I keylogger costituiscono una minaccia alla sicurezza informatica delle aziende, in quanto consentono di registrare ciò che gli utenti digitano sui propri dispositivi e trasmetterlo ai cybercriminali, che possono sfruttare tali dati per tentare frodi o acquisire informazioni vitali per le vittime. Una delle maggiori insidie è costituita dal fatto che i keylogger hardware e software non sempre vengono identificati dai sistemi di protezione degli endpoint, finendo nel caso per agire in maniera discreta ed indisturbata anche per periodi molto lunghi.
Vediamo pertanto cos’è un keylogger, come funziona e quali sono le principali questioni da conoscere quando si tratta di rilevare e rimuovere uno strumento potenzialmente dannoso per i dati inseriti attraverso le interfacce di input dei dispositivi informatici.
Cos’è il keylogger
Keylogger, termine composto da key (tasto) e logger (registratore), è una tecnologia di sorveglianza che viene utilizzata per monitorare, riconoscere e registrare le pressioni su una tastiera fisica o digitale, come quelle che vengono di consueto utilizzate per sistemi quali i personal computer, gli smartphone e i tablet.
La loro natura intrinseca gli consente di essere impiegati quali spyware, consentendo ai cybercriminali di acquisire le informazioni inserite dalle vittime sui loro device, con particolare attenzione per le credenziali di login dei sistemi aziendali e dei servizi finanziari. I keylogger si rivelano inoltre molto utili ai malintenzionati per intercettare comunicazioni sensibili e svolgere una vera e propria attività di spionaggio.
Nonostante le tecnologie di keylogging siano particolarmente note alle cronache per i loro utilizzi illeciti, la loro genesi e la loro attuale diffusione consente di soddisfare esigenze assolutamente condivisibili dal punto di vista etico. In particolare, i keylogger sono particolarmente impiegati nelle applicazioni per il parental control, che consentono ai genitori di controllare i contenuti con cui i propri figli si interfacciano su internet.
In ambito aziendale i keylogger sono diffusi per monitorare l’attività dei dipendenti in relazione ad alcuni task specifici e possono supportare i bot nell’ambito della RPA (robotic process automation) per quanto concerne le applicazioni che operano a più alto livello, con interfacce software che si sovrappongono all’input method originale del sistema.
I keylogger sono inoltre utilizzati nell’ambito delle applicazioni che consentono di tracciare le digitazioni sui dispositivi per rilevare situazioni anomale dal punto di vista della sicurezza informatica, intercettando eventuali accessi e/o comportamenti non autorizzati.
La storia
I keylogger vantano una storia di tutto rispetto nell’ambito delle tecnologie informatiche. Il primo keylogger hardware per le macchine da scrivere elettriche ha fatto la sua comparsa negli anni Settanta. Si chiamava Selectric bug ed era in grado di tracciare i movimenti della testina di stampa e misurarne il campo magnetico. Tale sistema veniva utilizzato dall’URSS per intercettare le digitazioni dei diplomatici americani, che per le loro comunicazioni impiegavano i sistemi IBM Selectric, da cui prende appunto il nome il keylogger stesso. Il KGB aveva infatti installato il piccolo “bug” sui dispositivi presenti nelle ambasciate americane di Mosca e San Pietroburgo, dove è rimasto attivo per ben 14 anni, dal 1970 al 1984, quando venne scoperto in maniera quasi casuale.
Al di fuori delle attività di spionaggio, i keylogger hanno visto una rapida crescita nel corso degli anni Novanta, grazie alla diffusione dei malware e delle tecniche di phishing, per consentire ai malfattori di intercettare dati privati, login di carte di credito ed altre informazioni sensibili, senza dover installare assolutamente nulla sul sistema della vittima.
I keylogger vengono impiegati anche durante la fase di sviluppo delle applicazioni. Nel 2015 accadde infatti un episodio piuttosto curioso che vide coinvolta HP, sui cui notebook venne individuato un keylogger. Non si trattava di uno spyware installato per spiare gli utenti, ma di un tool di debug software che non era stato rimosso dalla build definitiva, come facilmente dimostrato dal big tech americano.
LEGGI ANCHE: Malware cos’è, come riconoscerlo e quali sono le diverse tipologie
Le tipologie
I keylogger identificano una serie di tecnologie differenti in grado di registrare i contenuti di una digitazione. I keylogger si distinguono principalmente in cui tipologie: keylogger software e keylogger hardware.
Software
I keylogger software si distinguono per la capacità di essere installabili su un sistema informatico senza necessitare del suo accesso fisico. Possono essere installati in maniera lecita e consapevole da parte del legittimo utente di un sistema per tracciarne le digitazioni, oppure in maniera illecita attraverso un malware contenente un RAT (remote administration trojan), che consente ai cybercriminali di acquisire da remoto i contenuti digitati sui dispositivi di input del sistema.
