The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.11.2015 11:34  Проект по продвижению в ядро Linux новых технологий активной защиты

Кес Кук (Kees Cook), бывший главный сисадмин kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты ChromeOS, объявил о создании проекта Kernel Self Protection Project, в рамках которого планируется сформировать сообщество для развития и продвижения в основное ядро Linux технологий активной защиты, большинство из которых уже подготовлены в рамках проектов PaX и Grsecurity. Финансирование и ресурсы для проведения работ будут предоставлены организацией Linux Foundation и участниками программы Core Infrastructure Initiative.

Создание нового проекта поможет обойти проблемы с неэффективным процессом координации устранения уязвимостей в ядре, которые исправляются наряду с обычными ошибками без уделения им дополнительного внимания и не приводя к формированию внеплановых релизов. В частности, в сообществе разработчиков ядра отсутствует системный механизм выявления и устранения проблем на ранних стадиях, до момента когда злоумышленники получат доступ к информации о потенциальной уязвимости. Кроме того, не назначен ответственный за безопасность ядра.

Позиция Линуса Торвальдса сводится к тому, что уязвимости исправляются в рамках обычного цикла принятия исправлений, без дополнительного приоритета и привлечения внимания. Задача по оперативной доставке исправлений уязвимостей и выделению потенциальных проблем с безопасностью из общего потока правок ложится на команды, занимающиеся поддержкой пакетов с ядром для дистрибутивов Linux. Таким образом, информация об исправлениях, которые могут быть связаны с уязвимостями становится доступна одновременно и для злоумышленников и для команд по обеспечению безопасности дистрибутивов.

Более того, жизненный цикл уязвимостей в ядре достаточно велик и проблемы могут всплывать лишь спустя годы после своего появления. Используя методы статического анализа и fuzzing-тестирования злоумышленники имеют возможность выявлять проблемы до их обнаружения и исправления разработчиками ядра.

В таких условиях привычная работа по обеспечению безопасности через оперативное исправление уязвимостей становится неэффективной. Уязвимость в ядре может свести на нет все механизмы контроля доступа и средства защиты, работающие на уровне пользователя. Включение в ядро активных механизмов защиты позволит затруднить проведение новых атак и блокировать эксплуатацию ещё неисправленных уязвимостей. Вместо противодействия конкретным уязвимостям гораздо выгоднее блокировать целые классы проблем, такие как переполнения стека, целочисленные переполнения, переполнения кучи, проблемы с форматированием строк, утечка указателей в ядре и неинициализированные переменные.

Среди возможностей активной защиты, которые рассматриваются для добавления в первую очередь, отмечаются использование gcc-плагинов и патчей PAX_SIZE_OVERFLOW, PAX_REFCOUNT, PAX_USERCOPY, GRKERNSEC_KSTACKOVERFLOW, PAX_MEMORY_STACKLEA, PAX_CONSTIFY_PLUGIN, GRKERNSEC_HIDESYM, PAX_KERNEXEC и PAX_MEMORY_UDEREF. Из желательных для блокирования методов эксплуатации выделяются определение размещения ядра в памяти, перезапись текста, перезапись указателей на функции, вклинивание в цепочку выполнения, инициирование из ядра выполнения кода в пространстве пользователя и доступа к данным в пространстве пользователя.

  1. Главная ссылка к новости (http://openwall.com/lists/kern...)
  2. OpenNews: Проект grsecurity ограничивает доступ к стабильным веткам
  3. OpenNews: Вариант ядра Linux для платформы Android с интегрированными наработками GRSecurity
  4. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  5. OpenNews: Инициативы Linux Foundation, касающиеся безопасности СПО и диагностики производительности
  6. OpenNews: Повышение безопасности Linux-ядра через использование страниц памяти, доступных только для чтения
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: kernel, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 12:15, 06/11/2015 [ответить] [смотреть все]    [к модератору]
  • +15 +/
    Лучшая защита — нападение. Ядро решительно пресекать потуги злоумышленника.
     
