¿Cómo detectar el software espía / registrador de teclas?

Tengo serias sospechas de que mi jefe haya instalado algún tipo de software espía. Tal vez un keylogger, captura de pantalla o algo así para saber lo que hago cuando no está en la oficina.

No tengo nada que ocultar, así que no sé si no me dice nada porque no encontró nada fuera de lugar o porque estoy siendo paranoico y no me está espiando.

De cualquier manera, quiero estar seguro si me espían porque:

  1. No quiero trabajar para alguien que no me confía
  2. Es ilegal y no permitiré que nadie almacene mis passwords (sí tengo acceso a mi correo electrónico personal, mi count bancaria y mi count de Facebook durante el almuerzo) y mi información personal.

Entonces … ¿cómo puedo detectar el software espía en un iMac que ejecuta OS X 10.6.8? Tengo todos los permissions de administrador saberlo.

Traté de escanear todas las carpetas en la biblioteca de mi usuario y sistema pero nada sonaba, pero como creo que este software escondería la carpeta (por location o por nombre) no creo que encuentre una carpeta llamada Employeee Spy Data

También busqué todos los processs que se ejecutan en diferentes momentos con Activity Monitor, pero de nuevo … no es como si el process se llamara SpyAgent Helper

¿Hay una list de carpetas / processs conocidos que se deben search?

¿Alguna otra forma de detectar?

  • Deshabilitar geolocation en Safari
  • Safari: ¿una forma sencilla de abrir un enlace en una window privada?
  • ¿Qué más podría haber hecho para proteger mi iPhone y mi iPad?
  • ¿La navigation privada está rota en Safari 5.1.4?
  • ¿Eliminar el historial reciente de documentos?
  • ¿Qué son api.smoot.apple.com y otros hosts con los que mi iPhone está hablando en secreto?
  • ¿Es posible usar la pantalla compartida sin que la pantalla remota esté visible?
  • ¿MacOS Sierra hace la asignación de direcciones MAC? Sé que iOS lo hace
  • 5 Solutions collect form web for “¿Cómo detectar el software espía / registrador de teclas?”

    Cualquier class de rootkit que valga la pena va a ser casi indetectable en un sistema en ejecución porque se enganchan en el núcleo y / o reemplazan los binarys del sistema para ocultarse. Básicamente, no se puede confiar en lo que está viendo porque no se puede confiar en el sistema. Lo que debe hacer es apagar el sistema, conectar una unidad de arranque externa (no la conecte al sistema en ejecución) y luego iniciar el sistema desde un disco externo y search progtwigs sospechosos.

    Voy a hacer la hipótesis de que ya has verificado completamente que las RAT más comunes están apagadas o muertas (todas las coincidencias, ARD, Skype, VNC …).

    1. En una Mac externa y totalmente confiable que también ejecuta 10.6.8, instale uno (o ambos) de estos 2 detectores de rootkits:

      1. rkhunter esto es un tgz tradicional para build e instalar
      2. chkrootkit que puedes instalar a través de brew o macports , por ejemplo:

        port install chkrootkit

    2. Pruébalos en esta confiable Mac.

    3. Guárdalos en una llave USB.

    4. Enchufe su llave en su sistema sospechoso corriendo en modo normal con todo como de costumbre y ejecútelo.

    Una forma definitiva de ver si se está ejecutando algo sospechoso es abrir la aplicación Monitor de actividad, que puede abrir con Spotlight o ir a Aplicaciones > Utilidades > Monitor de actividad . Una aplicación puede ocultarse a simple vista, pero si se está ejecutando en la máquina, definitivamente aparecerá en el Monitor de actividad. Algunas cosas allí tendrán nombres divertidos, pero se supone que se están ejecutando; entonces, si no está seguro de qué se trata, tal vez Google antes de hacer clic en Salir del process , o puede desactivar algo importante.

    Si ha sido pirateado, el registrador de teclas tiene que informar. Puede hacerlo de inmediato o almacenar localmente y arrojarlo periódicamente a algún destino de networking.

    Su mejor opción es search en una computadora portátil vieja, idealmente con 2 puertos ethernet, o, en su defecto, con una tarjeta de networking PCMCIA. Instale un sistema BSD o Linux en él. (Recomendaría OpenBSD, luego FreeBSD solo por una gestión más sencilla)

    Configure la computadora portátil para que funcione como un puente: todos los packages se pasan. Ejecute tcpdump en el tráfico hacia adelante y hacia atrás. Escribe todo en una memory USB. Periódicamente cambie la unidad, lleve la unidad cargada a casa y use etéreo o snort o similar para revisar el file de volcado y ver si encuentra algo extraño.

    Está buscando tráfico a una combinación inusual de ip / puerto. Esto es difícil. No conozco ninguna buena herramienta para ayudar a aventar la paja.

    Existe la posibilidad de que el spyware escriba en el disco local cubriendo sus pistas. Puede verificar esto arrancando desde otra máquina, inicie su mac en el modo objective (actúa como un dispositivo firewire) Escanee el volumen, captando todos los detalles que pueda.

    Compara dos carreras de esto en días separados usando diff. Esto elimina el file que es el mismo en ambas ejecuciones. Esto no encontrará todo. Por ejemplo, una aplicación Blackhat puede crear un volumen de disco como un file. Esto no cambiará mucho si la aplicación Black puede hacer arreglos para que las dates no cambien.

    El software puede ayudar: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Útil para ver los files modificados / permissions. Dirigido a * ix, no estoy seguro de cómo maneja los attributes extendidos.

    Espero que esto ayude.

    Para detectar y eliminar aplicaciones, puede usar cualquier software de desinstallation para Macintosh (como CleanMyMac o MacKeeper).

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).