[...] a che pro parlare di keystroke logging, [...] potrete facilmente comprendere che possibili malintenzionati [...] possono fare uso di questi strumenti al fine di catturare le vostre password, i numeri delle vostre carte di credito, e persino monitorare tutta la vostra e-life.
Link al post sul nuovo blog
Un keyloogger è uno strumento dalla grande potenzialità.
La sua basilare funzione è quella di intercettare tutto ciò che un utente digita, ma spesso non si limita a questo.
Bisogna prima di tutto distinguere le due tipologie di keyloggers:
- hardware, collegati fisicamente al computer.
- software, installati direttamente sul pc o da remoto, veicolati da trojan oppure semplicemente aventi il fine di catturare dei log.
In questo breve articolo si tratterà di keyloggers software.
Si parlava di come un keylogger registri tutto ciò che viene digitato: quanto registrato, non limitandosi spesso ai soli input da tastiera, viene poi inviato via email o ftp, altrimenti salvato in qualche cartella nascosta sul pc "infettato", in attesa di essere prelevato fisicamente.
Ovviamente, vi sono moltissime ramificazioni e vie per inviare, registrare, prelevare o infettare, ma questa non è una guida finalizzata ad incitare atti illegali.
Infatti utilizzare o installa keyloggers su computer altrui, senza l'esplicito consenso, è considerato atto illegale e punibile penalmente.
Qui si vuole solo illustrare gli aspetti principali e le funzioni che generalmente sono proprie dei keyloggers presenti nel net.
Esistono keyloggers freeware, ma anche a pagamento.
Solitamente quelli a pagamento sono finalizzati a monitorare postazioni di lavoro, per prevenire atti illeciti o uno scorretto uso dei computer, oppure in famiglia, per proteggere i figli da malintenzionati e persino dissipare o confermare eventuali dubbi sull' infedeltà del/della partner.
Aprendo una piccola parentesi su quest'ultima osservazione, va sottolineato come internet, i computer, la posta elettronica e l'informatica in generale siano penetrati nella vita di ognuno di noi, rappresentato qualcosa del quale non si può fare a meno.
Un keylogger sviluppato in modo personale avrà funzionalità differenti, a seconda di ciò che il programmatore deciderà.
Invece generalmente i keylogger commerciali rilevano un gran numero di cose, non limitandosi al solo testo.
Se vi domandaste a che pro parlare di keystroke logging, e non vi identificate in nessuna delle ragioni illustrate precedentemente, allora potrete facilmente comprendere che possibili malintenzionati, senza che sia richiesta una enorme esperienza in campo informatico, possono fare uso di questi strumenti al fine di catturare le vostre password, i numeri delle vostre carte di credito, e persino monitorare tutta la vostra e-life.
In questa guida, ahimè anche troppo sbrigativa, desidero sensibilizzare chiunque stia affrontando per la prima volta questi software, senza che gli siano richieste conoscenze specifiche.
Come funziona un keylogger?
Non esiste un solo tipo o un solo genere di keylogger, essi sono molteplici, programmati in più linguaggi e difficilmente identificabili.Alcuni salvano temporaneamente le informazioni sul pc ospite, e raggiunta una certa dimensione del file di log (pre-impostabile), inviano questi dove è stato loro detto.
Altri invece salvano le informazioni sul computer, in cartelle difficili da trovare, solitamente stabilite da colui che installa il programma, in attesa che con una chiave usb o qualsiasi altro mezzo, vengano prelevate.Come detto, nella maggior parte dei casi si tratta di file cryptati o protetti da password, quindi anche nell'eventualità si incappasse nella cartella, questa di rado presenterà nomi tali da far pensare ad una simile attività.
Cosa registra un keylogger solitamente?
Al contrario di quello che il nome potrebbe far pensare, un keylogger può registrare in che finestra vengono digitate le cose, memorizzare eventuali risposte se si tratta di chat, identificare chi invia e chi riceve, mostrando nick ed indirizzo email (ad esempio si pensi ad msn).
Keylogger molto completi si occupano anche di copiare e memorizzare/inviare le mail ricevute e aperte, così come le risposte.
Alcuni possono persino fare screens, cioè letteralmente fotografie al monitor del computer, mostrando tutto ciò che si sta visualizzando e facendo nel dato momento.
Si può stabilire ogni quanto farne, un limite, e molti altri parametri.
Si occupano anche di registrare la cronologia dei siti visitati, dei programmi aperti, dei download effettuati e degli orari di accensione/spegnimento del pc.
Ovviamente, queste sono solo alcune delle cose che possono fare, così come spesso i più sono dotati di un minor numero di funzioni.
