Índice de Otras utilidades

18:57 25 sep 2023

Índice del «Tema 8»

MME: 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9

 
Una base de datos de un keylogger de tipo software.

Un keylogger (derivado del inglés: key (tecla) y logger (registrador); «registrador de teclas») es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen unos dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero también visibles si un usuario revisara el teclado) y al teclado mismo (en este caso los dispositivos keyloggers no se ven pero se necesita algún conocimiento de cómo soldarlos para instalarlos en el teclado). La creación de un keylogger es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o un gusano informático. Se dice que para evitar esto se puede utilizar un teclado virtual, ya que este solamente requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un clic, lo que anulan la seguridad de los teclados virtuales.


Funcionamiento

editar
 
Un keylogger de tipo hardware.

El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:

  • Keylogger con hardware. Son dispositivos disponibles en el mercado, los cuales vienen en tres tipos:
    • Adaptadores en línea que se intercalan en la conexión del teclado: tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.
    • Dispositivos que se pueden instalar dentro de los teclados estándares: requiere de una habilidad para soldar y de tener acceso al teclado que se desea modificar. No son detectables a menos que se abra el cuerpo del teclado.
    • Teclados reales de reemplazo: dichos teclados contienen el Keylogger ya integrado. El engaño no se puede detectar si no se busca específicamente.
  • Keylogger con software. Los keyloggers de software se dividen en:
    • Basado en núcleo: residen en el nivel del núcleo del sistema operativo, y son así prácticamente invisibles.
    • Enganchados: estos keyloggers usan las funciones proporcionadas por el sistema operativo para registrar las pulsaciones de las teclas del teclado.

Instalación

editar
Paso Descripción   Ejecutar en el terminal
1 Actualizar repositorios locales sudo apt-get update
2 Instalar el programa Logkeys sudo apt-get install logkeys

Configuración en una máquina virtual

editar
Paso Descripción   Ejecutar en el terminal
1 Editamos el fichero de configuración y modificamos el contenido del fichero sudo gedit /etc/default/logkeys

Añadimos: ENABLED=1 LOGFILE=/var/log/logkeys DEVICE=/dev/input/event2 #teclado máquina virtual

2 Creamos el fichero de resultados. sudo touch /var/log/logkeys
3 Cambiamos los permisos del fichero de resultados. sudo chmod 0777 /var/log/logkeys
4 Reiniciamos el servicio keylogger. sudo /etc/init.d/logkeys start
5 Tecleamos algo y lo comprobamos. cat /var/log/logkeys

Protección

editar
 
Un teclado virtual contra los keyloggers

En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrará cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador.

Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar una vocal, entonces aparecen dos tildes seguidas y la vocal sin acentuar. Esto ocurre si hay un keylogger configurado para otro idioma.

La banca electrónica utiliza teclados virtuales para evitar el uso del teclado físico. Al utilizar el ratón, solo registrará las posiciones del teclado virtual de la sitio web y este teclado varía en cada actualización de la página.

PhotoRec es una herramienta gratuita y de código abierto utilizada para recuperar archivos perdidos de la memoria de las cámaras digitales (CompactFlash, Memory Stick, Secure Digital, SmartMedia, Microdrive, MMC, unidades flash USB, etc), los discos duros y CD-ROMs. Recupera formatos de fotos más comunes, incluyendo JPEG, y también recupera archivos de audio como MP3, formatos de documentos como OpenDocument, Microsoft Office, PDF y HTML y formatos de archivo, incluyendo ZIP. El usuario puede añadir nuevos tipos de archivo indicando la extensión del archivo, una cadena de datos a buscar y la posición de la cadena en el archivo.

Funcionamiento

editar

Los sistemas de archivo FAT, NTFS, ext2/ext3/ext4 guardan los archivos en unos bloques de datos. El tamaño del bloque es constante. En general, la mayoría de los sistemas operativos intentan guardar los datos de forma contigua para minimizar el nivel de fragmentación.

Cuando un archivo es eliminado: la meta información sobre este archivo (Nombre, fecha/hora, tamaño, ubicación del primer bloque o cluster, etc.) se pierde; por ejemplo, en un sistema ext3/ext4, los nombres de los archivos eliminados siguen presentes, pero la ubicación del primer bloque de datos es eliminada. Esto significa que los datos siguen estando presentes, pero solamente hasta que sean sobreescritos en parte o por completo por un nuevo archivo.

Para recuperar estos archivos 'perdidos': PhotoRec primero intenta encontrar el tamaño del bloque. Si el sistema de archivos no está dañado, este valor puede ser leído de su índice. Si no lo puede leer, PhotoRec lee toda la partición, sector por sector.

Instalación

editar
Paso Descripción   Ejecutar en el terminal
1 Actualizar repositorios locales sudo apt-get update
2 Instalar photorec y testdisk sudo apt-get install testdisk

Utilización

editar
Paso Descripción Captura de pantalla del programa
1 En un terminal se puede ejecutar: sudo photorec
2 PhotoRec lista los dispositivos disponibles. Usar las flechas de arriba/abajo para seleccionar la unidad que contiene los archivos perdidos. Presionar Enter para continuar.  
3 Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que PhotoRec auto-detecta el tipo de tabla de partición.  
4 Selección de la partición del disco donde están los ficheros a recuperar. Seleccionar:
  • «Search» después de elegir la partición que contiene los archivos perdidos para comenzar con la recuperación,
  • «Options» para modificar las opciones,
  • «File Opt» para modificar la lista de archivos recuperados por PhotoRec.
 
