Comment détecter un enregistreur de frappe sur mon système?

52

Comment puis-je savoir s'il y a un enregistreur de frappe dans mon système, ou du moins s'il en existe un en ce moment?

NaomiJO
la source
2
Dans Ubuntu, sauf s’il est déjà fissuré ou piraté (scénario rare), la présence de Keylogger n’est pas possible. Il a un module de sécurité différent et robuste par rapport aux fenêtres.
Atenz le
2
@atenz Faux, si vous exécutez le gestionnaire d'affichage X.org. Juste pour voir à quel point il est facile de compromettre la sécurité, consultez Google "Isolation de l'interface graphique". Comparativement, Windows isole mieux l'interface graphique depuis Vista.
Nanashi No Gombe

Réponses:

44

Un keylogger est-il en cours d'exécution?

  • Premièrement, nous supposerons que vous utilisez un système Ubuntu standard que X a installé et qui a toujours été sous le contrôle de X - X étant votre personne ou une personne en qui vous avez une confiance absolue.

  • Comme il s'agit d'un système standard et que tous les logiciels ont été installés à partir des référentiels officiels, vous pouvez être certain qu'il n'y a pas de keylogger caché , par exemple, quelqu'un modifie le noyau spécialement pour vous espionner, de sorte qu'il est très difficile à détecter.

  • Ensuite, si un enregistreur de frappe est en cours d’exécution, ses processus seront visibles. Tout ce que vous avez à faire est d'utiliser ps -auxou htopde consulter la liste de tous les processus en cours et de déterminer si quelque chose est suspect.

    • Les keyloggers Linux "légitimes" les plus courants sont lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys est le seul disponible dans les référentiels Ubuntu.

Ai-je téléchargé par inadvertance un enregistreur de frappe trojan / virus ?

  • Habituellement, ce risque est très minime sous Ubuntu / Linux en raison des privilèges ( su) requis.
  • Vous pouvez essayer d’utiliser un détecteur de "rootkit" comme Mitch l’a noté dans sa réponse .
  • Sinon, il s’agit d’analyses médico-légales, telles que des processus de traçage / débogage, une analyse des modifications de fichiers / des horodatages entre les démarrages, la détection de l’activité réseau, etc.

Et si je suis sur un système Ubuntu "non fiable"?

Et si vous êtes dans un cybercafé / Internet, à la bibliothèque, au travail, etc.? Ou même un ordinateur à la maison utilisé par beaucoup de membres de la famille?

Dans ce cas, tous les paris sont ouverts. Il est assez facile d’espionner vos frappes au clavier si quelqu'un a assez de talent, d’argent ou de détermination:

  • Les enregistreurs de frappe masqués qui modifient le noyau et qu'il est presque impossible d'introduire dans le système de quelqu'un d'autre sont beaucoup plus faciles à introduire lorsque vous êtes l'administrateur d'un laboratoire informatique public et que vous les installez sur vos propres systèmes.
  • Il existe des enregistreurs de frappe USB ou PS / 2 matériels entre le clavier et l'ordinateur, enregistrant chaque frappe dans la mémoire intégrée; ils peuvent être cachés à l'intérieur du clavier, voire du boîtier de l'ordinateur.
  • Les caméras peuvent être positionnées de manière à ce que vos frappes au clavier soient visibles ou puissent être calculées.
  • Si tout le reste échoue, un État policier peut toujours vous renvoyer après lui pour vous obliger à lui dire ce que vous tapiez à la mitraillette: /

Donc, le mieux que vous puissiez faire avec un système non fiable est de prendre votre propre Live-CD / Live-USB, utilisez votre propre clavier sans fil et branchez-le sur un port USB autre que celui sur lequel le clavier du système est allumé ( en éliminant les enregistreurs matériels cachés dans le clavier et ceux situés sur le port caché dans l'ordinateur, dans l'espoir qu'ils n'utilisent pas d'enregistreur matériel pour chaque port du système entier), apprenez à repérer les caméras (y compris les endroits susceptibles de contenir des masques) et si vous êtes dans un état policier, terminez ce que vous faites et soyez ailleurs en moins de temps que le temps de réponse de la police locale.