Allora per le password e i numeri di carte, non basterebbe tenere tutto memorizzato in un file di testo e utilizzare il copia/incolla?
No, purtroppo no, poichè tutto ciò che viene copiato/incollato viene registrato normalmente, come se fosse stato digitato. Infatti ogni cosa che copiate viene temporaneamente memorizzata nella clipboard.
Se i dati nella maggior parte dei casi vengono inviati via internet, cosa succede quando sono offline?
A meno che il computer che utilizzate resti sempre offline, tutto ciò che viene registrato dal keylogger verrà inviato alla prima connessione effettuata conseguentemente al periodo in cui non siete stati online.
I dati vengono memorizzati in attesa dell'invio, e se è impostata una capacità massima per ogni file, le registrazioni verranno divise in file di quella dimensione, pronti e in attesa della connessione.
Quali e quanti keylogger esistono in giro per la rete?
Esiste un grandissimo numero di keylogger, creati da diversi produttori.
Questa tabella, prelevata dal sito http://keylogger.org/ riporta vari risultati ottenuti in alcuni test, comparandoli. E' importante notare che quelli presenti qua non sono che una minima parte di quelli esistenti.
| Product name |
OS |
Net |
Sec |
Lng |
Mon |
Vis |
Ctrl |
Filt |
Int |
Total |
Try |
Buy |
| Spytech SpyAgent Stealth Edition 6.02.07 |
24 |
35 |
25 |
0 |
94 |
25 |
20 |
70 |
45 |
338 |
|
|
| Stealth Keylogger 4.9 |
22 |
45 |
35 |
0 |
74 |
35 |
0 |
51 |
65 |
327 |
|
|
| SpyBuddy 3.7.5 |
22 |
35 |
25 |
0 |
81 |
25 |
20 |
46 |
55 |
309 |
|
|
| All In One Keylogger 2.9 |
26 |
35 |
40 |
0 |
65 |
37 |
20 |
55 |
25 |
303 |
|
|
| KGB Spy 4.21 |
22 |
25 |
35 |
8 |
63 |
35 |
0 |
75 |
25 |
288 |
|
|
| Perfect Keylogger 1.68 |
26 |
25 |
25 |
8 |
48 |
32 |
0 |
46 |
65 |
275 |
|
|
| Elite Keylogger 3.6 |
10 |
35 |
30 |
0 |
90 |
25 |
0 |
56 |
25 |
271 |
|
|
| XPC Spy Pro 3.18 |
14 |
25 |
25 |
0 |
75 |
25 |
0 |
38 |
65 |
267 |
|
|
| PC Activity Monitor Pro (PC Acme Pro) 6.4.1 |
18 |
25 |
25 |
12 |
92 |
0 |
0 |
49 |
35 |
256 |
|
|
| WinSession Logger 3.9.5 |
22 |
35 |
15 |
8 |
51 |
32 |
20 |
47 |
25 |
255 |
|
|
| ActMon PRO EDITION 5.11 |
16 |
25 |
35 |
0 |
61 |
20 |
0 |
35 |
55 |
247 |
|
|
| Spy Lantern Keylogger Pro 6.0 |
14 |
25 |
35 |
0 |
68 |
15 |
0 |
12 |
65 |
234 |
|
|
| Powered Keylogger 2.2.1.1981 |
18 |
25 |
35 |
0 |
77 |
20 |
0 |
29 |
25 |
229 |
|
|
| Ardamax Keylogger 2.8 |
26 |
35 |
45 |
0 |
44 |
25 |
0 |
19 |
35 |
229 |
|
|
| PC Spy Keylogger 2.3 |
18 |
35 |
25 |
0 |
37 |
20 |
10 |
54 |
25 |
224 |
|
|
| Advanced Keylogger 2.0 [2.0.9.1631] |
24 |
15 |
50 |
0 |
52 |
20 |
0 |
16 |
25 |
202 |
|
|
| Quick Keylogger 2.1[031] |
18 |
0 |
30 |
0 |
12 |
0 |
0 |
10 |
25 |
95 |
|
|
*Abbreviations from the table have the following meanings:
OS - Scores for Operation Systems support (max 26)
Net - Scores for log-file transferring options (max 45)
Sec - Scores for security (max 60)
Lng - Scores for interface language options (max 12)
Mon - Scores for monitoring capabilities (max 165)
Vis - Scores for visual surveillance options (max 42)
Ctrl - Scores for computer use restriction options (max 20)
Filt - Scores for data filtering options (max 85)
Int - Scores for interception abilities (max 75)
Più nello specifico, che differenza c'è tra questi nella tabella?
