¿Cómo puedo detectar un keylogger en mi sistema?

52

¿Cómo podría saber si hay un keylogger en mi sistema, o al menos si uno está activo en este momento?

keyboard  security 
NaomiJO
fuente
2
En Ubuntu, a menos que ya esté descifrado o pirateado (escenario raro), la presencia de Keylogger no es posible. Tiene un módulo de seguridad diferente y robusto en comparación con Windows.
atenz
2
@atenz No es cierto, si está ejecutando el administrador de visualización X.org. Solo para ver lo fácil que es comprometer la seguridad, google 'aislamiento GUI'. Comparativamente, Windows ha estado haciendo mejor aislamiento GUI desde Vista.
Nanashi No Gombe

Respuestas:

44

¿Se está ejecutando un keylogger en este momento?

  • Primero, asumiremos que está utilizando un sistema Ubuntu de stock que X instaló y que siempre ha estado bajo el control de X, donde X es usted mismo o alguien en quien confía absolutamente.

  • Como se trata de un sistema estándar y todo el software se ha instalado desde los repositorios oficiales, puede estar seguro de que no hay ningún keylogger oculto allí, por ejemplo, alguien modifica el núcleo especialmente para espiarlo de modo que sea muy difícil de detectar.

  • Luego, si se está ejecutando un keylogger, sus procesos serán visibles. Todo lo que necesita hacer es usar ps -aux, o htopmirar la lista de todos los procesos en ejecución y descubrir si algo es sospechoso.

    • Los keyloggers Linux "legítimos" más comunes son lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys es el único disponible en los repositorios de Ubuntu.

¿Descargué accidentalmente un keylogger de troyanos / virus ?

  • Por lo general, este riesgo es muy mínimo en Ubuntu / Linux debido a los privilegios ( su) requeridos.
  • Puede intentar usar un detector de "rootkit" como Mitch señaló en su respuesta .
  • De lo contrario, se reduce al análisis forense, como los procesos de rastreo / depuración, la observación de modificaciones de archivo / marcas de tiempo entre botas, la detección de actividad de red, etc.

¿Qué pasa si estoy en un sistema Ubuntu "no confiable"?

Entonces, ¿qué pasa si estás en un internet / cibercafé, en la biblioteca, en el trabajo, etc.? ¿O incluso una computadora doméstica utilizada por muchos miembros de la familia?

Bueno, todas las apuestas están canceladas en ese caso. Es bastante fácil espiar las teclas si alguien tiene suficiente habilidad / dinero / determinación:

  • Los keyloggers ocultos que modifican el kernel que son casi imposibles de introducir en el sistema de otra persona son mucho más fáciles de introducir cuando eres el administrador de un laboratorio de computación público y los estás colocando en tus propios sistemas.
  • Hay registradores de teclas de hardware USB o PS / 2 que se encuentran entre el teclado y la computadora, registrando cada pulsación de tecla en la memoria incorporada; pueden ocultarse dentro del teclado o incluso dentro de la carcasa de la computadora.
  • Las cámaras se pueden colocar de modo que sus pulsaciones de teclas sean visibles o se puedan resolver.
  • Si todo lo demás falla, un estado policial siempre puede enviar a sus matones después de usted para obligarlo a decirles lo que estaba escribiendo a punta de pistola: /

Por lo tanto, lo mejor que puede hacer con un sistema no confiable es tomar su propio Live-CD / Live-USB y usarlo, tomar su propio teclado inalámbrico y enchufarlo a un puerto usb que no sea el que está en el teclado del sistema ( eliminando los registradores de hardware tanto ocultos en el teclado como los de ese puerto ocultos en la computadora, con la esperanza de que no hayan utilizado un registrador de hardware para cada puerto en todo el sistema), aprenda a detectar cámaras (incluidos los posibles lugares ocultos) , y si estás en un estado policial, termina lo que estás haciendo y ve a otro lugar en menos tiempo que el tiempo de respuesta de la policía local.

ish
fuente
Mi pregunta estaba más orientada hacia tu último punto. Los tres ejemplos que mencionó en realidad no están relacionados con el sistema, por lo que usar un CD en vivo no ayudaría. Solo estoy hablando del sistema en sí, no de las cámaras u otras cosas de hardware. ¿Cómo puedo saber si hay un gancho en mi sistema que registra mis claves?
NaomiJO
13

Solo quiero agregar algo que no sabía que existía en Linux: Secure Text Input.

En xterm, Ctrlhaga clic en +> "Teclado seguro". Esto hace una solicitud para aislar las pulsaciones de teclas xterm de otras aplicaciones x11. Esto no evita los registradores de kernel, pero es solo un nivel de protección.

andychase
fuente
2
Su respuesta es la única que me dio algo nuevo. Nunca supe que xterm tiene esta posibilidad.
Shivams
9

Sí, Ubuntu puede tener un key-logger. Es exagerado, pero puede suceder. Puede explotarse a través de un navegador y un atacante puede ejecutar código con sus privilegios de usuario. Puede usar servicios de inicio automático que ejecutan programas al iniciar sesión. Cualquier programa puede obtener códigos de escaneo de teclas presionadas en el sistema X Window. Se demuestra fácilmente con el xinputcomando. Ver aislamiento GUI para más detalles. 1

los registradores de teclas de Linux deben tener acceso raíz antes de poder monitorear el teclado. a menos que no obtengan ese privilegio, no pueden ejecutar un registrador de claves. Lo único que puede hacer es buscar rootkits. Para hacer eso puedes usar CHKROOTKIT

1 Fuente: superuser.com

Mitch
fuente
1
Estoy un poco confundido: "Cualquier programa puede obtener códigos de escaneo de teclas presionadas en el sistema X Window". vs. "los registradores de teclas de Linux deben tener acceso raíz antes de poder monitorear el teclado". ¿No es eso una contradicción?
Guntbert
1
Y solo para ser exigente: hay keyloggers en los repositorios ya que hay casos de uso válidos para que uno esté presente (vea los paquetes.ubuntu.com/raring/logkeys ), por lo que no es descabellado ;-)
Rinzwind
¿Quién ha revisado el código fuente de todos los programas de chkrootkit C, especialmente el script "chkrootkit", para asegurarse de que no estén infectando nuestras computadoras con rootkits o registradores de teclas?
Curt
@guntbert Si X se está ejecutando, de manera predeterminada, cualquier software que pueda acceder a la sesión X puede registrar claves, de lo contrario, debe tener los permisos para acceder directamente al dispositivo de eventos de Linux (que solo la raíz tiene en algunas configuraciones).
L29Ah
1

Los keyloggers de Linux pueden hacerse desde idiomas que sean compatibles con el sistema y requerirían el uso de almacenamiento local de archivos para registrar estos datos y, si está programado para hacerlo, si tiene un keylogger que se programó o descargó manualmente para trabajar con esto sistema operativo, entonces en realidad puede ser un archivo, posiblemente renombrado para que parezca un archivo de sistema, en cualquier parte del sistema.

La última vez que creé / tuve un keylogger en mi sistema, esta era la situación y era fácil de detectar y eliminar, pero incluía encontrar manualmente la fuente y esto tomó un poco de tiempo.

Si tiene un keylogger de este tipo, intentaré encontrarlo y eliminarlo, pero si es algo que se descargó o instaló, lo consideraría altamente improbable ya que Linux es un sistema operativo seguro que generalmente no es sospechoso. formas de virus que normalmente encontraría en los sistemas Windows.

cosaco
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.