defense.at Onlinemagazin

Übersicht
Hersteller: KeeLog
Website: KeeLog
Produkt: KeeLog USB KeeLogger TimeKeeper
Speicher: 2 GB
Zeit/ Datumsstempel: Ja
Verschlüsselung: 128-Bit
Preis: 124.99 $, 89.99 €

Verpackung, erster Eindruck und Größenvergleich
Die Verpackung besteht aus einer stabilen Kartonschachtel. Dort enthalten sind neben dem Hardware Keylogger, welcher gut geschützt in einem rosanen Schaumstoff lagert, noch eine Benutzeranleitung und eine Anleitung für die Konfiguration des Zeitstempels.

Die Verpackung und der Inhalt machen einen soliden Eindruck. Positiv fällt auf, dass sich die Zeitfunktion laut Anleitung sowohl im amerikanischen Format A.M./ P.M., als auch im 24-Stunden Format einstellen lässt. Die Zeitstempelfunktion lässt sich durch eine interne Batterie realisieren, welche laut KeeLog bis sieben Jahre halten soll.
Austauschbare Hüllen liegen keine bei, allerdings bietet KeeLog beim Kauf verschiene Farbmodelle an (für USB-Modelle schwarz und weiß, für PS/2-Modelle schwarz, grau und violett).

Um die Größe etwas besser abschätzen zu können, folgt ein Größenvergleich mit einer 1-Euro Münze.

Funktionalität
Der USB KeeLogger TimeKeeper bietet einen sehr großen, nicht-flüchtigen Speicher von 2 GB welcher rund 2000000000 Tastaturanschläge aufzeichnen kann. Als besondere Funktionen bietet er eine 128-Bit Verschlüsselung sowie eine Zeitstempel-Funktion. Dies dürfte sich vorallem für zeitkritische oder forensische Analysen als praktisch erweisen.
KeeLog bietet auf ihrer offiziellen Website (www.keelog.com) auch noch andere Produkte, wie etwa PS/2-Modelle oder Module für den direkten Einbau in eine Tastatur.

Installation
Die Installation ist sehr einfach und schnell. Dazu muss der Keylogger einfach zwischen Tastatur und Computer angesteckt werden, woraufhin nach wenigen Sekunden mit der Aufzeichnung begonnen wird. Es werden hierzu keinerlei Treiber oder sonstige Software benötigt.

Als besonders erfreulich erwies sich die Tatsache, dass während der Tests kein Hinweis von Windows erschien, der auf ein neues Gerät hinwies und dieses automatisch installierte, wie es beispielsweise häufig bei externen Festplatten und den Standard-USB-Treibern von Windows der Fall ist. Dadurch wird nicht nur die Tarnung erhöht, sondern auch der Aufzeichnungsvorgang beschleunigt.

Auch der Gerätemanager von Windows und diverse Freeware-Tools (USBDeview von Nirsoft (www.nirsoft.net), USBView von Microsoft, …) lieferten keine Informationen über den angeschlossenen Keylogger.

Auslesen des Logs
Möchte man das Logfile auslesen, so muss zunächst eine bestimmte Tastenkombination gedrückt werden, wodurch der Keylogger in den Flash Drive Modus wechselt. Dabei müssen natürlich wieder der Hardware Keylogger und eine entsprechende Tastatur angeschlossen sein.
Windows wird daraufhin das Gerät als Massenspeicher erkennen und installiert einen in Windows integrierten Standard-USB-Treiber.

Der Hardware Keylogger wird anschließend im Explorer/ Arbeitsplatz als Datenträger dargestellt und auch als solcher behandelt.

Die Tastatur ist nun nicht mehr verfügbar und es kann nur noch mit der Maus gearbeitet werden. Alternativ lässt sich aber eine zweite Tastatur verwenden. Empfehlenswert ist deshalb, das Logfile vom Hardware Keylogger auf die eigene Festplatte zu kopieren und von dort aus weiter zu arbeiten und den Keylogger wieder in den Aufzeichnungszustand zu versetzen (dazu reicht es aus, die Hardware sicher zu entfernen oder einfach den Keylogger auszutecken und erneut anzuschließen).

Das Logfile kann mit jedem beliebigen Texteditor geöffnet und analysiert werden, wobei KeeLog selbst ebenfalls einen Text-Editor zur Verfügung stellt.

KeeLogs Editor stellt im Wesentlichen einen Standard-Editor dar, welcher eine Suchfunktion bietet sowie einer Filterung nach Email- und Webadressen. Die Verwendung dieses Editors ist allerdings nicht zwangsweise nötig.

Wie zu sehen wurden auch Zeichen, die für den deutschen Sprachgebrauch einzigartig sind, wie etwa Umlaute und ß, richtig aufgezeichnet. Auch exotische Tastenkombinationen wurden richtig festgehalten.

ALT+1: ☺
ALT+2: ☻
ALT+3: ♥
ALT+4: ♦
ALT+5: ♣
ALT+6: ♠
ALT+11: ♂
ALT+12: ♀

BIOS Passwort und Windows-Login Passwörter ließen sich ebenfalls problemlos aufzeichnen. Die einzige unvollständige Aufzeichnung die während der Tests festgestellt werden konnten, lag bei Tasten, die für längere Zeit gedrückt wurden. So wurde beispielsweise ZZZZZZZZZZZZZZ nur als Z aufgezeichnet. Im alltäglichen Gebrauch wird aber vermutlich nur selten ein derartiges Verhalten vorzufinden sein, weshalb es nicht als Nachteil gewichtet werden muss.