Al fine di illustrarvela, scriverò alcune recensioni che troverete qui di seguito, basate principalmente sulle informazioni riportate dai siti dei produttori.
Spytech SpyAgent
[uno dei tanti software di questo genere prodotti e venduti dalla Spytech, sul sito http://www.spytech-web.com]
Spytech SpyAgent è un potente software-spia che ti permette di monitorare ogni azione compiuta sul tuo computer. SpyAgent offre sia le più essenziali funzioni di monitoraggio, sia il filtraggio e controllo di siti e programmi, blocco di programmi di chat, invio dei logs via email ed ftp.
SpyAgent è avanzato ed al contempo facile da usare, offrendo il definitivo all-in-one software per monitorare computers.
Questo software permette di registrare:
- tutto ciò che viene digitato
- ogni sito visitato e tutte le ricerche effettuate
- tutte le applicazioni aperte e chiuse.
- le connessioni effettuate.
- tutti i file aperti e stampati
- le conversazioni in chat
- le finestre aperte
- le email inviate e ricevute
- il traffico di dati
Inoltre effettua screenshots ed ha a disposizione la modalità stealth (invisibile)
Stealth Keylogger
[dal sito http://www.amplusnet.com]
Stealth Keylogger offre numerose e complesse soluzioni per uso domestico e lavorativo, con molte caratteristiche avanzate quali tracciare le conversazioni, registrare tutto ciò che viene fatto da chi usa il computer e memorizzare tutte le applicazioni ed i siti web aperti.
Tutte queste funzionalità fanno di questo prodotto un potente software di monitoraggio, uno dei preferiti di coloro che hanno un business. Con questo infatti possono controllare i dipendenti durante le ore lavorative.
Inoltre è largamente usato per scopi privati, quali controllare la propria moglie/marito o i propri figli.
Questo software, oltre a tutte le funzionalità offerte dal precedente, permette anche di specificare il giorno e l'ora nella quale si vuole che il programma inizi a monitorare il computer.
SpyBuddy
[dal sito www.exploreanywhere.com]
SpyBuddy è equipaggiato di tutte le funzionalità per registrare le email mandate e ricevute, tutte le conversazioni in AOL, ICQ, MSN, AIM, Yahoo e Trillian, tutti i siti visitati, tutte le finestre aperte e con le quali si è interagito, ogni applicazione eseguita, ogni documento stampato, ogni file o cartella rinominata/modificata, tutti i test e le immagini memorizzate nella clipboard, tutti i tasti digitati, ogni password inserita e molto ancora.
Questo software tra le varie funzionalità permette anche di essere configurato in modo tale da tenere traccia solo di alcuni utenti di un computer, piuttosto che tutti, e se è presente qualche tool anti-spyware, ha la possibilità di prevenire che questo interferisca con il suo funzionamento.
E' compatibile con tutti i sistemi Windows tranne che, a differenza dei precedenti, Vista.
KGB Spy Software
[dal sito www.refog.com]
KGB Spy Software è una soluzione completa per il monitoraggio locale e remoto delle attività di un utente. Può essere utilizzato per tenere d'occhio le conversazioni dei propri figli, e controllare le attività dei propri dipendenti da qualsiasi parte del mondo. La sue numerose funzionalità lo rendono egualmente adatto per uso professionale e privato.
Questo software integra un gran numero di utilità al fine di monitorare i sistemi. Tiene traccia di ogni parola o tasto digitato, oltre che monitorare la Clipboard e registrare tutto quello che viene incollato.
Il programma traccia anche ogni applicazione e finestra aperta, e tutti i file di log hanno memorizzata l'ora nella quale l'azione è stata compiutà, affinchè tu possa monitorate le attività minuto per minuto.
KGB Spy Software è la tua affidabile sentinella in ogni sistema.
Registra ed effettua screenshot di tutto ciò che viene visitato o effettuato, infatti uno screen porterà un valido sostegno ai tuoi argomenti, mostrando un'innegabile evidenza nel caso venga compiuto qualcosa di sbagliato o illegale.
Il programma è invisibile, non appare nella lista dei processi e nemmeno nelle applicazioni installate. Viene avviato automaticamente all'accensione del computer e salva le registrazioni in files.
Dopo averli inviati, li elimina automaticamente al fine di continuare il suo lavoro.
Inoltre è dotato di un sistema di allarme che, nel caso in cui venissero digitate parole precedentemente stabilite al momento dell'installazione, ti invierà una e-mail in modo istantaneo, così da metterti al corrente immediatamente.
