Verdacht auf Keylogger - wie entdecken?

[crabba]

Hallo,

eine Bekannte von mir, die sich mit Computern null auskennt, hat den Verdacht, dass sich auf ihrem Mac ein keylogger befindet. Wie kann sie herausbekommen ob das so ist? OS-Version ist nicht bekannt (kann ich aber hier nachreichen wenn mir jemand sagt wo man sich das anzeigen lässt, ich selber hab nämlich von Macs null Ahnung), das Gerät ist aber schon ein paar Jahre alt. Wenn zur Analyse spezielle Software installiert werden muss ist das etwas schwierig, sofern die nicht free downgeloaded werden kann.

Hat jemand einen Tipp wie man am besten vorgeht?

Danke!

[DrSnuggles]

@crabba:

Wenn der Verdacht besteht einfach den Rechner plätten.
Suchen ist ziemlich sinnlos.

Hardwarekeylogger sollte man bei Desktops auch bedenken (ausgetauschte Tastaturen bzw. Zwischenstecker im Kabel).

[xtraa_]

Hi,

die Systemversion siehst Du wenn Du auf den Apfel (links oben) klickst und
dann "Über diesen Mac".

Wie kommt sie denn auf den Verdacht, dass ein Keylogger installiert ist?

Ich kann DrSnuggles nur zustimmen. Da es auch für OS X viele keylogger
für eifersüchtige Ehemänner und dergleichen zu kaufen gibt, würde ich die
Daten mit iBackup sichern, da kann der Keylogger rein technisch auch nicht
mitgesichert werden, und dann das System neu aufsetzen.

Wenn sie aus Interesse vorher selbst noch mal etwas rumprobieren will,
kann sie zunächst ja mal folgendes machen:

1. wie bei Windows mal in den laufenden Prozessen nachschauen, unter
OSX ist das Programme>Dienstprogramme>Aktivitäts-Anzeige.

2. Autostart Programme mal kontrollieren:
Systemeinstellungen>Benutzer>Startobjekte.

3. LittleSnitch installiert? Der schlägt Alarm, sobald etwas raus will.

2. und 3. sind eigentlich zu vernachlässigen, aber es soll ja auch schlechte
Keylogger geben.

Einzig 1. ist sicher, aber den Prozessnamen muss man dazu natürlich
kennen.

Also ich wär auch für plattmachen. Wenn sie ihre Daten in zukunft besser
schützen möchte, sollte sie das Autologin deaktivieren und wenns ganz
sicher sein soll, FileVault aktivieren und Arbeitsspeicher verschlüsseln, da
funktioniert dann kein keylogger mehr.

Alles unter der Vorausetzung, dass sie OS X hat, aber selbst die neueste
Version läuft auch auf alten Rechnern wie einem G3 flüssig.

(Übrigens: Das wäre im direkten vergleich so, wie Vista auf einem Pentium2
laufen zu lassen, denn G3 und P2 sind beide von 1998. Nur bei Vista würde
das wohl nicht so flüssig laufen )

[DrSnuggles]

@xtraa_:

Unter Windows tauchen Keylogger für gewöhnlich nicht in der Prozessliste auf und Platte verschlüsseln hilft auch nur solange die eifersüchtige Person keinen Adminzugang auf dem Rechner hat.

[crabba]

Hi,

danke für die Infos. Der Verdacht besteht in der Tat auf Grund ihres eifersüchtigen Freundes. Plattmachen und neuaufsetzen scheidet leider aus, da erstens wie gesagt keine Ahnung vom Rechner im allgemeinen und zweitens wird die Kiste mehr oder weniger von ihrem Freund administriert. Ob es OX oder was älteres ist werd ich hier noch nachliefern (weiß ja jetzt wo man nachguckt).

Gibt es denn z.B. einen Virenscanner der weitestgehend zuverlässig solche Programme entdeckt? Oder sowas wie "HijackThis", nur für Macs, so dass man irgendeine Protokolldatei online abchecken kann? Es würde nämlich im ersten Schritt schon reichen festzustellen, ob überhaupt einer installiert ist, das beseitigen wäre dann nochmal ein nachgeordnetes Thema.

[DrSnuggles]

Zitat:

Zitat von crabba

Gibt es denn z.B. einen Virenscanner der weitestgehend zuverlässig solche Programme entdeckt?

Nein, genauso wenig wie auf einem Windowsrechner.

[xtraa_]

Oh mann... all your base are belong to us

Das ist natürlich hart, wenn er den Rechner auch noch administriert.

Da viele Keylogger meist mit nötigen Rechten lokal installiert werden, sind
sie nicht mit typischem Schadcode vergleichbar, so dass da die
Virenscanner nicht drauf ansprechen.

Also ihr kommt da nicht drumrum. Aber:

Neu aufsetzen ist beim Mac für doofe gemacht, es ist sau einfach,
zumindest, wenn es sich um OS X handelt, und um einen echten Apple

Also wenn Du hier posten kannst, dann bekommst Du das locker hin

1. iBackup ist kinderleichte Freeware: Er sichert alle Programme und
wunschweise auch Einstellungen in einem Ordner. Alles, was gesichert
werden soll wird einfach per Checkbox ausgewählt. Rechtsklick auf den
Desktop, neuen Brennordner erstellen, da den Backupordner reinziehen und:
..."brennen" klicken.

Beim Zurückspielen: Mit iBackup im neu aufgesetzten System den ordner
wieder auswählen, und er importiert auf kommando alles automatisch.

