- Проект Openwall подготовил модуль для защиты от эксплуатации..., AnPoz, 10:32 , 30-Янв-18 (1)
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 11:32 , 30-Янв-18 (6) +5
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Andrey Mitrofanov, 13:33 , 30-Янв-18 (17)
- Проект Openwall подготовил модуль для защиты от эксплуатации..., solardiz, 15:49 , 30-Янв-18 (27) +9 [^]
Не будем исключать. Это ошибка при составлении новости на OpenNet (но всё равно большое спасибо модераторам что вникли в суть проекта и опубликовали здесь новость). В исходном английском тексте это два разных абзаца - один о том что ошибки и в том числе уязвимости в самом LKRG возможны (и это надо учитывать при принятии решения о его (не-)использовании в конкретном случае) и другой о том что проект на ранней стадии и мы ожидаем ложные срабатывания (из-за чего LKRG пока не принимает жестких мер при обнаружении нарушений).
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 11:51 , 30-Янв-18 (7) –2
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 12:31 , 30-Янв-18 (10)
- Проект Openwall подготовил модуль для защиты от эксплуатации..., X4asd, 13:07 , 30-Янв-18 (13) –7 [V]
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 13:07 , 30-Янв-18 (14) +4
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 13:32 , 30-Янв-18 (16) –3
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Andrey Mitrofanov, 13:44 , 30-Янв-18 (19) +4
- Проект Openwall подготовил модуль для защиты от эксплуатации..., solardiz, 15:40 , 30-Янв-18 (26) +4
>> Openwall >> защиты от эксплуатации уязвимостей в ядре Linux > Неудачное название для такого класса проектов, — "открытая стена".По-моему, наоборот очень удачное. У нас motto - "bringing security into open environments" - то есть мы обеспечиваем безопасность в открытых системах, почти без снижения их доступности для пользователей. На момент выбора названия (1999 год), была тенденция у веб-хостеров отнимать у пользователей доступ к Unix shell (при этом реально безопасность, может быть, и не повышая - всё равно давался FTP-доступ для размещения едва ограниченных PHP-скриптов). Мы так не хотели, поэтому занялись созданием такого дистрибутива где с приемлемым уровнем риска можно давать доступ в shell. Тенденция с тех пор переломилась, но смысл названия остался, он по-прежнему актуален, и к нему еще можно добавить то что мы не преувеличиваем уровень безопасности наших разработок - что особенно хорошо видно как раз в данном анонсе LKRG.
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Нанобот, 14:30 , 30-Янв-18 (20) –7 [V]
- Проект Openwall подготовил модуль для защиты от эксплуатации..., solardiz, 15:27 , 30-Янв-18 (25) +2
> жалкое подобие Windows PatchGuard (первые версии которого появились более десяти лет назад)Аналогия уместна, но по-моему она ограничивается тем что мы в анонсе LKRG называем integrity checking, и не включает то что мы называем exploit detection. А чем именно "жалкое", кроме как датой появления?
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Ананас, 14:52 , 30-Янв-18 (21) –2
- Проект Openwall подготовил модуль для защиты от эксплуатации..., solardiz, 15:19 , 30-Янв-18 (24) +3
По-моему, общее с LIDS здесь только то, что в новости в последней фразе последнего абзаца - "Отдельно развивается расширенный вариант модуля, в котором предоставлены дополнительные опции для защиты процессов, файлов и логов" - что в переписке с Адамом (автор LKRG) я называю BSD securelevel on steroids, и что мы сами в нынешний анонс даже не включали (кроме как через ссылку на wiki, где это есть). Это имеет мало общего с той функциональностью, которую мы анонсировали сейчас, и будет ориентировано (если вообще будет) на другой круг пользователей. Анонсированный сейчас основной проект LKRG наиболее актуален для типичных дистрибутивов и "заброшенных" систем, где даже обновления ядра вовремя не ставятся (или перезагрузка в новое ядро делается не сразу), в то время как разумное применение подобия securelevel требует нетривиальной настройки и последующего внимания.
- Проект Openwall подготовил модуль для защиты от эксплуатации..., VINRARUS, 21:01 , 30-Янв-18 (34) –3
- Проект Openwall подготовил модуль для защиты от эксплуатации..., worldmind, 21:51 , 30-Янв-18 (35) +2
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 09:02 , 31-Янв-18 (50)
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 12:15 , 31-Янв-18 (54)
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 22:01 , 31-Янв-18 (62)
- Проект Openwall подготовил модуль для защиты от эксплуатации..., solardiz, 22:45 , 31-Янв-18 (63) +1
Во-первых, мы сразу позиционируем LKRG как bypassable by design и как предоставляющий лишь спорную security through diversity. Именно об этом говорится в анонсе по ссылке из новости здесь.Во-вторых, с другой стороны, не каждая уязвимость в ядре и не каждый ее exploit приводит именно/сразу к RCE. Возможны ситуации, когда атакующему доступна попытка записи от имени и в адресное пространство ядра с какими-либо ограничениями или доступны лишь отдельные bit flips (как в случае с Rowhammer). В этих случаях у LKRG есть шанс (но не гарантия) распознать проблему до того как атакующий выполнит следующие шаги атаки. В-третьих, из-за LKRG exploit'ы могут усложняться, а их надежность снижаться. В приведенном примере с пересчетом хешей, потребуется сначала найти их и ключ для SipHash (который генерируется случайно при загрузке модуля). Думаю, сейчас это, уже имея RCE, сделать не сложно - мы пока не пытались скрыть расположение этих переменных. Также, думаю есть более простые и надежные способы обхода текущей версии LKRG. Мы пока не решили будем ли развивать проект в сторону борьбы с обходами (чтобы повысить сложность и снизить надежность exploit'ов всё равно обходящих LKRG) или же, наоборот, решим еще более ограничиться security through diversity (позволяя любому желающему легко и надежно обходить LKRG, но зато упростив и сделав более быстрым и надежным код LKRG). Может быть, это будут две ветки разработки.
- Проект Openwall подготовил модуль для защиты от эксплуатации..., Аноним, 14:00 , 01-Фев-18 (65) –1
|