Можно ли обнаружить аппаратные кейлоггеры? & как?

5466
user10853

Можно ли проверить, использует ли устройство «аппаратный» регистратор ключей?

Я уже проверил Как я могу надежно обнаружить регистраторы нажатий клавиш?

В частности, мне интересно узнать, могут ли аппаратные регистраторы ключей быть встроены в USB-мышь или клавиатуру WiFi? И есть ли способ проверить их?

Я хотел бы добавить к вопросу: как? Как я могу обнаружить аппаратный регистратор в обычном устройстве?

0
Обнаружено чем? Прицел, софт, тепло, РФ? Или чем-нибудь? Dave 11 лет назад 2
что-нибудь; обнаружить это всеми возможными способами! user10853 11 лет назад 1
Я редактировал вопрос, спрашивая, как? user10853 11 лет назад 0

4 ответа на вопрос

3
Axel Beckert

Я недавно задавал себе тот же вопрос, только для (возможно, более распространенных) подключаемых аппаратных кейлоггеров, таких как, например, USB или PS / 2 кейлоггеры.

Чтобы ответить на этот вопрос для себя, я недавно купил USB кейлоггер для экспериментов. Хотя на рынке наверняка есть разные устройства, и не все они работают одинаково, приобретенное мной устройство ( KeeLog USB Keygrabber ), похоже, сложно найти.

Использование программного обеспечения

Что я пробовал до сих пор (под Linux):

  • lsusb а также lsusb -t
  • lshw
  • powertop
  • tail -f /var/log/syslog

Ни одна из этих команд не показала никакой разницы в зависимости от того, использовался кейлоггер или нет. Никаких дополнительных устройств не отображается, никаких странных сообщений об ошибках в журнале, никаких разных адресов шины для одного и того же устройства и т. Д.

Таким образом, кейлоггер, который я купил, не ведет себя как USB-концентратор или что-то подобное, он просто проходит (и захватывает) каждый пакет на шине.

Но поскольку кейлоггер должен быть вставлен между компьютером и клавиатурой, вы можете считать любые события отключения USB-клавиатуры подозрительными. Хотя я ожидаю довольно много ложных срабатываний.

Единственный способ увидеть разницу до сих пор был с дополнительным оборудованием:

Измерение потребляемой мощности

Я использовал USB Charger Doctor от Adafruit между моим компьютером и кейлоггером, и он показал на 0,04 A больше, чем без кейлоггера. Но до сих пор я не смог увидеть эту разницу в энергопотреблении с программным обеспечением, т.е. с powertop.

Но у этого вида обнаружения есть несколько недостатков:

  • Нажатие Caps-Lock и / или Num-Lock на клавиатуре также вызвало дополнительное энергопотребление от его светодиода, и это было примерно в том же диапазоне, согласно данным USB Charger Doctor: 1 светодиод = 0,03 А, 2 светодиода = 0,05 А.

  • Если мне придется каждый раз проверять USB-зарядное устройство перед использованием компьютера, я, скорее всего, также обнаружу USB-кейлоггер, расположенный в том же месте или поблизости.

Использование дополнительных устройств на одном USB-порту

Если вы ищете кейлоггер, например, на Amazon, вы заметите, что некоторые не будут работать, если в клавиатуре есть USB-концентратор (а другие утверждают, что их продукт работает). Поэтому я поместил простой USB-концентратор за кейлоггером и подключил клавиатуру к USB-концентратору (т.е. Компьютер → Кейлоггер → USB-концентратор → Клавиатура).

Результатом было то, что - по крайней мере, с моделью кейлоггера, которую я купил - мой компьютер больше не обнаруживал ни концентратор USB, ни клавиатуру, ни следов в журналах, как обычно, когда я подключал устройство USB. Индикатор питания на концентраторе USB был включен.

Таким образом, один из способов избежать (и не более того) опасности отсутствия обнаружения аппаратного кейлоггера USB - использовать удлинительный кабель USB на задней панели компьютера, заканчивающийся в видимом месте на рабочем столе, подключив к нему концентратор USB и клавиатуру. в центр Если вдруг клавиатура перестанет работать, вы, скорее всего, проверите всю цепочку USB и, возможно, заметите кейлоггер.

Итак, моя личная рекомендация:

Убедитесь, что вы можете легко проверить разъем клавиатуры

Настройте рабочий стол и компьютер таким образом, чтобы разъем клавиатуры был всегда или, по крайней мере, достаточно часто виден:

  • Подключите клавиатуру к разъему USB на передней панели, если ваш компьютер находится на рабочем столе. В настоящее время клавиатурные шпионы все еще достаточно велики, чтобы их заметить.

  • Если вам не нужны какие-либо внешние компоненты вашего компьютера (например, привод CD-ROM) и вы не возражаете против его отвратительной задней стороны, переверните компьютер, чтобы вы могли видеть все разъемы на задней панели во время работы.

  • Если у вас есть достаточно места вокруг вашего стола, а ваш ПК - это корпус для вышки, сидящий под вашим столом, настройте его так, чтобы вы регулярно проходили за спинкой своего ПК и смотрели на заднюю часть вашего ПК, например, каждое утро, когда Вы прибываете на работу или около того.

Дальнейшее обсуждение

Эта тема также была рассмотрена на сайте ИТ-безопасности StackExchange в вопросе « Обнаружение аппаратных клавиатурных шпионов… элегантных решений? ».

Спасибо за ваш подробный ответ. Это информативно. user10853 7 лет назад 1
Я вижу возле трекпада моего ноутбука, место поднято, как пузырь внутри. Я подозреваю любое устройство внутри ноутбука, которое было вставлено. Я помню квадратный объект в коробке размера клавиатуры ноутбука ~ 4 на 4 дюйма - он торчал внутри клавиатуры, что выглядело странно. Я думаю, что это подняло это. Как проверить с помощью программного обеспечения? Satya Prakash 6 лет назад 0
2
Dave

Ну, есть способ проверить это, но это зависит от того, какой протокол используется.

Например, цель регистратора - отправить информацию куда-нибудь, поэтому, возможно, UAC в Windows, расширенный брандмауэр или AV могут обнаружить отправляемое сообщение.

Однако, если регистратор построен с SIM-картой или подобным, то нет!

Если это физическое устройство, вы можете обнаружить его на глаз, но я сомневаюсь, что программное обеспечение может обнаружить его.

Подумайте, что OP говорит об аппаратных ключах, которые устанавливаются между оборудованием ввода и компьютером, а затем читаются путем отключения / доступа к ним. Mario 11 лет назад 2
@Mario - спасибо за комментарий, я обновил свой ответ, чтобы отразить это. Dave 11 лет назад 0
@DaveRook точно; например, это может быть добавлено к мини-USB Wi-Fi! Но как хорошо можно было это скрыть? user10853 11 лет назад 0
0
soandos

Возможно (в любом случае, теоретически) встроить акустический кейлоггер практически во что угодно, и это сделает это возможным (и это невозможно обнаружить).

Если это * невозможно * обнаружить, то как к нему обращается тот, кто его установил? a CVn 11 лет назад 0
Аппаратные кейлоггеры @ MichaelKjörling обычно имеют комбинацию клавиш, которая запускает их и сбрасывает сохраненные данные. Renan 11 лет назад 0
@ MichaelKjörling или в этом случае у него может быть свой передатчик soandos 11 лет назад 0
@Renan Если это аппаратное обеспечение, оно должно иметь как минимум некоторое количество схем. Эту схему, хотя, возможно, неочевидную и, вероятно, скрытую, несомненно, можно будет «обнаружить» каким-либо образом. Будет ли это просто, совсем другое дело. a CVn 11 лет назад 1
@soandos определенно должен иметь передатчик; тогда почему кейлоггер будет там? Кроме того, данные могут быть отправлены через Интернет; большинство систем разрешают (по умолчанию) весь исходящий трафик! Конечно, это как-то может быть обнаружено путем мониторинга трафика. user10853 11 лет назад 0
0
Mario

Мы говорим об универсальном оборудовании или о каком-то предполагаемом оборудовании, которое должно быть сделано?

В первом случае вам, вероятно, не повезет, если регистратор не совершит ошибку.

Во втором случае я мог представить какое-то шифрование, которое, очевидно, нарушило бы совместимость стандартного устройства / клавиатуры HID.

хорошо, я думал о обычной Wi-Fi клавиатуре / мыши от какой-то известной компании; не мог бы кто-нибудь добавить к нему регистратор? user10853 11 лет назад 0
Да, если это обычная клавиатура / мышь, вы можете добавлять аппаратное обеспечение в линию для анализа / записи данных, при этом они не будут заметны. Mario 11 лет назад 0

Похожие вопросы