Глобальный перехват клавиатуры без рута возможен?

[Sly_tom_cat]

Скачал блекждек неизвестно откуда и установил - ССЗБ. Это вот меня - мало волнует - есть куча официальных репозиториев и на них боль-мень все проверено, любая подствава - практически моментально выявляется и поднимается изрядный шум с полной потерей доверия к ресурсу со всеми вытекающими последствиями.

А вот браузер - как я уже сказал - 99% пользователей его имеют и используют. Вероятность перейти на сайт, откуда будете как-либо атакованы - для любого пользователя величина слишком сильно отличная от нуля. Вот и волнует в первую очередь возможность именно из браузера пускануть заразу... Я знаю что эта возможность изначально была под пристальным внимание людей думающих о безопасности браузеров, и изначалоно (когда только появлялись всякие скрипты в WWW) декларировалось, что ни один скрипт не должен иметь доступа к ресурсам компьютера где проспатривается страница. Но что вышло - мы с вами видем по Windowsм, с бешенным количестовом внедряющихся из IE траянов и скринлокеров. И по дырявости - IE уже давно не лидер...

[OpenMind]

Sly_tom_cat,
уязвимость выглядит опасной, но что-то мне подсказывает вот так тупо браузер скачать и запустить от юзера это не сможет. А вот в социльно-инженерном смысле вполне реально: юзер скачал прогу, запустил и кейлогер стянул клавиши что нажал юзер. Но вот проблема: необходимо как-то переслать файл, но система просто так не даст отправить его (если юзер сам не сделает), а вот браузер самовольный доступ к файлам не имеет. Итого проблема. Хотя может какое-то решение есть.

[lega911]

Но вот проблема: необходимо как-то переслать файл, но система просто так не даст отправить его...

Никакой проблемы, Ubuntu не запрещает юзать инет приложениям.

[OpenMind]

lega911,
Ну я сижу на федоре, тут надо в фаерволе разрешить порт и прочее, вы что хотите сказать что в убунте не нужно никаких разрешений для приложения которое имеет доступ в инет?

[ArcFi]

OpenMind, по дефолту нет ограничений на исходящий трафик, даже на fedora.
Выход один: не запускать сомнительных приложений на рабочей системе под своим аккаунтом.

[Sly_tom_cat]

Выход один: не запускать сомнительных приложений на рабочей системе под своим аккаунтом.

Fixed
Упоминавшемуся тут xinput - глубоко фиолетово до аккаунта - он кажет все из под всех акаунтов, что нажимается на клавиатуре в Х-ах (даже то, что я виртуалке на клавиатуре набираю).

[OpenMind]

ArcFi,
не спорю. Но там это нужно разрешить иначе софт просто не зайдёт в инет, а у меня ещё и пробросить порты через роутер. Так что вирусам тяжелее прийдётся. Разве что пользователь сам это сделает.

[Sly_tom_cat]

OpenMind, вы так и не поняли - передать с компьютера данные можно не открывая протов и не "входя в интернет".

Вы же можете пропинговать любой хост в сети и даже телнетом постучатся в любой порт доступного IP адреса. На это не нужно никаких разрешений - это исходящий трафик который практически никак не контролируется, а даже если и контролируется - то его легко замаскировать (например слать инфу в виде запроса на 80-й порт, что никакой файервол не остановит приняв за обычный http запрос)

[ArcFi]

Упоминавшемуся тут xinput - глубоко фиолетово до аккаунта...

Тогда корректнее будет так: не запускать сомнительных приложений на рабочей системе под своим аккаунтом, либо под другим аккаунтом в том же самом дисплее.

[OpenMind]

OpenMind, вы так и не поняли - передать с компьютера данные можно не открывая протов и не "входя в интернет".

Вы же можете пропинговать любой хост в сети и даже телнетом постучатся в любой порт доступного IP адреса. На это не нужно никаких разрешений - это исходящий трафик который практически никак не контролируется, а даже если и контролируется - то его легко замаскировать (например слать инфу в виде запроса на 80-й порт, что никакой файервол не остановит приняв за обычный http запрос)

Всё. Голактеко опасносте!!! Как не заразиться понятно, но что делать когда уже заразлися? как понять что комп уже завирусован?

[ArcFi]

что делать когда уже заразлися?

Если уже, то гарантированно вернуть доверие к системе можно лишь через реинсталл.

[OpenMind]

ArcFi,
Плохо. А какие-то инструменты есть? Оно же не может быть вообще открытым для всех?

[ArcFi]

А какие-то инструменты есть?

http://www.opennet.ru/tips/2631_check_security_rootkit_linux_rpm_deb_redhat_fedora_debian_ubuntu.shtml
Оно?

Оно же не может быть вообще открытым для всех?

Вопроса не понял.

[OpenMind]

ArcFi,.
Я имел ввиду что вопрос взломали линукса получается вообще плёвый. Пишем конячку, кидаем юзеру, он запускает(например классная пагримушка) и вуаля! у нас есть персональный линукс-бот! Вроде ж безопасносте у линукса должен на выском уровне быть.

[Sly_tom_cat]

OpenMind, не так - то о чем речь - это кейлогер, который способен прочитать пароль к системной учетке. Это один шаг в многошаговой задаче получения бота.
Примерный перечень:
1. Для начала надо подсунуть логгер в систему
2. Нужно продержать логгер активным по прайней мере до того как пользователь введет пароль к своему акаунту в команде sudo или gksu.
3. Передать все заллогированое хакеру (это легко, если удалось логгинг запустить)
4. Проанализировать логи и определить где в этом всем пароль.
5. Найти ту дырку через которую хакер сможет повторно запустить на той же машине процесс, который с помощью sudo и выисканного пароля получить права рута на системе
6. И вот только тут можно поставить троянчика или иначе поиметь другие бенефиты от рутового доступа на хосте.

Так вот тут проблемные места 1 и 5. Именно тут и надо расстараться хакеру и не лошить пользователю.