Ehrlich, da muss man null Anhung haben.

2. Installation des Systems: DVD rein, beim booten taste c gedrückt halten.
Später mit dem Diskutility (grafisch) direkt im Setup formatieren. Dann
muss sie nur noch ihre Daten wie Name, E-Mail, Passwort eingeben, und
das System steht. Keine Angst, wenn Du XP mal installiert hast, dann ist
das ein Selbstgänger.

Sie braucht natürlich ein neues Passwort, dann kann der Typ auch mal
unbeaufsichtigt an ihren PC. Alles kann man unter Systemeinstellungen >
Benutzer machen, auch neue anlegen. (Auf das kleine Schloss im Fenster
klicken und einloggen, um Änderungen vornehmen zu können.)

Das macht einen ja richtig aggessiv, dass so ein Typ da rumspooft...

Gruß,

xtraa

[crabba]

DrSnuggles, so pauschal ist das ja auch nicht richtig. Es gibt ja eine Vielzahl von Tools die sogar auf solcher Art "Gegenmittel" spezialisiert sind, siehe z.B. hier http://www.heise.de/software/default...en&s=se&kat=-1. Nur eben leider alles für Windows.

xtraa_, danke für die Anleitung. Ich glaube wenn ich das so lese schon auch, dass das wohl hinzubekommen wäre ... nur, es geht vor allem erstmal darum herauszufinden ob eben so ein Ding drauf ist oder nicht. Wenn ja, dann hat sich nämlich eh so einiges erledigt und der hat sowieso keinen Zugriff mehr auf den Rechner. Aber einfach neu aufsetzen geht eben auch nicht weil das ja sozusagen ein "Mißtrauensvotum" wäre, und das soll ja auch nicht sein.

Eine echte Zwickmühle also. Das gibt's doch gar nicht, dass es so anti-keylogger-Tools nicht auch für den Mac gibt - Keylogger gibts ja schließlich auch mehrere. Vielleicht googele ich auch einfach falsch ... wer hat denn das größte Verzeichnis/Katalog für Mac-Software?

[Shiwa]

Mein Gott..... Was für ein Drama.... Lass doch Deine Freundin am besten etwas schön verfängliches an eine x-beliebige e-mail adresse tippen.
Wenn der Typ so eifersüchtig ist wie angenommen, dann wird er sie es bestimmt bald wissen / merken lassen, dass er dass mitbekommen hat... Dann kann sie ihm immer noch den Schuh geben.

cheers,
Shiwa

[xtraa_]

Zitat:

Zitat von crabba

Wenn ja, dann hat sich nämlich eh so einiges erledigt und der hat sowieso keinen Zugriff mehr auf den Rechner. Aber einfach neu aufsetzen geht eben auch nicht weil das ja sozusagen ein "Mißtrauensvotum" wäre, und das soll ja auch nicht sein.

Ah ok, ich verstehe die Problematik. Gut, einige bekannte keylogger wie
kextlog, der wohl zu den besten gehört, lassen sich zum Glück mit macscan
ausfindig machen. Dies war möglich, weil die leute von securemac da viel
handarbeit reingesteckt haben.

Also nach Mustern kann man da nicht gehen, insofern hat Snuggles recht.
Auf der Seite heißt es daher auch:

Zitat:

MacScan is the world's first remote administration software detection title for the Macintosh.
Using advanced detection methods MacScan can detect, isolate and remove the program which
could allow remote administration and violate security. Anti-virus software does not commonly
protect you from spyware. Many remote administration programs used by hackers to gain remote
access to your computer, often goes undetected. Keystroke loggers have been undetected for
years. MacScan by SecureMac -- Leader in Macintosh information security -- is designed specifically
to detect and eradicate the threat to your Macintosh.

MacScan protects your Mac from security risks like no other program can, filling the missing gap
of security protection for the Macintosh.

MacScan detects, isolates, and removes as well as notifing you of any remote administration
applications that may be active. MacScan also audits and protects your system from spyware programs
such as keystroke recorders.

Tried, tested and true - MacScan is the only intuitive program available that protects your Macintosh
against spyware.

Our goal for MacScan is to answer all the needs of Mac users out there ensuring them security from
these high risk programs

Also Downloaden und mal durchlaufen lassen. Es ist zwar eine trial, aber
zum Glück nur mit 15 Tagen Zeitbeschränkung und ansonsten
funktionsfähig. Das reicht uns ja erstmal.

Gruß,

xtraa

[crabba]

Hi, danke nochmal. Ich werd das so machen und wenn's was Neues gibt hier vermelden.

[DrSnuggles]

Zitat:

Zitat von xtraa_

1. iBackup ist kinderleichte Freeware: Er sichert alle Programme und
wunschweise auch Einstellungen in einem Ordner.

Und wenn man keine Ahnung hat auch den Keylogger. Von kompromitierten Systemen zieht man nur Datenbackups.
[/quote]

[DrSnuggles]

Zitat:

Zitat von crabba

DrSnuggles, so pauschal ist das ja auch nicht richtig. Es gibt ja eine Vielzahl von Tools die sogar auf solcher Art "Gegenmittel" spezialisiert sind, siehe z.B. hier http://www.heise.de/software/default...en&s=se&kat=-1. Nur eben leider alles für Windows.

Die Trefferquote dürfte beeindruckend schlecht sein wenn du irgendwas aus der Hackerszene installierst.