Software confiable de detección de keylogger?

13

Puedo estar soñando aquí

¿Pero hay un método confiable para la detección del software keylogger? Principalmente soy un desarrollador, pero ejecuto un par de servidores y lo que más me preocupa es un keylogger de software en mi sistema personal que hace un buen trabajo al guardar silencio.

¿Hay alguna manera de estar seguro de que no hay un keylogger de software en mi sistema personal que enganche todas mis contraseñas RDP?

security Spencer Ruport
fuente
Este sería un argumento para usar un administrador de contraseñas que puede ingresar sus contraseñas automáticamente, por lo que no tiene que escribirlas cada vez.
David Z
¿RDP no permite el uso de certificados de cliente, como los admitidos por SSH? Si no es así, ¿qué pasa con el uso de SSH para hacer un túnel en el servidor y luego de alguna manera iniciar RDP? (Por otro lado: si uno tiene miedo de tener un registrador de claves instalado, también se podría copiar un certificado de cliente ...)
Arjan

Respuestas:

5

Si no tiene cuidado sobre cómo confía y autentica sus conexiones RDP, sus contraseñas y cualquier otra cosa que escriba se pueden enganchar fácilmente casi en tiempo real a través de la red de cualquier manera ... entonces, ¿por qué preocuparse por los keyloggers locales? ;)

Como algunos ya han dicho, no, no hay forma confiable. Un rootkit puede volverse completamente indetectable por toda la eternidad sin tener que disfrazarse como otro proceso. Nada es seguro Las cosas son inseguras en diversos grados ^^

Un truco podría ser borrar el sistema e instalarlo sin estar conectado a una red. Configure Bitlocker usando TPM y haga que verifique que todos los archivos del sistema no se modifiquen en cada arranque, y deje que le niegue el arranque / descifrado si no (entonces tendrá que hacer un borrado controlado nuevamente). Aún así, todavía hay fallas en las que se podría instalar un keylogger sin ser detectado.

Con todo, usar solo contraseñas no es lo suficientemente bueno para cualquier cosa que requiera un nivel moderado de seguridad. La autenticación de dos factores con contraseñas de un solo uso ayudaría, al igual que la autenticación basada en tarjetas inteligentes u otra autenticación independiente basada en certificados de dispositivos.

Oskar Duveborn
fuente
2

Idealmente, sus servidores serán bastante ajustados: ¿son estos servidores corporativos o servidores personales que también se usan para navegar en la web?

En general, no creo que haya una "única" forma de detectar de manera confiable ningún keylogger arbitrario, pero estas cosas generales pueden ayudar.

  • Verifique el Administrador de tareas. Si hay alguna tarea en ejecución que no reconoce, búsquela con Google.
  • Use msconfig para determinar qué se está ejecutando al inicio
  • Asegúrese de que su software antivirus esté actualizado
  • Ejecute un programa como Anti-Malware de Malwarebyte o Spybot Search & Destroy
  • Realice una búsqueda de los archivos almacenados más recientes y verifique todo lo que se actualiza continuamente
David M Williams
fuente
1
Los servidores están apretados, son mis máquinas las que se conectan a los servidores que me preocupan. He hecho todo lo anterior, pero ninguno de ellos presenta una forma segura de detectar un keylogger. Las tareas se disfrazan de svchost o rundll, hay un montón de otras maneras una aplicación puede iniciar además de lo que hay en msconfig, anti-virus no captura todo y keyloggers podría ser mantener a todos mis pulsaciones de teclado en la memoria
Spencer Ruport
2

No puede haber una forma confiable a menos que controle completamente el hardware del sistema del cliente, porque también hay registradores de teclas de hardware .

E incluso si lo haces, todavía queda el viejo truco de la cámara .

CesarB
fuente
Soy el único que se conecta a estos servidores, así que no me preocupan los registradores de teclas de hardware o las cámaras. Solo software.
Spencer Ruport
0

Puede intentar ejecutar algo como KeyScrambler para protegerse. Por lo que entiendo, se engancha en el sistema a nivel del kernel y envía cualquier programa enganchado a la información de galimatías global de keyhooks (keytroke loggers).

Aparte de eso, teóricamente puedes crear un programa que monitoree al menos las llamadas a la API, pero no pude localizar una.

Adam Brand
fuente