The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.01.2018 09:11  Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux

Проект Openwall, известный своими инициативами по обеспечению безопасности, представил первый экспериментальный выпуск механизма LKRG (Linux Kernel Runtime Guard), предназначенного для контроля целостности ядра Linux и обнаружения попыток эксплуатации уязвимостей в ядре. Проект находится на стадии тестирования экспериментального прототипа. Лицензия на код модуля пока не выбрана, рассматривается GPLv2. Для финансирования разработки в будущем не исключается выпуск расширенной платной версии LKRG Pro.

LKRG оформлен в виде загружаемого модуля ядра, который пытается выявлять несанкционированное внесение изменений в работающее ядро (проверка целостности) или изменение полномочий пользовательских процессов (определение применения эксплоитов). Проверка целостности выполняется на основе сравнения хэшей, вычисляемых для наиболее важных областей памяти и структур данных ядра (IDT (Interrupt Descriptor Table), MSR, таблицы системных вызовов, все процедуры и функции, обработчики прерываний, списки загруженных модулей, содержимое секции .text модулей, атрибуты процессов и т.п.). Процедура проверки активируется как периодически по таймеру, так и при наступлении различных событий в ядре (например, при выполнении системных вызовов setuid, setreuid, fork, exit, execve, do_init_module и т.п.).

Определение возможного применения эксплоитов и блокирование атак производится на стадии до предоставления ядром доступа к ресурсам (например, до открытия файла), но после получения процессом несанкционированных полномочий (например, смена UID). При выявлении несанкционированного поведения процессов выполняется их принудительное завершение, чего достаточно для блокирования многих эксплоитов. Так как проект находится на стадии разработки, а оптимизации пока не проводились, накладные расходы от работы модуля составляют примерно 6.5%, но в будущем планируется существенно снизить данный показатель.

Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux, так и для противостояния эксплоитам для ещё неизвестных уязвимостей, если в них не применяется специальных мер для обхода LKRG. При тестировании LKRG успешно справился с определением попыток эксплуатации уязвимостей CVE-2014-9322 (BadIRET), CVE-2017-5123 (отсутствие проверки access_ok() в waitid()) и CVE-2017-6074 (use-after-free в DCCP), но не подходит для определения таких проблем, как CVE-2016-5195 (Dirty COW), поражающих компоненты пространства пользователя через ядро.

Авторы не исключают наличия ошибок в коде LKRG и возможных ложных срабатываний, поэтому пользователям предлагается сопоставить риски от возможных ошибок в LKRG c пользой от предлагаемого метода защиты. Из положительных свойств LKRG отмечается то, что механизм защиты выполнен в виде загружаемого модуля, а не патча к ядру, что позволяет использовать его со штатными ядрами дистрибутивов. В частности, модуль опробован с ядром RHEL7, OpenVZ/Virtuozzo 7 и Ubuntu 16.04. В дальнейшем возможно будет организован процесс формирования бинарных сборок для популярных дистрибутивов.

В будущем также ожидается поддержка отслеживания выхода за пределы изолированных контейнеров (смена namespace) и полноценные средства для блокирования атак - в текущей версии сведения о нарушениях целостности выводятся в виде информационных уведомлений, записываемых в лог ядра. Отдельно развивается расширенный вариант модуля, в котором предоставлены дополнительные опции для защиты процессов, файлов и логов (например, защищённый лог не может быть изменён и удалён, даже пользователем root, а только дополнен).

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление сборки Openwall GNU/*/Linux 3.1-stable
  3. OpenNews: Проект Openwall представил web-интерфейс blists и новый список рассылки kernel-hardening
  4. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  5. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
  6. OpenNews: Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: openwall, kernel, lkrg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, AnPoz (ok), 10:32, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Лучшая защита это отсутствие возможности.
     
     
  • 2.2, наноним (?), 10:35, 30/01/2018 [^] [ответить]    [к модератору]
  • +38 +/
    нет компьютера - нет уязвимостей!
     
