Defensa contra el teclado Keylogger

20

Me pregunto si hay una manera de defenderse contra el Teclado del teclado USB (obviamente, aparte de revisar físicamente el teclado cada vez que dejé mi computadora desatendida).

En estos días, la gente puede comprar keyloggers chew hw, como el Keyllama USB Keylogger , que son pequeños y bastante difícil de descubrir a menos que lo estés buscando.

Si alguien quisiera instalar dicho keylogger en mi computadora, primero tendría que desconectar el teclado. Siempre que la máquina esté en funcionamiento (siempre la dejo en funcionamiento), este evento se registrará en /var/log/kernel.log . Así que esa podría ser una forma de alertarme.

¿Hay alguna otra manera?

EDITAR: Debería agregar que todo mi disco duro está cifrado y, por lo tanto, un atacante no puede simplemente arrancar desde USB / CD y modificar mi sistema. Él podría formatear mi disco / destruir mi máquina, pero ese no es el problema aquí.

También, cuando salgo de mi oficina, dejo mi máquina en funcionamiento, pero siempre me desconecto.

En mi oficina, los cortes de energía son extremadamente raros. Si sucede uno, esta será una razón para que compruebe a fondo mi máquina en busca de posibles intrusiones.

    
pregunta Martin Vegter 22.10.2013 - 17:35
fuente

7 respuestas

10

El uso de una computadora portátil efectivamente previene esto.

Puedes pegar el teclado en la toma USB. No es ideal, pero hey :-)

Otra es usar un teclado Bluetooth, con Bluetooth integrado en la computadora.

Pero todos estos son realmente kludges; en general, estoy de acuerdo con los otros comentarios de que si un atacante tiene acceso físico, la mayoría de las apuestas están desactivadas.

Este es un buen ejemplo de dónde es importante entender a tu potencial atacante. El enfoque del teclado Bluetooth detendrá de manera confiable a un colega que instala casualmente un dispositivo de este tipo. No detendrá a la CIA / NSA, pero probablemente no te importe eso. Muchas de las otras respuestas asumen que sus posibles atacantes tienen gran habilidad y recursos. Si eres un gran objetivo, supongo que no estarías preguntando esto en Internet :-)

    
respondido por el paj28 23.10.2013 - 03:29
fuente
6

Toda la defensa contra el acceso físico requiere que uses seguridad física.

Considere bloquear su sistema y todos los periféricos de interfaz en un estuche rígido seguro, uno que deba dañarse / destruirse para poder acceder físicamente dentro de ellos. De esta manera, al menos sabes cuando algo ha sido manipulado físicamente. Combine esto con la seguridad del software, como el cifrado de disco completo, y tiene una confianza excelente en que solo podrá acceder a los datos de esta máquina (incluso bajo presión, si utiliza las características ocultas del sistema operativo de TrueCrypt y, por supuesto, suponiendo que no o acceso a la red limitado) .

Estaba considerando escribir una defensa contra el ataque EvilMaid que esencialmente modifica el cargador de arranque TrueCrypt para guardar su contraseña para su posterior recuperación. Pero debe tener en cuenta que no importa si conectaron un keylogger o modificaron los datos de su disco, etc., puede pasar muchas horas pensando en las defensas para las circunstancias individuales, pero siempre habrá una técnica más sutil que se puede usar ( incrustar el keylogger en el teclado, tocar el cable de cinta VGA en su computadora portátil, todo es factible).

El acceso físico solo puede defenderse con seguridad física.

    
respondido por el deed02392 22.10.2013 - 18:22
fuente
3

Como dijo @Iszi, cuando el atacante tiene acceso físico, puede hacer mucho daño. En algunas circunstancias, puede que ni siquiera tenga que quitarse la capucha; el acceso a un puerto USB puede ser suficiente para tomar el control total de la máquina (consulte esta pregunta ). Si el atacante secuestra la máquina, puede eliminar líneas incriminatorias de los archivos de registro; También puede instalar su keylogger directamente en la memoria del kernel y otras cosas malas del mismo tipo.

Si el atacante tiene un cuchillo y algunas habilidades en electrónica, también puede acceder a los cables del teclado sin desenchufarlo, y enchufar su dispositivo de espionaje sin que el kernel anfitrión sea informado de ninguna manera. Para el atacante, esto es, por supuesto, bastante más difícil que simplemente enchufar un keylogger estándar; es probable que le lleve unos minutos, y no se puede eliminar de forma discreta.

Un atacante también puede usar un desvío . Puede simular una falta de energía (una corta, durante unos segundos) simplemente tirando del cable de alimentación. Mientras la máquina está apagada, puede enchufar su keylogger y luego volver a conectar el cable de alimentación. Desde los registros de la máquina, todo el proceso realmente se verá como una escasez de energía "normal", como puede ser provocado por una tormenta, o un torpe conserje que maneja su escoba con movimientos excesivamente celosos. Ni una sola línea de registro revelará la presencia del dispositivo keylogger.

La conclusión es que, si bien puede intentar generar alarmas en eventos inesperados de desconexión de USB, hay muchas maneras en que el atacante puede solucionar este mecanismo, y también cualquier otro mecanismo basado en computadora.

    
respondido por el Tom Leek 22.10.2013 - 18:10
fuente
3

Caballeros, vamos.

Ninguna protección es infalible, pero sospecho que ese no es el punto aquí; El punto es no ser un objetivo suave. Claro, un atacante determinado no se detendrá en los obstáculos que pueda encontrar mientras se dirige a una máquina.

