Сотрудник компании Oracle, Вегард Носсум (Vegard Nossum), в рассылке разработчиков ядра Linux предложил (https://lkml.org/lkml/2013/12/12/358) отслеживать попытки применения известных эксплоитов. Поскольку разные ядра Linux имеют разные уязвимости, то атакующий скорее всего попытается применить разные эксплоиты перед тем, как атака увенчается успехом. Подобную активность можно использовать для организации системы раннего оповещения о попытках эксплуатации уязвимостей в ядре.
При исправлении уязвимостей обычно добавляются дополнительные проверки валидности поступающих из пространства пользователя входных данных (например, проверяется выход за пределы массива). Суть предложенного метода сводится к расширению действий при срабатывании связанных с устранением уязвимостей проверок, в которых кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).
Вегард Носсум не ограничился теоретическими рассуждениями и представил публике достаточно объёмный патч, добавляющих контрольные уведомления для серьёзных уязвимостей, позволяющих получить права суперпользователя. Для избежания замусоривания кода ядра уведомлениями об устаревших проблемах, предлагается поддерживать только аннотации для уязвимостей, выявленных за последние пять лет. Накладные расходы от использования нового механизма проверки минимальны, а результат работы отражается только в логе, поэтому механизм выявления фактов применения эксплоитов рекомендуется включить по умолчанию.
URL: https://lkml.org/lkml/2013/12/12/358
Новость: http://www.opennet.me/opennews/art.shtml?num=38714
На первый взгляд здравая идея.
> На первый взгляд здравая идея.Красиво отмазался, менеджером будешь - и воздух потряс и сам не при делах.
В итоге: КПД = 0%, а тебе бонусы за имитацию бурной деятельности.---
В общем, реквестую эту фичу в раздел [ Kernel hacking ], а не [ Security options ], там от неё больше пользы будет.
Кривой софт можно отлаживать.
Обсуждать обсуждения других - не мешки ворочить
> Обсуждать обсуждения других - не мешки ворочитьпро себя чтоль?
каждый может уйти в рекурсию, но начал её ты :P
> каждый может уйти в рекурсию, но начал её ты :PЧтоб понять рекурсию, нужно понять рекурсию.
Рекурсию начал Аноним. http://www.opennet.me/openforum/vsluhforumID3/93228.html#21
>Кривой софт можно отлаживать.Тогда вот это фичу:
>Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).лучше зразу заменить на опцию, когда при передаче параметров выводятся ситуации с граничными значениями.
> В итоге: КПД = 0%,Если уж на то пошло, процессоры не производят механической работы и почти не генерируют излучений. Все что они делают - переводят электричество в тепло. Так что их КПД можно считать равным нулю. С другой стороны, нечто подобное можно и про тебя сказать...
Так, как это пока планируется, это будет работать только на новых ядрах. Вопрос в другом - будет ли старый эксплойт работать на новом ядре ?
> Так, как это пока планируется, это будет работать только на новых ядрах.
> Вопрос в другом - будет ли старый эксплойт работать на новом
> ядре ?В том то и задумка. Атакующий не знает какую версию ядра атакует. И будет пробовать разные эксплойты. И вот сообщения о срабатывании патча на какие то уже закрытые дыры и будут сыпаться в лог. Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
Сервак вкалывающий на автомате в серверной, один из 100500 - можно и автоматически выключить, для дальнейшего разбора полетов.
> Сервак вкалывающий на автомате в серверной, один из 100500 - можно
> и автоматически выключить, для дальнейшего разбора полетов.Спасибо, было смешно.
> Спасибо, было смешно.Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.
> в большой инфраструктуре отказ 1 сервера вообще ничего не решаетесли на этом аппарате не висит несколько виртуальных
> если на этом аппарате не висит несколько виртуальныхЛомают обычно как раз виртуалки, т.к. клиентские службы висят на них.
> если на этом аппарате не висит несколько виртуальныхЕсли у вас виртуализация - зачем вы вообще хост в интернет вывесили? Увольте эникеев и наймите нормального админа, который не будет продалбываться настолько глупо. А виртуалку как раз более чем логично заснапшотить (чтобы изучить что и как) и потушить и/или откатить на known good снапшот.
>Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.
> Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми
> эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.Как известно, сдуру можно и х... сломать.
Напоминаю - чтобы запустить эти эксплоиты надо же иметь права на запуск в системе, хоть и не рутовые. Что, как бы, уже достаточная проблема для принятия срочных мер.
> Напоминаю - чтобы запустить эти эксплоиты надо же иметь права на запуск
> в системе, хоть и не рутовые. Что, как бы, уже достаточная
> проблема для принятия срочных мер.Алекс, не обязательно. Достаточно, чтобы невзломанная торчащая в сеть софтина могла послать такой запрос ядру при каком-то запросе извне. Например, web-сервер может запросить какой-то файл из файловой системы с именем, которое напоминает строку exploitа соответствующего вызова.
А для детектирования и отсечения вызовов, которые web-сервер НЕ ДОЛЖЕН делать, есть SELinux.
> Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми
> эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.Нет, только когда будет ложиться с перерывом в 25 минут в течение недели.
>> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
>>> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
>> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере биллинга.
Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".
>> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
> Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере
> биллинга.
> Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".А у Вас синдром теоретика.
А ты уже реально в продакшене это применяешь? Можно примеров?
Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б ему не было.
> Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б
> ему не было.процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?Рассуждения папуаса на тему принципов работы микроволновки...
>> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
>> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
> Рассуждения папуаса на тему принципов работы микроволновки...И не говорите. Я думал, что готов к любой чуши, но к такому нельзя подготовиться, в самом деле... Я даже не знаю, как ответить.
>> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
>> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
> Рассуждения папуаса на тему принципов работы микроволновки...У Вас есть способности к троллингу, продолжайте!
>> Так, как это пока планируется, это будет работать только на новых ядрах.
>> Вопрос в другом - будет ли старый эксплойт работать на новом
>> ядре ?
> В том то и задумка. Атакующий не знает какую версию ядра атакует.Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно, спрятать версию ядра.
> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
> спрятать версию ядра.Предлагаю: за каждую попытку версии ядра - помечать бинарник как suspected malware.
// Табличка "Sarcasm" прилагается.
> Предлагаю: за каждую попытку версии ядра*узнать версию ядра
Сарказм или нет, а скайпик первый же в логах засветится...
> Сарказм или нет, а скайпик первый же в логах засветится...Ну дык всё правильно же: suspected malware.
> Сарказм или нет, а скайпик первый же в логах засветится...Так малвари кусок же.
ну тада главная малварь - это будет /bin/uname ...
> спрятать версию ядра.$ uname -a
Linux rocks! I took time machine from da LOR :) 4.0.4 (boring system crap you don't need anyway) WTF? WTF? WTF? GNU/LinuxНу вот такое вот безобразие может вернуть uname(). Удачи в хацкинге этой версии ядра....
Я рад за Opennet! Первый клоун появился только спустя 12 часов!
> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
> спрятать версию ядра.Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
>> спрятать версию ядра.
> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать версию ядра?!"
- Да как два байта об асфальт! - надо всё пропатчить и пересобрать?! (с) Шариков.
>>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
>>> спрятать версию ядра.
>> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
>> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
> Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать
> версию ядра?!"
> - Да как два байта об асфальт! - надо всё пропатчить и
> пересобрать?! (с) Шариков.Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.И только в НПО им. Лавочкина - Арч.
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.И при этом мы ухитряемся клещиться с штатами. Вот так разок попросит правительство штатов снести активацию "этим кoзлaм", в форме в которой MS будет сложно отказать. И нагнется у нас все рaком, от банкоматов до аэс...
>И при этом мы ухитряемся клещиться с штатами.А с чего вы это взяли?
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.
>Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.Точно!
У любой секретарше именно она. Судя по пасьянсу.
BSOD же!
Здрасти пожалуйста.
Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация о том что за ядро используется какие сервисы и так далее.
Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее окружение. Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.
> Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
> не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.Ну! - иллюзию рута, иллюзию gcc и его результатов, иллюзию интернета, ...
Есть в далёкой Австралии мужичок, фанат Xen, так он всем раздавал рута,
с надписью при входе "Я работаю в XEN, сломай меня если сможешь!",
Так его особо никто и не ломал, вешали своего irc-демона и сваливали. :)Вопрос от журнала "Спамботы и руткиты", наши читатели интересуются, - какая хрен разница, откуда спам слать?
Пусть шлют в иллюзию интернета, не жалко. Главное, чтобы в этих рутах вместо процессорного времени тоже была только иллюзия.
> Пусть шлют в иллюзию интернета, не жалко.Да он при первом же пинге спалится, Глеб Егорыч.
нужна иллюзия пинга!
> нужна иллюзия пинга!iptables -t matix -I ILLUSION -m neo -s 0/0 -d 0/0 -j ILLUSION --illusion-with hard-drugs;
Чет ты зациклился..
> Чет ты зациклился..Drug-level набирает.
> Здрасти пожалуйста.
> Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация
> о том что за ядро используется какие сервисы и так далее.
> Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.Это у специалистов называется "уменьшением площади поражения" и делается, вообще говоря, в крайне желательном порядке.
> Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее
> окружение. Но почему тогда не пойти дальше и следуя заветам сунь
> цзы и его искусству войны
> не создавать иллюзию того что человек рут получил? Ну и так далее
> и тому подобное.Погугли. Удивишься.
> будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование
> на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то
> команды.Вход по ssh - прибитие демона sshd, c уведомлением админа по почте "так мол и так, обнаружена попытка входа по ssh, есть подозрение на то что это хакеры, демон sshd остановлен", да, вот прям так из Гваделупы в Урюпинск.
> Вход по ssh - прибитие демона sshd,А что, это мысль: повесить демон на порт иной чем 22, сделать порткнок, а кто влобовую долбится на 22 - просто в файрвол его, пусть netfilter для начала хакает.
> Вход по ssh - прибитие демона sshd, c уведомлением админа по
> почтеТогда уж проще SMS подцепить.
>Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.Вот не нужно этого. Делайте с логами что хотите, fail2ban в помощь. Но в ядро это встраивать не нужно - достаточно просто логирования.
Мысль неплохая, а раз уже и патч готов - так тем более.
Лишь бы это не перерасло в черезчур умную систему безопасности, и как итог запрещало делать свои вставки в модулях и/или забивать блочное устройство нулями...
> Мысль неплохая, а раз уже и патч готов - так тем более.В монолитном ядре??????!!!! Ню-ню.
> В монолитном ядре??????!!!! Ню-ню.Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice). Покажи мне такой номер на каком-нибудь еще ядре? :)
> Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice).Оно еще шевелится? Вроде бы оракел купил и придушил.
А база данных эксплойтов будет обновляться как антивирус что ли?
С выходом новых ядер/ с исправлением уязвимости
kasperskyd или kavd будет
systemd-kisd
дада, здравствуй антивирус для линух!
> А база данных эксплойтов будет обновляться как антивирус что ли?В данном случае не так важно иметь актуальную базу эксплоитов - так как не эксплоиты ловятся, а их деятельность, причём ловится как раз деятельность устаревшая аж на 5 лет.
> устаревшая аж на 5 летВ пределе. А так-то и вчерашняя сгодится.
> А база данных эксплойтов будет обновляться как антивирус что ли?Есть идеи умнее?
Хорошо!
Допустим, узнали что нас ломают...
Дальше, что?
> Допустим, узнали что нас ломают...
> Дальше, что?Идём искать дырявое web-приложение, через которое смогли запустить эксплоит, и начинаем разбираться каких спамерских ботов, DDos-скриптов и открытых прокси назапускали под тем пользователем. Для того чтобы начать спамить, DDoS-ить и взламывать других можно без root обойтись.
>> Допустим, узнали что нас ломают...
>> Дальше, что?
> Идём искатьИменно так. http://lenta.ru/news/2013/12/24/utechka/ Ищешь, потом докладываешь в уполномоченный орган, потом тебя наказывают. Если не доложить, накажут еще больше. Так что очень актуальная заметка.
> Если не доложить, накажут еще больше.ЛПП. Если не доложить - не накажут.
Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий (в списке понятно не значащийся) и на этом ку-ку. Так что разве что для хонейпота сгодится.
> Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий
> (в списке понятно не значащийся) и на этом ку-ку. Так что
> разве что для хонейпота сгодится.Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать что какое-то пользовательское приложение, с пользовательскими правами, пытается получить рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при этом может и устоять.
> Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать
> что какое-то пользовательское приложение, с пользовательскими правами, пытается получить
> рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при
> этом может и устоять.Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся бесполезны.
> Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном
> случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся
> бесполезны.Ну почему же. Отчёт о попытке взлома может уйти до реального взлома. В любом случае цель патча - именно отловить попытки взлома, а не сам взлом или защититься от него.
> Ну почему же. Отчёт о попытке взлома может уйти до реального взлома.Логика и здравый смысл подсказывают, что сначала будут тестироваться самые свежие сплойты. И если они сработают, до старых дело не дойдет.
Еще раз. Если пытаются рутовать - то уже надо принимать меры, даже если ядро устоит. Потому что уже в систему как-то влезли. То есть да, против 0-day не устоит (хотя может и выжить - допустим, с вариантом ядра не угадал атакующий), но в остальных случаях - отмаякует, а не подарит атакующему шанс, не получив рута, мирно ботнетить и спам слать.
интересно будет видеть надстройку, которая будет реализовывать монитор таких событий и предоставлять быстрый доступ к необходимым интерфейсам ответных действий.
Адназначна плюсовый новость, а то последнее время только про новые ботнеты видно...
Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname.
> Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname."Ты не поверишь.....", но ядра определяются не только по uname.
>Сотрудник компании Oracle ... предложилБойтесь данайцев, дары приносящих.
>> Сотрудник компании Oracle ... предложил
> Бойтесь данайцев, дары приносящих.Предлагаю запретить принимать в Linux патчи от негров. Ибо.
Идея интересная. Но лишний код в ядре - это как-то не правильно. Ядро и так объёмное. Может, можно вынести основную часть данного функционала в юзерспейс?
данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.
> данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
> каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.echo "%d%d, 0x42a75ed3,$(pidof spambot)" > /proc/`pidof apache2`/smaps
echo - это попытка взлома?
> данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
> каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.Тоже верно. Нечего засорять ядро. Так в него могут много чего запихать.
>> данный функционал просто не нужен.
> Тоже верно. Нечего засорять ядро.Ну, пусть сделают trace point-ы, неактивные по умолчанию и практически бесплатные _в _смысле производительности, а к ним ещё auditd, fail2ban или [k]analize какой -- включающий исторожащий следовую полосу. Для тех, кому надо.
Но да, tracepoint-ы - часть API, для некоторых, и поддерживать конкретные пойнты (=много всех этих) "всегда в будущем", эти некоторые могут не согласиться. А API для перечисления-обнарпужения именно этих t-p -- так прочсто подарок именно тем самым кракерам.
Зовите академиков и Шнайера!
т.е ядро должно будет поставляться еще с базой данных известных эксплойтов? Зачем? от 0-day все равно не спасёт, а уже известные эксплойты на то и известные, чтоб разработчики ядра исправили уязвимость. Зачем вводить проверку в ядро, и к тому же нагружать ядерщиков дополнительной работой? На случай, если я невнимательно слежу за безопасностью и не обновляю ядро с исправлениями?Может это на случаи, когда не хочется обновлять парк машин с версиями ядер без исправлений безопасности, полагаясь на "авось никто и не взломает", а когда начнут взламывать - сразу затрубить об этом? Пока гром не грянет, мужик не перекрестится - по оракловски?))
P.S. Судя по тому, как они исправляют уязвимости в java, я б не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж о самой оракл.
Я таки вам отрою секрет. Не все админы в России, Индии и Китае, после с геморром развернутого парка машин где-нибудь на аутсорсе, таки следят за ним.
Доходит до того, что тачка встает колом из-за того, что /log забился. Приезжаешь, чистишь, смотришь не ломанули ли за это время, уезжаешь.
-----
Прошло 2 года...
-----Если в логе будет WARNING-WARNING, его можно будет прикрутить к какому-нибудь парсеру, который шлет куда-нибудь мыло, и кто-то принимает меры.
А не тогда, когда к нему дяди со значками придут выяснять, как так получилось, что с подопечного вам ПК взломали сайт президента.-----
Да, ССЗБ, и поделом. Но с данными патчами мир станет чуточку добрее, разве не так?
> т.е ядро должно будет поставляться еще с базой данных известных эксплойтов?Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ и библиотек - левак в ядро можно и случайно отправить.
> Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ
> и библиотек - левак в ядро можно и случайно отправить.В смысле _случайно отправить в ядро патч с _уже _известным эксплойтом? :))) Дойдёт до Л.Т. интересно?
Или ты про аргументы-вызовы? За то _есть trinity http://codemonkey.org.uk/tag/trinity/ , граница на "замке".
И как trinity поможет отследить, что твоя (или не твоя) софтина в каки-то случаях шлет в ядро бред?
> И как trinity поможет отследить, что твоя (или не твоя) софтина в
> каки-то случаях шлет в ядро бред?Сколько изней Вселенной понадобится, чтобы обезья^W"твоя (или не твоя) софтина" _случайно послала эекспойт в ядро? И сама в ботнет записалась?
вы совсем невнимательно читаете новость, там же все написано> т.е ядро должно будет поставляться еще с базой данных известных эксплойтов?
нет: "При исправлении уязвимостей обычно добавляются дополнительные проверки валидности поступающих из пространства пользователя входных данных (например, проверяется выход за пределы массива). Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы". Т.е. каждый патч, который что-то закрывает, будет иметь кусок кода, который вызовет логгирование попытки эксплойта уязвимости. Т.е. "базы данных известных эксплойтов" не будет
> Зачем? от 0-day все равно не спасёт, а уже известные эксплойты на то и известные,
> чтоб разработчики ядра исправили уязвимостьопять не читаете новость: "В частности, появление в логе данных о применении эксплоитов может говорить о том, что атакующие уже получили доступ к системе на уровне непривилегированного пользователя, например, через взлом web-приложения или кражу пароля". Т.е. это не защита ядра от уязвимости. Это сигнал о том что использовали уязвимость в обычном приложении и скоро могут добраться до ядра, а если уже добрались ( 0-day ) и красиво почистили логи, то наверное об этом узнать можно только если логгирование идет на удаленную машину ( или на принтер :) )
> P.S. Судя по тому, как они исправляют уязвимости в java, я б
> не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж
> о самой оракл.Блин ну что ты разворчался - ну захотели ребята свой бекдор встроить в ядро, ну подумаешь.
Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не составляет труда.
> Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не
> составляет труда.Его и удаленно как правило узнать труда не составляет. Открой для себя fingerprinting.....
> fingerprinting.....Да, заодно не забудь рассказать как он работает на практике. Пример можно посмотреть в nmap.
Что-то мне подсказывает что будут ложные срабатывания.
И если пользователь-админ не будет понимать происходящих процессов, не будет разбираться в предмете, то будет ситуация вида "ой меня взломали, гуглить-гуглиьт-гуглить, патчить, патчить, патчить - сломалось, чинить-чинить-чинить".
Ложное срабатывание мне симпатичней чем отсутствие срабатывания. Хотя, всё ещё от деталей зависит, конечно.
Слышали притчу про человека, который кричал "Волки!"?
> Слышали притчу про человека, который кричал "Волки!"?Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей про один популярный в узких кругах продавцов железа дистрибутив.
> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статейМиллион мух не может ошибаться.
Если бы можно было отключить file permissions - их бы тоже отключали.
>> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей
> Миллион мух не может ошибаться.
> Если бы можно было отключить file permissions - их бы тоже отключали.file permissions - есть уже давно (это не оправдание, а показатель того, что раньше люди работающие с вычислительной техникой были немного более ответственными и более развитыми в области компьютерных наук).
Плюс ко всему file permissions "немного" проще в понимании (да он и проще на самом деле).
SELinux же, сложнее и моложе.Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?
> Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?Это надо ядро хакать. Типовому автору типовых статей "настроим LAMP в три команды apt-get... ой, то есть yum" это не по силам.
> Ложное срабатывание мне симпатичней чем отсутствие срабатывания.так не проблема: сделай себе утилиту, которая пишет в сислог «а-а-а-а-а, сплоеты, хацкеры, ламаютспасите!», повешай в крон — и будет тебе ЩАСТЬЕ.
Ну так пользователю-хомяку не надо алерты на экран выводить, а в случае нужды в диагностике - кто-то более понимающий в лог глянет. А на сервере - тем более в самый раз, там уже и правила для анализа прикрутить можно. Тем более, что ложные срабатывания могут только вида "баг в клиентском софте" - нефиг мусор в сисколлы слать.
два часа ночи - запустил подборку сплоитов, система записала в логи попытки и один сплоит пробил рута, что дальше ? чистим те самые логи ))помоему безнадёжно, народ хнёй страдает в место того, чтобы реально что-то делать
по-моему народ херней страдает и пишет на форумах, вместо того, чтобы что-то делать. ))
как показывает практика, пробить експлоитом какое нибудь web приложение в юзерспейсе гораздо проще, чем поднять привилегии через уязвимость в ядре. а значит - в большинстве случаев уведомление от ядра будет полезным. а логи можно вести на удаленной машине, там же держать и систему мониторинга таких сообщений.
там где используют удалённое хранение логов, просто так сплоиты не поюзаешь значить,
что мешает забить логи и они сротируются а в дальнейшем вовсе затрутся
А дальше - в момент подбора, разумеется, ушли нотификейшны на внешнюю систему. Дальше - по обстоятельствам. Где админ зашевелится, где всем пофигу, а где подозрительную систему просто вырубит автоматика до разбирательства.
Возможно как-то определять все невалидные данные, не только связанные с эксплоитом? Тогда в логи попадут и ошибки программ, которых вроде как быть не должно, и новые неизвестные угрозы. А юзера, который сильно гадит можно банить автоматом.
Теоретически можно, но на практике - получим жирный оверхед, скорее всего. А так - имеем выборочные тесты именно на поиск уязвимостей.Хотя предложенный вами мониторинг как именно отладочная фича (активируемая при соответствующих флагах ядра) имеет право на жизнь, конечно. Но фишка предложенного оракловцами варианта в том, что его можно более-менее уверенно включать по дефолту.
> Возможно как-то определять все невалидные данные, не только связанные с эксплоитом?именно дл таких случаев и придуманы коды ошибок, которые система таки возвращает, если её просят о странном. или ты уверен, что входные данные никто вообще не валидирует?
Как по мне - очень здравая и практически дармовая фича.
> Как по мне - очень здравая и практически дармовая фича.http://opennet.ru/openforum/vsluhforumID3/93228.html#20
> Как по мне - очень здравая и практически дармовая фича.
Ну тут то тебе не человек орёт а ядро тихо шепчет - да и не просто так =)
> Ну тут то тебе не человек орёт а ядро тихо шепчет -
> да и не просто так =)У ядра и так задач хватает!
http://http://www.la-samhna.de/samhain/
> Как по мне - очень здравая и практически дармовая фича.нафиг бесполезная чушь, которая к тому же добавляет в ядро бесполезный код. типичное решение «в корпоративном стиле», по методологии «выключаем мозги, включаем кодогенератор».
индустриальный стиль "решения" :)вместо того что бы с таким же интузиазизмом вести набор правил для selinux сделать велосипед незащищающий ни от чего, но вешающий в ядро кучу ифов :)
надеюсь, эту чушь никто в mainline не возьмёт. пусть там оракуль свой анбрыкабл уродует в уголке.