Esistono meccanismi nell'architettura desktop Linux per impedire i keylogger del software dannoso? Quale sarebbe una configurazione Linux ideale per rendere molto difficile per un utente malintenzionato installare un keylogger sul sistema di destinazione?
È importante se usi X vs Wayland vs Mir? In che modo grsecurity o SELinux o altre patch possono aiutarti a migliorare la situazione?
Ci sono molte misure di sicurezza da prendere, a partire da quelle più elementari ma più importanti: buone regole del firewall. Ma questo può essere molto complicato in alcune situazioni. Invece di adottare l'approccio per cercare di rendere qualcosa di molto difficile, perché non prendere il facile modo di rilevare?
Per far funzionare un keylogger, sarebbe necessario un processo attivo. Fai un'istantanea dei tuoi processi quando il sistema viene inizialmente installato / pulito e di tanto in tanto esegui un controllo di elenco dei processi. Se vengono visualizzati nuovi processi, sarete in grado di rilevare ed eliminare rapidamente qualsiasi indesiderato. Se è necessario eseguirne di nuovi, basta aggiornare l'elenco dei processi validi.
Questo può essere reso un po 'più semplice: uno script per esportare l'elenco dei processi in un file, o puoi anche prenderlo un po' oltre e pianificare un script per confrontare i processi in esecuzione con quelli iniziali che sai essere valida.
Un keylogger può essere installato a diversi livelli nel sistema con diversi modi di rilevamento. Hai già altre risposte che spiegano che potrebbe essere installato in un processo dedicato e come rilevare la sua attività.
Ma potrebbe anche essere installato cambiando la parte del server X11 che elabora gli input da tastiera. Se è presentato come un componente aggiuntivo che offre funzionalità aggiuntive come input più semplice su caratteri non ascii, xxx automatico (mette qui la caratteristica più attesa) può anche essere installato volontariamente dall'utente finale sul proprio computer. Altrimenti, potrebbe essere installato (se l'attaccante è riuscito a diventare root) al momento dell'avvio attraverso un modulo init dedicato.
Potrebbe anche essere installato come modulo del kernel e monitorare direttamente l'attività della tastiera fisica. Le procedure di installazione potrebbero essere identiche a quelle del caso precedente.
L'unico modo per proteggere un sistema se si seguono sempre tutte le regole di sicurezza:
E quest'ultimo è il più difficile da seguire. Ovviamente presumo che tu scarichi solo il software di sistema e gli aggiornamenti da fonti ufficiali e controlli i checksum. Ma questo gioco o componente aggiuntivo o utilità sembra così carino ... E non appena qualcuno ti ha fatto eseguire codice che lui voleva mentre non avresti avuto, non è più tuo system.
TL / DR: come al solito, la sicurezza non può essere ridotta a strumenti tecnologici ma dipende molto dalle pratiche umane ...
Come diceva Overmind, Una soluzione semplice per iniziare sarebbe quella di verificare se "fidati" dei tuoi processi attualmente in esecuzione.
Ecco una sceneggiatura carina che ho scritto, l'ho pubblicata sul mio repository github:
cleanproc - sta guardando i processi attualmente in esecuzione ogni 1 secondo checkproc.sh - controlla ogni processo se si trova nel mio whitelist.txt e in caso contrario, mi promette nel terminale e registra i "processi non riconosciuti" in cleanproc.log
Ricorda però che qualsiasi cosa che facciamo per proteggerci da un keylogger, è solo per minimizzare il rischio . Se qualcuno REALMENTE desidera impostare un keylogger sulla tua macchina senza che tu te ne accorga, alla fine lo farà. Non esiste una protezione al 100%.
Leggi altre domande sui tag linux keyloggers