I keylogger software eseguiti come componente di rootkit sono spesso in grado di eludere i sistemi antivirus ed è pertanto opportuno prestare la massima attenzione nel verificare, anche manualmente, la loro presenza all’interno dei sistemi informatici.
Hardware
I keylogger hardware sono dispositivi che vengono installati quali connettori tra la tastiera fisica e il computer, sostituendo di fatto o bypassando il connettore originale. I keylogger hardware hanno pertanto l’aspetto di un adattore PS/2 o USB e sono molto semplici da installare, anche se, per ovvie ragioni, richiedono l’accesso fisico al sistema su cui si intende effettuare le registrazioni.
Come funziona
I keylogger operano in maniera del tutto differente a seconda della loro tipologia, a seconda dell’interfaccia hardware o software che li caratterizza.
I keylogger hardware vengono solitamente applicati in corrispondenza della connessione cablata della tastiera, generalmente collocata in corrispondenza del retro del case del computer. Tale posizione la rende piuttosto sicura dalle attenzioni dell’utente della macchina, il cui sguardo dalla postazione di lavoro non arriva direttamente in quella posizione. Esistono inoltre keylogger hardware installabili all’interno della tastiera.
Tali sistemi sono più sicuri dal punto di vista dell’individuazione, ma richiedono un intervento di intrusione preventiva in loco, o l’esigenza di sostituire la tastiera originale con un modello identico e contraffatto. Esistono inoltre keylogger che si adattano al comportamento delle tastiere non cablate, in quanto contengono la tecnologia necessaria per decrittografare i dati scambiati tra la tastiera fisica e il ricevitore wireless.
Nel caso di un keylogger fisico, il dispositivo registra le informazioni al proprio interno e deve essere pertanto periodicamente rimosso per scaricare i dati acquisiti e poterli analizzare.
I keylogger software sono applicazioni piuttosto semplici, basate essenzialmente su due file: una DLL e un file eseguibile in grado di installarla ed avviarla all’interno del sistema operativo. Una volta attivo, il keylogger provvede alla registrazione di ogni digitazione ed è in grado di trasmettere al controllore da remoto le informazioni acquisite.
Dal punto di vista dello sviluppo i keylogger più diffusi sono pertanto assimilabili ai trojan o costituire la componente funzionale di un malware più complesso, utilizzabile anche per iniettare nel sistema della vittima uno script malevolo.
Keylogger: come capire se è installato sul proprio pc
I keylogger utilizzano tecniche molto variegate, con la possibilità di manipolare il kernel di un sistema operativo, il che rende non esaustiva la semplice verifica dei processi attivi sul task manager. Occorre pertanto utilizzare software antivirus dotati di specifiche funzioni anti-keylogger, che non vanno confuse con quelle tipicamente implementate in un generico anti-spyware.
I software antispyware potrebbero infatti non rilevare il keylogger o non essere in grado di comprendere nello specifico gli effetti privilegi di cui dispone all’interno del sistema operativo. Una buona strategia per rilevare un keylogger consiste nell’impiego di una piattaforma di sicurezza informatica dotata di un sistema di monitoraggio sulla rete e di un firewall capace di intercettare qualsiasi tentativo di comunicazione verso l’esterno, se non autorizzato nello specifico dal reparto IT.
Come difendersi ed eliminare un keylogger
Come precedentemente accennato, il firewall rappresenta una soluzione efficace per bloccare i pacchetti di dati che il keylogger software prova a trasmettere al server che lo controlla da remoto. Il firewall consente di predisporre un elenco di applicazioni consentite, bloccando le comunicazioni di tutti i processi a cui è negato all’accesso alla rete aziendale.
L’analisi dei log consente di verificare gli accessi bloccati ed individuare la presenza di eventuali keylogger.
Inoltre, non andrebbe mai trascurata l’azione preventiva, come i sistemi di autenticazione multifattoriale capaci di salvare login/password, in modo da non doverle digitare nuovamente ad ogni accesso. In questo modo, anche se sul sistema della vittima fosse presente un keylogger, ben difficilmente tale strumento riuscirebbe ad intercettare le credenziali di accesso che gli utenti utilizzano ad esempio per accedere al proprio conto bancario, o all’area dove sono conservati i dati più critici dell’azienda per cui lavora.
Alla base di qualsiasi intervento volto a difendersi ed eliminare la presenza di un keylogger vigono le più elementari norme di igiene informatica, a partire dalla necessità di mantenere sempre aggiornati i sistemi operativi e le applicazioni in uso sui dispositivi aziendali.
LEGGI ANCHE: Cos’è la Multi-Factor Authentication (autenticazione multi-fattore MFA)
