web-dev-qa-db-fra.com

Comment détecter un enregistreur de frappe sur mon système?

Comment puis-je savoir s'il y a un enregistreur de frappe dans mon système, ou du moins s'il en existe un en ce moment?

keyboardsecurity
52
NaomiJO

Un keylogger est-il en cours d'exécution?

  • Premièrement, supposons que vous utilisez un système Ubuntu standard que X a installé et qui a toujours été sous le contrôle de X - où X est vous-même ou quelqu'un de confiance.

  • Comme il s’agit d’un système standard et que tous les logiciels ont été installés à partir des référentiels officiels, vous pouvez être certain qu’il n’y a pas de enregistreur de frappe caché , par exemple. quelqu'un modifie le noyau spécialement pour vous espionner, de sorte qu'il est très difficile à détecter.

  • Ensuite, si un enregistreur de frappe est en cours d’exécution, ses processus seront visibles. Tout ce que vous avez à faire est d'utiliser ps -aux ou htoppour consulter la liste de tous les processus en cours et déterminer si quelque chose est suspect.

    • Les keyloggers Linux "légitimes" les plus courants sont lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys est le seul disponible dans les référentiels Ubuntu.

Ai-je accidentellement téléchargé un trojan/virus keylogger?

  • Généralement, ce risque est très minime sous Ubuntu/Linux en raison des privilèges (suname__) requis.
  • Vous pouvez essayer d'utiliser un détecteur de "rootkit" comme Mitch l'a noté dans sa réponse .
  • Sinon, il s’agit d’analyses médico-légales, telles que les processus de traçage/débogage, l’analyse des modifications de fichiers/les horodatages entre les démarrages, la détection de l’activité réseau, etc.

Et si je suis sur un système Ubuntu "non fiable"?

Et si vous êtes dans un cybercafé/Internet, à la bibliothèque, au travail, etc.? Ou même un ordinateur à la maison utilisé par beaucoup de membres de la famille?

Dans ce cas, tous les paris sont ouverts. Il est assez facile d’espionner vos frappes au clavier si quelqu'un a assez de talent, d’argent ou de détermination:

  • Les enregistreurs de frappe masqués qui modifient le noyau et qu'il est presque impossible d'introduire dans le système de quelqu'un d'autre sont beaucoup plus faciles à introduire lorsque vous êtes l'administrateur d'un laboratoire informatique public et que vous les installez sur vos propres systèmes.
  • Des enregistreurs de frappe USB ou PS/2 matériels se trouvent entre le clavier et l'ordinateur, enregistrant chaque frappe dans la mémoire intégrée; ils peuvent être cachés à l'intérieur du clavier, voire du boîtier de l'ordinateur.
  • Les caméras peuvent être positionnées de manière à ce que vos frappes au clavier soient visibles ou puissent être calculées.
  • Si tout le reste échoue, un État policier peut toujours vous renvoyer après lui pour vous obliger à lui dire ce que vous tapiez à la mitraillette: /

Donc, le mieux que vous puissiez faire avec un système non fiable est de prendre votre propre Live-CD/Live-USB, utilisez votre propre clavier sans fil et branchez-le sur un port USB autre que celui sur lequel le clavier du système est allumé ( en éliminant les enregistreurs matériels cachés dans le clavier et ceux situés sur ce port caché dans l'ordinateur, dans l'espoir qu'ils n'utilisent pas d'enregistreur matériel pour chaque port du système entier), apprenez à repérer les caméras (y compris les endroits susceptibles de contenir des masques) et si vous êtes dans un État policier, terminez ce que vous faites et soyez ailleurs en moins de temps que le temps de réponse de la police locale.

42
ish

Je veux juste ajouter quelque chose que je ne connaissais pas existait sous Linux: la saisie de texte sécurisée.

Sur xterm, Ctrl+ cliquez sur -> "Clavier sécurisé". Ceci fait une demande pour isoler les frappes xterm d'autres applications x11. Cela n'empêche pas les enregistreurs de noyau, mais ne constitue qu'un seul niveau de protection.

13
andychase

Oui, Ubuntu peut avoir un enregistreur de frappe. C'est exagéré, mais cela peut arriver. Il peut être exploité via un navigateur et un attaquant peut exécuter du code avec vos privilèges utilisateur. Il peut utiliser des services de démarrage automatique qui exécutent des programmes lors de la connexion. Tout programme peut obtenir les codes de balayage des touches enfoncées dans le système X Window. Cela est facilement démontré avec la commande xinput. Voir Isolation de l'interface graphique pour plus de détails.1

les enregistreurs de clé Linux doivent avoir un accès root avant de pouvoir contrôler le clavier. à moins qu’ils n’obtiennent pas ce privilège, ils ne peuvent pas exécuter un enregistreur de clé. La seule chose que vous puissiez faire est de rechercher les rootkits. Pour ce faire, vous pouvez utiliser CHKROOTKIT

1 Source: superuser.com

9
Mitch

Les keyloggers Linux peuvent être créés à partir de langues compatibles avec le système et nécessitent l’utilisation d’un stockage de fichiers local pour enregistrer ces données et, s’ils le sont programmés, d’un enregistreur de frappe programmé manuellement ou téléchargé pour fonctionner avec cela. système d’exploitation, il peut s’agir d’un fichier, éventuellement renommé, qui ressemble à un fichier système, n’importe où sur le système.

La dernière fois que j'ai créé/avait un enregistreur de frappe sur mon système, c'était la situation. Il était facile à détecter et à supprimer, mais cela incluait la recherche manuelle de la source et cela prenait un peu de temps.

Si vous avez un enregistreur de frappe de ce type, j'essaierais de le trouver et de le supprimer, mais s'il s'agit effectivement d'un fichier téléchargé ou installé, je considérerais cela très peu probable, car Linux est un système d'exploitation sécurisé qui n'est généralement pas suspect. formes de virus que vous rencontriez normalement sur les systèmes Windows.

1
cossacksman