Como saber se o login no console é genuíno?

No Windows, pode-se pressionar Ctrl+ Alt+ Delpara disparar uma interrupção que abre a janela de login.

Ao fazer logon no console de um computador Linux: Como posso saber se esse logon é real ou falso para roubar minhas credenciais?

Supondo que você queira estar protegido contra outros usuários normais do sistema (se o adversário tiver acesso root, todas as apostas estiverem desativadas), você poderá, em princípio, usar uma chave de atenção segura :

A Secure Attention Key de um sistema operacional é uma ferramenta de segurança fornecida como proteção contra programas de captura de senha de trojan. É uma maneira invencível de matar todos os programas que poderiam estar sendo disfarçados como aplicativos de login. Os usuários precisam ser ensinados a inserir essa sequência de teclas antes de efetuar login no sistema.

( Manipulação do Linux 2.4.2 Secure Attention Key (SAK), Andrew Morton, 18 de março de 2001 )

Esta questão de U&L relacionada pode ser interessante: como posso encontrar a chave de atenção segura (SAK) no meu sistema e posso desativá-la?

Primeiro de tudo, não tenho certeza de que você possa ter mais certeza do Ctrl+AltDel janela de login + no Windows, esse também é o papel de um vírus / cavalo de Troia para seqüestrar a interrupção, e sua implementação é muito possível.

Segundo, se esse mecanismo for implementado no Windows / Linux, isso significa que os privilégios de administrador certamente estão comprometidos.

No Linux, se alguém escreveu um shell falso para exibir um prompt e capturar suas credenciais, acho que básico Ctrl+ Cou Ctrl+ Zpode ser suficiente, se esses sinais não forem detectados para descobrir o truque. Além disso, a inserção de credenciais incorretas várias vezes pode ajudá-lo a ver algum desvio do comportamento normal do cronômetro.

Alternar entre diferentes consoles como também aumenta a probabilidade de descobrir o truque.

Mas, em qualquer caso, você não pode ter certeza de 100% de qualquer tipo de sistema de confiabilidade do seu prompt / janela de login.

Você pode usar ctrl+ alt+ F1... F7para entrar em outro tty e fazer login a partir daí. Você também pode usar ctrl+ zou ctrl+ c. No entanto, se alguém está tentando roubar seu login e senha usando esse método, ainda é possível que você esteja sendo enganado. Depende do sistema operacional que você está usando, quem teve acesso a ele e que tipo de acesso ele tinha.

Geralmente, você nunca pode ter 100% de certeza, mas se alguém fizesse isso, eu assumiria que ele já tem acesso root - portanto, seus dados de login não teriam sentido para ele.

Um usuário (mesmo que não seja root) que tenha acesso físico ao console pode fazer esse truque.

Efetue login sshe verifique quais processos operam em um console virtual no qual você deseja efetuar login localmente. Se é getty(para um TUI tty) ou outro gerenciador de exibição legítimo? Tem UID = 0?

Se qualquer um dos dois for falso, o banner do nome do hostlogin: certamente será forjado. Mas, como as respostas do estado já estão escritas, não ajuda contra um infrator que já tenha seus privilégios escalados root.

Resposta curta: você não pode dizer.

Mas se o comando prompt de login foi substituído, isso significa que o invasor tem acesso root na máquina. Nesse caso, ele / ela poderia também:

• instalou um keylogger para roubar sua senha. Você pode atenuar o problema usando uma senha exclusiva, para que o invasor não possa acessar outros serviços online que você usa;
• faça o login como você (ou como qualquer outro usuário) na máquina, simplesmente alterando a senha ou acesse seus arquivos (ou de qualquer outra pessoa).

Portanto, preocupar-se se o prompt de login é legítimo ou não é um ponto discutível.

Como regra geral, você não deve efetuar login em uma máquina que possa estar comprometida.