Cos'è un keyloggers? Letteralmente è un programma che registra la digitazione dei tasti digitati. Ovvero tiene traccia di ciò che scriviamo attraverso la tastiera. Ne esistono a livello software ma anche a livello hardware (vedi foto sotto). Per installare questi occorre evidentemente un accesso fisico al pc da porre sotto controllo. Quella ulteriore spina ps/2 che ho evidenziato in rosa nella foto costituisce il Keyloggers, che ha una memoria interna che poi dovrà essere prelevata dal "controllore" e scaricata-letta. Certo non è impossibile che colui che è sottoposto a monitoraggio si accorga di quella spinetta" in più. Dipende ovviamente anche dalla collocazione fisica del pc (contro il muro, case inamovibile perchè inserito in mobile apposito ecc). Vedi al proposito l'interessante sito della softwarehouse di Modena : http://www.electronetmodena.it/download.htm che propone e fabbrica varie soluzioni in proposito (anche sul versante della difesa). Nella foto un sistema hardware del tipo "Keyghost" si veda al sito: http://www.keyghost.com/?spyarsenal-come http://www.kmint21.com/spy-software.html(quest'ultimo per un'analisi comparativa vantaggi-svantaggi sìdi soluzioni hardware o software)
Questi programmi che monitorano tutte le azioni che vengono compiute con il proprio personal computer tramite tastiera (ma anche attraverso "fotografie periodiche del desktop) permettono, quindi, di verificare quali azioni sono state portate a termine con il proprio computer, soprattutto se si ha il sospetto che questo sia stato usato per finalità illecite o, comunque, improprie. Va sottolineato come questi strumenti vadano utilizzati solamente da chi ne ha titolo e nel rispetto della legge; forze dell'ordine, datori di lavoro, investigatori privati (vanno molto di moda per scoprire infedeltà coniugali). Ce ne sono di, appunto, legali ed altri, che, al pari dei cavalli di Troia, sono illegali o sono comunqe usati illecitamente (pensiamo allo spionaggio industriale). Questi ultimi possono essere camuffati in allegati di posta elettronica od inglobati in altri programmi (vedi quanto detto a pag. 5 per i Trojans; ricodiamo poi che il virus Worm Badtrans conteneva un cavallo di troia capace di monitorare tasti e sottrarre informazioni...come vedete i "malware" non hanno sempre confini netti) e possono essere installati in modalità "stealth" (invisibile) così da essere difficilmente scoperti (un semplice ctrl-alt-canc ovviamente non basta). Altri, quelli legali, si rendono palesi ad ogni avvio del sistema operativo con finestre che avvisano che ogni attività dell'utente sarà monitorata. Un file testuale di "report" si anniderà (di solito nella cartella di installazione del programma) e conterrà in forma testuale e spesso criptata, il resoconto di tutte le lettere digitate attraverso la tastiera (quindi passwords comprese). Alcuni nomi e rispettivi siti :007 Starr monitoring (http://www.iopus.com/), Activity Monitor ( http://www.softactivity.com/) , Big Brother ( http://www.angorasoftware.com/), DeskTop Spy (http://www.alpinesnow.com) Invisible Activity Spy, Invisible Keylogger(http://www.amecisco.com), Keyboard Monitor(http://www.tropsoft.com), Stealth Keybord Interceptor Pro (lo potete trovare presso: http://volftp.mytech.it) PC Spy (http://www.nettrials.com), WinWhatWhere Investigator (http://www.winwhatwhere) Intraspy, segnalato come uno "007 Starr Monitoring". Nella foto 1si può vedere come configurare il file di report (quale formato e destinazione) e fa partire il monitoraggio che poi continuerà senza soluzione di continuità (anche in modo invisibile, ma vedi foto 4) attivandosi ad ogni avvio di Windows. Nella schermata successiva (foto 2) si può impostare la frequenza di "istantanee" del desktop "scattate" da 007, impostare il programma in modo che monitori anche quanto si scrive in chat, ciò che viene stampato ed i siti visitati. Nella foto 3 si accede alle opzioni relative all'invio del file di report (indirizzo e-mail del "controllore"..ed ecco che un buon firewall dovrebbe intercettare questo movimento), stabilendo anche ogni quando presentare il rapporto. Nella foto 4 si può notare come alcune semplici utilità come Kill Process (già menzionato come evoluzione di "ctrl-alt-canc") possano molto semplicemente rivelare l'attività dei keyloggers.
