¿Hay algún mecanismo en la arquitectura de escritorio de Linux para evitar los keyloggers de software malicioso? ¿Cuál sería la configuración ideal de Linux para que sea muy difícil para un atacante instalar un keylogger en el sistema de destino?
¿Importa si usas X vs Wayland vs Mir? ¿Cómo pueden Grsecurity o SELinux o cualquier otro parche ayudar a mejorar la situación?
Hay muchas medidas de seguridad que tomar, comenzando con las más básicas pero más importantes: buenas reglas de firewall. Pero esto puede ser muy complicado en algunas situaciones. En lugar de tomar el enfoque para intentar hacer algo muy difícil, ¿por qué no tomar la forma de detección fácil?
Para que un keylogger funcione, se requiere un proceso activo. Tome una instantánea de sus procesos cuando el sistema está inicialmente instalado / limpio y luego, de vez en cuando, ejecute una verificación de la lista de procesos. Si aparecen nuevos procesos, entonces podrá detectar y eliminar rápidamente cualquier proceso no deseado. Si necesita ejecutar nuevos, solo actualice la lista de procesos válidos.
Esto se puede hacer un poco más fácil: un script para enviar la lista de procesos a un archivo, o incluso puede llevarlo un poco más lejos y programar y ejecutar un script para comparar los procesos en ejecución con los iniciales que sabe que son. válido.
Un registrador de claves se puede instalar en diferentes niveles en el sistema con diferentes formas de detección. Ya tiene otras respuestas que explican que podría instalarse en un proceso dedicado y cómo detectar su actividad.
Pero también podría instalarse cambiando la parte del servidor X11 que procesa las entradas del teclado. Si se presenta como un complemento que ofrece capacidades adicionales, como una entrada más simple para caracteres no ascii, xxx automático (que le proporciona la característica más esperada aquí), incluso el usuario final puede instalarlo voluntariamente en su propia máquina. De lo contrario, podría instalarse (si el atacante logró convertirse en root) en el momento del arranque a través de un módulo de inicio dedicado.
También se puede instalar como un módulo del kernel y monitorear directamente la actividad física del teclado. Los procedimientos de instalación podrían ser idénticos a los del caso anterior.
La única forma de proteger un sistema si siempre se siguen todas las reglas de seguridad:
Y este último es el más difícil de seguir. Por supuesto, asumo que solo descarga el software del sistema y las actualizaciones de fuentes oficiales y controla las sumas de comprobación. Pero este juego o complemento o utilidad se ve tan lindo ... Y tan pronto como alguien te obliga a ejecutar el código que él quería y no tenías, ya no es tu system.
TL / DR: como es habitual, la seguridad no puede reducirse a herramientas tecnológicas, pero depende en gran medida de las prácticas humanas ...
Como dijo Overmind, Una solución simple para comenzar sería verificar si "confía" en los procesos que se están ejecutando actualmente.
Aquí hay un lindo script que escribí, lo publiqué en mi repositorio de github:
cleanproc : observa los procesos que se están ejecutando actualmente cada 1 segundo checkproc.sh : verifica todos los procesos si están en mi whitelist.txt y, si no, me promete en el terminal y registra los "procesos no reconocidos" en cleanproc.log
Recuerde, sin embargo, que todo lo que hagamos para protegernos de un registrador de teclas es solo para minimizar el riesgo . Si alguien REALMENTE desea configurar un keylogger en su máquina sin que se dé cuenta, al final lo hará. No hay 100% de protección.
Lea otras preguntas en las etiquetas linux keyloggers