web-dev-qa-db-fra.com

Défense contre le clavier Keylogger

Je me demande s'il existe un moyen de défendre le clavier USB Keylogger (évidemment autre que de vérifier physiquement le clavier à chaque fois après avoir quitté mon ordinateur).

De nos jours, les gens peuvent acheter des Keep HW KeyLoggers, tels que le Keylama USB Keylogger , qui sont petits et assez difficiles à découvrir à moins que vous ne le recherchiez.

Si quelqu'un voulait installer ce keylogger sur mon ordinateur, il devra débrancher le clavier en premier. À condition que la machine soit en cours d'exécution (je quitte toujours ma machine à exécuter), cet événement serait connecté /var/log/kernel.log. Donc, cela pourrait être un moyen de vous alerter.

Y a-t-il une autre façon?

Edit: Je devrais ajouter que tout mon disque dur est crypté et qu'un attaquant ne peut donc pas démarrer de USB/CD et modifier mon système. Il pourrait formater mon disque/détruire ma machine, mais ce n'est pas le problème ici.

De plus, quand je quitte mon bureau, je laisse ma machine à courir, mais je me déconnecte toujours.

Dans mon bureau, les pannes de courant sont extrêmement rares. Si l'on se passe, ce sera une raison pour que je vérifie de manière approfondie ma machine pour toute intrusion possible.

20
Martin Vegter

L'utilisation d'un ordinateur portable empêche efficacement cela.

Vous pouvez coller le clavier dans la prise USB. Pas idéal, mais hey :-)

Un autre consiste à utiliser un clavier Bluetooth, avec Bluetooth intégré sur l'ordinateur.

Mais ce sont vraiment toutes les kroups; En général, je suis d'accord avec les autres commentaires que si un attaquant a un accès physique, la plupart des paris sont éteints.

C'est un bon exemple de là où il est important de comprendre votre attaquant potentiel. L'approche du clavier Bluetooth empêche de manière fiable un collègue d'installer avec désinvolture un tel appareil. Cela n'arrêtera pas la CIA/NSA - mais ça ne vous dérange pas ça. Beaucoup d'autres réponses supposent que vos attaquants probables sont hautement qualifiés et dotés de ressources. Si vous êtes une grande partie d'une cible, je suppose que vous ne demanderiez pas cela sur Internet :-)

10
paj28

Toute défense contre l'accès physique nécessite que vous utilisiez la sécurité physique.

Envisagez de verrouiller votre système et de tous les périphériques d'interface dans un cas dur sécurisé, il aurait besoin d'être endommagé/détruit afin d'accéder physiquement à l'intérieur d'eux. De cette façon, vous savez au moins quand quelque chose a été altéré physiquement. Combinez ceci avec une sécurité logicielle telle que le cryptage de disque complet et vous avez une excellente confiance que des données sur cette machine ne sont accessibles que par vous (même sous contrainte, si vous utilisez des fonctionnalités de TRURECRYPT Caché OS de Truecrypt et, bien sûr, ne présumant aucun accès au réseau). .


J'avais tenu d'écrire une défense contre l'attaque de la mystéridité qui modifie essentiellement le chargeur de démarrage Truecrypt pour enregistrer votre mot de passe pour une récupération ultérieure. Mais vous devez envisager, peu importe si elles ont branché un keylogger ou des données modifiées sur votre lecteur, etc., vous pouvez dépenser pour toujours de penser à des défenses pour des circonstances individuelles, mais il y aura toujours une technique plus subtile pouvant être utilisée ( Incorporer le keyLogger dans le clavier, appuyant sur le câble de ruban VGA de votre ordinateur portable, tout est réalisable).

L'accès physique peut seulement être défendu contre la sécurité physique.

6
deed02392

Messieurs, allez.

Aucune sauvegarde n'est infaillible, mais je soupçonne que ce n'est pas le point ici; Le point n'est pas de ne pas être une cible douce. Bien sûr, un déterminé attaquant ne va pas s'arrêter à tous les obstacles qu'il peut rencontrer alors qu'il cible une machine.

Mais je dois vous dire ... Si je devais être l'attaquant et que je voyais des preuves que ma cible est très consciente de la sécurité (disons qu'il implémente une des nombreuses mesures sophistiquées), je suis susceptible de trouver une cible plus faible d'attaquer. L'ensemble de la sécurité est de toute façon la dissuasion, de sorte que chaque couche de protection unique (qu'il s'agisse simplement de falsifier la prévention ou une simple prise de conscience) ajoute à la "ness durci" de la cible.

Alors voici ma contribution ici:

Tout ce que vous avez d'autre que vous ayez bien, si vous utilisez un clavier basé sur USB, je voudrais trouver/écrire une sorte de fichier .vbs ou de script de lots pouvant être modifié pour vous alerter dès qu'un événement Windows est enregistré en notant le retrait d'un périphérique sur un port port USB. Il existe même des scripts qui automatisent l'envoi d'un courrier électronique via Google via une ligne de commande. Et la plupart des compagnies de téléphonie mobile proposent des messages e-mail-SMS relais.

Peut-être que pour cette capacité seule, je pourrais rester avec un clavier basé sur USB. Plus susceptible d'attaquer, mais il agit également comme un atout à votre attaquant de prendre le chemin de la résistance au moins (et la plus prévisible). Si vous ne pouvez pas empêcher une attaque, attirer l'attaquant à un "point faible" que vous peut protéger. Si vous êtes comme moi, vous avez au moins un coup d'œil sur presque chaque texte que vous recevez plutôt religieusement - et sinon, vous pouvez définir une tonalité d'alarme personnalisée à cet effet pour attirer votre attention. Cela vous donnera la meilleure chance de savoir non seulement si mais quand Quelqu'un a attaqué votre machine, qui peut vous donner du temps pour savoir qui cela pourrait être (peut-être configurer une caméra Web distante pour commencer à enregistrer lorsque cet événement système se produit - Windows Task Planetler vous permet d'exécuter des scripts ou des exécutables lorsque un événement se produit).

