¿Cómo saber si el inicio de sesión de la consola es genuino?

En Windows, se puede forzar presionar Ctrl+ Alt+ Delpara activar una interrupción que abre la ventana de inicio de sesión.

Al iniciar sesión en una consola de una computadora Linux: ¿Cómo puedo saber si este inicio de sesión es real o se burló para robar mis credenciales?

Suponiendo que desea estar protegido contra otros usuarios normales del sistema (si el adversario tiene acceso de root, todas las apuestas están desactivadas), en principio podría usar una clave de atención segura :

La clave de atención segura de un sistema operativo es una herramienta de seguridad que se proporciona como protección contra los programas de captura de contraseñas de troyanos. Es una forma invencible de eliminar todos los programas que podrían estar enmascarados como aplicaciones de inicio de sesión. Los usuarios deben aprender a ingresar esta secuencia de teclas antes de iniciar sesión en el sistema.

( Manejo de la clave de atención segura de Linux 2.4.2 (SAK), Andrew Morton, 18 de marzo de 2001 )

Esta pregunta relacionada con U&L puede ser de interés: ¿Cómo puedo encontrar la Clave de atención segura (SAK) en mi sistema y puedo desactivarla?

En primer lugar, no estoy seguro de que pueda confiar demasiado en el Ctrl ventana de inicio de sesión de + Alt+ Delen Windows, esta también es la función de un virus / troyano para secuestrar la interrupción, y su implementación es muy posible.

En segundo lugar, si dicho mecanismo se implementa tanto en Windows / Linux, significa que los privilegios de administrador seguramente están comprometidos.

En Linux, si alguien escribió un shell falso para mostrar un mensaje y capturar sus credenciales, supongo que Ctrl+ Co Ctrl+ básicoZ puede ser suficiente, si esas señales no se detectan para descubrir el truco. También ingresar credenciales incorrectas varias veces puede ayudarlo a ver cualquier desviación del comportamiento normal del temporizador.

Cambiar entre diferentes consolas también aumenta la probabilidad de descubrir el truco.

Pero, en cualquier caso, no puede estar seguro al 100% de ningún tipo de sistema de confiabilidad de su ventana / indicador de inicio de sesión.

Puede usar ctrl+ alt+ F1... F7para ir a otro tty e iniciar sesión desde allí. También puedes usar ctrl+ zo ctrl+c . Sin embargo, si alguien intenta robar su nombre de usuario y contraseña con este método, aún es posible que lo engañen. Depende de qué sistema operativo esté utilizando, quién tuvo acceso a él y qué tipo de acceso tuvo.

En general, nunca puede estar 100% seguro, pero si alguien hiciera esto, supondría que ya tiene acceso de root, por lo que sus datos de inicio de sesión no tendrían sentido para él.

Un usuario (incluso no root) que tiene acceso físico a la consola puede hacer tal truco.

Inicie sesión sshy compruebe qué procesos operan en una consola virtual en la que desea iniciar sesión localmente. Si esgetty (para un TUI tty) u otro administrador de pantalla legítimo? ¿Tiene UID = 0?

Si alguno de los dos es falso, entonces el banner del nombre de host login: ciertamente está falsificado. Pero, como las respuestas estatales ya están escritas, no ayuda contra un malhechor que sus privilegios ya hayan aumentado root.

Respuesta corta: no se puede decir.

Pero si el comando de inicio de sesión ha sido reemplazado, significa que el atacante tiene acceso de root en la máquina. En este caso él / ella también podría:

• he instalado un keylogger para robar tu contraseña. Puede mitigar el problema utilizando una contraseña única, por lo que el atacante no podrá acceder a otros servicios en línea que utilice;
• inicie sesión como usted (o como cualquier otro usuario) en la máquina, simplemente cambiando la contraseña, o acceda a sus archivos (o los de cualquier otra persona).

Por lo tanto, preocuparse si la solicitud de inicio de sesión es legítima o no es un punto discutible.

Como regla general, no debe iniciar sesión en una máquina que cree que podría verse comprometida.