     
  • 2.4, Аноним, 12:25, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +13 +/
    На самом деле - активная защита - это главная ошибка МС-ких дистростроителей (Windows делателей) в районе Vista.
    Взять ту же WinXP - после SP3 там активна, по умолчанию, активная защита - в результате памяти жрет как конь (особенно дрова), проц грузится периодически под 100 на задачах, где ранее было всё тихо, а программы подлагивают при активном переключении (на SP2 без защиты - все отлично).
    В Vista-е включили по умолчанию как результат - полный фейл. В 7-ке вначале дождались популяризации, а потом включили после SP1.
    Активная защита нужна только если на это есть выделенные ресурсы (отдельное ядро + 25% памяти) сервера только под это дело. В реальности в ядре такого добра по умолчанию не надо, а в случае необходимости должно легко доставляться в виде молуоя при сборке (уже сейчас есть несколько решений).
     
     
  • 3.6, Аноним, 12:37, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]
  • +7 +/
    лучше бы кнопку запилили, вкл/выкл активной защиты)))
     
     
  • 4.62, pavlinux, 03:09, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]
  • +1 +/
    Назначаю Кису Кука Kees Cook ответственным за безопасность ядра Киса, ждём па... весь текст скрыт [показать]
     
  • 4.63, pavlinux, 03:10, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Назначаю Кису Кука Kees Cook ответственным за безопасность ядра Киса, ждём па... весь текст скрыт [показать]
     
  • 3.11, dmitrmax, 13:27, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А что такое активная защита в виндоус и как её отключить Читал ченджлоги по SP1... весь текст скрыт [показать]
     
     
  • 4.23, fooser, 15:25, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –12 +/
    меньше слушайте линуксоидов.
     
     
  • 5.45, ананим.orig, 21:27, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Да-да, слушайте эни-кеев.
     
     
  • 6.95, ананим.orig, 18:20, 08/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    зыж а почему потому что эни-кей не врёт он мало что знает, но в том малом, что... весь текст скрыт [показать]
     
  • 4.26, Аноним, 17:15, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Активная защита 1 Программная реализация DEP https support microsoft com ru-... весь текст скрыт [показать]
     
     
  • 5.34, клоун, 18:18, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Мда...

    Память для компьютера это просто набор адресов. Программа может сделать ошибочный переход и получить абы что. Вирус может записать себя по фиксированному адресу чтобы позднее передать управление. Есть программные (сегменты кода, данных и стека) и аппаратные (DEP) средства решения этой проблемы.

    Если управляющие данные ОС находятся по фиксированному адресу, то злоумышленник знает куда ему нужно попасть. Сейчас ОС помещают код и данные в случайные блоки памяти, а иногда даже перемешивают их в процессе работы.

    Раньше ОС инициализировала все дескрипторы, которые есть, а использовала столько, сколько нужно. Напр. всего в GDT 256 дескрипторов, а нужно только 8. Этим пользовались вирусы чтобы повысить свои привилегии, банально дописывая себя на пустое место, которое к тому же находилось по фиксированному адресу. Сейчас контроль за использованием дескрипторов значительно ужесточился.

    Раньше в ОС для простоты создавали только 3 области памяти, каждая размером со всю доступную память: для кода, данных и стэка. Сейчас десятки областей, более строго контролируя чтобы они использовались по назначению.

    Когда-то было принято при освобождении памяти просто помечать её свободной. Затем - очищать при выделении, чтобы вредоносная программа не получила доступа к данным прежней программы. Сейчас - очищать при освобождении.

    Всё это, и десятки других технических решений, называют активной защитой ядра ОС от злонамеренных действий программ.

    Антивирусы на уровне ядра не работают и к активной защите отношения не имеют.

    Технологии защиты браузеров (песочницы, виртуализация и пр.) в ядре малоприменимы.

    Основная идея мессаджа в изменении подхода к разработке ОС чтобы безопасность была на первом месте. Так, в случае обнаружения критичной ошибки раньше о ней делали новость, а исправляли в ближайшем плановом обновлении (или когда исправят). Сейчас же принято скрывать информацию о неисправленных ошибках до момента их исправления, уделять повышенное внимание исправлению ошибок (а не напр. новому функционалу), выпускать внеочередные патчи для критичных ошибок.

