Keylogger: cos’è e come ci si difende

Era il 1980 e la guerra fredda era una realtà. Gli stati più potenti del mondo cercavano il punto debole del proprio avversario. Ogni mezzo era possibile. I due paesi si confrontavano non solo sul campo, nei vicoli silenziosi delle spie, nelle sale cinematografiche, al di qua e al di là del muro di Berlino, ma anche nei laboratori di tecnologia più avanzati. Come si poteva colpire più a fondo? Come si poteva cercare di conoscere meglio il proprio nemico? I servizi russi diedero vita ad un’operazione di spionaggio nell’ambasciata americana di Mosca, impiantando quello che per molti risultò  essere il primo keylogger hardware conosciuto al mondo. Le IBM Selectric typewriter, usate nelle ambasciate per scrivere ogni tipo di documento, dalla semplice lettera a quello più segreto, furono manomesse. Inizialmente questa sembrò solo una teoria assurda. A portare tutto alla luce però fu l’NSA,  che sotto la presidenza Regan, creò il progetto “Gunman”, che aveva l’obiettivo di portare fuori da Mosca tutti gli strumenti tecnologici utilizzati per la comunicazione. La manomissione fu smascherata grazie all’ausilio di alcune macchine a raggi X. E’ sciocco provare a capire perché mai i russi volessero sapere cosa scrivevano gli americani, piuttosto ovvio l’obiettivo ma poco scontato il metodo. Tanto che si pensa che la manomissione fosse in atto già da anni. Ai più curiosi lascio un link per approfondimento: GUNMAN Project by NSA, e chiedo: perché sforzarsi così tanto nel carpire segreti con la forza quando è possibile semplicemente leggerli?

Il keylogger altro non è che un “oggetto”, software o hardware, che intercetta l’input proveniente da una tastiera e lo memorizza. Esistono tipologie di keylogger evoluti che sono in grado di analizzare il traffico wireless che insiste tra una device e la sua tastiera, o piuttosto oggetti molto più solidi che riescono a “mimetizzarsi”: come le tastiere numeriche che si utilizzano sugli ATM per frodare i correntisti. Come possono “attaccare” il nostro pc e quali sono i dati che interessano di più? Un keylogger fisico verrà installato sulla device che si vuole intercettare o dentro la sua periferica di input, ad esempio alcuni keylogger possono essere inseriti dentro ad alcune tipologie di tastiere o sopra di esse, mentre per la tipologia software abbiamo varie metodologie ma i vettori sono sempre gli stessi: malware, trojan, virus, rat, etc. Ad esempio uno dei trojan più conosciuti degli ultimi tempi, Zeus, ha delle funzionalità di keylogging con le quale intercetta le credenziali dei malcapitati. I trojan infatti sono uno dei metodi più usati per la distribuzione di questa tipologia di spyware, e possono essere trasmessi tramite posta, file sharing, chiavetta usb, etc.  I dati più gettonati sono ovviamente utenza e password, ma possono interessare anche siti di navigazione, chat, body di email, documenti e ogni tipologia di informazione digitata. Questo rende i keylogger delle spie a nostro servizio, o peggio, a servizio di chi vuole violare la nostra privacy.

Oltre il già citato mimetismo dei keylogger fisici, va sottolineato la particolare adattabilità delle versioni software, che spesso si nascondono nel cuore del sistema operativo (kernel), dove, travestiti da device di input, intercettano ogni tasto digitato dalla nostra tastiera. In questa versione diventano difficilmente intercettabili e molto potenti, in quanto acquisiscono dei privilegi di sistema, per cui mettono gravemente a rischio i nostri dati e più in particolare le nostre informazioni.

Per proteggersi dai keylogger software si deve partire da un antivirus evoluto e sufficientemente aggiornato, ma potrebbe non bastare. Come si è detto alcune tipologie rimangono nascoste, per questo risulta fondamentale controllare il traffico di rete, soprattutto per protocolli http ed ftp con i quali spesso vengono inviati i dati, raccolti dai keylogger, all’esterno. Alcune di queste attività possono essere svolte direttamente sugli endpoint con soluzioni innovative anti-maleware, o verificando il traffico interno alla rete con prodotti che gestiscano la risoluzione dei nomi dns. Sicuramente si può avere un controllo più attivo sui contatti verso quello che in gergo viene chiamata “command control”, ossia una o più macchine a cui vengono inviati i dati raccolti dal keylogger, arginando così la macchina infetta e avendo la possibilità di risalire a quante e quali informazioni siano state coinvolte.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here