rootまたはsudoなしのLinuxキーロガー！本当ですか？

Youtubeの誰かが、ルートとして実行もインストールもされていないUbuntuにキーロガーを持っていると主張しています。以下のリンクは、動作のデモを示しています。

http://www.youtube.com/watch?v=Y1fZAZTwyPQ

反対の主張にもかかわらず、この人は、ビデオのデモを行う前にルートとしてインストールすることができました。これがインストールまたは実行のルートなしで本当に可能であるという他の半信頼できる証拠はありますか？

更新：6月24日の回答で参照されたソフトウェアは、sudo / rootなしではインストールされません。通常のユーザー特権でインストールして実行できる、動作するLinuxキーロガーソフトウェアへのリンクを提供する人には、賞金を追加しました。

はい、それは本物です。ブラウザ経由で悪用され、攻撃者がユーザー特権でコードを実行できる場合、ログイン時にプログラムを実行するGNOMEまたはKDE自動起動機能を介してプログラムを登録できます。どのプログラムでも、X Window Systemで押されたキーのスキャンコードを取得できます。それはxinputコマンドで簡単に実演できます。詳細については、GUI分離に関するブログ投稿を参照してください。

そのビデオのコンセプトは100％リアルで、コードは非常にシンプルです。

キーボードIDを識別するには： xinput --list

以下を使用してキーストロークを記録します。 xinput --test $id

数字とキーを一致させる： xmodmap -pke

はい、可能です。
同様のソフトウェアlklを使用して、自分のマシンで試すことができます。

私はビデオを見ていませんので、引用したビデオではなく、SUスレッドから主張する内容について得た印象に対応しています。

攻撃者がユーザーとしてマシン上でコードを実行できる場合、攻撃者はキーの押下を記録できます。

まあ、まあ。実行中のすべてのアプリケーションは、キーを押してアクセスできます。Webブラウザーで入力している場合、Webブラウザーはキーを押します。

ああ、あなたは言いますが、別のアプリケーションでキーの押下を記録するのはどうですか？他のアプリケーションが同じXサーバーで実行されている限り、それらは引き続きログに記録できます。X11はアプリケーションを分離しようとはしません—それは仕事ではありません。X11では、プログラムでグローバルショートカットを定義できます。これは、入力メソッド、マクロなどを定義するのに便利です。

攻撃者がユーザーとしてコードを実行できる場合、ファイルを読み取ったり変更したりして、他のあらゆる種類の害を引き起こすこともできます。

これは脅威ではありません。これは、稼働中のシステムの通常の期待の一部です。攻撃者がマシンでコードを実行できるようにすると、マシンは安全ではなくなります。玄関のドアを開けて、x殺人者を入れてしまうようなものです。もし、2つに割られてしまうのは、玄関が安全でないからではありません。

キーロガーは、感染したユーザーが押したキーのみをログに記録できます。（少なくとも、感染したユーザーがsudoパスワードを入力しない限り。）

100％可能です。ttys / ptys（テキストモード）の場合、最も簡単な方法は、/ bin / {ba、da、a} sh（たとえば、2番目の.codeセグメント、RX）にシムを追加し、エントリポイント（ELFなど）を変更することですウイルスが）。この場合のアクセスを禁止すると、非常に単純な仮想モデルとして〜/ .profileまたは〜/ .bashrc（など）を変更できます。

exec〜/ .malicious_programme

動的共有オブジェクトコードを読み込んで、問題の悪意のあるプログラムを非表示にする場合があります（例：.profileの読み取りと変更を許可しますが、行を非表示にします。プログラムを非表示にします。）

次に、fdにFD_CLOEXECのマークが付いていないと仮定して、UNIX98のpty（7）システムまたは単純にpipe（2）を使用して、フォークされたシェルにすべての入力を記録します。

X11では、kdm / gdm / xdmはsetuid root（または同等の機能[setcap（8）を参照]）またはデフォルト以外の場合に使用しているセキュリティモデルとして実行されますが、明らかに複雑になります。特権を昇格できる場合は？iopl（2）またはioperm（2）は、x86の0x60 / 0x64キーボードポートに直接アクセスできるため、非常に簡単です。できないと想定しているため、別のルートを探す必要があります。私はいくつか知っていますが、それがどのように可能であり、関連するインターフェースに関する論文が必要なのか、完全にはわかりません。

言うまでもなく、リング3、非スーパーユーザーのトロイの木馬は、ユーザーモードデーモンがテキストなどを提供するための機能を追加したさまざまな問題（特にX）の結果として、* nixではかなり可能です。 -システムのセキュリティを損なうことなく、すべてのアプリの音声読み上げをサポートします。すでにttysnoops（有効期限を過ぎている）と同様に機能するものの概要を説明しましたが、rootは不要です。この場合のサンプルコード（Xの内部端末を含む）がありますが、まだ公開していません。詳細については、お気軽にお問い合わせください。

はい、suまたはsudo権限なしでソフトウェアをインストールできます。ただし、これは通常、権限昇格の悪用によって行われます。そのビデオは、そのキーロガーの機能についてはかなり良い仕事をしていますが、キーロガーのインストールに関する詳細は少し省いています。ここには少し巧妙なものがあるかもしれませんが、ビデオだけではわかりません。

テスト目的で、ユーザーのttyに動的にアタッチできるTTYキーロガーを作成しました。プログラムはrootでインストールする必要がなく、どのアカウントでも使用できます。接続すると、プログラムの起動時にコマンドラインで指定されたパターンに一致する入力を記録します。

Crunchbang（Debianベースのディストリビューション）などのシステムでは、端末でnano visudoを使用してsudoersファイルにアクセス許可を追加し、 logloggers --start --output /home/user/.secretなどのLinuxのログキーのような自動起動にキーロガーを追加するだけで可能です/ログ

がんばろう