web-dev-qa-db-ja.com

キーボードのキーロガーに対する防御

USBキーボードキーロガーを防ぐ方法があるかどうか疑問に思っています(明らかに、コンピューターを離れた後、毎回キーボードを物理的にチェックする以外の方法です)。

最近、人々は Keyllama USB Keylogger のような安価なキーロガーを購入できます。

誰かが私のコンピュータにそのようなキーロガーをインストールしたいと思ったなら、彼は最初にキーボードを外さなければならないでしょう。マシンが実行されている場合(私は常にマシンを実行したままにします)、このイベントは/var/log/kernel.logに記録されます。したがって、それは私に警告する1つの方法かもしれません。

他の方法はありますか?

編集:ハードディスク全体が暗号化されているため、攻撃者はUSB/CDから起動してシステムを変更することはできません。彼は私のディスクをフォーマットしたり私のマシンを破壊したりするかもしれませんが、それはここでは問題ではありません。

また、オフィスを離れるときは、マシンを稼働したままにしますが、常にログアウトします。

私のオフィスでは、停電は非常にまれです。これが発生した場合、これが私のマシンに侵入の可​​能性がないか徹底的にチェックする理由になります。

20
Martin Vegter

ラップトップを使用すると、これを効果的に防止できます。

キーボードをUSBソケットに接着できます。理想的ではありませんが、ちょっと:-)

もう1つは、コンピューターにBluetoothが統合されたBluetoothキーボードを使用することです。

しかし、これらはすべて実際にはクラッジです。一般に、攻撃者が物理的にアクセスできる場合、ほとんどの賭けは無効になるという他のコメントにも同意します。

これは、潜在的な攻撃者を理解することが重要な場合の非常に良い例です。 Bluetoothキーボードアプローチは、同僚がそのようなデバイスを何気なくインストールするのを確実に阻止します。 CIA/NSAを停止することはありませんが、おそらくそれを気にしません。他の多くの回答では、攻撃者は非常にスキルが高く、リソースが豊富であると想定しています。あなたがそれだけのターゲットなら、私はあなたがインターネットでこれを尋ねることはないでしょうね:-)

10
paj28

物理的アクセスに対するすべての防御には、物理​​的セキュリティを使用する必要があります。

システムとすべてのインターフェース周辺機器を安全なハードケースにロックすることを検討してください。ハードケースは、物理的に内部にアクセスするために損傷/破壊する必要があります。このようにして、少なくとも何かが物理的に改ざんされたときを少なくとも知ることができます。これをフルディスク暗号化などのソフトウェアセキュリティと組み合わせると、このマシンのデータにアクセスできるのは自分だけであると確信できます(TrueCryptの非表示のOS機能を使用していて、もちろんネットワークアクセスがないか制限されていると想定している場合) 。


後で取得するためにパスワードを保存するためにTrueCryptブートローダーを本質的に変更するEvilMaid攻撃に対する防御策を書くことを検討していました。しかし、考慮する必要があります。キーロガーを接続したか、ドライブのデータを変更したかは関係ありません。個々の状況に対する防御策を考えるのに永遠に費やすことができますが、使用できるより微妙なテクニックが常にあります(キーロガーをキーボードに埋め込み、ラップトップでVGAリボンケーブルをタップすると、すべて実現可能です)。

物理的アクセスはonly物理的セキュリティで防御できます。

6
deed02392

紳士よ、さあ。

万全を期すための安全対策はありませんが、ここではそれが問題ではないようです。重要なのは、ソフトターゲットではないということです。確かに、決定済み攻撃者は、マシンをターゲットにしているときに遭遇する可能性のある障害に立ち止まることはありません。

しかし、私はあなたに言わなければなりません...私が攻撃者であり、私の標的が非常にセキュリティを意識しているという証拠を見た場合(彼はいくつかの洗練された対策の1つだけを実装しているとしましょう)、攻撃するより弱い標的を見つける可能性があります。とにかくセキュリティの要点はすべて抑止です。そのため、すべての固有の保護層(単に改ざん防止であろうと単に認識であろうと)は、ターゲットの「強固さ」を高めます。

ここに私の貢献があります:

他に何をしていても、USBベースのキーボードを使用している場合は、Windowsイベントが削除されたことをログに記録したときに警告するように変更できる、ある種の.vbsまたはバッチスクリプトを見つけて書き込みたいと思います。 特定 USBポート上のデバイスの。コマンドラインを介してGoogle経由で電子メールを自動送信するスクリプトさえあります。また、ほとんどの携帯電話会社は、電子メールからSMSへのメッセージリレーを提供しています。

おそらく、その機能だけのために、私はUSBベースのキーボードを使い続けるかもしれません。攻撃を受けやすくなりますが、攻撃者にとっては、最小の(そして最も予測可能な)抵抗の経路をとる誘惑としても機能します。攻撃を防ぐことができない場合は、攻撃者をあなたがcanで保護する「弱い場所」に誘い込みます。あなたが私のような人なら、あなたは少なくとも信心深く受け取ったほとんどすべてのテキストをちらりと見ます-そうでなければ、この目的のためにカスタムのアラーム音を設定して注意を引くことができます。 ifだけでなくwhenが誰かにマシンを攻撃された可能性があるため、それがだれであるかを特定するための時間を与える可能性があります(おそらく設定このシステムイベントが発生したときに記録を開始するリモートWebカメラ-Windowsタスクスケジューラでは、イベントが発生したときにスクリプトまたは実行可能ファイルを実行できます。