    > Позиция Линуса Торвальдса сводится к тому, что уязвимости исправляются в рамках обычного цикла принятия исправлений, без дополнительного приоритета и привлечения внимания

     
     
  • 6.38, Аноним, 19:23, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А как же реализована в антивирусе, например, защита собственных файлов и директо... весь текст скрыт [показать]
     
     
  • 7.47, клоун, 21:56, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    В ОС реализована многоуровневая система драйверов Конкретно разделяют драйвера ... весь текст скрыт [показать]
     
     
  • 8.53, V_ctor, 23:43, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Только FDO функциональный драйвер на скок я понмю, а фильтр - FiDO Во всяком сл... весь текст скрыт [показать]
     
  • 8.59, Аноним, 02:31, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ага, а синий экран смерти плохой драйвер выдает Не говорите глупостей - монолит... весь текст скрыт [показать]
     
     
  • 9.65, kai3341, 09:47, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Когда в последний раз Linux был монолитным ... весь текст скрыт [показать]
     
     
  • 10.86, Аноним, 15:06, 08/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    С рождения ... весь текст скрыт [показать]
     
  • 7.110, ананим.orig, 04:24, 10/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    1 Файлы и директории находятся в файловой системе, к которой вполне имеется д... весь текст скрыт [показать]
     
  • 7.116, Аноним, 14:42, 13/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    не слушайте его, просто автор не в теме плюс антивирусы бывают разные некото... весь текст скрыт [показать]
     
  • 6.60, Аноним, 02:40, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    DEP - это технология Аппаратная ее реализация не понравилась мс и они сделали п... весь текст скрыт [показать]
     
     
  • 7.67, dmitrmax, 13:18, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    https support microsoft com ru-ru kb 875352 - тут утверждается, если я правиль... весь текст скрыт [показать]
     
  • 7.111, ананим.orig, 04:32, 10/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    DEP 8212 это всего-лишь предотвращение выполнения данных из области памяти, п... весь текст скрыт [показать]
     
  • 6.100, Аноним, 04:30, 09/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не мог поверить, что это написал клоун. Очень полезный ответ.
     
  • 3.43, ананим.orig, 21:22, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Чушь это всё.
    Х/з (уже х/з) из-за чего у мс в висте (но в частности из-за кривого компосайтинга с двойной буферизацией, новой кривой архитектуры драйвейров, например хэнгов нвидия, недоделанной mci https://ru.wikipedia.org/wiki/Message_Signaled_Interrupts — это что ещё помнится), но в линухе сабж имеет очень низкий оверхед.
    Говорю как активно использующий харденед генту уже не один год, где всё это есть — https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru
     
     
  • 4.112, Максим, 14:29, 10/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Поставил себе Alpine Linux - там тоже PaX и grsec
    Ничего не тормозит.
     
  • 3.104, Аноним, 16:00, 09/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Лично пользуюсь проактивной защитой PAX Grsec около 10 лет и скажу что та нагло ... весь текст скрыт [показать]
     
  • 2.31, Аноним, 17:48, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Сваливаясь в панику при любой попытке сделать сискол ... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, Нанобот, 21:41, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Предлагаю заменить системный вызов execve на unlink ... весь текст скрыт [показать] [показать ветку]
     
  • 2.105, alex, 17:22, 09/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Когда есть дыры в защите прошивок мам и эксплуатация SMM, это мало добавит прива... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, chinarulezzz, 12:23, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    >Финансирование и ресурсы ...  предоставлены ... и участниками программы Core Infrastructure Initiative.
    >В число участников инициативы вошли такие компании, как Google, Amazon, Microsoft, Intel, IBM, Cisco, Dell, Facebook, Fujitsu, NetApp, Rackspace и VMware

    Google - раз. Кто еще? Это не засекреченная информация?))

     
     
  • 2.5, Andrey Mitrofanov, 12:36, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Майкрософт же, самый, са-а-а-амый , большой друг безопасности линукса им его фун... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Andrey Mitrofanov, 14:09, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    > http://techrights.org/2015/10/27/sourceclear-and-microsoft/

    Отрывок, CC-BY-SA (c) 2015 Dr. Roy Schestowitz
    Преревод, CC-BY-SA (c) 2015 Andrey Mitrofanov

    Со всеми OpenLogic, Black Duck, Codenomicon и прочими связанными с Майкрософт (часто и созданными людьми из Майкрософт и/или руководимыми людьми из Майкрософт) компаниями, которые порочат СПО мы с уверенностью можем сказать, что SourceClear не станет исключением. Они обслуживают кампанию по отвлечению внимания от встроенной и намеренной небезопасности проприертарного ПО наподобие Windows, включая небезызвестную Vista 10,  закладки в которой - явное преуменьшение, в ней всё записывается и передаётся (полная удалённая слежка), даже без взлома или доступа через закладки.

