou pelo menos se um está ativo no momento?

NaomiJO
fonte
2
No Ubuntu, a menos que já esteja rachado ou hackeado (cenário raro), a presença do Keylogger não é possível. Possui módulo de segurança diferente e robusto em comparação com o Windows.
atenz 30/07/12
2
@atenz Não é verdade, se você estiver executando o gerenciador de exibição do X.org. Apenas para ver como é fácil comprometer a segurança, o Google 'isolamento da GUI'. Comparativamente, o Windows tem feito melhor o isolamento da GUI desde o Vista.
Nanashi No Gombe

Respostas:

44

Um keylogger está sendo executado agora?

  • Primeiro, vamos assumir que você está usando um sistema Ubuntu padrão que o X instalou e que sempre esteve sob o controle do X - onde o X é você ou alguém em quem você confia absolutamente.

  • Como este é um sistema de estoque e todo o software foi instalado a partir dos repositórios oficiais, você pode ter certeza de que não existe um keylogger oculto , por exemplo, alguém modifica o kernel especialmente para espioná-lo, tornando-o muito difícil de detectar.

  • Então, se um keylogger estiver em execução, seus processos estarão visíveis. Tudo o que você precisa fazer é usar ps -auxou htopexaminar a lista de todos os processos em execução e descobrir se há alguma suspeita.

    • Os keyloggers Linux "legítimos" mais comuns são lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys é o único disponível nos repositórios do Ubuntu.

Baixei acidentalmente um keylogger de Trojan / vírus ?

  • Geralmente esse risco é muito mínimo no Ubuntu / Linux devido aos privilégios ( su) necessários.
  • Você pode tentar usar um detector "rootkit", como Mitch observou em sua resposta .
  • Caso contrário, tudo se resume à análise forense, como processos de rastreamento / depuração, verificação de modificações / registros de data e hora entre inicializações, detecção de atividade de rede etc.

E se eu estiver em um sistema Ubuntu "não confiável"?

E daí se você estiver em um cybercafé / internet, na biblioteca, no trabalho etc.? Ou mesmo um computador doméstico usado por muitos membros da família?

Bem, todas as apostas estão desativadas nesse caso. É bastante fácil espionar suas teclas se alguém tiver habilidade / dinheiro / determinação suficientes:

  • Esses keyloggers ocultos que modificam o kernel e são quase impossíveis de serem introduzidos no sistema de outra pessoa são muito mais fáceis de serem introduzidos quando você é administrador de um laboratório público de computadores e os coloca em seus próprios sistemas.
  • Existem keyloggers de hardware USB ou PS / 2 que ficam entre o teclado e o computador, registrando cada pressionamento de tecla na memória interna; eles podem estar ocultos dentro do teclado ou até dentro da caixa do computador.
  • As câmeras podem ser posicionadas de modo que as teclas sejam visíveis ou possam ser descobertas.
  • Se tudo mais falhar, um estado policial sempre pode enviar seus capangas atrás de você para forçá-lo a dizer o que estava digitando com uma arma: /

Portanto, o melhor que você pode fazer com um sistema não confiável é pegar seu próprio Live-CD / Live-USB e usá-lo, pegar seu próprio teclado sem fio e conectá-lo a uma porta USB diferente daquela em que o teclado do sistema está ( eliminando os registradores de hardware ocultos no teclado e os da porta oculta do computador, na esperança de não usar um registrador de hardware para cada porta de todo o sistema), aprendam a identificar câmeras (incluindo pontos prováveis ​​para os ocultos) , e se você estiver em um estado policial, termine o que está fazendo e esteja em outro lugar em menos tempo que o tempo de resposta da polícia local.

ish
fonte
Minha pergunta foi mais orientada para o seu último ponto. Os três exemplos que você mencionou não estão realmente relacionados ao sistema, portanto, usar um CD ao vivo não ajudaria. Estou apenas falando sobre o sistema em si, não sobre câmeras ou outras coisas de hardware. Como posso saber se existe um gancho no meu sistema que registra minhas chaves?
NaomiJO
13

Eu só quero inserir algo que eu não sabia que existia no Linux: Secure Text Input.

No xterm, Ctrl+ clique em -> "Teclado seguro". Isso faz uma solicitação para isolar pressionamentos de tecla xterm de outros aplicativos x11. Isso não impede os registradores do kernel, mas é apenas um nível de proteção.

andychase
fonte
2
Sua resposta é a única que me deu uma nova visão. Eu nunca soube que o xterm tem essa possibilidade.
Shivams 05/05
9

Sim, o Ubuntu pode ter um key-logger. É muito buscado, mas pode acontecer. Ele pode ser explorado por meio de um navegador e um invasor pode executar código com seus privilégios de usuário. Ele pode usar serviços de inicialização automática que executam programas no login. Qualquer programa pode obter códigos de varredura de teclas pressionadas no X Window System. É facilmente demonstrado com xinputcomando. Consulte Isolamento da GUI para obter mais detalhes. 1

Os registradores de teclas do linux precisam ter acesso root antes de poderem monitorar o teclado. a menos que não obtenham esse privilégio, não poderão executar um key logger. A única coisa que você pode fazer é verificar os rootkits. Para fazer isso, você pode usar o CHKROOTKIT

1 Fonte: superuser.com

Mitch
fonte
11
Estou um pouco confuso: "Qualquer programa pode obter códigos de verificação de teclas pressionadas no X Window System". vs. "os registradores de teclas do linux precisam ter acesso root antes de poderem monitorar o teclado". Isso não é uma contradição?
guntbert
11
E só para ser exigente: existem keyloggers no repo é uma vez que existem casos de uso válidos para um para estar presente (ver packages.ubuntu.com/raring/logkeys ) por isso não é muito buscado ;-)
Rinzwind
Quem revisou o código fonte de todos os programas chkrootkit C, especialmente o script "chkrootkit", para garantir que eles não estejam infectando nossos computadores com rootkits ou key loggers?
Curt
@guntbert Se o X estiver em execução, por padrão, qualquer software que possa acessar a sessão do X pode registrar chaves, caso contrário, você precisa ter permissões para acessar diretamente o dispositivo de evento linux (que somente o root possui em algumas configurações).
L29Ah
1

Os keyloggers do Linux podem ser criados a partir de idiomas compatíveis com o sistema e exigiriam o uso de armazenamento de arquivos local para registrar esses dados e, se programados para isso, se você tiver um keylogger que foi programado manualmente ou baixado para funcionar com este sistema operacional, ele pode realmente ser um arquivo, possivelmente renomeado para se parecer com um arquivo do sistema, em qualquer lugar do sistema.

A última vez que criei / tive um keylogger no meu sistema, essa era a situação e era fácil de detectar e remover, mas incluía encontrar manualmente a fonte e isso levava um tempo.

Se você possui um keylogger desse tipo, eu tentaria encontrá-lo e removê-lo, mas se é realmente algo que foi baixado ou instalado, consideraria isso altamente improvável, pois o Linux é um sistema operacional seguro que geralmente não é suspeito de formas de vírus que você normalmente encontraria nos sistemas Windows.

cossacksman
fonte