     
  • 3.51, Шумер (?), 10:44, 31/01/2018 [^] [ответить]    [к модератору]
  • +5 +/
    "Нам эти ваши интернеты на... не нужны!" (с)
     
     
  • 4.66, Аноним (-), 17:34, 02/02/2018 [^] [ответить]    [к модератору]
  • –1 +/
    Увы, иранцам это не помогло, так что отсутствие компьютеров таки безопаснее.
     
  • 3.60, 123 (??), 18:27, 31/01/2018 [^] [ответить]    [к модератору]
  • –1 +/
    RMS одобряет. Он таким образом решил для себя проблему с телефонами.
     
  • 1.6, Аноним (-), 11:32, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > На текущей стадии разработки авторы не исключают наличия ошибок в коде LKRG

    Ошибки не исключены на любой стадии.

     
     
  • 2.17, Andrey Mitrofanov (?), 13:33, 30/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >> На текущей стадии разработки авторы не исключают наличия ошибок в коде LKRG
    > Ошибки не исключены на любой стадии.

    На другой стадии они из будут исключать -- и ошибаться в этом.

     
     
  • 3.27, solardiz (ok), 15:49, 30/01/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Не будем исключать. Это ошибка при составлении новости на OpenNet (но всё равно большое спасибо модераторам что вникли в суть проекта и опубликовали здесь новость). В исходном английском тексте это два разных абзаца - один о том что ошибки и в том числе уязвимости в самом LKRG возможны (и это надо учитывать при принятии решения о его (не-)использовании в конкретном случае) и другой о том что проект на ранней стадии и мы ожидаем ложные срабатывания (из-за чего LKRG пока не принимает жестких мер при обнаружении нарушений).
     
  • 1.7, Аноним (-), 11:51, 30/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Можно уменьшить потерю производительности ценой небольшого повышения потребления... весь текст скрыт [показать]
     
     
  • 2.8, Аноним (-), 11:52, 30/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Хотя модулем такое сделать скорее всего не получится.
     
     
  • 3.9, Аноним (-), 12:21, 30/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Ви таки хотите поломать нашу любимую машину Тьюринга И добавить туда блекджека ... весь текст скрыт [показать]
     
  • 1.10, Аноним (-), 12:31, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    http://openwall.info/wiki/p_lkrg/Protected_Features

    приятных им глюков с kretprobe. Удачи преодолеть ситуацию когда k[ret]probe может быть не вызван.

     
  • 1.13, X4asd (ok), 13:07, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    хренью занимаются..

    придумали какого-то касперского для Linux.

     
     
  • 2.30, Michael Shigorin jolla (?), 16:41, 30/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > хренью занимаются..

    Вы, как обычно, не обладаете даже квалификацией для понимания ее недостатка :(

    но вот что мешало помолчать или спросить?..

     
     
  • 3.40, pavlinux (ok), 23:51, 30/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Всё нормально, мы для таких и работаем ... весь текст скрыт [показать]
     
  • 3.43, Аноним (-), 00:04, 31/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    недостаток очевиден:

    медной проволокой прикрутили костылище..

    вполне себе обыкновенный антиметирн под названием "Katamari"..

    вот так стало тебе легче понять фразу "занимаются хренью"?

     
     
  • 4.44, Аноним (-), 00:04, 31/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    антипаттерн*
     
  • 1.14, Аноним (-), 13:07, 30/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Ну то есть всё как обычно Если эта штука станет достаточно распространена, её б... весь текст скрыт [показать]
     
  • 1.16, Аноним (-), 13:32, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    > Openwall
    > защиты от эксплуатации уязвимостей в ядре Linux

    Неудачное название для такого класса проектов, — "открытая стена".

     
     
  • 2.19, Andrey Mitrofanov (?), 13:44, 30/01/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    >> Openwall
    >> защиты от эксплуатации уязвимостей в ядре Linux
    > Неудачное название для такого класса проектов, — "открытая стена".

    Окна(tm)(R)(sm)  --  лучше?