    Майкрософт не может производить безопасное ПО из-за "национальной безопасности", так что мириады закладок - одна из целей авторов. Что и позволяет Майкрософт поддерживать "особые отношения" с государством, вот только что она заключила контракт с печально известной компанией Taser [1].

    И вот теперь, начиная с 2013-го года, у нас простые ошибки в СПО (неисправность в строке или двух) попадают в центр внимания и получают имена собственные, эмблемы и пр., при этом критические "zero-day" дефекты от самого Майкрософт-а едва ли попадают в заголовки. Множестово броских заголовков оглашают окрестности каждый раз, когда ошибка безопасности обнаруживается в Андроиде (заметьте - только в последние несколько лет). Мы полагаем, это часть PR-кампании, в которой несомненно участвуют Майкрософт и её партнёры. И часто именно они штампуют имена и эмблемы, и сопутствующую негативную шумиху. █

    ---
    [I]With OpenLogic, Black Duck, Codenomicon and various other Microsoft-connected (often created by Microsoft people and/or managed by Microsoft people) firms that badmouth FOSS we sure expect SourceClear to be no exception. They serve to distract from the built-in and intentional insecurities of proprietary software such as Windows, including quite famously Vista 10 where back doors are an understatement because everything is recorded and broadcast (total remote surveillance), even without a breach or an access through the back doors.

    Microsoft cannot produce secure code because ‘national security’, i.e. many back doors, are a design goal. It helps Microsoft establish a ‘special relationship’ with the state and in fact it just got a contract from a highly notorious company, Taser [1].

    Here we are in 2013 onwards — a time when simple bugs in FOSS (a defect affecting one line or two) get all the limelight and receive names, logos etc. whereas Microsoft’s critical zero-day flaws hardly make the headlines. There are many high-impact headlines that make a huge deal of fuss every time a security bug is found in Android (again, just in recent years). We suppose it’s part of a PR campaign in which Microsoft and its partners evidently participate. They are often the ones who come up with the names, logos, and much of the accompanying negative publicity.[/I] █

    1. Microsoft Helping to Store Police Video From Taser Body Cameras
      http://nsnbc.me/2015/10/27/microsoft-helping-to-store-police-video-from-taser

     
     
  • 4.39, chinarulezzz, 20:03, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Спасибо за перевод. Интересный материал.
     
  • 4.117, freehck, 13:49, 02/02/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Класс! Спасибо за качественный перевод, Андрей.

     
  • 3.20, Аноним, 14:44, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    может, хватит уже тут спамить г-ностатьями с сайта этого доктора Опенсорсу ну... весь текст скрыт [показать]
     
     
  • 4.21, Andrey Mitrofanov, 14:46, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Почему меня должно волновать, чего там нужно тебе и другу твоему опенсорцу И не... весь текст скрыт [показать]
     
  • 4.55, Michael Shigorin, 00:44, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Когда порочат труды разработчиков, одними трудами не отделаешься мы это проходи... весь текст скрыт [показать]
     
  • 1.3, Аноним, 12:25, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    вот так начинаются тормоза
     
     
  • 2.8, IZh., 13:09, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    make menuconfig никто не отменял.
     
     
  • 3.24, РОСКОМУЗОР, 16:05, 06/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вот кому нужна "активная защита" пусть и е...ся с make-ми.
     
  • 3.80, Led, 21:46, 07/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > make menuconfig никто не отменял.

    Твой же, systemd'фил, поттер и "отменил".

     
     
  • 4.96, Аноним, 18:21, 08/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В systemd Есть use-флаги, соответствующие опциям configure В ядре Это ты спят... весь текст скрыт [показать]
     
     
  • 5.99, Led, 23:06, 08/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    man cgroup, дурачок ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 12:52, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Почему -rt живёт себе в отдельной ветке и не выделывается а этим обязательно надо в mainline? Тормоза-по-дефолту - не нужны.
     
     
  • 2.10, Анонимус_б6_выпуск_3, 13:18, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    -rt тихо ждет, пока откинется Линус, а вот тогдааааа...
     
