Можно ли обнаружить аппаратные кейлоггеры? & как?

Можно ли проверить, использует ли устройство "аппаратный" регистратор ключей?

Я уже проверил Как я могу надежно обнаружить регистраторы нажатий клавиш?

В частности, мне интересно узнать, могут ли аппаратные регистраторы ключей быть встроены в USB-мышь или клавиатуру WiFi? И есть ли способ проверить их?

Я хотел бы добавить к вопросу: как? Как я могу обнаружить аппаратный регистратор в обычном устройстве?

Источник

4 ответа

Решение

Ну, есть способ проверить это, но это зависит от того, какой протокол используется.

Например, цель регистратора - отправить информацию куда-нибудь, поэтому, возможно, UAC в Windows, расширенный брандмауэр или AV может обнаружить отправляемое сообщение.

Однако, если регистратор построен с SIM-картой или подобным, то нет!

Если это физическое устройство, вы можете обнаружить его на глаз, но я сомневаюсь, что программное обеспечение может обнаружить его.

Источник

Я недавно задавал себе тот же вопрос, только для (возможно, более распространенных) подключаемых аппаратных кейлоггеров, таких как, например, USB или PS/2 кейлоггеры.

Чтобы ответить на этот вопрос для себя, я недавно купил USB кейлоггер для экспериментов. Хотя на рынке наверняка есть разные устройства, и не все они работают одинаково, приобретенное мной устройство ( KeeLog USB Keygrabber), похоже, сложно найти.

Использование программного обеспечения

Что я пробовал до сих пор (под Linux):

  • lsusb а также lsusb -t
  • lshw
  • powertop
  • tail -f /var/log/syslog

Ни одна из этих команд не показала никакой разницы в зависимости от того, использовался кейлоггер или нет. Никаких дополнительных устройств не отображается, никаких странных сообщений об ошибках в журнале, никаких разных адресов шины для одного и того же устройства и т. Д.

Таким образом, кейлоггер, который я купил, не ведет себя как USB-концентратор или что-то подобное, он просто проходит (и захватывает) каждый пакет на шине.

Но так как кейлоггер должен быть вставлен между компьютером и клавиатурой, вы можете рассматривать любые события отключения USB-клавиатуры как подозрительные. Хотя я ожидаю довольно много ложных срабатываний.

Единственный способ увидеть разницу до сих пор был с дополнительным оборудованием:

Измерение потребляемой мощности

Я использовал USB Charger Doctor от Adafruit между моим компьютером и кейлоггером, и он показал на 0,04 A больше, чем без кейлоггера. Но до сих пор я не смог увидеть эту разницу в энергопотреблении с помощью программного обеспечения, то есть с powertop,

Но у этого вида обнаружения есть несколько недостатков:

  • Нажатие Caps-Lock и / или Num-Lock на клавиатуре также вызвало дополнительное энергопотребление от его светодиода, и это было примерно в том же диапазоне, согласно данным USB Charger Doctor: 1 светодиод = 0,03 А, 2 светодиода = 0,05 А.

  • Если мне придется каждый раз проверять USB-зарядное устройство перед использованием ПК, я, скорее всего, также обнаружу USB-кейлоггер, расположенный в том же месте или поблизости.

Использование дополнительных устройств на одном USB-порту

Если вы ищете кейлоггер, например, на Amazon, вы заметите, что некоторые не будут работать, если в клавиатуре есть USB-концентратор (а другие утверждают, что их продукт работает). Поэтому я поместил простой USB-концентратор за кейлоггером и подключил клавиатуру к USB-концентратору (т. Е. Компьютер → Кейлоггер → USB-концентратор → Клавиатура).

В результате, по крайней мере, с купленной моделью кейлоггера мой компьютер больше не обнаруживал ни USB-концентратор, ни клавиатуру, ни следов в журналах, как обычно, когда я подключал USB-устройство. Индикатор питания на USB-концентраторе был включен.

Таким образом, один из способов уменьшить (и не более того) опасность отсутствия обнаружения аппаратного кейлоггера USB - это использовать удлинительный кабель USB на задней панели компьютера, заканчивающийся в видимом месте на рабочем столе, подключив к нему концентратор USB и клавиатуру. в центр. Если вдруг клавиатура перестанет работать, вы, скорее всего, проверите всю цепочку USB и, возможно, заметите кейлоггер.

Итак, моя личная рекомендация:

Убедитесь, что вы можете легко проверить разъем клавиатуры

Настройте свой стол и компьютер таким образом, чтобы разъем клавиатуры был всегда или, по крайней мере, достаточно часто виден:

  • Подключите клавиатуру к разъему USB на передней панели, если ваш компьютер находится на рабочем столе. В настоящее время клавиатурные шпионы все еще достаточно велики, чтобы их заметить.

  • Если вам не нужны какие-либо внешние компоненты вашего компьютера (например, привод CD-ROM) и вы не возражаете против его уродливой задней стороны, разверните компьютер, чтобы вы могли видеть все разъемы на задней панели во время работы.

  • Если у вас есть достаточно места вокруг вашего стола, а ваш ПК - это корпус для вышки, сидящий под вашим столом, настройте его таким образом, чтобы вы регулярно проходили за спинкой своего ПК и смотрели на заднюю часть вашего ПК, например, каждое утро, когда Вы прибываете на работу или около того.

Дальнейшее обсуждение

Эта тема также была рассмотрена на сайте ИТ-безопасности StackExchange в вопросе " Обнаружение аппаратных клавиатурных шпионов… элегантных решений? ".

Источник

Возможно (в любом случае, теоретически) встроить акустический кейлоггер практически во что угодно, и это сделает это возможным (и это невозможно обнаружить).

Источник

Мы говорим об универсальном оборудовании или о каком-то предполагаемом оборудовании, которое должно быть сделано?

В первом случае вам, вероятно, не повезет, если регистратор не совершит какую-либо ошибку.

Во втором случае я мог представить какое-то шифрование, которое, очевидно, нарушило бы совместимость стандартного устройства / клавиатуры HID.

Источник
Другие вопросы по тегам