Keylogger Linux senza root o sudo! È vero?

Qualcuno su Youtube afferma di avere un keylogger su Ubuntu che non è stato né eseguito né installato come root. Il link seguente mostra una demo del suo funzionamento.

http://www.youtube.com/watch?v=Y1fZAZTwyPQ

Nonostante le loro affermazioni contrarie, questa persona avrebbe potuto installarlo come root prima di dimostrarlo per il video. Esistono altre prove semi credibili che ciò sia realmente possibile senza root per l'installazione o l'esecuzione?

AGGIORNAMENTO: Il software a cui fa riferimento la risposta del 24 giugno non si installa senza sudo / root. Ho aggiunto una generosità a chiunque fornisca un collegamento a un software di keylogger Linux funzionante che può essere installato ed eseguito con privilegi utente regolari.

Sì, è reale. Se sei stato sfruttato tramite un browser e un utente malintenzionato può eseguire il codice con i tuoi privilegi utente, può registrare un programma tramite le funzionalità di avvio automatico di GNOME o KDE che eseguono programmi al login. Qualsiasi programma può ottenere codici di scansione dei tasti premuti in X Window System. È facilmente dimostrato con il comando xinput. Vedi il post sul blog sull'isolamento della GUI per i dettagli.

Il concetto in quel video è reale al 100% e il codice è molto semplice.

Identifica il tuo ID tastiera con: xinput --list

Registra i tasti con: xinput --test $id

Abbina i numeri ai tasti con: xmodmap -pke

Sì, è possibile.
Puoi provarlo sul tuo computer con un software simile lkl .

Non ho visto il video, quindi sto rispondendo all'impressione che ho di ciò che afferma dal thread SU piuttosto che dal video che citi.

Se un utente malintenzionato può eseguire il codice sul computer come utente, può registrare le pressioni dei tasti.

Bene, duh. Tutte le applicazioni in esecuzione hanno accesso ai tasti premuti. Se stai scrivendo elementi nel tuo browser, il tuo browser ha accesso ai tasti premuti.

Ah, dici, ma per quanto riguarda la registrazione dei tasti preme in un'altra applicazione? Finché l'altra applicazione è in esecuzione sullo stesso server X, possono comunque essere registrati. X11 non tenta di isolare le applicazioni, non è il suo lavoro. X11 consente ai programmi di definire scorciatoie globali, utile per i metodi di input, per definire macro, ecc.

Se l'utente malintenzionato può eseguire il codice come utente, può anche leggere e modificare i file e causare altri tipi di danni.

Questa non è una minaccia. Fa parte delle normali aspettative di un sistema funzionante. Se consenti a un utente malintenzionato di eseguire codice sul tuo computer, il tuo computer non sarà più sicuro. È come se aprissi la tua porta d'ingresso e permettessi a un assassino di ascia di entrare: se poi ti fendi in due, non è perché la tua porta d'ingresso è insicura.

Il keylogger può registrare solo i tasti premuti dall'utente infetto. (Almeno finché l'utente infetto non digita la password sudo.)

È possibile al 100%. Per ttys / ptys (modalità testo), il modo più semplice è aggiungere uno shim a / bin / {ba, da, a} sh (ad es. Un secondo segmento .code, RX) e cambiare il punto di ingresso (proprio come un ELF virus sarebbe). Escludendo l'accesso a questo in questo caso, si può modificare ~ / .profile o ~ / .bashrc (ecc.) In, come un modello ipotetico molto semplice:

exec ~ / .malicious_programme

che può caricare il codice dinamico di oggetti condivisi per nascondere il programma dannoso in questione (esempio: consentire la lettura e la modifica di .profile, ma nascondere la riga. E / o nascondere il programma.)

Si può quindi usare il sistema UNIX98 pty (7) o anche semplicemente pipe (2) per registrare tutti gli input in una shell biforcuta, supponendo che fd non sia contrassegnato con FD_CLOEXEC e persino cambiare l'input dell'utente nella shell.

In X11, sebbene kdm / gdm / xdm funzionino come setuid root (o l'equivalente in capacità [vedi setcap (8)] o qualunque modello di sicurezza stai usando se non predefinito), le cose diventano più complicate, ovviamente. Se uno può elevare i privilegi? iopl (2) o ioperm (2) semplificano la vita con l'accesso diretto alle porte della tastiera 0x60 / 0x64 su x86. Dato che supponiamo che tu non possa, dobbiamo cercare una strada alternativa. Ne conosco diversi, ma non sono del tutto sicuro che tu voglia una tesi su come sia possibile e sulle interfacce coinvolte.

Basti dire che l'anello 3, i trojan non superutente sono abbastanza possibili su * nix, nonostante l'isolamento del processo, a causa di vari problemi (in particolare con X) che ha aggiunto funzionalità per i demoni in modalità utente per fornire, ad esempio, testo supporto vocale per tutte le app senza compromettere la sicurezza del sistema. Ne ho già delineato uno che funziona in modo analogo a ttysnoops (che è molto più avanti della sua data di scadenza), e non richiede root. Ho un codice di esempio per questo caso (che includerebbe terminali interni in X), ma non l'ho ancora pubblicato. Se desideri maggiori informazioni, non esitare a contattarmi.

Sì, è possibile installare software senza i privilegi su o sudo; tuttavia, ciò avviene in genere tramite un exploit di escalation di privilegi. Quel video fa un buon lavoro sulle capacità di quel keylogger, ma lascia un po 'di dettagli sull'installazione del keylogger. Potrebbe esserci un po 'di inganno qui, ma è difficile da dire solo dal video.

A scopo di test, ho creato un keylogger TTY che può collegarsi dinamicamente al tty di un utente e il programma non deve essere installato da root e può essere utilizzato da qualsiasi account. Una volta collegato, registrerà gli input che corrispondono allo schema indicato sulla riga di comando all'avvio del programma.

È possibile con sistemi come Crunchbang (distro basato su Debian) basta aggiungere permessi al file sudoers usando nano visudo nel terminale e aggiungere keylogger per l' avvio automatico come logkey per Linux, ad esempio logkey --start --output /home/user/.secret / log

In bocca al lupo