ubuntuusers.de

Hallo zusammen,

ich habe durch Zufall erfahren, dass es unglaublich einfach ist mittels eines Hardware Keylogger das PC Password und sonstige Passwörter auszuspähen.

https://www.amazon.de/AirDrive-Forensic-Keylogger-Hardware-Flashspeicher/dp/B07T12YV8D/ref=sr_1_10?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=1LR80B9FULGF4&dchild=1&keywords=keylogger+hardware&qid=1625255953&sprefix=keylogger+h%2Caps%2C160&sr=8-10

Da ich in einer WG lebe und mein Computer zugänglich ist, wäre ein Anstecken des Sticks möglich. Leider kann ich nicht immer den Tastaturanschluss kontrollieren, da der Computer im Schreibtisch verbaut ist und man schlecht hinten ran kommt.

Meine Frage, gibt es irgend eine sichere Lösung? Evtl. Fingerabdrucksensor, Chipkarte etc.? Einen Yubikey habe ich, allerdings traue ich mir das einrichten nicht zu, da man viel mit der Konsole machen muss und ich da leider mich kaum auskenne. Vielleicht fällt jemand eine Lösung ein, womit man das PW zum Start mittels Tastatur umgehen kann?

Vielen Dank! Ist für mich wirklich wichtig.

bye Liane

Hi,

wenn Du deiner Hardware nicht trauen kannst, hast du immer ein Problem, leider. Denn ein Keylogger würde ja auch weitere Logins aufzeichnen, die du während der Nutzung vornimmst, der Login am PC ist da vermutlich das geringste Problem.

Oder geht es dir um ein vollverschlüsseltes System? Dann könnte "Schlüsselableitung" etwas für dich sein, also entschlüsseln per Datei (zB auf einem USB-Stick, den Du bei dir trägst, statt per Passphrase-Eingabe

Danke redknight für Deine Antwort.

Ich bin immer noch etwas geshockt von diesen Hardware Keylogger wie einfach doch das ist meine gesamten Passwörter auszuhebeln, bei einem Aufwand von nur ca. 50 Euro für den Angreifer und ja Du hast recht, meine gesamten Passwörter sind in Folge damit offengelegt.

Es muss eine Lösung sein, die das erste PW betrifft. Wie in der Arbeit eine Keycard, Fingerabdrucksensor oder der Yubikey. Letzteres benötigt allerdings Konsolenkentnisse, die ich leider nicht habe.

Hallo!

Es ist auch mit Software einfach einen Keylogger zu implementieren. Erfordert (einmalig) root-Rechte, bspw. über chroot mit Live-CD. Wer ist denn der Systemadministrator?

Was die Hardware angeht: Da bist du dem ausgeliefert, egal welche Methode du verwendest. Es könnte ja sogar ein Keylogger in der Tastatur verbaut sein, eine Kamera deine Eingaben überwachen, den Router ausspähen um Internettraffic zu überwachen/umzuleiten, etc. Inwiefern dich ein Fingerprintsensor rettet, weiß ich allerdings auch nicht, die sind auch nicht sicher, vor allem nicht bei Hardware-Zugriff. Was dazu IM pc innen verbaut ist, kontrollierst du sicher auch nicht jedesmal 😉

Wenn du da Bedenken hast, dass dir einer an die Daten geht, könntest du dein Homeverzeichnis auf eine externe Platte packen und immer an- / abstöpseln. Dann sind die Daten schlicht nicht da, wenn die Platte nicht angeschlossen ist, könnten aber natürlich heimlich synchronisiert werden, sobald sie angeschlossen wird.
Wie stark ist denn dein Misstrauen gegenüber deines/deiner Mitbewohner/in/nen und deren potentieller krimineller Energie?

Leider kann ich nicht immer den Tastaturanschluss kontrollieren, da der Computer im Schreibtisch verbaut ist und man schlecht hinten ran kommt.

Vielleicht solltest du dir ein Notebook zulegen, das hat man "peripheriemäßig" besser im Blick und kann es auch leicht mitnehmen bzw. wegsperren. Auf die Benutzung einer evtl. in Abwesenheit manipulierten externen Tastatur solltest du dann natürlich verzichten

Eine vollverschlüsselte Installation zu machen und zusätzlich im UEFI ein PowerOn-Kennwort + Supervisor-Kennwort zu vergeben, kann bei entsprechendem Mißtrauen an den "Aufbewahrungsort" des Gerätes auch nicht schaden.