1234
Simile a questo esiste YKILL (htttp://www.goblineye.com) che è un programmino freeware semplice ed efficace. Come Kill Process rileva in tempo reale tutte le applicazioni attive nel sistema, anche quelle più remote, consentendo di capire l'origine e lo scopo della funzione attiva. Magari si può tenere conto (facendone una "istantanea con programmi che fotografano il desktop...o semplicemente col tasto * "F13") delle applicazioni normalmente attive e confrontarle ogni tanto con il quadro che si ritiene normale. *Piccola digressione,
TechSmith SnagIt 6 "the windows screen capture utility" (http://www.techsmith.com). Lo stesso risultato, sebbene con molte meno funzioni, si può ottenere clikkando il primo tasto che trovate nella parte superiore della vostra tastiera a destra di "F12" (per questo motivo ho detto "F13". Provate, clikkate questo pulsante e ciò che vedete sullo schermo si memorizza temporaneamente nella clipboard, poi aprite un qualsiasi programma di grafica (paint in dotazione con Windows o Jasc Paint shop ecc) e clikkando col tasto destro (o Modifica--->Incolla) "incollate" quanto fotografato. Scusate la digressione, ma molti non lo sanno e questa funzione si può rivelare assai utile. lo appena fatto (usando solo "F13") e questo è il risultato. L'immagine è ridotta rispetto alla qualità originale 800x600 e 350 Kb per la cronaca.
Tornando al nostro argomento, esistono programmi appositi per debellare tali insidie. Sempre ottimo anche per questo scopo (oltre ad un buon antivirus e firewall) è il già citato (v.pag Informatica 3) SpyBot-S&D(giunto alla versione 1.2 - 27 marzo 2003). Ma esistono applicazioni deputate solo a questo scopo tipo "Privacy Agent 1.0" software italiano di Paolo Iorio, che, come si legge nel sito (clikkate sul nome del programma per raggiungerlo) "permette di controllare il proprio personal computer dai più pericolosi sistemi di spionaggio come: Keyloggers, programmi di monitoraggio a distanza e software di cattura dello schermo, password ecc. ecc. In generale software "di spionaggio" nel senso di programmi che monitorano i tasti premuti, le finestre visualizzate, oppure catturano le schermate da noi visualizzate! L'utilizzo di Privacy Agent è consigliabile anche se si è in possesso già di un programma antivirus. Infatti gli antivirus di oggi non hanno la funzionalità di riconoscere i software di spionaggio supportati da Privacy Agent, ma soltanto i più diffusi virus e molte delle principali backdoors/trojans. Anche se si è in possesso di un potente Firewall è consigliabile utilizzare Privacy Agent, proprio perchè il Firewall bloccherà le connessioni in entrata/uscita, ma non indetificherà/rimuoverà il programma stesso. Chiunque abbia accesso al computer sul quale è installato, anche per pochi minuti, potrà leggere i log generati." Il programma è di soli 290 Kb ma nella sua versione freeware permette solo una scansione on-line. Oppure Advanced Anti Keylogger 3.0 (lo potete trovare qui: http://www.ilsoftware.it/cercadl.asp?ric=cat&cat=Antivirus), programma freeware in inglese, solo per Windows Xp e 2000, potente programma e nello stesso tempo di uso intuitivo che promette-permette di scovare l'attività di qualunque keylogger eventualmente presente sul sistema intercettando tutti i tentativi di logging dei tasti premuti da parte dell'utente. La particolarità di questo programma è che non si basa su un database (come nel caso degli antivirus o antispyware) ma intercetta le funzioni API di Windows utilizzate da parte dei keyloggers. Tuttavia può accadere che questo programma segnalali come sospette anche le attività di software normali. Si tratterà allora di "insegnare" , una volta per tutte, al programma (come si fa quando i configura un Firewall) quali siano le attività lecite. Anche alcuni Antitrojans hanno comunque le potenzialità per intercettare e rimuovere comuni Keyloggers , uno di questi è Tauscan di cui abbiamo accennato nella sezione dedicata a questi programmi. Possono anche essere utili, non solo in questo caso ma sempre ed in assoluto, utilità che tengono sotto controllo le modifiche apportate al REGISTRO DI SISTEMA (in cui ovviamente anche il Keylogger più invisibile dovrà lasciare le sue tracce). Un esempio di questo genere, freeware e di semplicissimo utilizzo, è StartupMonitor il quale si installa in esecuzione automatica e apre una finestra quando un'applicazione tenta di modificare il registro di sistema anche solo per autocollocarsi in esecuzione automatica (vedi foto). In questo caso ho appositamente reinstallato un vecchio aggiornamento di Windows per farvi vedere cosa accade; la finestra sopra mi informa che il programma ha effettuato una modificazione nel registro e che la tal libreria (file "dll") sarà caricata all'avvio del sistema operativo. Be', trattandosi di un programma di update di Windows c'è da fidarsi no? ... o no?