     
  • 3.68, all_glory_to_the_hypnotoad, 14:37, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    rt медленно вливается в основное ядро, по мере его готовности принимать такие па... весь текст скрыт [показать]
     
  • 1.9, Аноним, 13:10, 06/11/2015 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Феерическая глупость ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 13:44, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Да, вместо того, чтобы сделать непроницаемые переборки лучше затыкивать постоянн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, p5n, 14:20, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    За переборками - в hurd ... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 17:46, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    То есть, вас совсем не настораживает, что вместо ядра у вас оверинжиниренный мон... весь текст скрыт [показать]
     
     
  • 5.32, p5n, 17:56, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Может и настораживает, но он такой по дизайну Все как бы в курсе, а на счёт бло... весь текст скрыт [показать]
     
  • 3.56, Michael Shigorin, 00:45, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    бишь как раз russian style как это традиционно tm делает корпоративная... весь текст скрыт [показать]
     
  • 1.12, Нанобот, 13:40, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    безопасникам важен сам процесс фапа на безопасность, в то время как для торвальдса безопасность - всего лишь один из аспектов разработки ядра. я бы не сказал, что кто-то из них неправ, просто они смотрят на вопрос с разных точек (лично мне ближе вторая)
     
     
  • 2.18, Andrey Mitrofanov, 14:41, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    Борцы за безопасность покажут вам, как Родину любить Они профессионалы, они это... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 14:49, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Протиратели штанов, которые никогда не сделают вам безопасно по причине зарабаты... весь текст скрыт [показать]
     
  • 2.35, клоун, 18:30, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Вот недавно самолёт разбился Красивый пример Одна авиакомпания а к говорит ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Michael Shigorin, 00:48, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    При этом, скажем, в эль-аль не умеют сажать самолёты красиво, а шмякают об бетон... весь текст скрыт [показать]
     
  • 2.72, all_glory_to_the_hypnotoad, 14:49, 07/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ты же сам и ответил кто прав, ядро это не только безопасность ... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, pavlinux, 14:37, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Гугля, пля, талант. Обвинять существующие, предлагая взамен несуществующие.
     
     
  • 2.28, Аноним, 17:44, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Это называется прогресс Если так не делать, то можно миллионы лет жить в пеще... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, vi, 20:41, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы готовы узать нам направление прогресса ... весь текст скрыт [показать]
     
  • 3.61, pavlinux, 03:04, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Прогресс это когда к палке привязал камень, и увидел, что оно эффективнее долбит... весь текст скрыт [показать]
     
  • 3.74, Нимано, 18:19, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, разведывать путь и конечную цель, сделать запасы, подготовиться 8211 э... весь текст скрыт [показать]
     
  • 1.27, Аноним, 17:43, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > Grsecurity

    Оно ж вроде недавно платным стало.

     
  • 1.33, Аноним, 18:02, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    И как после этого root на Android получать?
     
  • 1.36, Вася, 18:51, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Не нужно пихать зондированный АНБ-шный кал в ядро, тем более по инициативе всяких гуглов и мс. Линус молодец, но насколько его хватит? Очень кому-то припекает, что в ядре Линукса нет зондов, и за 1%-ом десктопов и 80% серверов в мире нельзя удалённо следить.
     
     
  • 2.94, Аноним, 18:17, 08/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Вась, лучше бы ты молчал Очередная белка-истеричка tm , которая Знает tm , Как ... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, Вася, 18:59, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Пендосы просто помешались на анальном зондировании в последние 3 года. Практически любой проприетарный софт, начиная с 2012 года, стучит домой. Вот во времена Вин 98 даже проприетарщина была добрее.
     
     
  • 2.71, all_glory_to_the_hypnotoad, 14:46, 07/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Это тебе сноуден напел несколько лет назад что за тобой следят, а проприетарное ... весь текст скрыт [показать] [показать ветку]
     
  • 2.85, Qwerty, 12:48, 08/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Весь И что передает https www wireshark org И фперед ... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Зенитарка, 20:37, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    "Более того, жизненный цикл уязвимостей в ядре достаточно велик и проблемы могут всплывать лишь спустя годы после своего появления.".

    Прям Windows описал!