Danke ChickenLipsRfun2eat und dingsbums für Eure Antworten. Ich bin jetzt sehr ernüchtert bzgl. der Sicherheit meines Rechners. Ich war immer übervorsichtig, da ich sensible Daten habe, die nur ich kennen sollte. Durch Zufall bin ich auf die Amazon Keylogger gestoßen und dachte mir, jetzt müsste ich zusätzlich zu meiner verschlüsselten Systemplatte und den Nutzen von VeraCrypt eine Sicherheit einbauen, die eine Zugansperre ist, die nicht mit der Tastatur aufgehoben werden kann. Der Yubikey oder sonstiges dachte ich mir da.

Aber wenn jemand tatsächlich meinen PC aufschraubt und etwas verbaut, habe ich immer verloren, egal wie ich sehr ich da Hürden aufbaue?

Es ist auch mit Software einfach einen Keylogger zu implementieren. Erfordert (einmalig) root-Rechte, bspw. über chroot mit Live-CD. Wer ist denn der Systemadministrator?

Systemadministrator bin quasi ich mit meinen Computer.

Mein Problem ist wirklich, dass ich in einer WG wohne und theoretisch jeder an meinen Rechner ran kann, da ich tagsüber arbeiten bin. Bzgl. dem Vertrauen der Bewohner, wir haben eine hohe Fluktuation in der WG und es sind quasi auch oft Gäste der Bewohner da. Sprich die Möglichkeit an meinen PC zu gelangen ist für viele möglich.

Vielleicht solltest du dir ein Notebook zulegen, das hat man "peripheriemäßig" besser im Blick und kann es auch leicht mitnehmen bzw. wegsperren.

das leuchtet mir ein, aber ich war nie ein Freund im privaten einen Laptop zu nutzen, die Tastatur ist unpraktisch und der Bildschirm meist zu klein.

Ich fürchte ich muss quasi vor der Situation kapitulieren. Wenn es jemand auf meine Daten abgesehen hat und etwas Ahnung hat, dann habe ich scheinbar keine Chance. Bitter.

Liane schrieb:

Mein Problem ist wirklich, dass ich in einer WG wohne und theoretisch jeder an meinen Rechner ran kann, da ich tagsüber arbeiten bin. Bzgl. dem Vertrauen der Bewohner, wir haben eine hohe Fluktuation in der WG und es sind quasi auch oft Gäste der Bewohner da. Sprich die Möglichkeit an meinen PC zu gelangen ist für viele möglich.

Die Möglichkeit ist klar. Aber gibt es denn konkrete Anhaltspunkte oder ist das eher Paranoia?
Selbst wenn ich deine Tastatur manipuliere, einen Keylogger einbaue und die Möglichkeit habe auch ein zweites Mal zuzugreifen, um die Daten auch in die Hände zu bekommen (oder das Funknetzwerk verwende, wie im Link), so müsste ich da erstmal Zeit und Geld investieren — und vor allem das Grundwissen haben.

Bei einem Desktop-PC ist natürlich eine Manipulation leichter, als bei einem Laptop. Die Tastatur ist separat, im Gehäuse mehr Platz, etc. Wäre ich in der Situation, würde ich vermutlich einen abschliessbaren Schreibtisch/Schrank in meinem abgeschlossenen Zimmer nutzen und dort alles verstauen. Wenn der aufgebrochen wurde, siehst du das dann ja. Und natürlich keine Funktastatur/WLAN verwenden 😉
Für Geräte wie den von dir verlinkten Keylogger ist natürlich eine alternative Login-Methode ausreichend, bspw. per Maus auf einer Bildschirmtastatur. Aber an sich kauft man ja nicht ein Gerät und guckt, bei wem man es anwenden kann, sondern man guckt an wessen Daten man will und was man dafür braucht. Da könntest du auch eine moderne Webcam mit Gesichtserkennung nutzen (keine Ahnung, wie und ob das unterstützt wird, noch nie ausprobiert, meine alte Webcam ist kaputt und taugt maximal als Helligkeitssensor^^).

