| |
| 2.18, pavlinux (ok), 00:25, 24/12/2013 [^] [^^] [^^^] [ответить]
| –26 +/– |
 > На первый взгляд здравая идея.
Красиво отмазался, менеджером будешь - и воздух потряс и сам не при делах.
В итоге: КПД = 0%, а тебе бонусы за имитацию бурной деятельности.
---
В общем, реквестую эту фичу в раздел [ Kernel hacking ], а не [ Security options ], там от неё больше пользы будет.
Кривой софт можно отлаживать.
| | |
| |
| 3.48, ананим (?), 05:45, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>Кривой софт можно отлаживать.
Тогда вот это фичу:
>Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).
лучше зразу заменить на опцию, когда при передаче параметров выводятся ситуации с граничными значениями.
| | |
| 3.95, Аноним (-), 14:50, 24/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> В итоге: КПД = 0%,
Если уж на то пошло, процессоры не производят механической работы и почти не генерируют излучений. Все что они делают - переводят электричество в тепло. Так что их КПД можно считать равным нулю. С другой стороны, нечто подобное можно и про тебя сказать...
| | |
|
|
| 1.3, Inome (ok), 23:02, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Так, как это пока планируется, это будет работать только на новых ядрах. Вопрос в другом - будет ли старый эксплойт работать на новом ядре ?
| | |
| |
| 2.14, Исай (?), 00:01, 24/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Так, как это пока планируется, это будет работать только на новых ядрах.
> Вопрос в другом - будет ли старый эксплойт работать на новом
> ядре ?
В том то и задумка. Атакующий не знает какую версию ядра атакует. И будет пробовать разные эксплойты. И вот сообщения о срабатывании патча на какие то уже закрытые дыры и будут сыпаться в лог. Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
| | |
| |
| 3.17, Vkni (ok), 00:20, 24/12/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
| | |
| |
| 4.53, Аноним (-), 09:47, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Сервак вкалывающий на автомате в серверной, один из 100500 - можно и автоматически выключить, для дальнейшего разбора полетов.
| | |
| |
| 5.65, Vkni (ok), 11:23, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Сервак вкалывающий на автомате в серверной, один из 100500 - можно
> и автоматически выключить, для дальнейшего разбора полетов.
Спасибо, было смешно.
| | |
| |
| 6.72, Аноним (-), 11:35, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Спасибо, было смешно.
Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.
| | |
| |
| 7.85, Аноним (-), 14:31, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> в большой инфраструктуре отказ 1 сервера вообще ничего не решает
если на этом аппарате не висит несколько виртуальных
| | |
| |
| 8.130, Аноним (-), 18:40, 24/12/2013 [^] [^^] [^^^] [ответить] | +2 +/– | Если у вас виртуализация - зачем вы вообще хост в интернет вывесили Увольте эни... текст свёрнут, показать | | |
|
| 7.109, www2 (ok), 17:11, 24/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.
Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.
| | |
| |
| |
| 9.144, Vkni (ok), 19:22, 24/12/2013 [^] [^^] [^^^] [ответить] | +/– | Алекс, не обязательно Достаточно, чтобы невзломанная торчащая в сеть софтина мо... текст свёрнут, показать | | |
|
| 8.143, Vkni (ok), 19:00, 24/12/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Нет, только когда будет ложиться с перерывом в 25 минут в течение недели ... текст свёрнут, показать | | |
|
|
|
|
| 4.71, Pilat (ok), 11:34, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
| | |
| |
| 5.110, www2 (ok), 17:16, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
>> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере биллинга.
Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".
| | |
| |
| 6.111, Pilat (ok), 17:22, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
> Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере
> биллинга.
> Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".
А у Вас синдром теоретика.
| | |
|
| 5.112, freehck (ok), 17:30, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б ему не было.
| | |
| |
| 6.128, Pilat (ok), 18:34, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б
> ему не было.
процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
| | |
| |
| 7.134, Аноним (-), 18:42, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
Рассуждения папуаса на тему принципов работы микроволновки...
| | |
|
|
|
|
| 3.19, pavlinux (ok), 00:35, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Так, как это пока планируется, это будет работать только на новых ядрах.
>> Вопрос в другом - будет ли старый эксплойт работать на новом
>> ядре ?
> В том то и задумка. Атакующий не знает какую версию ядра атакует.
Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно, спрятать версию ядра.
| | |
| |
| 4.25, Аноним (-), 00:46, 24/12/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
> спрятать версию ядра.
Предлагаю: за каждую попытку версии ядра - помечать бинарник как suspected malware.
// Табличка "Sarcasm" прилагается.
| | |
| |
| |
| 6.56, Аноним (-), 10:00, 24/12/2013 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Сарказм или нет, а скайпик первый же в логах засветится...