ish
la source
Ma question était davantage orientée vers votre dernier point. Les trois exemples que vous avez mentionnés ne sont en réalité pas liés au système. Il n’est donc pas utile d’utiliser un CD live. Je parle simplement du système lui-même, pas de caméras ou d’autres éléments matériels. Comment puis-je savoir s'il y a un crochet sur mon système qui enregistre mes clés?
NaomiJO
13

Je veux juste ajouter quelque chose que je ne connaissais pas existait sous Linux: la saisie de texte sécurisée.

Sur xterm, Ctrl+ cliquez sur -> "Clavier sécurisé". Ceci fait une demande pour isoler les frappes xterm d'autres applications x11. Cela n'empêche pas les enregistreurs de noyau, mais ne constitue qu'un seul niveau de protection.

andychase
la source
2
Votre réponse est la seule qui m’a donné de nouvelles idées. Je n'ai jamais su xterm a cette possibilité.
Shivams
9

Oui, Ubuntu peut avoir un enregistreur de frappe. C'est exagéré, mais cela peut arriver. Il peut être exploité via un navigateur et un attaquant peut exécuter du code avec vos privilèges utilisateur. Il peut utiliser des services de démarrage automatique qui exécutent des programmes lors de la connexion. Tout programme peut obtenir les codes de balayage des touches enfoncées dans le système X Window. Il est facilement démontré avec xinputcommande. Voir Isolation de l'interface graphique pour plus de détails. 1

Les enregistreurs de clé Linux doivent avoir un accès root avant de pouvoir contrôler le clavier. à moins qu’ils n’obtiennent pas ce privilège, ils ne peuvent pas exécuter un enregistreur de clé. La seule chose que vous puissiez faire est de rechercher les rootkits. Pour ce faire, vous pouvez utiliser CHKROOTKIT

1 Source: superuser.com

Mitch
la source
1
Je suis un peu confus: "Tout programme peut obtenir les codes de balayage des touches enfoncées dans le système X Window." "Les enregistreurs de clé linux doivent avoir un accès root avant de pouvoir surveiller le clavier." N'est-ce pas une contradiction?
Guntbert
1
Et juste pour être pointilleux: il y a des keyloggers dans le repo car il y a des cas d'utilisation valables pour qu'un soit présent (voir packages.ubuntu.com/raring/logkeys ), donc ce n'est pas si difficile ;-)
Rinzwind
Qui a examiné le code source de tous les programmes de chkrootkit C, en particulier le script «chkrootkit», pour s’assurer qu’ils n’infectent pas nos ordinateurs avec des rootkits ou des enregistreurs de clé?
Curt
@guntbert Si X est en cours d'exécution, tout logiciel pouvant accéder à la session X peut consigner des clés par défaut. Sinon, vous devez disposer des autorisations nécessaires pour accéder directement au périphérique d'événements linux (que seule la racine possède sur certaines configurations).
L29Ah
1

Les keyloggers Linux peuvent être créés à partir de langues compatibles avec le système et nécessiteraient l’utilisation d’un stockage de fichiers local pour enregistrer ces données et, s’ils le sont programmés, si vous avez un keylogger programmé ou téléchargé manuellement pour fonctionner avec cela. système d’exploitation, il peut s’agir d’un fichier, éventuellement renommé, qui ressemble à un fichier système, n’importe où sur le système.

La dernière fois que j'ai créé / avait un enregistreur de frappe sur mon système, c'était la situation. Il était facile à détecter et à supprimer, mais cela incluait la recherche manuelle de la source et cela prenait un peu de temps.

Si vous avez un enregistreur de frappe de ce type, j'essaierai de le trouver et de le supprimer, mais s'il s'agit effectivement d'un fichier téléchargé ou installé, je considérerais cela hautement improbable, car Linux est un système d'exploitation sécurisé qui n'est généralement pas suspecté. formes de virus que vous rencontriez normalement sur les systèmes Windows.

Cosaque
la source