1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO
2 DEFINIZIONE Strumenti in grado di intercettare e memorizzare ogni tasto digitato dalla tastiera Sia hardware (novità) sia software La KeyGhost produce 2 tipi di dispositivi a tale scopo: KeyGhost Device e KeyGhost Security Keyboard E possibile modificare opportunamente le tastiere normali
3 KEYGHOST DEVICE E un cavo sottile, si nota poco, e memorizza tutto ciò che viene digitato dalla tastiera in una memoria interna con 2 MB. Non serve nessun driver per il suo funzionamento
4 SECURITY KEYBOARD Si comporta come una normale tastiera, ma ha dellhardware specializato per memorizzare in una memoria interna (da 2 MB) il testo digitato
5 SOFTWARE Sono diffusi da più tempo rispetto ai dispositivi hardware (anni 80) Agli albori erano programmi in grado solo di registrare in un file i tasti premuti, oggi hanno tante funzionalità (vediamo dopo) Non sono classificati né tra i virus né tra i Trojan, possono essere installati tramite virus o Trojan (esempio: BugBear)
6 CHI LI USA Hackers: rubare passwords,numeri di carta di credito, ,conversazioni in chat… Genitori per controllare i figli Datori di lavoro per controllare i dipendenti Mariti gelosi, per controllare le mogli (o viceversa!) L FBI: il caso Scarfo Quindi: non sono solo usati per attaccare la sicurezza, ma anche per difenderla
7 COME INSTALLARLI Generalmente non hanno bisogno di installazioni, basta copiare i files necessari al loro funzionamento sullhard disk Lattaccante può installare il software direttamente sulla macchina bersaglio, se ne ha accesso Può in alternativa provare con un Trojan
8 COME AGISCONO Vanno in esecuzione allavvio della macchina Registrano in un file di log tutti i caratteri digitati dallutente Difficile trovare il file di log (directory molto affollata, nome poco significativo) Il file di log può essere criptato
9 COME LEGGERE IL LOG Direttamente se lattaccante ha accesso alla macchina Remotamente: molti keylogger prevedono la possibilità di specificare un indirizzo o un server web cui inviare il log
10 OPZIONI PROGRAMMA Posizione in cui salvare il file di log Scegliere quali tasti si vogliono catturare Criptare il file di log Pianificare lattività del monitoraggio Fissare data e ora dellautodistruzione del programma
11 HARDWARE VS SOFTWARE Hardware molto difficile da individuare se è nascosto dentro la tastiera. Nessun software in grado di rilevarlo o di disabilitarlo Facile installare hardware, anche se la macchina è spenta o protetta da password Il file di log può essere scoperto Per installare hardware serve laccesso fisico alla macchina Lhardware costa di più Lhardware non può catturare informazioni aggiuntive
12 CONTROMISURE (1) Proteggere fisicamente le macchine per impedire linstallazione di dispositivi di keylogging. Controllare leventuale presenza di nuovi cavi Proteggersi dalle intrusioni con firewall e antivirus aggiornati Se il keylogger è già installato sulla macchina:lantivirus non lo individua
13 CONTROMISURE (2) Notare vistosi rallentamenti della macchina allavvio Controllare quali processi siano attivi o verificare se cè del traffico di rete sospetto: problema dellinvisibilità Usare del software anti-keylogging:per esempio Anti-keylogger Corporate Edition.
14 UN ESEMPIO: KEY2LOG Prodotto per la famiglia: non permette linvio del log via rete Non mette icone nel menu Start, né entries nel pannello Installazione Applicazioni Non viene visualizzato nel TaskManager di Windows. Memorizza i tasti premuti in un file di log che può essere anche cancellato dallutente
15 UN ESEMPIO:KEY2LOG (1)
16 UN ESEMPIO: KEY2LOG (2) Key2Log Activated ===> 3/15/02 10:16:47 PM Active Window ===> 3/15/02 10:19:38 PM>>Untitled – Word This is a small test in MS Word to capture a few key strokes Active Window ===> 3/15/02 10:22:38 PM>>Untitled - Notepad this is test number 1 to create a test output log file to display on the product web page.I am now going to reboot the system and give it test 2 now Key2Log Deactivated ===> 3/15/02 10:28:44 PM Key2Log Activated ===> 3/15/02 10:31:09 PM