defense.at Onlinemagazin

Hardware Review zu KeyCarbon USB Home

Hersteller: KeyCarbon LLC
Website: KeyCarbon
Produkt: KeyCarbon USB Home, KCU401
Speicher: 512 kB
Zeit/ Datumsstempel: Nein
Verschlüsselung: Keine
Preis: 187 $, ~132 €

Verpackung, erster Eindruck und Größenvergleich

Die Verpackung besteht aus einer Plastikhülle, ähnlich wie denen von DVD-Hüllen, welche in Folie eingeschweißt ist. Enthalten sind neben dem eigentlichen Hardware Keylogger, der in einer ESD-Folie eingepackt ist, auch noch eine kurze Anleitung für den Schnellstart sowie eine weiße Hülle, welche mit der Schwarzen ausgetauscht werden kann.

 

Die austauschbare Hülle fällt ebenso positiv auf, wie der Hinweis in der Anleitung, dass das vorliegende Gerät mittels Firmware aktualisierbar ist, was nicht immer der Fall sein muss. Dieses Review wurde mit der Firmware v4.0.0.5348 durchgeführt. Mit einer neueren Firmwareversion können beispielsweise neue Tastaturen unterstützt werden oder eventuell auch die Funktionalität erweitert werden. Dadurch muss man sich keinen neuen Keylogger kaufen wenn neue Tastaturen erscheinen, bei der der Keylogger eingesetzt werden soll, wodurch sich wiederum eine Kostenersparnis ergibt.

Der Hardware Keylogger selbst wirkt stabil und gut verarbeitet.

Um die Größe etwas besser abschätzen zu können, wurde ein Größenvergleich mit einer 1-Euro Münze durchgeführt.

Funktionalität
Das vorliegende Modell hat 512 kB nicht-flüchtigen Speicher, was ungefähr 500000 Tastaturanschlägen entspricht. Dies dürfte für die meisten Privatpersonen ausreichend sein. Für Firmen oder Security Consultants dürften andere Modelle von KeyCarbon interessanter sein, welche nicht nur mehr Speicher bieten, sondern auch 128-Bit Verschlüsselung sowie eine Zeit/ Datumsstempel-Funktion. Auch gibt es beispielsweise Hardware Keylogger auf PCI-Basis welche direkt eingebaut werden, wodurch eine Entdeckung ohne genaue Untersuchung schwer möglich sein dürfte. Genaueres und weitere Produkte findet man auf der offiziellen Seite von KeyCarbon, welche unter www.keycarbon.com erreichbar ist.

Ist der maximale Speicher erreicht, werden die ältesten Daten mit den neuesten überschrieben (FIFO-Prinzip – First In First Out).

Installation
Die Installation ist denkbar einfach und in weniger als 5 Sekunden vollbracht. Dazu muss man den Keylogger nur zwischen USB-Tastatur und PC anstecken, dann beginnt bereits die Aufzeichnung.

Während der Tests erschien ein Hinweis von Windows, dass ein Standard USB-Hub angesteckt wurde, welcher allerdings nach wenigen Sekunden wieder ausgeblendet wurde.

Der Versuch um über den Gerätemanager von Windows mehr Informationen über das angeschlossene Gerät zu erfahren, schlug fehl.
Mit diversen Freeware-Programmen (USBDeview von Nirsoft (www.nirsoft.net), USBView von Microsoft, …) wurde überprüft, ob der Hardware Keylogger als solcher erkannt wird. Dieser wird jedoch stets nur als USB-Hub erkannt, was nicht besonders verdächtig wirken sollte.

Auslesen des Logs
Es gibt grundsätzlich zwei Möglichkeiten, wie man das Logfile auslesen kann:

Man schreibt in einem beliebigen Texteditor (oder etwas Äquivalentes mit Text-Engine) und tippt das Zugangspasswort ein. Daraufhin wird ein ASCII-Menü generiert, welches verschiedene Optionen zur Verfügung stellt.

ROOT MENU
1) Full memory download
2) Partial memory download
3) Erase memory (quick)
4) Erase memory (thorough)
5) Modify password
6) Mode: Rapid Downloader
7) Mode: Firmware Upgrade
8) Options
9) Speed
0) Quit

Select:

Wählt man beispielsweise den zweiten Menüpunkt, so wird zunächst angegeben, wie viele Zeichen bisher gespeichert wurden und wie viel Prozent diese im Speicher beanspruchen. Über Eingabe einer Ziffer lässt sich bestimmen, wie viele Zeichen ausgelesen werden sollen.

Anmerkung: Damit dieses Menü auch bei nicht-englischsprachigen Layouts ordnungsgemäß ausgegeben wird, müssen die Regions- und Sprachoptionen angepasst werden. Wird dies nicht gemacht, so sieht das Menü fehlerhaft aus, funktioniert aber dennoch.
Unter Windows XP lässt sich ein englisches Layout über Start > Einstellungen > Systemsteuerung > Regions- und Sprachoptionen festlegen. Hierzu einfach beim Karteireiter Regionale Einstellungen Englisch (USA) auswählen.

