Linux e Keylogger: cosa sono, come costruirne uno e come difendersi

Scritto il 01/07/2012 - 0:00 da Gaetano Abatemarco
« PRECEDENTE
|
SUCCESSIVO »
Categorie:
Tags:
Suggeriti
speech-dispatcher

Problemi di spegnimento in Ubuntu? Ecco una possibile soluzione

gnome-terminal-google.png

Integrare la ricerca su Google nel terminale di Ubuntu

ubuntu-rising

Unity 8: nasce un nuovo window manager per Mir

wine-logo

Wine 1.5.31 rilasciato: arriva il nuovo motore Gecko

nvidia linux

Rilasciati i nuovi driver NVIDIA 319.23 per Linux

Su tutti i sistemi operativi moderni esiste un metodo per creare profili utenti separati ognuno dei quali ha accesso solo ai propri file.

N.B. Questa non è una guida che spiega come commettere degli illeciti, ha il solo scopo di illustrare le possibili tecniche per rubare informazioni riservate, quali password, username, codici bancari, ecc…e illustrare alcuni accorgimenti da adottare per evitare questi pericoli.

Un esempio in Linux, sono gli utenti, ognuno dei quali ha la propria home in cui conserva i propri dati e a cui hanno accesso l’utente stesso e l’amministratore (salvo permessi particolari). In Ubuntu è stata introdotta anche una sessione speciale, la “Sessione ospiti”, che permette di far utilizzare immediatamente ed in sicurezza il computer anche ad un utente che non ha un profilo su quel computer.

Molte volte c’è l’utente smaliziato che cerca in qualche modo di utilizzare il computer con la sessione del collega, magari inventandosi la scusa di dover controllare velocemente la posta elettronica, in modo tale che possa avere accesso ad esempio ai documenti, foto, ecc. Nel migliore dei casi, se il collega accetta, l’utente smaliziato si siede, comincia a collegarsi alla casella di posta e fa finta di leggere qualche email; non appena il collega si volta magari per andare a prendere un caffe, l’utente smaliziato parte subito alla ricerca dei documenti, delle foto ecc.

In questo caso e nella maggior parte delle volte, purtroppo, l’utente smaliziato ha potuto rubato informazioni più o meno preziose. In generale l’utente smaliziato continuerà a fare il furbetto ad ogni occasione possibile. Non sa, però, che al mondo esiste anche gente molto più furba di lui!

Esistono infatti in commercio dei piccoli oggetti che si mettono tra il cavo della tastiera e la porta della tastiera sul computer, sono i cosiddetti keylogger hardware.

Ne esistono per tutti i tipi di porte: sia usb, come in figura, sia ps/2 per le tastiere usate generalmente sui desktop. Stiamo parlando di dispositivi in grado di intercettare tutti “i tasti” che vengono premuti sulla tastiera e memorizzarli in una memoria interna o inviarli tramite wireless, nei modelli più sofisticati.

Se non sapete di cosa parliamo o volete saperne di più, una semplice ricerca su google vi aiuterà a capire meglio. Ecco, che allora diventa banale, ad esempio, scoprire user-name e password della email, o le credenziali del profilo facebook, ecc.

Questi dispositivi hanno dei costi che si aggirano intorno alle 50€, ma hanno il grosso inconveniente di essere visibili; basta infatti controllare la porta del pc alla quale è collegata la tastiera ed ecco che il trucco è svelato. Esistono in commercio anche versioni da installare nella tastiera, quindi invisibili, ma ecco che l’installazione diventa leggermente più complessa.

Una soluzione più semplice al problema della visibilità è quella di utilizzare i keylogger software, programmi che eseguono la stessa funzione dei keylogger hardware ma senza l’inconveniente di avere oggetti esterni visibili. Il problema più grande di questa soluzione è che l’intercettazione dei dati può avvenire soltanto quando il sistema operativo è avviato, mentre durante la fase di boot nulla potra essere intercettato.

Su Linux (a proposito, Tanino vi ha anche parlato di Logkeys in passato, ottimo keylogger che trovate nei repository di Ubuntu) vi ho parlato di abbiamo un metodo molto semplice per autocostruirli, con un unico semplice comando. Mi limiterò a raccontare la tecnica da usano senza stare a spiegare come metterla effettivamente in pratica per carpire i dati all’insaputa di un potenziale utente ignaro.

N.B. Inizierò ora una breve spiegazione tecnica, mi scuso con quanti ne sanno più di me per i termini banali e sicuramente poco corretti che userò; lo scopo non è quello di fare una lezione sul funzionamento del sistema operativo e delle periferiche, non ho assolutamente nessuna competenza per farlo. L’obiettivo è far capire a grandi linee quello che avviene nella comunicazione tra hardware e software e come sfruttarlo.

In Linux, ogni periferica collegata al computer è rappresentata da un file (virtuale) che fa comunicare il computer e la periferica. Quando un software deve interagire con una periferica, interagisce con questo file virtuale e sarà poi il sistema operativo che si incaricherà di trasferire le informazioni dal file virtuale alla periferica; lo stesso fà la periferica, scrive su questo file e poi sarà il sistema operativo a trasferire le informazioni al software.

Anche la tastiera ha uno di questi file. Quindi, sarà suficiente andare a leggere quello che ci viene scritto e memorizzarlo su un altro file in modo da poterlo leggere quando si vuole.

Da terminale basta dare:

sudo dd if=/dev/input/eventX of=nome_file.keylog

in questo modo il comando dd legge tutti i bit che passano dal file della generica periferica /dev/input/eventX e li memorizza nel file nome_file.keylog.
Terminato di spiare quello che viene scritto attraverso la tastiera, basta premere CTRL+C per terminare l’operazione e dare poi, ad esempio:

gedit && sleep 2 && sudo dd if=nome_file.keylog of=/dev/input/eventX

con il quale avvieremo l’editor di testi, aspetteremo un paio di secondi affinchè venga caricato completamente e aquisisca il focus del cursore e poi inizieremo a leggere il contenuto del file. Molto semplice vero?

Ovviamente in questo modo dovremmo digitare il comando sul terminale, inserire la password, lasciare il terminale in esecuzione, ecc.. tutte cose che potrebbe insospettire l’utente ignaro, ma ovviamente sono tutti problemi facilmente aggirabili, e chi mette in pratica questi metodi li conosce bene e sa come evitarli.

Ecco quindi che, utilizzare il computer di un amico iniziando una nuova sessione, magari proprio la sessione ospiti di Ubuntu, è buona norma non soltanto per la sicurezza dei dati del vostro amico, ma anche e sopratutto per la sicurezza dei vostri dati!

Quando utilizzate un computer portatile o non, ad esempio il pc dell’università o dell’ufficio, è buona norma controllare sempre le porte delle periferiche, potrebbe esserci qualche furbetto che ha installato un keylogger hardware per carpire i vostri dati, e magari controllare anche fra i processi in esecuzione sul monitor di sistema che non ci sia qualche processo sospetto attivo. Occhi ben aperti!

È tutto, hasta pronto!

Chi sono

CEO & Founder di Chimera Revo. Laureato in Informatica, sono un appassionato della tecnologia in generale, tra cui Android. Utilizzo Linux da oramai molti anni ma non disdegno anche gli altri OS. Sono anche tifosissimo della Juventus!