Comment pourrais-je savoir s'il y a un enregistreur de frappe dans mon système, ou tout au moins s'il est actif en ce moment ?
Réponses
Trop de publicités?
Est-ce qu'un enregistreur de frappe est en cours d'exécution en ce moment?
-
Tout d'abord, nous supposerons que vous utilisez un système Ubuntu de base installé par X et qui a toujours été sous le contrôle de X -- où X est vous-même ou quelqu'un en qui vous avez une confiance absolue.
-
Étant donné qu'il s'agit d'un système de base et que tous les logiciels ont été installés à partir des dépôts officiels, vous pouvez être certain qu'il n'y a pas d' enregistreur de frappe caché là-dedans, par exemple, quelqu'un modifie le noyau spécialement pour vous espionner de manière à ce qu'il soit très difficile à détecter.
-
Ensuite, si un enregistreur de frappe est en cours d'exécution, son(ses) processus sera visible(s). Tout ce que vous avez à faire est d'utiliser
ps -auxouhtoppour examiner la liste de tous les processus en cours d'exécution et déterminer s'il y a quelque chose de suspect.- Les enregistreurs de frappe Linux les plus courants "légitimes" sont
lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys est le seul disponible dans les dépôts Ubuntu.
- Les enregistreurs de frappe Linux les plus courants "légitimes" sont
Ai-je téléchargé accidentellement un enregistreur de frappe trojan/virus ?
- En général, ce risque est très faible sur Ubuntu/Linux en raison des privilèges (
su) requis. - Vous pouvez essayer d'utiliser un détecteur de "rootkit" comme Mitch l'a noté dans sa réponse.
- Sinon, il s'agit d'une analyse forensique, telle que le traçage/le débogage des processus, l'examen des modifications/des horodatages des fichiers entre les démarrages, l'écoute de l'activité réseau, etc.
Et si je suis sur un système Ubuntu "non fiable" ?
Alors que faire si vous êtes dans un cybercafé, à la bibliothèque, au travail, etc.? Ou même sur un ordinateur familial utilisé par plusieurs membres de la famille?
Eh bien, dans ce cas, toutes les précautions sont levées. Il est assez facile d'espionner vos frappes si quelqu'un a assez de compétences/d'argent/de détermination :
- Ces enregistreurs de frappe cachés modifiant le noyau, si presque impossibles à introduire dans le système de quelqu'un d'autre, sont beaucoup plus faciles à introduire lorsque vous êtes l'administrateur d'un laboratoire informatique public et que vous les installez sur vos propres systèmes.
- Il existe des enregistreurs de frappe USB ou PS/2 qui se placent entre le clavier et l'ordinateur, enregistrant chaque frappe dans la mémoire intégrée; ils peuvent être cachés à l'intérieur du clavier, voire à l'intérieur du boîtier de l'ordinateur.
- Des caméras peuvent être positionnées de manière à ce que vos frappes soient visibles ou puissent être déduites.
- Si tout échoue, un État policier peut toujours envoyer ses sbires vous forcer à leur dire ce que vous tapiez sous la menace d'une arme à feu :/
Donc, la meilleure chose à faire avec un système non fiable est d'utiliser votre propre Live-CD/Live-USB et l'utiliser, de prendre votre propre clavier sans fil et le brancher sur un port usb autres que celui du clavier du système (éliminant les enregistreurs matériels cachés dans le clavier, et ceux sur ce port cachés dans l'ordinateur, en espérant qu'ils n'ont pas utilisé un enregistreur matériel pour chaque port de l'ensemble du système), d'apprendre à repérer les caméras (y compris les endroits les plus probables pour les caméras cachées), et si vous êtes dans un État policier, terminez ce que vous faites et soyez ailleurs en moins de temps que le temps de réponse de la police locale.
Andy Chase
Points
451
Je voulais juste mentionner quelque chose que je ne savais pas exister sur Linux : l'entrée de texte sécurisée.
Sur xterm, Ctrl+clique -> "Clavier sécurisé". Cela envoie une demande pour isoler les frappes de touche de xterm des autres applications x11. Cela ne prévient pas les enregistreurs de frappe au niveau du noyau, mais c'est juste un niveau de protection.
Mitch
Points
102545
Oui, Ubuntu peut avoir un enregistreur de frappe. C'est un peu tiré par les cheveux, mais cela peut arriver. Il peut être exploité via un navigateur et un attaquant peut exécuter du code avec vos privilèges utilisateur. Il peut utiliser des services de démarrage automatique qui exécutent des programmes lors de la connexion. N'importe quel programme peut rechercher les codes de touche enfoncée dans le système de fenêtrage X. Cela peut être facilement démontré avec la commande xinput. Voir l'isolation de l'interface graphique pour plus de détails.1
Les enregistreurs de frappe linux doivent avoir un accès root avant de pouvoir surveiller le clavier. À moins qu'ils n'obtiennent ces privilèges, ils ne peuvent pas exécuter un enregistreur de frappe. La seule chose que vous pouvez faire est de vérifier les rootkits. Pour cela, vous pouvez utiliser CHKROOTKIT
1Source : superuser.com
Gadgets Loud
Points
31
Les enregistreurs de frappe Linux peuvent être créés à partir de langages compatibles avec le système et nécessiteraient l'utilisation d'un stockage de fichiers local pour enregistrer ces données et, si programmé pour le faire, si vous avez un enregistreur de frappe qui a été programmé manuellement ou téléchargé pour fonctionner avec ce système d'exploitation, il peut en fait être un fichier, éventuellement renommé pour ressembler à un fichier système, n'importe où sur le système.
La dernière fois que j'ai créé/avais un enregistreur de frappe sur mon système, c'était la situation et il était facile de le détecter et de le supprimer, mais cela nécessitait de trouver manuellement la source et cela a pris un peu de temps.
Si vous avez un enregistreur de frappe de ce type, je tenterais de le trouver et de le supprimer, mais s'il s'agit en réalité de quelque chose qui a été téléchargé ou installé, je considérerais cela comme hautement improbable, car Linux est un système d'exploitation sécurisé qui n'est généralement pas sujet aux formes de virus que l'on trouve normalement sur les systèmes Windows.