Gibt man nun in einem Texteditor das Passwort ein, kann es eventuell passieren, dass Windows dabei wieder zur ursprünglichen Spracheinstellung zurückwechselt. Dazu kann mit der Tastenkombination ALT+SHIFT wieder gewechselt werden oder über das Regionalmenü neben der Windows-Uhr.

Der Vorteil bei dieser Methode liegt darin, dass es bei jedem Betriebssystem (mit Texteditor) funktioniert und man keine weitere Software installieren muss. Nachteilig hingegen stellt sich der längere Auslesevorgang dar, als bei der zweiten Möglichkeit.

Man benutzt ein von KeyCarbon entwickeltes Toolkit namens KeyCarbon USB Windows Toolkit. Dort enthalten ist das Programm Rapid Downloader. Mit diesem lässt sich das Logfile um ein vielfaches schneller auslesen als mit der erstgenannten Methode, allerdings funktioniert diese Suite nur bei Windows-Betriebssystemen (2000 und XP). Praktisch erweisen sich dabei auch die Möglichkeiten zur Auswahl verschiedener Tastaturlayouts, Highlighting von bestimmten Wörtern, Darstellung von nicht-printbaren Zeichen sowie verschiedene Darstellungsmöglichkeiten (Normal und Raw).

Nachdem der Hardware Keylogger eingesteckt und der Rapid Downloader gestartet wurde, lässt sich über den Menüeintrag Tools > Download Log From Device … das Logfile auslesen.

Wie zu sehen, wurden auch exotische Tastenkombinationen aufgezeichnet.
ALT+1: ☺
ALT+2: ☻
ALT+3: ♥
ALT+4: ♦
ALT+5: ♣
ALT+6: ♠
ALT+11: ♂
ALT+12: ♀

Anmerkung: Die erstgenannte Methode, Abrufen des Logfiles durch Eingabe des Passwortes in einen Texteditor, funktioniert bei Notebooks mit der integrierten Tastatur nicht. Dies kommt daher, da die integrierte Tastatur die Eingaben natürlich nicht an den Hardware Keylogger weiterleitet, wodurch dieser nicht darauf mit dem entsprechenden Menü reagieren kann. Deshalb muss, sofern man die Logs mittels Note- oder Netbook auslesen möchte, eine USB-Tastatur (mit angeschlossenem Hardware Keylogger) angeschlossen werden.

Wie zu erwarten ließen sich auch BIOS- und Windows-Login Daten problemlos auslesen. Auch Sonderzeichen, Umlaute etc. wurden richtig mitprotokolliert. Einzige Nicht-Protokollierung die während des Tests festgestellt werden konnte, lag bei Tasten, die für längere Zeit gedrückt wurden. So wurde beispielsweise AAAAAAAAAAAAAAA nur als A aufgezeichnet. Da dies aber in der Praxis vermutlich ohnehin nicht häufig auftreten wird, sollte es keinen allzu großen Nachteil darstellen.

Einstellungsmöglichkeiten
Der KeyCarbon USB Home Mini Hardware Keylogger wird mit einem Standardpasswort ausgeliefert. Dieses kann jedoch auf Wunsch geändert werden, wobei dieses folgenden Limitierungen unterliegt:

Es darf nur aus Zeichen des Alphabets bestehen (A-Z)
Maximal 17 Zeichen

Dabei spielen Groß- und Kleinschreibung keine Rolle. Empfehlenswert ist eine Kombination, die im normalen Schreibgebrauch nicht vorkommt. So wäre beispielsweise „hallo“ denkbar ungünstig, da dadurch versehentlich das Menü aufgerufen werden könnte. Auch eignen sich Passwörter, die bereits auf dem System verwendet werden, nicht.

Hat man sein selbst-konfiguriertes Passwort vergessen, so kann man den Keylogger zu KeyCarbon senden, die ihn daraufhin reseten. Dies kostet allerdings 40$ (~30€) und löscht dabei auch das enthaltene Logfile.

Résumé
Dieser Hardware Keylogger wurde auf verschiedenen Rechnern mit unterschiedlichen Betriebssystemen getestet (Windows 2000, XP, Vista sowie Linux Ubuntu) und funktionierte fehlerfrei. Zudem wurden verschiedene Tastaturen getestet sowie ein PS/2 zu USB – Adapter, welche ebenfalls kein Problem für den Keylogger darstellten. Auch bei der Nutzung von USB 2.0 und USB 1.1 konnten keinerlei Probleme festgestellt werden (wobei noch Anzumerken ist, dass bei Verwendung einer USB 2.0 Tastatur ein Hinweis eingeblendet wird, diese „eine schnellere Leistung erzielt werden könnte“, da der Hardware Keylogger als USB 1.1 Hub agiert.

Auch das Auslesen des Logs gestaltete sich als sehr einfach und benutzerfreundlich.

Ich persönlich kann dieses Gerät (bzw. andere Modelle mit Timestamps und Verschlüsselung) bedenkenlos empfehlen. Auch für ein Red/ Tiger-Team ist ein solches Gerät eine sinnvolle Bereicherung. Sollte man sich unsicher sein oder das Gerät nicht ordnungsgemäß funktionieren, so bietet KeyCarbon eine 15-Tage Geldzurück-Garantie bzw. eine Gewährleistung von einem Jahr.