Non vado oltre con la lista di esempi poichè le recensioni dei produttori di questi software sono più o meno simili.
Per essere più veritiero ed oggettivo avrei preferito provarne un po' e poi parlarvene, ma sfortunatamente il loro prezzo è piuttosto elevato. Se ne avessi provati una decina, non avrei speso meno di un migliaio di euro.
Di conseguenza il massimo che posso darvi al momento riguardo ai keylogger commerciali, è questo.
Più avanti probabilmente approfondirò l'argomento "keylogger commerciali", parlandovene in modo più esaustivo.
Il resto delle descrizioni potete trovarlo sia sul sito dal quale ho preso la tabella, sia sui siti ufficiali.
Per quanto riguarda invece i keylogger non commerciali, ma realizzati da privati, appena avrò un po' di tempo scriverò il secondo pezzo della guida. Voglio però avvertirvi che potrà risultare un poco più complicato, in quanto il risultato ottenuto dal programma è magari simile, ma il suo funzionamento varia e può realizzarsi in diversi modi e forme.
A questo proposito colgo l'occasione per sottolineare che questa guida non è stata scritta per tutti coloro che sono esperti in campo informatico, ma per tutti quegli utenti esposti maggiormente al rischio poichè ignari del pericolo, o mal informati.
I primi infatti, volendo andare più a fondo sull'argomento, non avranno difficoltà a trovare decine e centinaia di libri o articoli molto tecnici, grazie ai quali ricaveranno un gran numero di nozioni che torneranno loro utili non solo per difesa, ma anche per sviluppo.
I secondi invece hanno come prima necessità l'essere avvertiti di questo pericolo, in modo da munirsi di protezioni; tra l'altro questi proverebbero scarso interesse verso un articolo ricco di tecnicismi e descrizioni complesse, venendo spinti ad abbandonare la finestra, portando così il conseguente fallimento dell'obbiettivo di tale articolo.
Ma se sono così difficili da identificare, come è possibile proteggersi da questi?
Generalmente gli antivirus non sono in grado di identificarne la presenza, e spesso gli antispyware si rivelano inefficaci. Esistono programmi appositamente creati per la rimozione dei keyloggers; li potrete facilmente trovare attraverso qualche ricerca con Google.
Però, per prevenire, che è meglio di curare, vi inviterei a seguire alcuni semplici consigli:
- non accettate file da persone sconosciute o delle quali non vi fidate al 100%
- evitate di avviare eseguibili se non siete sicuri del loro contenuto e provenienza
- se possibile, comparate le dimensioni di un eseguibile con quelle di un altro del medesimo programma. Se sono uguali, e uno dei due è sicuro, allora nella maggior parte dei casi è indice che anche l'altro è sicuro (non sempre però, state attenti). Vi faccio un esempio: un amico vi passa un antivirus buono, gratuito, e conoscete un altro che lo usa da tanto e se ne intende di pc. Guardate quale è la dimensione dell'eseguibile e domandate al secondo amico quale invece è quella dell'eseguibile da lui utilizzato. A voi poi trarre le conclusioni.
- procuratevi un buon firewall. Anche se spesso non riesce ad impedire il funzionamento di un keylogger, in alcuni casi invece ha successo. Inoltre un firewall è fondamentale, molto più di un antivirus, in quanto è una vera protezione, non una cura.
- visitate solo siti sicuri, non recatevi in posti ad alto rischio, dove potreste venir infettati.
- formattate di tanto in tanto, senza che diventi una mania o una moda. Fare un format ogni tot mesi aiuterà a tenere il computer pulito.
- non fidatevi degli allegati presenti nelle mail in generale, tantomeno di quelli nelle catene.
E in ultimo, nel caso non vogliate ricorrere ad un format e non venga rilevato alcun keylogger, ma il dubbio non vi passa, esistono dei software per il monitoraggio del vostro traffico.
Questi infatti monitorano il vostro "network traffic" e, in caso, evidenziano anomalie o permettono a voi di comprendere se avvengono scambi di pacchetti non desiderati.
Questo sistema ha buone probabilità di funzionare (solo e solamente quando si tratta di keylogging remoto) poichè per comunicare i dati registrati e memorizzati il keylogger deve per forza inviarli.
Postilla finale
Come detto, in questo primo articolo l'attenzione verteva principalmente su software commerciali e la spiegazione aveva un obbiettivo ben diverso dal destare interesse in coloro che già sono esperti.
Prossimamente, tempo permettendo, scriverò la seconda parte. Così come con grande probabilità nei prossimi mesi questa guida verrà rivista e approfondita.
