Comment détecter les logiciels espions / enregistreurs de frappe? [dupliquer]

9

Je soupçonne sérieusement que mon patron a installé une sorte de logiciel espion. Peut-être un enregistreur de frappe, une capture d'écran ou quelque chose pour savoir ce que je fais quand il n'est pas au bureau.

Je n'ai rien à cacher donc je ne sais pas s'il ne me dit rien parce qu'il n'a rien trouvé de mal ou parce que je suis paranoïaque et qu'il ne m'espionne pas.

De toute façon, je veux être sûr si je suis espionné parce que:

  1. Je ne veux pas travailler pour quelqu'un il ne me fait pas confiance moi
  2. C'est illégal et je ne permettrai à personne de stocker mes mots de passe (j'accède à ma messagerie personnelle, à mon compte bancaire et à mon compte Facebook pendant les pauses déjeuner) et à mes informations personnelles.

Alors ... comment puis-je détecter les logiciels espions dans un iMac fonctionnant sous OS X 10.6.8? J'ai des autorisations d'administrateur complètes, je le sais.

J'ai essayé de numériser tous les dossiers de ma bibliothèque utilisateur et système, mais rien ne sonnait, mais comme je pense que l'un de ces logiciels cacherait le dossier (par emplacement ou par nom), je ne pense pas que je trouverai un dossier nommé Employeee Spy Data

J'ai également regardé tous les processus en cours d'exécution à différents moments avec Activity Monitor, mais encore une fois ... ce n'est pas comme si le processus s'appelait SpyAgent Helper

Existe-t-il une liste des dossiers / processus possibles connus à rechercher?

Une autre façon de détecter?

Juan
la source
5
Voici ton patron. Venez me voir demain. Non, je plaisante. Selon sa compétence, vous pouvez commencer par vérifier les logiciels disponibles de ce type pour Mac OS X et essayer par exemple les frappes qui l'activent. De plus, je n'ai pas trouvé de solution commerciale offrant la capture de mots de passe.
Harold Cavendish
1
Ce n'est pas nécessairement illégal mais dépend de ce que dit votre contrat de travail et je pense que cela pourrait être légal simplement parce que vous utilisez du matériel appartenant à l'entreprise
user151019
1
Une question similaire chez Super User . Vous pouvez également essayer de surveiller le trafic réseau avec une application comme Little Snitch .
Lri

Réponses:

10

Tout type de rootkit digne de ce nom va être presque indétectable sur un système en cours d'exécution car il se connecte au noyau et / ou remplace les binaires du système pour se cacher. Fondamentalement, ce que vous voyez ne peut pas faire confiance car le système ne peut pas être approuvé. Ce que vous devez faire est d'éteindre le système, de connecter un lecteur de démarrage externe (ne le connectez pas au système en cours d'exécution), puis de démarrer le système à partir d'un disque externe et de rechercher les programmes suspects.

Tyr
la source
2

Je ferai l'hypothèse que vous avez déjà soigneusement vérifié que tous les RAT les plus courants sont éteints ou morts (tous les partages, ARD, Skype, VNC…).

  1. Sur un Mac externe et entièrement fiable exécutant également 10.6.8, installez l'un (ou les deux) de ces 2 détecteurs de rootkits:

    1. rkhunter c'est une tradition tgzde construire et d'installer
    2. chkrootkit que vous pouvez installer via brewou macports, par exemple:

      port install chkrootkit

  2. Testez-les sur ce Mac fiable.

  3. Enregistrez-les sur une clé USB.

  4. Branchez votre clé sur votre système suspect en cours d'exécution en mode normal avec tout comme d'habitude et exécutez-les.

dan
la source
1
Si le rootkit peut détecter le fonctionnement d'un exécutable sur un flash, il peut être capable de masquer ses actions. Mieux, pour démarrer le mac suspect en mode cible, puis numérisez à partir du mac de confiance.
Sherwood Botsford
Qui a examiné le code source de tous les programmes chkrootkit C, en particulier le script «chkrootkit», pour s'assurer qu'ils n'infectent pas nos ordinateurs avec des rootkits ou des enregistreurs de frappe?
Curt
1

Une façon définitive de voir si quelque chose de suspect est en cours d'exécution est d'ouvrir l'application Activity Monitor, que vous pouvez ouvrir avec Spotlight ou aller à Applications > Utilitaires > Activity Monitor . Une application peut être cachée, mais si elle fonctionne sur la machine, elle apparaîtra certainement dans le moniteur d'activité. Certaines choses là-bas auront des noms amusants, mais elles sont censées fonctionner; donc si vous n'êtes pas sûr de ce que c'est, peut-être Google avant de cliquer sur Quitter le processus , ou vous pouvez désactiver quelque chose d'important.

woz
la source
2
Certains logiciels peuvent patcher les routines des tables de processus et se cacher. Les programmes simples et ceux destinés à être plus fiables (car une modification de ce bas niveau du système peut causer des problèmes) ne masqueront pas les processus ou les fichiers qu'il laisse. Cependant, dire catégoriquement que toutes les applications apparaissent définitivement n'est pas une bonne déclaration car il est trivial de patcher le moniteur d'activité ou la table de processus elle-même avec quelques travaux d'ingénierie légers.
bmike
Il s'agit d'une confiance risquée sur une application connue ( Activity Monitor) pas trop difficile à faire mentir.
dan
0

Si vous avez été piraté, l'enregistreur de frappe doit signaler. Il peut le faire immédiatement ou le stocker localement et le vomir périodiquement vers une destination réseau.

Votre meilleur pari est de récupérer un vieil ordinateur portable, idéalement avec 2 ports Ethernet, ou, à défaut, avec une carte réseau PCMCIA. Installez un système BSD ou Linux dessus. (Je recommanderais OpenBSD, puis FreeBSD juste pour une gestion plus facile)

Configurez l'ordinateur portable pour servir de pont - tous les paquets sont passés. Exécutez tcpdump sur le trafic dans les deux sens. Écrivez tout sur une clé USB. Changez périodiquement le lecteur, ramenez le lecteur rempli à la maison et utilisez éthéré ou snort ou similaire pour parcourir le fichier de vidage et voir si vous trouvez quelque chose d'étrange.

Vous recherchez du trafic vers une combinaison ip / port inhabituelle. C'est difficile. Je ne connais pas de bons outils pour aider à vaincre l'ivraie.

Il est possible que le logiciel espion écrit sur le disque local couvrant ses pistes. Vous pouvez vérifier cela en démarrant à partir d'une autre machine, démarrez votre mac en mode cible (il agit comme un périphérique firewire) Scannez le volume, en saisissant tous les détails que vous pouvez.

Comparez deux exécutions de cela sur des jours différents en utilisant diff. Cela élimine les fichiers identiques sur les deux exécutions. Cela ne trouvera pas tout. Par exemple, une application Blackhat peut créer un volume de disque sous forme de fichier. Cela ne changera pas grand-chose si l'application Black peut faire en sorte que les dates ne changent pas.

Le logiciel peut vous aider: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Utile pour surveiller les fichiers / autorisations modifiés. Destiné à * ix, je ne sais pas comment il gère les attributs étendus.

J'espère que cela t'aides.

Sherwood Botsford
la source
-2

Pour détecter et supprimer des applications, vous pouvez utiliser n'importe quel logiciel de désinstallation pour Macintosh (comme CleanMyMac ou MacKeeper).

user63452
la source
Comment cette personne trouverait-elle le logiciel espion en premier lieu (avant d'utiliser l'application de désinstallation)?
MK
mackeeper est le pire logiciel de tous les temps
Juan