5 Opciones de PhotoRec:
  • «Paranoid»: Por defecto, los archivos recuperados son verificados y los inválidos, rechazados.
  • «Bruteforce»: Se puede activar para recuperar más archivos JPEG fragmentados, teniendo en cuenta que esta opción tiene un alto impacto en el rendimiento del CPU.
  • «Keep corrupted files»: Se puede activar para conservar los archivos incluso cuando son inválidos. Sirve para permitir el uso de otras herramientas sobre estos datos.
 
6 Selección de archivos a recuperar. Habilitar o deshabilitar la recuperación de ciertos tipos de archivos, con las flechas ↑ y ↓ para moverse, y espacio para seleccionar.  
7 Seleccionar el tipo de sistema de ficheros. Una vez que la partición ha sido seleccionada y validada con «Search», PhotoRec necesita saber cómo son distribuidos los bloques de datos. Si no se usa ext2 ni ext3: se ha de seleccionar «Other».  
8 PhotoRec puede buscar archivos en:
  • WHOLE: toda la partición (es útil si la partición esta severamente dañada) o
  • FREE: solamente buscar en el espacio no atribuido (unallocated) (Esta opción está disponible para ext2/ext3, FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados.
 
9 Seleccionar la carpeta donde se ubicarán los archivos recuperados. Es recomendable seleccionar una unidad distinta a la que será analizada, o de lo contrario se corre peligro de sobreescribir los datos que se intentan recuperar.  
10 La recuperación está en progreso, puede tardar varias horas, ello depende de las opciones elegidas. La cantidad de archivos recuperados es actualizada en tiempo real. Durante la primera pasada: PhotoRec busca los primeros 10 archivos para determinar el tamaño de los bloques. Durante la siguiente pasada: los archivos son recuperados incluyendo algunos archivos fragmentados. Los archivos recuperados son escritos en los subdirectorios recup_dir.1, recup_dir.2... . Es posible acceder los archivos incluso si la recuperación no terminó.  
11 La recuperación está completa.  

Gufw es una interfaz gráfica de software libre para ufw (Uncomplicated FireWall), publicado por primera vez en Ubuntu 8.04.

Instalación

editar
Paso Descripción   Ejecutar en el terminal
1 Actualizar repositorios locales sudo apt-get update
2 instalar gufw sudo apt-get install gufw

Configuración

editar
Acción Descripción   Captura
Ejecutar y Activar Para acceder a Gufw, vete al menú: Sistema->Administración->Configuración Cortafuegos.
Predeterminadamente el cortafuegos está desactivado.
Para activarlo: simplemente pulsa en Activar y por defecto el tráfico será establecido a «Denegar conexiones entrantes y Permitir conexiones salientes».
 
Pestaña Preconfigurada La pestaña Preconfigurada proporciona unas opciones para controlar las aplicaciones y servicios más comunes.
Botón Añadir Pulsa en el botón Añadir y aparecerá una ventana. Las reglas pueden configurarse para los puertos TCP, UDP o ambos, incluyendo algunas aplicaciones/servicios preconfigurados. Las opciones disponibles son Permitir, Denegar, Rechazar y Limitar:
  • Permitir: Se permitirá el tráfico entrante para un puerto.
  • Denegar: Se denegará el tráfico entrante para un puerto.
  • Rechazar: Se rechazará el tráfico entrante para un puerto, informando del rechazo al sistema que solicita la conexión.
  • Limitar: Se limitará el intento de conexiones denegadas. Si una dirección IP intenta iniciar 6 o más conexiones en los últimos 30".




CCleaner es una aplicación gratuita, de código cerrado, que tiene como propósito mejorar el rendimiento de cualquier equipo que ejecute Microsoft Windows mediante la eliminación de los archivos innecesarios y las entradas inválidas del registro de Windows (REGEDIT). También cuenta con la posibilidad de desinstalar programas desde su interfaz e inhabilitar la ejecución de aplicaciones en el inicio del sistema para mejorar la velocidad de arranque.

Con CCleaner se pueden comprobar estos factores:

  • DLLs compartidas faltantes.
  • Extensiones de archivos inválidas.
  • Entradas de ActiveX y Class.
  • Tipo de Librerías.
  • Aplicaciones.
  • Fuentes.
  • Rutas de aplicación.
  • Archivos de ayuda.
  • Instalador.
  • Programas obsoletos.
  • Ejecución en el Inicio.
  • Clasificación del menú de Inicio.
  • Cache MUI.
  • Etc.

Instalación

editar
Paso Descripción   Ejecutar en el terminal
1 Desde el sitio web oficial http://www.ccleaner.com/

Utilización

editar

Se puede ir navegando por las pestañas de CCleaner y buscando las entradas inválidas del registro de Windows. Antes de pulsar «borrar»: se debe realizar la copia de seguridad que aconseja CCleaner. Cuando se reinicie varias veces el computador y se realicen varias tareas y no haya problemas: se puede borrar la copia de seguridad.