     
     
  • 3.23, pavlinux (ok), 15:18, 30/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Солнышко, Яблоко, Дурдом Ромашка, Конц лагерь Огонёк ... весь текст скрыт [показать]
     
  • 2.26, solardiz (ok), 15:40, 30/01/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    По-моему, наоборот очень удачное У нас motto - bringing security into open env... весь текст скрыт [показать]
     
  • 1.20, Нанобот (ok), 14:30, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    жалкое подобие Windows PatchGuard (первые версии которого появились более десяти лет назад)
     
     
  • 2.25, solardiz (ok), 15:27, 30/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Аналогия уместна, но по-моему она ограничивается тем что мы в анонсе LKRG называ... весь текст скрыт [показать]
     
     
  • 3.31, Michael Shigorin jolla (?), 16:47, 30/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > А чем именно "жалкое", кроме как датой появления?

    это именно что жалкий виндовбросчик, не стоит внимания

     
  • 3.42, pavlinux (ok), 23:54, 30/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Нельзя защищать то от того , чего еще нет ... весь текст скрыт [показать]
     
  • 1.21, Ананас (?), 14:52, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Лет 10-12 назад проблема достойно решалась использованием LIDS.
    Теперь вариант с LKRG...
    Все вращается по кругу.
     
     
  • 2.24, solardiz (ok), 15:19, 30/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    По-моему, общее с LIDS здесь только то, что в новости в последней фразе последне... весь текст скрыт [показать]
     
     
  • 3.55, ПавелС (ok), 14:28, 31/01/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален BSD securelevel результат тяжёлой паранойи поверьте мн... весь текст скрыт [показать]
     
  • 1.34, VINRARUS (ok), 21:01, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    А я сказал: "Вот и на Linux появился антивирус"!
    Шо за цензура на ресурсе?
     
     
  • 2.38, Michael Shigorin (ok), 23:09, 30/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Похоже, кто-то из коллег-модераторов или даже скрипт-автомодератор счёл, что эта... весь текст скрыт [показать]
     
     
  • 3.47, VINRARUS (ok), 04:20, 31/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    В чом истерика то Обычная констатация факта А аргументы в новости написаны М... весь текст скрыт [показать]
     
     
  • 4.53, Аноним (-), 11:19, 31/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >> чем принципиально отличается этот модуть от антивируса?

    Ну наверное тем, что как раз вирусы-то он и не ловит.

     
     
  • 5.61, VINRARUS (ok), 20:40, 31/01/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    >>> чем принципиально отличается этот модуть от антивируса?
    > Ну наверное тем, что как раз вирусы-то он и не ловит.

    Как будто антивирус их ловит. ;D

     
  • 1.35, worldmind (?), 21:51, 30/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Так теперь хакеры будут сначала модифицировать этот модуль, а потом уже ядро?
     
     
  • 2.69, Аноним (-), 13:19, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Достаточно только модуль.
     
  • 1.48, Аноним (-), 04:56, 31/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Лол и чем же это отличается от Кошперговского Не удивлюсь появлению полностью... весь текст скрыт [показать]
     
  • 1.50, Аноним (-), 09:02, 31/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    solardiz, если кто-то добьётся rce в режиме ядра, то что ему помешает найти вашу таблицу с хешами и поместить туда новый пересчитанный хеш?
     
     
  • 2.54, Аноним (-), 12:15, 31/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Если кто-то добьётся RCE на уровне ядра, то зачем ему что-то менять, когда RCE у... весь текст скрыт [показать]
     
     
  • 3.62, Аноним (-), 22:01, 31/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Вообще-то я спрашивал solar designerа Имхо тут 2 варианта 1 проверка происходи... весь текст скрыт [показать]
     
     
  • 4.63, solardiz (ok), 22:45, 31/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Во-первых, мы сразу позиционируем LKRG как bypassable by design и как предоставл... весь текст скрыт [показать]
     
     
  • 5.64, Аноним (-), 03:36, 01/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ясно, спасибо.
     
  • 5.67, Аноним (-), 18:41, 02/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Звучит очень разумно Это не абсолютная защита, но подложить атакующим пару мин ... весь текст скрыт [показать]
     
  • 1.65, Аноним (-), 14:00, 01/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А вот и антивирус, в pro версии видимо добавят сигнатуры эксплоитов ;-)
     
     
  • 2.68, Аноним (-), 04:49, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Прежде, чем добавлять сигнатуры в Pro версию, надо убедиться, что те эксплойты обходят Free версию :-)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor