Che cos’è un Keylogger?

5 Apr 2013

I malware di oggi sono composti da diversi elementi, ognuno dei quali ha un compito diverso. Questi programmi sono come un coltellino svizzero e danno all’hacker la possibilità di realizzare un numero molto alto di azioni all’interno di un computer infetto. Uno degli elementi che lo compongono è il keylogger. Si tratta di un programma che registra tutto ciò che viene digitato sulla tastiera, permettendo all’hacker di rubare una notevole quantità di dati confidenziali agli utenti.

Definizione di Keylogger

Un keylogger è un software o hardware che ha la capacità di intercettare e registrare qualsiasi tasto digitato dall’utente sulla tastiera. Il keylogger è in grado di posizionarsi tra la tastiera e il sistema operativo e intercettare tutte le comunicazioni all’insaputa dell’utente. Può rubare sia i dati registrati localmente sul computer infetto, che (se implementato all’interno di un attacco più ampio con capacità di comunicare con l’esterno) inviarli all’hacker in remoto. Tuttavia il termine keylogger, normalmente usato per indicare programmi malware, indica anche altri tipi di strumenti, come i sistemi di sorveglianza usati dalle forze dell’ordine.

Tipologie di Keylogger

Sebbene esistano vari tipi di keylogger, le due categorie principali sono quelle basate su software e su hardware. Il keylogger più comune è quello basato su software, installato come parte di un malware più grande, come ad esempio un Trojan o un Rootkit. Questo tipo di keylogger rappresenta il modo più facile con cui entrare in un computer, dato che non richiede accesso fisico ad esso. Un software keylogger tipico è in grado di fingersi un’API (interfaccia di programmazione di un’applicazione) e permettere all’hacker di registrare ogni dato digitato attraverso la tastiera. Inoltre, esistono anche i keylogger che agiscono a livello kernel, come per esempio il keylogger man-in-the-browser e molti altre complesse varianti.

I keylogger basati su hardware sono meno comuni, dato che sono molto più difficili da implementare sul computer della vittima. I keylogger di tipo hardware richiedono all’hacker di avere accesso ‘fisico’ al computer della vittima, sia nel momento del processo produttivo, che nella fase successiva. Alcune varianti hardware possono essere installate durante il processo produttivo, incluso quei keylogger che operano a livello BIOS. Altri keylogger di tipo hardware possono essere implementati via USB o attraverso un finto connettore per tastiera, tra il cavo della tastiera e il PC. I keylogger di tipo hardware, sebbene più difficili da implementare, sono più flessibili perché del tutto indipendenti dal sistema operativo.

Metodi di Infezione

I keylogger di tipo software infettano i PC attraverso un malware più grande, di cui fanno parte. I computer possono essere infettati via attacco drive-by download attraverso una web dannosa che sfrutta le vulnerabilità presenti sul PC e installa il malware. Inoltre, si può contrarre un keylogger attraverso applicazioni per il download che, sebbene autentiche, possono essere state compromesse (l’hacker ne ha compromesso il canale o vi ha piazzato un malware). I keylogger di tipo hardware, invece, devono essere installati direttamente dall’hacker.

Rilevazione e Rimozione

La rilevazione dei keylogger non è sempre facile perché non si comportano come i comuni programmi malware. Non vanno alla ricerca di dati sensibili da inviare al server, né cercano di distruggere dati. I keylogger sono disegnati per rimanere nascosti e non essere rilevati. I prodotti anti-malware effettuano scansioni, li individuano e li rimuovono, tuttavia alcuni tipi di keylogger (in particolare quellli disegnati per attacchi mirati) possono rappresentare una grande sfida perché non vengono rinoconosciuti immediatamente come software dannosi. Se un utente sospetta di avere contratto un keylogger può adottare una serie di misure, tra cui avviare il computer da CD o USB,  o usare una tastiera virtuale, che evita che il malware riceva gli input proveniente dalla tastiera.