Um dich also nur vor dem Hardware-Keylogger zu schützen, hilft jede Nicht-Tastatur-Login-Methode (oder ein Laptop, die sind intern mit Flachbandkabel verbunden). Wenn jemand wirklich an deine Daten will, ginge das aber vermutlich auch anders, je nachdem wie interessant/wertvoll diese für den anderen sind. Wenn derjenige etwas Ahnung von Elektronikbasteleien hat, kann er aber so ziemlich alles umleiten und austricksen, denn letztendlich sitzt du nach ein paar Minuten vor einem unverschlüsselten System. Aber ist es demjenigen den Aufwand wert? Bevor ich ein paar Hunderte Euro und Wochen meiner Zeit zum Umgehen solcher Sicherheitssysteme investieren würde, müsste ich als Ziel schon an die geheime Bibliothek des Vatikan kommen.

Wenn der Keylogger als eigenes USB-Gerät für das System sichtbar ist, kann eine „USB-Firewall“ wie USBGuard (engl. Manpage) oder usbauth eventuell helfen.

Ich persönlich nutze USBGuard. Einmal installiert blockiert es alle Geräte, die bei seiner Installation nicht bereits angeschlossen waren. Hier die häufigsten Befehle:

sudo usbguard list-devices        # zeigt alle angeschlossenen Geräte und ihren Status (erlaubt oder blockiert)
sudo usbguard allow-device 23     # erlaubt das Gerät Nummer 23 aus der Liste für die momentane Sitzung
sudo usbguard allow-device -p 23  # erlaubt das Gerät Nummer 23 aus der Liste permanent

Mit block-device statt allow-device blockiert man ein Gerät entsprechend wieder.

Zum Sniffen von USB-Signalen kann man sich einfach an die Datenleitungen und Ground hängen (solange man nicht zu viel Strom zieht kann man sich auch bei der Spannungsversorgung des USB-Hubs bedienen, ohne dass das groß auffällt) - als Messaufbau sieht das z.B. so aus: How does a USB keyboard work?, das lässt sich gut Miniaturisieren und mit den geringen Datenraten, die Tastaturen nutzen, auch bequem drahtlos weiterreichen. Der Host bekommt davon nichts mit.

Liane schrieb:

Da ich in einer WG lebe und mein Computer zugänglich ist, wäre ein Anstecken des Sticks möglich. Leider kann ich nicht immer den Tastaturanschluss kontrollieren, da der Computer im Schreibtisch verbaut ist und man schlecht hinten ran kommt.

Meine Frage, gibt es irgend eine sichere Lösung? Evtl. Fingerabdrucksensor, Chipkarte etc.? Einen Yubikey habe ich, allerdings traue ich mir das einrichten nicht zu, da man viel mit der Konsole machen muss und ich da leider mich kaum auskenne. Vielleicht fällt jemand eine Lösung ein, womit man das PW zum Start mittels Tastatur umgehen kann?

Dein Zimmer ist allen zugänglich? Warum nicht als ersten Schutz abschließen und falls es ein einfaches Schloss ist zusätzlich mit einem Steckschloss sichern?

Von wem wird der Internetzugang kontrolliert? Um welches Betriebssystem geht es denn?

Ansonsten noch ein mit Luks komplett verschlüsseltes System aufsetzten, ab Grub 2.06 sollte es auch recht problemlos möglich sein. Die nächste Ubuntu Version wird das Paket, schätze ich, unterstützen.

Dann kannst du auch Schrauben(Tastatur) mit einem (speziellen) Nagellack sichern. USB-Plomben gibt es auch noch, die und alle USB eventuell mit Heißkleber versiegeln, dazu den Nagellack(ggf. UV).

Wenn du Manipulationen vermutest, dann ist es vielleicht schon zu spät.

Ich würde den Desktoprechner in einen gut belüfteten abschließbaren Schrank am Schreibtisch aufstellen. Die Rückwand enthält nur Löcher für die Anschlußkabel, die Tür bekommt ein vernünftiges Schloß. Die Tastatur muss dann auch bei Nichtgebrauch im Schrank verschwinden, damit bei Abwesenheit des Eigentümers niemand die Tastatur selber öffnet und dort etwas einbaut.

Ein Laptop könnte auch im Schrank verschwinden bei Nichtgebrauch.

Sollte jemand den ganzen Schreibtisch stehlen oder aufbrechen hilft nur eine Vollverschlüsselung der Festplatte.