Einstellungsmöglichkeiten
Der KeeLogger TimeKeeper bietet verschiedene Einstellungsmöglichkeiten, welche zunächst mit der Datei CONFIG.TXT im Root-Verzeichnis des Keyloggers festgelegt werden können.

Password=KBS
LogSpecialKeys=Medium
DisableLogging=No
Timestamping=Yes

Password legt die Tastenkombination fest, welche benötigt wird, um den Hardware Keylogger in den Flash-Drive Modus zu versetzen.
LogSpecialKeys ist dafür zuständig, auch spezielle Tasten, wie etwa Escape, F1, F2 etc. aufzuzeichnen. Mögliche Werte sind hier None für reine Texttasten, Medium für grundsätzliche Funktionstasten und Full für das aufzeichnen aller Sondertasten (Standard Medium).
DisableLogging sollte selbsterklärend sein und hat als zulässige Attribute Yes und No.
Mittels Timestamping kann auf Wunsch das Loggen des Zeitstempels deaktiviert werden (Yes und No).

Zusätzliche Optionen die in der Konfigurationsdatei festgelegt werden können sind Encryption und ImeMode. Encryption wird dazu genutzt, um die Verschlüsselung zu aktivieren. Möchte man den Zustand dieses Wertes ändern, so sollte bedacht werden, dass ein Ändern eine Formatierung des Hardware Keyloggers veranlasst, wodurch alle auf den Stick befindlichen Daten verloren gehen (Logs, Konfigurationen, Layouts etc.). Deshalb sollten diese zuvor extern gesichert werden und nach der Formatierung wieder eingespielt werden.
ImeMode erlaubt es spezielle Zeichen aufzuzeichnen, wie sie bei Systemen mit IME (Input Method Editor) verwendet werden. Dazu gehören beispielsweise Japanische, Chinesische und Koreanische.

Anmerkung: Variablen und dazugehörige Werte sind nicht case sensitive, d.h. Groß- und Kleinschreibung spielen keine Rolle. Weiters sind die angegebenen Zeichen für das Passwort ebenfalls unabhängig vom Layout.

Neben der CONFIG.TXT spielt auch noch die TIME.TXT eine wichtige Rolle. In dieser Datei wird die Konfiguration für die Zeitstempel-Funktion festgelegt. Auch diese Datei muss sich im Root-Verzeichnis des Keyloggers befinden.

Year=2009
Month=6
Day=14
Hour=18
Minute=0
Second=0
Format=24

Im Grunde sind alle aufgeführten Werte selbsterklärend. Das Attribut Format kann die Werte AM, PM oder 24 zugewiesen bekommen.

Anmerkung: Auch hier spielen Groß- und Kleinschreibung für Variablen und Attribute keine Rolle.
Da immer einige Zeit verstreicht, ehe der Modus gewechselt und mit der Aufzeichnung begonnen wird, ist es empfehlenswert, die Zeitangaben in der Zukunft anzulegen, um ein genaueres Logging zu erzielen.

Dritte und letzte Konfigurationsmöglichkeit stellt die Verwendung von Layouts dar, mit welche verschiedene Tastaturlayouts festgelegt werden können. Das bedeutet, dass auch beispielsweise deutsche Tastaturlayouts kein Problem darstellen, sofern vorab festgelegt, wodurch auch Zeichen wie ö, ä, ü, ß, ... kein Problem darstellen.
Dazu muss nur die entsprechende LAYOUTS.TXT in das Root-Verzeichnis des Keyloggers kopiert werden. Auf der Website von KeeLog findet man hierzu ein umfassendes Angebot an vorhandenen Layouts, welche heruntergeladen und verwendet werden können.

Anmerkung: Während der Tests funktionierte dies allerdings erst, nachdem der Hardware Keylogger formatiert wurde, was etwa 10 Sekunden beanspruchte. Der zuvor durchgeführte Versuch, die LAYOUTS.TXT einfach auf den Keylogger zu kopieren funktionierte insofern nicht, als dass die Aufzeichnung mit englischem Layout vorgenommen wurde. Nach der Formatierung funktionierte dies allerdings problemlos.

Résumé
Dieser Hardware Keylogger wurde auf vielen verschiedenen Systemen getestet und funktionierte problemlos. Auch verschiedene Modelle von USB-Tastaturen stellten kein Problem für den Keylogger dar.

Das Auslesen des Logs funktioniert auch bei sehr großen Logs aufgrund der Methodik eines Wechsel-Datenträgers sehr schnell und einfach und sollte selbst für nicht-technisch Versierte kein Problem darstellen.

Aufgrund der ausgiebigen Tests und nützlichen Funktionen (Verschlüsselung und Zeitstempel) kann ich diesen Hardware Keylogger vorallem Security Consultants und Forensikern empfehlen. Auch die Tatsache, dass kein Hinweis erschien, dass ein neues Gerät angeschlossen wurde, stellt meiner Meinung nach einen großen Pluspunkt dar. Für Privatpersonen dürften die beiden integrierten Funktionen eventuell nicht zwangsweise benötigt werden und deshalb etwas günstigere Modelle, ohne diese Funktionen, ausreichend sein.
KeeLog bietet zudem eine Gewährleistung von einem Jahr auf technische Fehler.

Erwähnenswert ist auch noch die Tatsache, dass KeeLog auf ihrer Website freie Anleitungen zum Selbstbau von Hardware Keyloggern zur Verfügung stellt. Die erste Anleitung kann hier nachgelesen werden und liefert Informationen über den Bau eines PS/2-Keyloggers. Die zweite Anleitung, welche erst vor kurzem veröffentlicht wurde, kann hier gefunden werden und liefert umfangreiche Informationen zum Bau eines Wireless Hardware Keyloggers.