Tengo curiosidad por saber cuáles son las posibles soluciones para defenderse contra una computadora integrada con un registrador de teclas instalado. Suponga que tuvo que iniciar sesión en un sitio con un usuario / contraseña y no hay manera de deshabilitar el keylogger. ¿Qué haría uno para deshacerse del keylogger incluso si registra todos los golpes de teclas?
Algunas soluciones posibles que vienen a la mente son copiar y pegar en lugar de escribir.
... presumiblemente creando un archivo con la contraseña en otra máquina y transfiriéndolo a través de la red o dispositivo de almacenamiento de conexión en caliente. Como dice Aria, esto no te protege contra algo que puede leer el portapapeles.
Un teclado en pantalla resuelve el problema de una manera diferente, pero si el registrador está interceptando los eventos clave en la interfaz gráfica de usuario, entonces no hay beneficios.
Otra opción sería establecer la conexión (suponiendo que la contraseña es para un servicio remoto) e inyectar la contraseña real en el proxy, pero esto requeriría acceso a la clave de cifrado del servidor si la conexión utiliza claves ancladas. >
Las contraseñas de una sola vez parecen cumplir con sus requisitos.
Lo que sea .... las contraseñas no tienen valor intrínseco. Son de importancia crítica como medio para proteger los activos con valor. Es decir. Si sabe que la máquina está comprometida, ¿cómo puede estar seguro de que el activo está adecuadamente protegido después de la autenticación?
He visto a los keyloggers ser derrotados (más o menos) escribiendo caracteres desordenados moviendo el cursor usando el mouse. El keylogger obtendrá todos los caracteres que usaste, pero si es lo suficientemente largo no será suficiente para descifrarlo. Lo gracioso es que si supiera que estaba trabajando en una máquina comprometida, les daría información errónea, intentaré rastrearlos y hackearlos / DDOS en lugar de tratar de protegerme.
¿Defender contra una computadora comprometida? Usted no puede
Si un sistema está comprometido, es por su propia naturaleza, perdido. Creo que la terminología a la que te refieres es ¿cómo te recuperarías de este tipo de ataque?
¿Mejor práctica? Limpie el sistema. Empezar de nuevo. Con un ataque tan avanzado como ese, no hay manera de determinar realmente la profundidad de la penetración del sistema sin realizar un análisis exhaustivo y análisis forense.
EDITAR:
Respuesta al comentario:
Supongamos que no tiene más remedio que iniciar sesión en su cuenta en algún servicio y sabe a ciencia cierta que la computadora está en peligro con un keylogger. ¿Qué harías? Eliminar el sistema en este escenario no es una opción
Un método que podría probar es arrancar el sistema utilizando una imagen en vivo de algún tipo (¿Ubuntu quizás?). Suponiendo que el keylogger que está en el sistema está escrito para una máquina con Windows (mayor probabilidad estadística de que este sea el caso) el arranque en una imagen en vivo evitaría que cualquiera de los archivos de su sistema se cargue en la memoria (el keylogger nunca se iniciaría). Puede usar este método para eliminar el keylogger de su sistema original, o simplemente use el navegador en la imagen en vivo para iniciar sesión en cualquier servicio que necesite hacer.
Por supuesto, este método dependerá de qué nivel se está ejecutando el keylogger. Este método supone que se está lanzando al nivel del sistema operativo.
Si el sistema se ve comprometido con el registrador de teclas y quién sabe qué otro malware lo destruye. Posiblemente puedas unidades / volúmenes y los mires con mucho cuidado en una máquina limpia. Pero esto es útil para estudiar el ataque, no para limpiarlo, ya que nunca puedes darles una buena carta de salud con confianza.
Si en este momento debe correr el riesgo de iniciar sesión en una máquina comprometida, puede probar las pantallas de humo como se sugiere en otra respuesta, mover el cursor alrededor, etc. Esto puede ayudar contra los keyloggers simples y automatizados. Sin embargo, un humano que mira el registro puede extraer más información. Además, los registradores de teclas pueden no ser el único malware y, si conoce su campo de contraseña, puede eliminar la contraseña del campo de la contraseña y no del registrador de teclas.
La mejor recomendación es que si debe iniciar sesión, debe reemplazar sus credenciales poco después desde una máquina de confianza. Si no puede hacerlo con prontitud (para empezar, ya que probablemente sintió la necesidad de utilizar la máquina comprometida), puede intentar bloquearse. Posibilidad enviando un correo electrónico o llamando a un administrador del sistema y haga que ella bloquee su cuenta. De este modo, se minimiza la ventana de tiempo para el uso de credenciales robadas.
Una vez que se identifica una máquina comprometida, debe intentar descubrir qué es posible que haya sido robado e invalidar las credenciales expuestas. Y busca signos de movimiento último.
