Можно ли проверить, использует ли устройство "аппаратный" регистратор ключей?

Я уже проверил Как я могу надежно обнаружить регистраторы нажатий клавиш?

В частности, мне интересно узнать, могут ли аппаратные регистраторы ключей быть встроены в USB-мышь или клавиатуру WiFi? И есть ли способ проверить их?

Я хотел бы добавить к вопросу: как? Как я могу обнаружить аппаратный регистратор в обычном устройстве?

4 ответа4

3

Я недавно задавал себе тот же вопрос, только для (возможно, более распространенных) подключаемых аппаратных кейлоггеров, таких как, например, USB или PS/2 кейлоггеры.

Чтобы ответить на этот вопрос для себя, я недавно купил USB кейлоггер для экспериментов. Хотя на рынке наверняка есть разные устройства, и не все они работают одинаково, приобретенное мной устройство (KeeLog USB Keygrabber), похоже, сложно найти.

Использование программного обеспечения

Что я пробовал до сих пор (под Linux):

  • lsusb и lsusb -t
  • lshw
  • powertop
  • tail -f /var/log/syslog

Ни одна из этих команд не показала никакой разницы в зависимости от того, использовался кейлоггер или нет. Никаких дополнительных устройств не отображается, никаких странных сообщений об ошибках в журнале, никаких разных адресов шины для одного и того же устройства и т.д.

Таким образом, кейлоггер, который я купил, не ведет себя как USB-концентратор или что-то подобное, он просто проходит (и захватывает) каждый пакет на шине.

Но поскольку кейлоггер должен быть вставлен между компьютером и клавиатурой, вы можете считать любые события отключения USB-клавиатуры подозрительными. Хотя я ожидаю довольно много ложных срабатываний.

Единственный способ увидеть разницу до сих пор был с дополнительным оборудованием:

Измерение потребляемой мощности

Я использовал USB Charger Doctor от Adafruit между моим компьютером и кейлоггером, и он показал на 0,04 A больше, чем без кейлоггера. Но до сих пор я не смог увидеть эту разницу в энергопотреблении с программным обеспечением, то есть с powertop .

Но у этого вида обнаружения есть несколько недостатков:

  • Нажатие Caps-Lock и / или Num-Lock на клавиатуре также вызвало дополнительное энергопотребление от его светодиода, и это было примерно в том же диапазоне, согласно данным USB Charger Doctor: 1 светодиод = 0,03 А, 2 светодиода = 0,05 А.

  • Если мне придется каждый раз проверять USB-зарядное устройство перед использованием компьютера, я, скорее всего, также обнаружу USB-кейлоггер, расположенный в том же месте или поблизости.

Использование дополнительных устройств на одном USB-порту

Если вы ищете кейлоггер, например, на Amazon, вы заметите, что некоторые не будут работать, если в клавиатуре есть USB-концентратор (а другие утверждают, что их продукт работает). Поэтому я поместил простой USB-концентратор за кейлоггером и подключил клавиатуру к USB-концентратору (т.е. Компьютер → Кейлоггер → USB-концентратор → Клавиатура).

Результатом было то, что - по крайней мере, с моделью кейлоггера, которую я купил - мой компьютер больше не обнаруживал ни концентратор USB, ни клавиатуру, ни следов в журналах, как обычно, когда я подключал устройство USB. Индикатор питания на концентраторе USB был включен.

Таким образом, один из способов избежать (и не более того) опасности отсутствия обнаружения аппаратного кейлоггера USB - использовать удлинительный кабель USB на задней панели компьютера, заканчивающийся в видимом месте на рабочем столе, подключив к нему концентратор USB и клавиатуру. в центр Если вдруг клавиатура перестанет работать, вы, скорее всего, проверите всю цепочку USB и, возможно, заметите кейлоггер.

Итак, моя личная рекомендация:

Убедитесь, что вы можете легко проверить разъем клавиатуры

Настройте рабочий стол и компьютер таким образом, чтобы разъем клавиатуры был всегда или, по крайней мере, достаточно часто виден:

  • Подключите клавиатуру к разъему USB на передней панели, если ваш компьютер находится на рабочем столе. В настоящее время клавиатурные шпионы все еще достаточно велики, чтобы их заметить.

  • Если вам не нужны какие-либо внешние компоненты вашего компьютера (например, привод CD-ROM) и вы не возражаете против его отвратительной задней стороны, переверните компьютер, чтобы вы могли видеть все разъемы на задней панели во время работы.

  • Если у вас есть достаточно места вокруг вашего стола, а ваш ПК - это корпус для вышки, сидящий под вашим столом, настройте его так, чтобы вы регулярно проходили по задней части ПК и смотрели на заднюю часть вашего ПК, например, каждое утро, когда Вы прибываете на работу или около того.

Дальнейшее обсуждение

Эта тема также была рассмотрена на сайте ИТ-безопасности StackExchange в вопросе « Обнаружение аппаратных клавиатурных шпионов… элегантные решения?».

2

Ну, есть способ проверить это, но это зависит от того, какой протокол используется.

Например, цель регистратора - отправить информацию куда-нибудь, поэтому, возможно, UAC в Windows, расширенный брандмауэр или AV могут обнаружить отправляемое сообщение.

Однако, если регистратор построен с SIM-картой или подобным, то нет!

Если это физическое устройство, вы можете обнаружить его на глаз, но я сомневаюсь, что программное обеспечение может обнаружить его.

0

Возможно (в любом случае, теоретически) встроить акустический кейлоггер практически во что угодно, и это сделает это возможным (и это невозможно обнаружить).

0

Мы говорим об универсальном оборудовании или о каком-то предполагаемом оборудовании, которое должно быть сделано?

В первом случае вам, вероятно, не повезет, если регистратор не совершит ошибку.

Во втором случае я мог бы представить какое-то шифрование, которое, очевидно, нарушило бы совместимость стандартного устройства / клавиатуры HID.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .