Can hardware keyloggers be detected? & how?

Ich habe mir vor kurzem die gleiche Frage gestellt, nur für (wahrscheinlich üblichere) steckbare Hardware-Keylogger wie zB USB- oder PS / 2-Keylogger.

Um diese Frage für mich zu beantworten, habe ich kürzlich einen USB-Keylogger zum Experimentieren gekauft. Zwar gibt es sicherlich andere Geräte auf dem Markt und nicht alle funktionieren auf die gleiche Weise, aber das Gerät, das ich gekauft habe ( KeeLog USB Keygrabber ), scheint eine harte Nuss zu sein.

Software verwenden

Was ich bisher ausprobiert habe (unter Linux):

• lsusb und lsusb -t
• lshw
• powertop
• tail -f /var/log/syslog

Keiner dieser Befehle zeigte einen Unterschied, je nachdem, ob der Keylogger verwendet wurde oder nicht. Es wird kein zusätzliches Gerät angezeigt, keine seltsamen Fehlermeldungen im Protokoll, keine unterschiedlichen Busadressen für dasselbe Gerät usw.

Der von mir gekaufte Keylogger verhält sich also nicht wie ein USB-Hub oder ähnliches, er scheint nur jedes Paket auf dem Bus zu passieren (und zu erfassen).

Da der Keylogger jedoch zwischen Computer und Tastatur eingefügt werden muss, können Sie das Entfernen von USB-Tastaturen als verdächtig betrachten. Ich erwarte jedoch einige Fehlalarme.

Bisher konnte ich nur mit zusätzlicher Hardware einen Unterschied feststellen:

Messen des Stromverbrauchs

Ich habe den USB Charger Doctor von Adafruit zwischen meinem Computer und dem Keylogger verwendet, und er zeigte 0,04 A mehr als ohne den Keylogger. Bisher konnte ich diesen Unterschied im Stromverbrauch jedoch nicht mit Software, dh mit sehen powertop.

Diese Art der Erkennung hat jedoch einige Nachteile:

• Das Drücken der Feststelltaste und / oder der Num-Taste auf der Tastatur verursachte außerdem einen zusätzlichen Stromverbrauch der LED, der laut USB Charger Doctor in etwa im selben Bereich lag: 1 LED = 0,03 A, 2 LED = 0,05 A.

• Wenn ich den USB Charger Doctor jedes Mal überprüfen muss, bevor ich einen PC verwende, werde ich wahrscheinlich auch einen USB-Keylogger am selben Ort oder in der Nähe erkennen.

Verwenden zusätzlicher Geräte am selben USB-Anschluss

Wenn Sie beispielsweise bei Amazon nach einem Keylogger suchen, werden Sie feststellen, dass einige nicht funktionieren, wenn ein USB-Hub in der Tastatur vorhanden ist (und andere behaupten, dass ihr Produkt dies tut). Also steckte ich einen einfachen USB-Hub hinter den Keylogger und steckte die Tastatur in den USB-Hub (dh Computer → Keylogger → USB-Hub → Tastatur).

Das Ergebnis war, dass - zumindest bei dem von mir gekauften Keylogger-Modell - weder der USB-Hub noch die Tastatur von meinem Computer mehr erkannt wurden, als auch wenn ich ein USB-Gerät anschließe, keine Spuren in den Protokollen. Die Betriebsanzeige am USB-Hub war jedoch an.

Eine Möglichkeit, die Gefahr, einen USB-Hardware-Keylogger nicht zu erkennen, zu verringern (und nicht mehr), besteht darin, ein USB-Verlängerungskabel an der Rückseite Ihres PCs zu verwenden, das an einer sichtbaren Stelle Ihres Desktops endet und einen USB-Hub und die Tastatur einschließt in die Nabe. Wenn die Tastatur dann plötzlich nicht mehr funktioniert, werden Sie wahrscheinlich die gesamte USB-Kette überprüfen und auf diese Weise einen Keylogger feststellen.

Meine persönliche Empfehlung lautet also:

Stellen Sie sicher, dass Sie den Tastaturanschluss problemlos überprüfen können

Stellen Sie Ihren Schreibtisch und Ihren PC so auf, dass der Anschluss Ihrer Tastatur immer oder zumindest oft genug sichtbar ist:

• Stecken Sie die Tastatur in einen USB-Anschluss an der Vorderseite, wenn sich Ihr PC auf Ihrem Desktop befindet. Derzeit sind die Keylogger noch groß genug, um auf diese Weise wahrgenommen zu werden.

• Wenn Sie nichts von der Vorderseite Ihres PCs (z. B. CD-ROM-Laufwerk) benötigen und sich nicht um die hässliche Rückseite kümmern, drehen Sie Ihren PC so, dass Sie während der Arbeit alle Anschlüsse an der Rückseite sehen können.

• Wenn Sie um Ihren Schreibtisch herum genügend Platz haben und Ihr PC ein Tower-Gehäuse ist, das sich unter Ihrem Schreibtisch befindet, stellen Sie ihn so auf, dass Sie regelmäßig an der Schreibtischrückseite vorbeiziehen und die Rückseite Ihres PCs zB jeden Morgen betrachten Sie kommen zur Arbeit oder so.

Weitere Diskussion

Dieses Thema wurde auch auf der IT-Sicherheits-Site von StackExchange in der Frage " Erkennen von Hardware-Keyloggern ... elegante Lösungen? " Behandelt .

Nun, es gibt eine Möglichkeit, es zu testen, aber es hängt davon ab, welches Protokoll verwendet wird.

Der Zweck eines Loggers besteht beispielsweise darin, die Details an einige Stellen zu senden, an denen möglicherweise die UAC in Windows, eine erweiterte Firewall oder ein AV die gesendete Nachricht erkennen kann.

Wenn der Logger jedoch mit einer SIM-Karte oder ähnlichem ausgestattet ist, dann nein!

Wenn es sich um ein physisches Gerät handelt, können Sie es mit dem Auge erkennen, aber ich bezweifle, dass die Software es erkennen könnte.

Es ist (theoretisch sowieso) möglich, einen akustischen Keylogger in so ziemlich alles zu integrieren, und dies wird es möglich machen (und es ist nicht möglich, dies zu erkennen).

Are we talking about generic hardware or some supposed-to-be-made secure hardware?

First case you're probably out of luck unless the logger makes some mistake.

Second case I could imagine some kind of encryption, which would obviously break compatibility as a standard HID device/keyboard.