La idea de que puedes derrotar a un misterioso e invisible oponente de registro de claves con copiar / pegar, clics del ratón, espacios en blanco y todo ese tipo de baile de teclas es ridícula. No tendría ninguna manera de saber exactamente qué tipo de datos se están registrando, cómo se están registrando, etc. Habiendo escrito yo mismo los enlaces de intercepción de claves (por razones legítimas), sé que es trivial grabar todos los mensajes de Windows. No confíe en que un atacante no aprendería todo lo que ingresa.
En lugar de imaginar que estás tratando con un registrador de claves, debes sospechar que toda la máquina se ha visto comprometida. Tratar con un sistema comprometido es casi lo mismo, independientemente del tipo de compromiso que sea.
Suponiendo que esta es tu computadora, desconéctala inmediatamente. Desenchufe el cable de red, deshabilite la tarjeta inalámbrica. No permita que la máquina vuelva a conectarse a Internet hasta que haya neutralizado el malware.
Si alguna vez ingresó la información de su tarjeta de crédito en esta máquina, comuníquese con el "departamento de tarjetas perdidas o robadas" de su banco e infórmeles lo que sucedió. Haga esto inmediatamente y solicite una nueva tarjeta de crédito ahora. No sabe si los datos se filtraron, pero no debería correr riesgos.
Suponiendo que ha utilizado la máquina comprometida para ingresar credenciales para iniciar sesión en sitios web u otros lugares, deberá cambiar esas contraseñas ahora. Use una máquina nueva y confiable para iniciar sesión y cambiar sus contraseñas. Esta sería una buena oportunidad para obtener y usar un administrador de contraseñas.
Haga un inventario de los datos en la máquina comprometida y use un dispositivo de almacenamiento masivo USB para hacer una copia de seguridad. Tenga cuidado si realiza una copia de seguridad de los programas, ya que podrían transmitir infecciones; si es posible, planee descargar nuevas copias de Internet. Además, vea si hay una forma de hacer una copia de seguridad de las licencias de software (Office, Windows, etc.) Considere llevar su máquina a un desparasitador profesional, que podría tener una forma de preservar la máquina sin perder esas licencias.
Si sospecha que su tarjeta de crédito fue mal utilizada, este es el momento de considerar ponerse en contacto con las autoridades locales y reportar el ataque. El robo por computadora es un delito, y deberían tratarlo como tal. Pero no espere mucho de ellos: es posible que no tengan un analista forense digital competente; Es posible que no consideren su problema lo suficientemente importante como para investigar; o pueden querer colocar su caso en una cola donde su computadora se sentará en un casillero de evidencia durante seis meses.
Si todavía está manejando el compromiso, es hora de volver a crear la imagen de la máquina. DBAN es una buena herramienta para limpiar a fondo su disco duro; pero tenga en cuenta que destruirá cualquier 'partición de recuperación'. Eso es bueno para tu seguridad, porque no sabes si fueron atacados por el atacante; pero podría dificultar la recuperación si ya no tiene una imagen de SO instalable. También perderá todas las licencias que haya tenido almacenadas en la máquina; aquí es donde es fundamental contar con una copia de seguridad, y por eso recomiendo usar un profesional.
El usuario final puede hacer muy poco para ocultar sus pulsaciones, pero aquí hay algunos métodos "probados" que he usado en el pasado:
Teclado en pantalla
Dependiendo de cómo se implementó el keylogger , el uso de la función de accesibilidad incorporada en Windows puede funcionar bastante bien. Debido a que el teclado virtual se implementa con su propio controlador de dispositivo independiente, un registrador de teclas puede fallar al recoger las teclas presionadas.
Este método es bastante antiguo, y seguramente ha sido "llovido" por los autores de malware.
Obstrucción de autotipo de Keepass
En lugar de simplemente escribir el nombre de usuario y la contraseña, Keepass tiene una característica novedosa. Se llama Autotype Obfuscation , que en efecto hace que sea mucho más difícil averiguar un par de credenciales.
Lo hace combinando el uso del portapapeles, la entrada directa (pulsaciones de teclas virtuales) y desplazando la entrada de cada parte del par de credenciales.
Leer más: enlace
Uso de un rootkit en modo usuario / kernel
Me arriesgaré aquí con la sugerencia de rootkit, pero no te preocupes.
Si el keylogger es un programa de modo de usuario / espacio de usuario, uno podría interceptar las llamadas que hace el keylogger y devolver datos falsos o no válidos. Actualmente hago esto para evitar la copia / apertura de archivos desde los productos de Microsoft Office.
Dependiendo de cómo se implementó el keylogger , no sería muy difícil hacer lo mismo, excepto cuando se intercepta una llamada diferente. Si el keylogger utilizara llamadas directas al sistema de bajo nivel, esto requeriría el uso de un rootkit en modo kernel, y mucho más trabajo.
Lea otras preguntas en las etiquetas defense keyloggers