3
Daniel

Comme @iszi a dit, lorsque l'attaquant a un accès physique, il peut alors faire beaucoup de mal. Dans certaines circonstances, il n'a peut-être même pas à retirer le capot; L'accès à un port USB peut suffire à prendre le contrôle total de la machine (voir cette question ). Si l'attaquant détourne la machine, il peut alors retirer des lignes incriminantes des fichiers journaux; Il peut également installer son keylogger directement dans la mémoire du noyau et d'autres choses diaboliques du même genre.

Si l'attaquant a un couteau et certaines compétences à Electronics, il peut également accéder aux fils du clavier sans le débrancher et brancher son appareil d'espionnage sans que le noyau d'accueil soit informé de quelque manière que ce soit. Pour l'attaquant, cela est bien sûr assez difficile que de simplement brancher un keyloggueur hors tension; Il est susceptible de le prendre quelques minutes et il ne peut être enlevé discrètement.

A Diversion peut également être utilisé par l'attaquant. Il peut simuler une pénurie de puissance (une courte, pendant quelques secondes) en tirant simplement sur le cordon d'alimentation. Bien que la machine soit éteinte, il peut brancher son keylogger, puis brancher le cordon d'alimentation. À partir des bûches de la machine, tout le processus ressemblera vraiment à une pénurie de puissance "normale", comme cela peut être induit par une tempête ou un concierge maladroit qui gère son balai dans des coups tropes. Pas une seule ligne de journalisation ne révélera la présence du périphérique Keylogger.

Le résultat final est que, même si vous pouvez essayer d'augmenter des alarmes sur des événements de déconnexion USB inattendus, l'attaquant peut contourner ce mécanisme, ainsi que tout autre mécanisme basé sur ordinateur.

3
Tom Leek

En observant des événements d'insertion USB inattendus et des défaillances de pouvoir inattendus serait l'approche la plus pratique. Au moins, ils vous diraient quand il est temps de mener une recherche physique.

Évidemment, ceci est adapté à la menace spécifique d'un enregistreur de clé commercial hors tension et ne vous aidera pas à défendre sur un type d'attaque différent (Van Eck, détection acoustique, malware, etc.), mais lorsque des enregistreurs clés bon marché sont facilement accessibles au criminel commun, c'est le genre d'attaque que vous pouvez attendre.

Ces menaces sont-elles réelles? Le grand magasin de Nordstrom au Texas a trouvé un équipage de trois hommes avait placé des enregistreurs clés sur six de leurs registres de POS plus tôt ce mois-ci, apparemment dans une tentative d'encadrer les données des lecteurs de carte de crédit intégrées à leurs claviers. Ils ont été attrapés que parce que quelqu'un a observé l'attaque, pas à cause d'une défense technologique.

1
John Deters

loi n ° 3 de la sécurité :

Si un mauvais gars a un accès physique sans restriction à votre ordinateur, ce n'est plus votre ordinateur

  • Il pourrait monter l'attaque de service ultime de l'attaque de service et écraser votre ordinateur avec un Sledgehammer.

  • Il pourrait débrancher l'ordinateur, le transporter hors de votre bâtiment, et le maintenir pour obtenir une rançon.

  • Il pourrait démarrer l'ordinateur à partir d'une disquette et reformater votre disque dur. Mais attendez, vous dites, j'ai configuré le BIOS sur mon ordinateur pour inviter un mot de passe lorsque je tourne la mise sous tension. Pas de problème - s'il peut ouvrir le boîtier et mettre la main sur le matériel système, il pourrait simplement remplacer les chips du BIOS. (En fait, il y a des moyens encore plus faciles).

  • Il pourrait retirer le disque dur de votre ordinateur, l'installer dans son ordinateur et la lire.

  • Il pourrait faire un double de votre disque dur et le ramener à son repaire. Une fois là-bas, il aurait tout le temps dans le monde pour mener des attaques de force brute, telles que essayer tout mot de passe de connexion possible. Des programmes sont disponibles pour l'automatiser et, étant donné suffisamment de temps, il est presque certain qu'il réussirait.

  • Il pourrait remplacer votre clavier avec celui contenant un émetteur radio. Il pourrait ensuite surveiller tout ce que vous tapez, y compris votre mot de passe.

Supposons toujours que le méchant attendait ce moment d'accès physique pendant des semaines ou des mois. Il s'est entraîné sur les fils exacts à utiliser, il aurait peut-être remplacer votre clavier entier avec une nouvelle réplica bogue. Le mauvais gars se déjouera toujours en faisant une longueur d'avance sur vous. Une fois qu'il obtient cette petite fenêtre d'accès, c'est ça, jeu.

1
Adi

Juste une addition mineure ici, ce qui a déjà été dit est bon:

Votre plus grande défense contre les Keyloggers et d'autres attaques physiques est l'astuce. Si vous faites attention à si votre équipement a été altéré, il en fait de nombreux facteurs plus difficiles à utiliser des éléments comme des Keyloggers.

Vous avez raison de dire que les Keyloggers sont librement disponibles, à bas prix, mais la majorité sont déguisées en tant que disques USB, adaptateurs ou nouveaux périphériques. Il suffit de remarquer si quelque chose a été branché, que vos périphériques soient interfensionnés est probablement votre plus grande défense après avoir enfermé votre porte.

0
Owen