Ich würde hier wirklich das Augenmerk mehr auf das Soziale als das Technische legen, denn es ist unmöglich, sich gegen alle denkbaren(!) Risiken abzusichern. Dann bist du bald Pleite und ein Fall für die Klapse. 😉

Aber nur du kannst wissen, ob jemand in deiner WG ein wirkliches Interesse und das Know-how hätte, deine Sicherheitsschranken zu umgehen.

Die Diskussion immer feinerer technischer Details wird dich jedenfalls nicht wirklich weiter bringen.

redknight schrieb:

Dann könnte "Schlüsselableitung" etwas für dich sein, also entschlüsseln per Datei (zB auf einem USB-Stick, den Du bei dir trägst, statt per Passphrase-Eingabe

Das war auch meine erste Idee, aber ist in der Diskussion irgendwie inzwischen untergegangen... Wäre das nicht eine simple und effiziente Lösung System verschlüsseln/Entschlüsseln mit einem USB-Schlüssel ?

Mit der Annahme eines vollverschlüsselten Systems dürfte es zumindest schwierig werden, direkt an die Daten zu gelangen, oder?

Die weiter diskutierten Probleme bleiben natürlich erhalten, wenn das System einmal läuft könnten Passwörter zur Entsperrung des Passwortmanagers etc. abgegriffen werden. Aber man bräuchte immer noch die Passwortmanager-Datei.

Klar, wenn jetzt die USB-Eingänge manipuliert und mitgeschnitten werden, oder auf dem Mainboard rumgelötet wird, könnte man bestimmt den Stick kopieren etc. Aber das sind vielleicht eher Vorgehensweisen von Geheimdiensten als von Mitbewohnern?! (Das Problem könnte ein Yubikey doch wiederum lösen?)

san04 schrieb:

Mit der Annahme eines vollverschlüsselten Systems dürfte es zumindest schwierig werden, direkt an die Daten zu gelangen, oder?

Verschlüsselung in Kombination mit einem ausreichend komplexen Passwort ist mit der heutzutage verfügbaren Rechenleistung ein guter Schutz, wenn der Angreifer einmalig Zugriff auf das System bekommt und du es danach nicht mehr nutzt (z.B. wenn einem der Laptop geklaut wird).

Problematisch wird es, wenn man die Integrität des Systems nach dem Zugriff nicht mehr garantieren kann (Hardware-Sniffer, Root-Kits, Angriffe gegen UEFI/IME/PSP, manipulierte Bootloader) usw. - stell dir z.B. vor, dass jemand die Platte tauscht und da ein Ubuntu System installiert, dessen Passwort-Eingabedialog für die Verschlüsselung alles akzeptiert und das eingegebene Passwort abgreift und dann danach das eigentliche System damit startet, so dass es dem flüchtigen Beobachter nicht auffällt, dass da etwas verändert wurde.

Unabhängig davon gibt es bei mangelnder physischer Sicherheit das Problem, dass jemand Kameras, Mikrofone, Beschleunigungssensoren usw. im Raum platzieren könnte und darüber Informationen zu den getätigten Eingaben erhalten könnte (Keystroke_logging) - kurz es ist verdammt schwer sicher ausschließen zu können, dass man unbeobachtet ist, wenn man die Umgebung nicht dauerhaft unter Kontrolle hat.

Aber der Vorteil von dem verlinkten Artikel ist doch genau, dass das Passwort nicht eingetippt werden muss. Damit ist doch das einfache Nutzen so eines USB-Hardware-Keyloggers (wie im Start-Post) nicht mehr zielführend. Oder übersehe ich etwas?

Alle anderen Angriffsvektoren seahawk1986 schrieb:

Root-Kits, Angriffe gegen UEFI/IME/PSP, manipulierte Bootloader) usw.

bleiben natürlich erhalten, das verstehe ich.

Diese benötigen ja aber zumindest mehr Ahnung von der Materie bzw. mehr kriminelle Energie. Für 50€ so einen Keylogger zu bestellen und per WLAN einzurichten dürfte ja für jeden Laien zu machen sein.

Am Ende bleibt wieder die Frage, wogegen will ich mich schützen. Wenn die Mitbewohner beim Geheimdienst arbeiten wirds halt schwierig 😉