Keylogger? Dipende. Chiamati anche keystroke logger o monitoraggio di sistema, il significato di keylogger fa riferimento a una serie di tecnologie utilizzate per controllare e tenere traccia di ogni tasto che viene digitato su una qualsiasi tastiera di un computer. E non solo: esistono anche keylogger software per monitorare la digitazione su smartphone o su tablet. A che cosa servono?
I keylogger spesso sono utilizzati come strumenti spyware dai cybercriminali per rubare informazioni sensibili e/o strategiche come PII (Personally Identifiable Information), login e altre credenziali di accesso. I tracciamenti dei keylogger, infatti, possono aiutare i responsabili dei sistemi informativi a capire i comportamenti dei dipendenti, possono aiutare i genitori a supervisionare le modalità di navigazione dei figli o, ancora, possono aiutare le forze dell’ordine che, in caso di incidenti informatici, possono analizzare una serie di dati che permettono di risalire a informazioni importanti. In questi ultimi casi citati l’utilizzo dei keylogger è considerato etico o, comunque, appropriato.
Keylogger hardware e software: ecco quali tipologie esistono
Un keylogger ha varie forme. Può essere un piccolo dispositivo che funziona come un connettore hardware che collega la tastiera al computer ed è progettato per assomigliare a un normale connettore PS/2. Avendo l’aspetto di una parte del cablaggio del computer o un adattatore USB passa inosservato ed è questo che rende relativamente facile l’attività di controllo per chi voglia monitorare il comportamento di un utente che lavora al pc. Senza contare che la maggior parte delle tastiere per workstation si collega anche al retro del computer, mantenendo il device lontano dalla linea di vista dell’utente che, in questo modo, non sospetta di essere monitorato.
Esistono anche keylogger hardware sotto forma di modulo e che richiedono di essere installati all’interno della tastiera. Quando l’utente digita, il keylogger raccoglie le sequenze dei tasti, salvando le informazioni sotto forma di testo nel proprio disco rigido in miniatura, il quale può avere una capacità di memoria fino a diversi gigabyte. L’unico impiccio è che la persona che ha installato il keylogger deve poi recuperarlo, rimuovendo fisicamente il dispositivo per accedere ai dati raccolti. Ci sono anche sniffer di keylogger wireless che possono intercettare e decodificare i pacchetti di dati che vengono trasferiti da una tastiera wireless al computer (vedasi figura sottostante).
Altre tipologie di keylogger invece di essere degli hardware sono veri e propri programmi software. Bottom of Form, ad esempio, non richiede l’accesso fisico al computer dell’utente per l’installazione. Può essere scaricato sia da chi voglia monitorare l’attività su un determinato computer, oppure funziona autonomamente: l’utente non si accorge di scaricarlo e attivarlo in quanto parte di un rootkit o di un Trojan di amministrazione remota (RAT – Remote Administration Trojan). Il rootkit può essere avviato e gestito in modalità nascosta, evitando di essere rilevato da un’ispezione manuale o da una scansione ad opera di un antivirus.
Un software di keylogger normalmente è costituito da due file che vengono installati nella stessa directory: un file di libreria a collegamento dinamico (DLL – Dynamic Link Library) che esegue tutta la registrazione e un file di esecuzione che installa il file DLL e lo attiva per farlo funzionare. Il programma registra ogni sequenza di tasti che l’utente digita, trasferendo periodicamente via web le informazioni a chiunque abbia installato il programma. Esistono molti altri modi in cui è possibile progettare un programma di keylogging per monitorare le sequenze di tasti: ad esempio l’hooking delle API di tastiera a un’altra applicazione, l’iniezione di script dannosi od operazioni di memory injection che prevedono l’innesto di codice forzando nelle DLL.
Alcuni keylogger software possono includere funzionalità più complesse come, ad esempio, la registrazione di altri dati utente tipo la pressione dei tasti o, addirittura, l’intercettazione di tutto ciò che è stato trascritto dall’utente, attraverso gli screenshot dello schermo dell’utente o anche di una singola applicazione.
Keylogger remoto
Si tratta di software keylogger che hanno la funzionalità che consente loro di inviare a location remote i dati raccolti localmente.
Tale trasmissione può avvenire in vari modi: upload verso un sito oppure verso un database o un server FTP; è possibile che si verifichi un invio periodico di mail verso un indirizzo predefinito di posta elettronica; si può utilizzare una rete wifi di un sistema già compromesso e, infine, effettuare un login remoto al dispositivo locale da internet o dalla rete per recuperare i dati.
Come rilevare, prevenire e rimuovere, il ruolo di Anti keylogger
Esistendo vari tipi di keylogger che, a loro volta, utilizzano tecniche diverse. Ecco perché gli esperti ammettono che non esiste un metodo di rilevamento o di rimozione univoco ed efficace.
Il software Anti keylogger, ad esempio, è progettato specificamente per la scansione di keylogger software. Il programma effettua una comparazione dei file di un computer rispetto a una keylogger signature base o a una lista di attributi tipici di un keylogger. L’utilizzo di un anti keylogger può essere più efficace rispetto all’utilizzo di un programma antivirus o di un antispyware, in quanto quest’ultimo potrebbe identificare un keylogger come programma legittimo anziché riconoscerlo come spyware. A seconda della tecnica utilizzata dall’applicazione antispyware, è possibile individuare e disattivare il software keylogger con privilegi più alti o più bassi. L’uso di un monitor di rete garantisce che l’utente venga informato ogni volta che un’applicazione tenta di stabilire una connessione, dando al team di sicurezza l’opportunità di interrompere qualsiasi possibile attività del keylogger. La white-list dell’applicazione può anche essere utilizzata per consentire l’esecuzione su un sistema solo di programmi autorizzati e documentati.
Un controllo visivo esperto, invece, aiuta a identificare i keylogger hardware. Certo non è un sistema pratico perché richiede molto tempo, soprattutto se i computer coinvolti nell’ispezione sono tanti.
Le system cages che impediscono l’accesso o la manomissione delle porte USB e PS / 2 sono un metodo interessante, perché possono essere aggiunte alla configurazione del desktop utente. Ovviamente questo a scopo preventivo.
Ulteriori precauzioni includono l’uso di un token di sicurezza come parte dell’autenticazione a due fattori (2FA) per garantire che un utente malintenzionato non possa utilizzare una password rubata per accedere all’account di un utente o utilizzare una tastiera su schermo e un software voce-testo per aggirare l’utilizzo una tastiera fisica.
Spyrix keylogger, una soluzione free download anche per Mac
Spyrix è un esempio di keylogger free che consente il monitoraggio remoto del pc mediante un account Web sicuro, esso registra tutte le battiture sulla tastiera del computer, cattura gli screenshot a intervalli specifici e registra gli Url dei web site visitati.
La soluzione registra anche tutte le informazioni che gli utenti copiano negli appunti. Il keylogger free è poi in grado di monitorare l’attività sui social network e sulle app di messaggistica instantanea.
Si tratta di un keylogger Mac e non solo, il programma non è visibile agli utenti, è facile da installare e può essere consultato da qualsiasi dispositivo ovunque ci si trovi.
Tra le più recenti funzionalità di Spyrix keylogger anche la visione dal vivo dello schermo e la visualizzazione dei dati remoti tramite la mobile app Spyrix Viewer per device Android e iOS.