3
Daniel

@Isziが述べたように、攻撃者が物理的にアクセスできる場合、攻撃者は多くの害を及ぼす可能性があります。状況によっては、フードを外す必要がない場合もあります。 USBポートへのアクセスは、マシンを完全に制御するのに十分かもしれません( この質問 を参照)。攻撃者がマシンを乗っ取れば、ログファイルから問題のある行を削除できます。また、キーロガーをカーネルメモリに直接インストールすることもできます。

攻撃者がナイフと電子機器のスキルを持っている場合、キーボードを外さずにキーボードのワイヤーにアクセスし、ホストカーネルに何らかの方法で知らされることなくスパイデバイスを接続する可能性があります。攻撃者にとって、これはもちろん、市販のキーロガーを接続するよりもかなり難しいものです。彼には数分かかる可能性が高く、慎重に削除することはできません。

diversionも攻撃者が使用できます。電源コードを引っ張るだけで、電力不足(数秒間の短い電力不足)をシミュレートできます。マシンがオフになっている間、彼はキーロガーを差し込み、次に電源コードを差し込むことができます。マシンのログから、嵐や、熱烈なストロークでほうきを扱う不器用な管理人が引き起こす可能性があるように、プロセス全体は「通常の」電力不足のように見えます。単一のログ行では、キーロガーデバイスの存在を明らかにしません。

要するに、予期しないUSB切断イベントでアラームを発生させることはできますが、攻撃者がこのメカニズムや他のコンピューターベースのメカニズムを回避する方法は数多くあります。

3
Tom Leek

予期しないUSB挿入イベントや予期しない電源障害を監視することが、最も実用的なアプローチです。少なくとも彼らはそれが物理的な調査を行う時であるときあなたに言うでしょう。

明らかに、これは市販のキーロガーの特定の脅威に合わせて調整されており、別の種類の攻撃(Van Eck、音響検出、マルウェアなど)に対する防御には役立ちませんが、安価なキーロガーの場合普通の犯罪者がすぐに利用できる、それはあなたが期待できる種類の攻撃です。

そのような脅威は本当ですか?テキサス州のノードストロームのデパートは、3人の乗務員が今月初めに6つのPOSレジスターにキーロガーを置き、キーボードに組み込まれたクレジットカードリーダーからのデータをスキムしようとしていたことを発見しました。彼らは誰かが攻撃を観察しただけで捕らえられました。技術的な防御のためではありません。

1
John Deters

セキュリティの法則#

悪意のある人がコンピュータに無制限に物理的にアクセスできる場合、それはもはやあなたのコンピュータではありません

  • 彼は、究極のローテクサービス拒否攻撃を仕掛け、ハンマーでコンピューターを破壊することができました。

  • 彼はコンピューターのプラグを抜いて、あなたの建物からそれを運び、身代金のためにそれを保持することができました。

  • 彼はフロッピーディスクからコンピューターを起動し、ハードドライブを再フォーマットできます。しかし、あなたが言うには、電源をオンにしたときにパスワードを要求するようにコンピューターのBIOSを構成しました。問題ありません。ケースを開けてシステムハードウェアを手に入れることができれば、BIOSチップを交換するだけです。 (実際にはもっと簡単な方法があります)。

  • 彼はあなたのコンピュータからハードドライブを取り外し、彼のコンピュータにインストールしてそれを読むことができました。

  • 彼はあなたのハードドライブの複製を作成し、それを彼の隠れ家に戻すことができます。いったんそこに到着すると、彼は世界中でいつでも、可能なすべてのログオンパスワードを試すなど、ブルートフォース攻撃を実行することができます。これを自動化するプログラムが利用可能であり、十分な時間が与えられれば、彼が成功することはほぼ確実です。

  • 彼はあなたのキーボードを無線送信機を含むものに置き換えることができます。その後、パスワードを含め、入力するすべてのものを監視できます。

悪者がこの物理的なアクセスの瞬間を数週間または数か月待っていると常に想定してください。彼は使用する正確なワイヤーについてトレーニングしており、キーボード全体を新しいバグのあるレプリカに交換した可能性があります。悪者は常にあなたより一歩先を行くことで勝つでしょう。彼がその小さなアクセスウィンドウを取得したら、それだけです。ゲームオーバーです。

1
Adi

ここで少しだけ追加すると、すでに言われていることが良いです:

キーロガーやその他の物理的攻撃に対する最大の防御は、鋭敏さです。機器が改ざんされているかどうかに注意を払うと、キーロガーなどを使用することが多くの要因で困難になります。

キーロガーは低価格で無料で入手できますが、大部分はUSBドライブ、アダプ​​ター、または新しい周辺機器に偽装されています。何かが接続されているかどうか、周辺機器が妨害されているかどうかを確認することは、おそらくドアをロックした後の最大の防御策です。

0
Owen