defense.at Onlinemagazin

Übersicht
Hersteller: Dugoto Technologies
Website: WirelessKeylogger
Produkt: Wireless Keylogger
Speicher: 4 MB
Zeit/ Datumsstempel: Nein
Verschlüsselung: Keine
Preis: 225 $, ~173 €

Verpackung, erster Eindruck und Größenvergleich
Die Verpackung besteht aus einer schlichten weißen Schachtel und zeigt keinerlei Beschriftung. Innerhalb befinden sich der Keylogger und eine kurze Benutzeranleitung.

Obwohl dieser Hardware Keylogger ein Modul für Bluetooth integriert hat, ist er nur minimal größer als herkömmliche PS/2-Keylogger.

Funktionalität
Die Besonderheit dieses Hardware Keyloggers gegenüber anderen, liegt in dem integrierten Bluetooth-Modul. Dadurch reicht ein einmaliger Zugang bereits aus, um den Keylogger zu installieren. Für das zukünftige Abrufen des Logs muss kein phsyischer Zugang mehr gegeben sein, da diese über Bluetooth abgerufen werden können.
Ist der 4 MB Speicher voll, so werden die ältesten Daten mit den Neuesten überschrieben.

Installation
Die Installation ist wie bei den meisten anderen Keyloggern auch sehr einfach und schnell. Der Hardware Keylogger muss zwischen Tastatur und Computer angeschlossen werden und beginnt daraufhin bereits mit der Aufzeichnung.

Auslesen des Logs
In der mitgelieferten Benutzeranleitung wird das Programm BlueSoleil empfohlen, wobei zunächst versucht wurde, mittels Standardtreiber- und software (Bluetooth (Toshiba) Stack) auf den Keylogger Zugriff zu erhalten - leider erfolglos. Deshalb wurde das Programm BlueSoleil wie empfohlen installiert und für die folgenden Tests weiter verwendet.
Zunächst wurde nach vorhandenen Bluetooth-Geräten in erreichbarer Nähe gesucht.
 
Nachdem der Hardware Keylooger erfolgreich gefunden wurde, muss über den seriellen Bluetooth-Port eine Verbindung hergestellt werden.

Wenn die eigentliche Verbindung zwischen eigenem System und Keylogger besteht, kann mit der Kommunikation selbst begonnen werden. Im Benutzerhandbuch wird hierzu das Opensource-Programm TeraTerm (http://sourceforge.jp/projects/ttssh2) empfohlen, wobei auch alle anderen Terminal-Programme, die ähnliche Funktionalitäten bieten, wie etwa PuTTY, verwendet werden können. In diesem Review wurde das in Microsoft Windows standardmäßig mitgelieferte Programm HypterTerminal verwendet. Wichtig ist hierbei nur, dass man den richtigen COM-Port einträgt, welcher zuvor zugeordnet wurde.

Nachdem HypterTerminal entsprechend konfiguriert wurde, wird die Verbindung aufgebaut und man erhält zunächst ein leeres Fenster.

Hier muss man nun das Standardpasswort eintippen, welches in der Benutzeranleitung angegeben wurde. Verwendet man die Standardeinstellung von HypterTerminal, so ist nicht sichtbar, was bisher eingegeben wurde. Nachdem das Passwort richtig eingetippt wurde, wird ein ASCII-Menü ausgegeben.

Der Wireless Hardware Keylogger bietet insgesamt folgende vier Optionen:
F)etch: Diese Option liest die auf den Keylogger befindlichen Daten aus. Dabei wurden nicht nur normale Buchstaben und Zahlen ausgelesen, sondern auch Sonderzeichen und spezielle Zeichen wie etwa ALT+Ziffern-Kombinationen. Besonders positiv fiel auf, dass auch Tasten richtig aufgezeichnet wurden, die für einen längeren Zeitraum gedrückt wurden. Vergleichbare Keylogger zeichnen hierbei häufig die Taste nur einmal auf.

Anmerkung: Während der Tests wurde festgestellt, dass die Fetch-Option zugleich die vorhandene Logdatei auf dem Keylogger löscht! D.h. sobald man den bisherigen Log abruft, diesen zugleich lokal abspeichern sollte, möchte man ihn weiter analysieren oder zu einem späteren Zeitpunkt nochmals abrufen.

E)rase: Löscht die auf dem Keylogger befindliche Logdatei.
P)assword: Ermöglicht es selbst ein Passwort festzulegen, welches zukünftig benötigt wird. Hierbei muss das Passwort zweimal identisch eingegeben werden, damit es geändert werden kann.
Q)uit: Trennt die aktuelle Session.

Anmerkung: BlueSoleil (www.bluesoleil.com) ist als Shareware-Version verfügbar, grundsätzlich aber kostenpflichtig.

Einstellungsmöglichkeiten
Zunächst wurde versucht den Namen des Keyloggers zu ändern, obwohl die Bezeichnung wk-0855 nicht besonders auffallend sein sollte. Dennoch wurde im mitgelieferten Benutzerhandbuch keine Möglichkeit gefunden, eine Bezeichnung selbst zuzuordnen. Möchte man dennoch den Namen ändern, so kann man den Hersteller kontaktieren, welcher daraufhin eine Anleitung zur Verfügung stellt.
Ansonsten erlaubt dieser Keylogger leider keine weiteren Einstellungsmöglichkeiten, abgesehen vom Passwort. Leider wurde hierzu keinerlei Hinweis im Benutzerhandbuch oder im Terminal selbst gefunden, der nähere Informationen, wie etwa erlaubte Zeichen, Länge, usw. erläutert.

Résumé
Die Tatsache, dass ein einmaliger physischer Zugang bereits ausreichend ist, macht diesen Keylogger vor allem für jene Szenarien interessant, wo davon ausgegangen werden kann, nur einmal Zugang zum gewünschten Systen zu erhalten. Beispielsweise bei Penetrationstests und Social Engineering-Attacken kann sich dieser Fall ergeben, abhängig davon, welche Rahmenbedingungen gegeben sind und was sich der Client wünscht.
Das Abrufen der Logs funktionierte während der Tests problemlos und relativ schnell. Auch die Reichweite, welche rund 100m betragen soll (getestet wurde auf ca. 25m), sollte ebenfalls für viele Fälle ausreichend sein.
Teilweise wirkt der Keylogger leider noch etwas unausgereift, so etwa beim Abrufen des Logs, welche zugleich die Logs löscht. Dennoch sollte dies nicht weiter von Belangen sein, sofern man sich vorab mit dem Keylogger auseinandergesetzt hat. Wünschenswert wäre eine Möglichkeit, ein freies Programm verwenden zu können, um mit dem Keylogger zu kommunizieren.
Empfehlenswert ist dieser Keylogger überwiegend für die am Anfang aufgeführten Szenarien. Hat man mehrmaligen Zugang zum Zielrechner so ist eventuell ein kostengünstigeres Modell, ohne Bluetooth-Funktionalität, interessanter.