Pero debo decirte ... si yo fuera el atacante y viera evidencia de que mi objetivo es muy consciente de la seguridad (digamos que implementa solo una de varias medidas sofisticadas), es probable que encuentre un objetivo más débil atacar. De todos modos, el objetivo de la seguridad es la disuasión, por lo que cada capa única de protección (ya sea simplemente prevención de manipulación o simplemente conciencia) se suma a la "dureza" del objetivo.

Aquí está mi contribución:

Si utiliza un teclado USB, me gustaría encontrar / escribir algún tipo de script .vbs o por lotes que pueda modificarse para avisarle en el momento en que se registra un evento de Windows. observando la eliminación de un dispositivo en un puerto USB específico . Incluso hay scripts que automatizan el envío de un correo electrónico a través de Google a través de la línea de comandos. Y la mayoría de las compañías de telefonía móvil ofrecen la retransmisión de mensajes de correo electrónico a SMS.

Tal vez solo por esa habilidad, puedo quedarme con un teclado basado en USB. Más susceptible al ataque, pero también actúa como un reclamo para que su atacante tome el camino de menor resistencia (y más predecible). Si no puedes evitar un ataque, atrae al atacante a un "punto débil" que puedas proteger. Si eres como yo, al menos miras casi todos los textos que recibes de manera religiosa, y si no es así, puedes establecer un tono de alarma personalizado para este fin para llamar tu atención. Eso le dará la mejor oportunidad de saber no solo if sino cuando alguien ha atacado su máquina, lo que puede darle tiempo para descubrir quién podría ser (quizás configurar una cámara web remota para comenzar a grabar cuando ocurra este evento del sistema: el Programador de tareas de Windows le brinda la capacidad de ejecutar scripts o ejecutables cuando ocurre un evento).

    
respondido por el Daniel 12.11.2013 - 15:44
fuente
1

Ley # 3 de seguridad :

  

Si un malo tiene acceso físico sin restricciones a su computadora, es   ya no es tu computadora

     
  • Podría montar el último ataque de denegación de servicio de baja tecnología y destruir su computadora con un martillo.

  •   
  • Él podría desconectar la computadora, sacarla de tu edificio y retenerla para pedir un rescate.

  •   
  • Podría arrancar la computadora desde un disquete y reformatear el disco duro. Pero espera, dices, he configurado el BIOS en mi computadora   para solicitar una contraseña cuando enciendo el equipo. No hay problema - si él   puede abrir la caja y poner sus manos en el hardware del sistema, podría   simplemente reemplace los chips de la BIOS. (En realidad, hay formas aún más fáciles).

  •   
  • Podría quitar el disco duro de tu computadora, instalarlo en su computadora y leerlo.

  •   
  • Él podría hacer un duplicado de tu disco duro y recuperarlo en su guarida. Una vez allí, tendría todo el tiempo del mundo para dirigir   Ataques de fuerza bruta, como intentar cada contraseña de inicio de sesión posible.   Los programas están disponibles para automatizar esto y, dado el tiempo suficiente, es   casi seguro de que tendría éxito.

  •   
  • Él podría reemplazar su teclado por uno que contenga un transmisor de radio. Entonces él podría monitorear todo lo que escribes, incluyendo tu   contraseña.

  •   

Siempre asuma que el malo ha estado esperando este momento de acceso físico durante semanas o meses. Él ha estado entrenando sobre los cables exactos para usar, podría haber reemplazado todo su teclado con una nueva réplica con errores. El malo siempre será más astuto si se adelanta un paso. Una vez que obtiene esa pequeña ventana de acceso, eso es todo, el juego ha terminado.

    
respondido por el Adi 22.10.2013 - 18:21
fuente
1

La observación de eventos de inserción de USB inesperados y fallas de alimentación inesperadas sería el enfoque más práctico. Al menos te dirían cuándo es el momento de realizar una búsqueda física.

Obviamente, esto se adapta a la amenaza específica de un registrador de claves comercial comercial, y no lo ayudará a defenderse contra un tipo diferente de ataque (Van Eck, detección acústica, malware, etc.), pero cuando los registradores de llaves baratos están disponibles para el delincuente común, ese es el tipo de ataque que puede esperar.

¿Son tales amenazas reales? Una tienda por departamentos de Nordstrom en Texas descubrió que un equipo de tres personas había colocado registradores clave en seis de sus registros de POS a principios de este mes, aparentemente en un intento por escatimar datos de los lectores de tarjetas de crédito incorporados en sus teclados. Fueron capturados solo porque alguien observó el ataque, no por una defensa tecnológica.

    
respondido por el John Deters 23.10.2013 - 14:46
fuente
0

Solo una pequeña adición aquí, lo que ya se ha dicho es bueno:

Su mayor defensa contra los keyloggers y otros ataques físicos es la astucia. Si presta atención a si su equipo ha sido manipulado, hace que sea mucho más difícil utilizar factores como los registradores de teclas.

Tiene razón al decir que los keyloggers están disponibles de forma gratuita, a precios bajos, pero la mayoría están disfrazados como unidades USB, adaptadores o nuevos periféricos. Solo notar si se ha enchufado algo, si se ha interferido con sus periféricos es probablemente su mayor defensa después de cerrar la puerta con llave.

    
respondido por el Owen 12.11.2013 - 16:04
fuente

Lea otras preguntas en las etiquetas