Altro programmino (400 Kb) di questo genere è System safety monitor il quale vigila sul registro di Windows e nel caso in cui qualche programma cerchi di installarsi automaticamente si attiva domandando all'utente se intende proseguire con l'installazione oppure no. Questa applicazione poi, fra l'altro, evidenzia (schermata "Applications") tutti i programmi e le librerie di Windows in esecuzione sul computer. Programma in Inglese con guida di semplice apprendimento. Date un'occhiata presso l'ottimo sito di "ProgrammiGratuiti" presso L'url:http://www.programmigratuiti.com/windows/utility_di_sistema/sicurezza/programma.php?id=723&pagina=1 . Precisazione: Quando andate a visitare i links segnalati (tutti) può accadere che, per es., in questo caso, System safety monitor non si trovi più nella pagina che vi ho segnalato. Allora, come regola generale, cancellate dalla barra degli indirizzi la parte dell'url dopo "com" (o "it", "org" ecc) e clikkate "Invia" nel vostro browser. Arriverete allora alla homepage e da lì troverete il programma o l'informazione che cercavate ma che ha cambiato indirizzo. In questo caso, arrivati nella pagina di presentazione del sito, vedrete vari argomenti, sceglierete "Windows" come sistema operativo di vostro interesse, poi "Utilità di sistema", ed infine la sezione "sicurezza". A conclusione di questa breve trattazione-guida, diciamo che per l'utente normale (domestico) il rischio di essere "infettato" da un keylogger è piuttosto remota, sicuramente molto più remota rispetto ad un cavallo di Troia o virus. Ma non si sa mai. Ora sapete almeno che cosa sono e come agiscono questi programmi.
Aggiungere
qualcosa a queste pagine che hanno rappresentato la parte più impegnativa del
mio sito è stimolante ma costa tempo e approfondimenti; tuttavia qualche mese
fa ho scoperto questo programmino che vi propongo. Moooolto "disclaimer"...non
fatene cattivo uso però! Si tratta di un'applicazione (quelle che piacciono a
me...risultati incredibili in 80 Kb!) della "Nirsoft" chiamata "Protected
Storage PassView". Potete scaricarla
da QUI.
A cosa serve?
Bè "semplicemente" visualizza tutte, e sottolineo tutte, le passwords
quali risultano dal registro di sistema; anche quelle di accesso a particolari
siti o servizi on-line. Clicca sulla foto qui sotto, evidentemente
oscurata, da cui si può comprenderne il funzionamento.
Quale
la sua utilità? Be', essendo questo un
sito "dai buoni propositi" il programmino è utile per archiviare o
stampare le proprie password in caso di formattazione, rottura del disco fisso,
amnesia
ecc. E' inoltre indispensabile
(senza azzardarsi e cimentarsi in pericolose operazione nel registro di sistema)
per cancellare le tracce delle nostre password dal pc. Nessun altro sistema o
software di pulizia lo può fare...e ci mancherebbe altro..visto che molti
utenti non le ricordano ma si avvalgono
dei "pericolosi" salvataggi che il programma di posta od il browser (autocompletamento
automatico). E'
ovvio che gli usi potrebbero essere ben altri: ad un amico fissato della
privacy, mentre si assentava dal pc in 10" al massimo ho "rubato"
tutte le password e gliele ho spedite per posta il giorno seguente facendogli
credere di essere entrato con un trojan nel suo computer. E su come si fa in 10
secondi...ve lo spiego?... sono
combattuto ; be' insomma, devo spiegarvi
tutto io?
.htm_cmp_prova2110_hbtn.gif){kind=small}
007 Starr monitoring (
sono
combattuto 
; be' insomma, devo spiegarvi
tutto io?