Le reti private, i file riservati, i dati contenuti nei database e nei server aziendali sono i primi bersagli degli attacchi da parte di malintenzionati. I prodotti di sicurezza tradizionali cercano di proteggere queste risorse in vari modi: i firewall bloccano gli attacchi alla rete, la crittografia dei dati evita che vengano captate le informazioni sensibili e i software antivirus proteggono i computer da minacce esterne. Purtroppo, la presenza delle password rimane una delle debolezze più grandi: nessuno strumento tecnologico di sicurezza può evitare che un malintenzionato munito di password acceda al computer, entri nel server e venga in contatto con informazioni personali. Le password costituiscono la chiave di accesso alle infrastrutture tecnologiche e vengono solitamente digitate attraverso il semplice inserimento dei caratteri sulla tastiera. L’intercettazione delle password digitate tramite la tastiera rappresenta una minaccia meno recente di quanto si pensi. Già dal periodo in cui venivano utilizzate le postazioni Unix, infatti, il sabotaggio di una sessione X11 permetteva di monitorare tutte le attività svolte, utilizzando la tastiera dell’operatore. Inoltre, i protocolli di rete non sicuri come Telnet e FTP hanno permesso di captare le informazioni attraverso la semplice registrazione delle password durante l’accesso alla rete.
Come i keylogger acquisiscono i dati Esistono due modi principali per acquisire e registrare l’attività del computer: gli hardware keylogger e i Surveillance software. Questi ultimi sono direttamente scaricabili da internet, gratuitamente e in maniera completamente anonima. Gli hardware keylogger, invece, sono dei piccoli dispositivi (solitamente più piccoli di 1.5 pollici), che vengono inseriti tra la spina della tastiera e la presa del computer. La loro installazione richiede non più di 5 secondi, e il sistema non è in grado di accorgersi della loro presenza. Esistono hardware keylogger sia per le tastiere PS/2 che USB. Questi dispositivi sono in grado di intercettare tutti i segnali trasmessi dalla tastiera al computer e di registrarli in una memoria non volatile senza interrompere il normale funzionamento della tastiera. La capacità di memoria di questi dispositivi permette di registrare milioni di tasti digitati.
Hardware Keylogger Dato che gli attacchi alla rete e i Trojan stanno diventando sempre più difficili da gestire e debellare, gli attacchi si stanno concentrando maggiormente sulle periferiche come le tastiere. I floppy disk sono ormai obsoleti, i monitor CRT sono destinati a scomparire e i centri delle CPU stanno crescendo di anno in anno. Dal momento in cui sono comparsi i primi computer, le aziende che si occupano di ricerca hanno ridisegnato e rivoluzionato ogni aspetto del computer tranne uno: la fedelissima tastiera. Gli hardware keylogger non richiedono alcuna abilità tecnica per l’installazione. Per questo tipo di keylogger, basta che i malintenzionati accedano fisicamente al computer per non più di 5 secondi. Una volta installato, un hardware keylogger registrerà ogni tasto digitato sulla tastiera e lo archivierà per ogni utilizzo futuro. Alcuni hardware keylogger vantano una capacità di archivio di tasti digitati pari a 2 milioni (circa cinque anni di battitura di un utente medio).
Quando dei malintenzionati vogliono accedere ai dati registrati, hanno solo bisogno di disconnettere il dispositivo keylogger dal computer e riconnettere la presa originale della tastiera. In questo modo il malintenzionato può connettere l’hardware keylogger ad un computer e fare in modo che il dispositivo riveli tutto il percorso di battitura. I keylogger possono sottrarre dati per diverse settimane prima di riempire tutta la memoria disponibile, permettendo così ai malintenzionati di tornare al computer compromesso in qualsiasi momento.
Gli hardware keylogger costituiscono una seria minaccia per le infrastrutture IT, soprattutto per la mole di lavoro necessaria per identificarli, visto che è difficilissimo individuarli e richiedono una rimozione manuale. Quanti impiegati controllano fisicamente il retro del proprio computer ogni giorno? E se lo fanno, quanti di loro sono davvero in grado di dire che differenza c’è tra ciò che è connesso e ciò che dovrebbe esserlo?
Rimozione degli hardware keylogger Osservando ciò che sta dietro al sistema e seguendo il cavo della tastiera, è possibile accorgersi se c’è qualcosa di strano inserito tra la tastiera e il computer. Per rimuovere un hardware keylogger, è assolutamente necessario spegnere prima il sistema. Il sistema potrebbe danneggiarsi se si tenta di rimuovere i keylogger mentre il computer è ancora in funzione. Una volta che il sistema è spento, è consigliabile rimuovere con attenzione il dispositivo presente tra la tastiera e il computer, e collegare la tastiera direttamente al computer.
Buone notizie Un’ispezione visiva delle postazioni è un primo modo per cercare di individuare un computer compromesso, ma è un tentativo che fa perdere molto tempo, in particolare in un ambiente in cui ci sono centinaia di postazioni. L’impresa diventa praticamente impossibile quando sono coinvolti migliaia di Pc. I Pc accessibili al pubblico come quelli che si trovano negli hotel, negli internet cafè e nelle biblioteche dovrebbero sempre essere considerati sospetti ed è sconsigliato l’inserimento di informazioni personali. I portatili sono generalmente un’alternativa più sicura ai PC dato che le loro tastiere sono integrate al Pc, ma i keylogger possono comunque venire connessi ad una tastiera interna attraverso porte USB o PS/2. Infine, esistono soluzioni software che possono individuare la presenza degli hardware keylogger e disabilitarli intercettando e bloccando le comunicazioni tra il dispositivo e il computer.
La proposta di SmartLine: DeviceLock 6.1 SmartLine propone una soluzione software che consente agli amministratori di rete di limitare agli utenti l'accesso alle periferiche installate su computer locali. L’ultima versione di DeviceLock permette ora anche il blocco di hub USB esterni e l’individuazione dei keylogger. La nuova funzione Central Audit di DeviceLock, inoltre, permette agli amministratori di sistema di definire quali file log e quali dati debbano venire archiviati automaticamente. Tutto ciò permette di archiviare le informazioni in maniera più efficiente e di gestire in modo uniforme la raccolta dei dati.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!