     
     
  • 2.88, Аноним, 15:09, 08/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ты себя успокаиваешь ... весь текст скрыт [показать] [показать ветку]
     
  • 1.42, Аннонним, 21:06, 06/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Насчет безопасности. Год назад слышал о дистрибутиве в котором по умолчанию абсолютно все пользовательские приложения запускаются  виртуальной машине. Напомните как называется, хочу глянуть допили его еще или нет.
     
     
  • 2.44, Аноним, 21:22, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –3 +/
    Rebecca Black Biber Xen

    http://sourceforge.net/projects/rebeccablackos/

     
  • 2.48, Аноним, 22:04, 06/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Йоанна Рутковская? https://www.qubes-os.org/
     
     
  • 3.49, Аннонним, 22:56, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да оно Начал качать, погоняю на вбокс, может и действительно стоит подумать о с... весь текст скрыт [показать]
     
     
  • 4.54, Sluggard, 23:48, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Гонять на виртуалке дистр, который сам запускает софт в виртуалках и имеет поэт... весь текст скрыт [показать]
     
  • 3.50, Аннонним, 22:59, 06/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Единственное, что не радует, что основой там Федю взяли, а не Дебиан Второе все... весь текст скрыт [показать]
     
     
  • 4.70, all_glory_to_the_hypnotoad, 14:43, 07/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Оба гогно. Нет дистрибутива кроме генты.
     
     
  • 5.76, Аноним, 19:20, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Как счастливый гентоюзер, заявляю нет, есть А если не есть, то гнета - только ... весь текст скрыт [показать]
     
  • 1.64, pavlinux, 03:59, 07/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Знаете как начинается презентация на тему "Kernel Exploitation Via Uninitialized Stack"

    Credentials
    ● Change your process's UID to 0

    :)

     
  • 1.66, Аноним, 12:59, 07/11/2015 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Почитал коменты и от души посмеялся Несколько человек, ничего не смыслящих в су... весь текст скрыт [показать]
     
     
  • 2.75, cmp, 19:17, 07/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    да,да, мы не будем парится с тупыми ошибками с выходом за границы блока памяти и... весь текст скрыт [показать] [показать ветку]
     
  • 2.77, pavlinux, 19:54, 07/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Я так ваще ржу, - Анонимный вакуум критикует Ссылки, отчёты, логи, статисти... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.79, Аноним, 20:13, 07/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Какое же у тебя самомнение раздутое, оказывается ... весь текст скрыт [показать]
     
     
  • 4.109, Ordu, 01:53, 10/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Рядом с вакуумом раздувается всё что угодно, стремясь заполнить этот вакуум.
     
  • 4.118, pavlinux, 05:57, 17/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну чо лошопед, где твой Pax Grsec ... весь текст скрыт [показать]
     
  • 2.97, klim, 20:15, 08/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    А после отключения, пересобирать мир не придется ... весь текст скрыт [показать] [показать ветку]
     
  • 1.69, all_glory_to_the_hypnotoad, 14:41, 07/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Вместо противодействия конкретным уязвимостям гораздо выгоднее блокировать целые классы проблем, такие как переполнения стека...

    Что-то они не договаривают... Что это всё даёт адский оверхед и работает при том вероятностно. С PaX и GrSec при некоторых видах нагрузок происходит заметный провал в производительности, с ними не рабет весь софт и для всего этого нужна поддержка компилятора которым собирается юзерспейсное ПО.

     
     
  • 2.78, 123, 19:59, 07/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    с pax еще да, а чего с grsec?
     
  • 2.84, Добрый, 00:01, 08/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Кто не договаривает Команда Grsecurity никогда не пыталась включить свои нарабо... весь текст скрыт [показать] [показать ветку]
     
  • 1.83, Аноним, 23:55, 07/11/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    в сообществе разработчиков ядра отсутствует системный механизм выявления и ус... весь текст скрыт [показать]
     
     
  • 2.91, Аноним, 15:11, 08/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Дааааа, это называется Ранний запуск защиты от вредоносных программ С разморо... весь текст скрыт [показать] [показать ветку]
     
  • 1.92, prokoudine, 15:44, 08/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Kees Cook, кроме прочего, в прошлом -- активный участник небезызвестного проекта Inkscape :)
     
  • 1.115, Ващенаглухо, 12:36, 12/11/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    GrSec+PaX ну наконец то, одобряю.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor