¿Cómo detectar el software espía / keylogger? [duplicar]

9

Tengo algunas sospechas serias de que mi jefe instaló algún tipo de software espía. Tal vez un keylogger, captura de pantalla o algo para saber lo que hago cuando no está en la oficina.

No tengo nada que ocultar, así que no sé si no me dice nada porque no encontró nada fuera de lugar o porque estoy siendo paranoico y no me está espiando.

De cualquier manera, quiero estar seguro de si me están espiando porque:

  1. No quiero trabajar para alguien que no confía en mí
  2. Es ilegal y no permitiré que nadie almacene mis contraseñas (sí accedo a mi correo electrónico personal, banca en el hogar y cuenta de Facebook durante las pausas para el almuerzo) e información personal.

Entonces ... ¿cómo puedo detectar el software espía en un iMac con OS X 10.6.8? Tengo permisos de administrador completos, lo sé.

Traté de escanear todas las carpetas en la biblioteca de mi usuario y sistema, pero nada sonó, pero como creo que cualquiera de este software ocultaría la carpeta (ya sea por ubicación o nombre), no creo que encuentre una carpeta llamada Datos de espionaje del empleado

También miré todos los procesos que se ejecutan en diferentes momentos con Activity Monitor, pero de nuevo ... no es como si el proceso se llamara SpyAgent Helper

¿Hay una lista de posibles carpetas / procesos conocidos para buscar?

¿Alguna otra forma de detectar?

snow-leopard privacy Juan
fuente
55
Este es tu jefe. Ven a verme mañana. No, solo bromeaba. Dependiendo de lo hábil que sea, puede comenzar por verificar el software disponible de ese tipo para Mac OS X e intentar, por ejemplo, presionar teclas que lo activen. Además, no he encontrado una solución comercial que ofrezca la captura de contraseñas.
Harold Cavendish
1
No es necesariamente ilegal, pero depende de lo que dice su contrato de trabajo y sospecho que podría ser legal simplemente becuse está usando un equipo propiedad de la compañía
user151019
1
Una pregunta similar en Super User . También puede intentar monitorear el tráfico de red con una aplicación como Little Snitch .
Lri

Respuestas:

10

Cualquier tipo de rootkit que valga la pena será casi indetectable en un sistema en ejecución porque se enganchan en el núcleo y / o reemplazan los binarios del sistema para ocultarse. Básicamente, no se puede confiar en lo que está viendo porque no se puede confiar en el sistema. Lo que debe hacer es apagar el sistema, conectar una unidad de arranque externa (no la conecte al sistema en ejecución) y luego arrancar el sistema desde un disco externo y buscar programas sospechosos.

Tyr
fuente
2

Haré la hipótesis de que ya ha verificado minuciosamente que todos los RAT más comunes están apagados o muertos (todos los fragmentos, ARD, Skype, VNC ...).

  1. En una Mac externa y totalmente confiable que ejecute también 10.6.8, instale uno (o ambos) de estos 2 detectores de rootkits:

    1. rkhunter esta es una tradición tgzpara construir e instalar

    2. chkrootkit a través del cual puede instalar brewo macports, por ejemplo:

      port install chkrootkit

  2. Pruébalos en esta Mac confiable.

  3. Guárdelos en una llave USB.

  4. Conecte su llave en su sistema sospechoso que se ejecuta en modo normal con todo como de costumbre y ejecútelos.

dan
fuente
1
Si el rootkit puede detectar la operación de un ejecutable en un instante, puede ocultar sus acciones. Mejor, para iniciar el Mac sospechoso en modo objetivo, luego escanear desde el Mac de confianza.
Sherwood Botsford
¿Quién ha revisado el código fuente de todos los programas chkrootkit C, especialmente el script "chkrootkit", para asegurarse de que no estén infectando nuestras computadoras con rootkits o registradores de teclas?
Curt
1

Una forma definitiva de ver si se está ejecutando algo sospechoso es abrir la aplicación Activity Monitor, que puede abrir con Spotlight o ir a Aplicaciones > Utilidades > Activity Monitor . Una aplicación puede ocultarse a simple vista, pero si se está ejecutando en la máquina, definitivamente aparecerá en el Monitor de actividad. Algunas cosas allí tendrán nombres divertidos, pero se supone que se están ejecutando; así que si no está seguro de qué es, quizás Google antes de hacer clic en Salir del proceso , o podría desactivar algo importante.

woz
fuente
2
Algunos programas pueden parchear las rutinas de la tabla de procesos y ocultarse. Los programas simples y los destinados a ser más confiables (ya que una modificación de ese bajo nivel del sistema puede causar problemas) no ocultarán los procesos o archivos que deja atrás. Sin embargo, decir categóricamente que todas las aplicaciones definitivamente aparecen no es una buena declaración, ya que es trivial parchear el Monitor de actividad o la tabla de procesos en sí con algún trabajo de ingeniería ligero.
bmike
Esta es una confianza arriesgada en una aplicación conocida ( Activity Monitor) no muy difícil de engañar.
dan
0

Si ha sido pirateado, el keylogger tiene que informar. Puede hacer esto inmediatamente o almacenarlo localmente y arrojarlo periódicamente a algún destino de red.

Su mejor opción es buscar una computadora portátil vieja, idealmente con 2 puertos ethernet, o, en su defecto, con una tarjeta de red PCMCIA. Instale un sistema BSD o Linux en él. (Recomendaría OpenBSD, luego FreeBSD solo por una administración más fácil)

Configure la computadora portátil para que actúe como un puente: se pasan todos los paquetes. Ejecute tcpdump en el tráfico de un lado a otro. Escribe todo en una unidad flash. Periódicamente cambie la unidad, llévese la unidad llena a casa y use etéreo o resoplido o similar para revisar el archivo de volcado y ver si encuentra algo extraño.

Está buscando tráfico hacia una combinación inusual de IP / puerto. Esto es dificil. No conozco ninguna buena herramienta para ayudar a eliminar la paja.

Existe la posibilidad de que el spyware escriba en el disco local cubriendo sus pistas. Puede verificar esto iniciando desde otra máquina, inicie su Mac en modo de destino (actúa como un dispositivo firewire) Escanee el volumen, tomando todos los detalles que pueda.

Compare dos ejecuciones de esto en días separados usando diff. Esto elimina los archivos que son iguales en ambas ejecuciones. Esto no encontrará todo. Por ejemplo, una aplicación Blackhat puede crear un volumen de disco como un archivo. Esto no cambiará mucho si la aplicación Black puede organizar que las fechas no cambien.

El software puede ayudar: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Útil para ver los archivos / permisos modificados. Dirigido a * ix, no estoy seguro de cómo maneja los atributos extendidos.

Espero que esto ayude.

Sherwood Botsford
fuente
-2

Para detectar y eliminar aplicaciones, puede usar cualquier software de desinstalación para Macintosh (como CleanMyMac o MacKeeper).

usuario63452
fuente
¿Cómo encontraría esta persona el spyware en primer lugar (antes de usar la aplicación de desinstalación)?
MK
mackeeper es el peor software de la historia
Juan