Ну дык всё правильно же: suspected malware.
| | |
| 6.68, Аноним (-), 11:28, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Сарказм или нет, а скайпик первый же в логах засветится...
Так малвари кусок же.
| | |
|
|
| 4.66, Аноним (-), 11:28, 24/12/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> спрятать версию ядра.
$ uname -a
Linux rocks! I took time machine from da LOR :) 4.0.4 (boring system crap you don't need anyway) WTF? WTF? WTF? GNU/Linux
Ну вот такое вот безобразие может вернуть uname(). Удачи в хацкинге этой версии ядра....
| | |
| 4.73, Pilat (ok), 11:36, 24/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
> спрятать версию ядра.
Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
| | |
| |
| 5.82, pavlinux (ok), 13:45, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
>> спрятать версию ядра.
> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать версию ядра?!"
- Да как два байта об асфальт! - надо всё пропатчить и пересобрать?! (с) Шариков.
| | |
| |
| 6.88, Аноним (-), 14:33, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
>>> спрятать версию ядра.
>> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
>> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
> Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать
> версию ядра?!"
> - Да как два байта об асфальт! - надо всё пропатчить и
> пересобрать?! (с) Шариков.
Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.
| | |
| |
| 7.92, Аноним (-), 14:38, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.
И только в НПО им. Лавочкина - Арч.
| | |
| 7.96, Аноним (-), 14:52, 24/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.
И при этом мы ухитряемся клещиться с штатами. Вот так разок попросит правительство штатов снести активацию "этим кoзлaм", в форме в которой MS будет сложно отказать. И нагнется у нас все рaком, от банкоматов до аэс...
| | |
| 7.154, ананим (?), 10:54, 25/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.
Точно!
У любой секретарше именно она. Судя по пасьянсу.
| | |
|
|
|
|
| 3.29, demimurych (ok), 00:59, 24/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Здрасти пожалуйста.
Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация о том что за ядро используется какие сервисы и так далее.
Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.
Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее окружение. Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.
| | |
| |
| 4.30, pavlinux (ok), 01:25, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
> не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.
Ну! - иллюзию рута, иллюзию gcc и его результатов, иллюзию интернета, ...
Есть в далёкой Австралии мужичок, фанат Xen, так он всем раздавал рута,
с надписью при входе "Я работаю в XEN, сломай меня если сможешь!",
Так его особо никто и не ломал, вешали своего irc-демона и сваливали. :)
Вопрос от журнала "Спамботы и руткиты", наши читатели интересуются, - какая хрен разница, откуда спам слать?
| | |
| |
| 5.37, plain5ence (ok), 02:27, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Пусть шлют в иллюзию интернета, не жалко. Главное, чтобы в этих рутах вместо процессорного времени тоже была только иллюзия.
| | |
| |
| 6.41, pavlinux (ok), 02:38, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Пусть шлют в иллюзию интернета, не жалко.
Да он при первом же пинге спалится, Глеб Егорыч.
| | |
|
|
| 4.117, Аноним (-), 18:26, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Здрасти пожалуйста.
> Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация
> о том что за ядро используется какие сервисы и так далее.
> Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.
Это у специалистов называется "уменьшением площади поражения" и делается, вообще говоря, в крайне желательном порядке.
> Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее
> окружение. Но почему тогда не пойти дальше и следуя заветам сунь
> цзы и его искусству войны
> не создавать иллюзию того что человек рут получил? Ну и так далее
> и тому подобное.
Погугли. Удивишься.
| | |
|
| 3.59, Адекват (ok), 10:48, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование
> на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то
> команды.
Вход по ssh - прибитие демона sshd, c уведомлением админа по почте "так мол и так, обнаружена попытка входа по ssh, есть подозрение на то что это хакеры, демон sshd остановлен", да, вот прям так из Гваделупы в Урюпинск.
| | |
| |
| 4.70, Аноним (-), 11:30, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Вход по ssh - прибитие демона sshd,
А что, это мысль: повесить демон на порт иной чем 22, сделать порткнок, а кто влобовую долбится на 22 - просто в файрвол его, пусть netfilter для начала хакает.
| | |
| 4.89, Аноним (-), 14:35, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Вход по ssh - прибитие демона sshd, c уведомлением админа по
> почте
Тогда уж проще SMS подцепить.
| | |
|
| 3.108, www2 (ok), 17:09, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
Вот не нужно этого. Делайте с логами что хотите, fail2ban в помощь. Но в ядро это встраивать не нужно - достаточно просто логирования.
| | |
|
|
| |
| 2.22, Аноним (-), 00:44, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Лишь бы это не перерасло в черезчур умную систему безопасности, и как итог запрещало делать свои вставки в модулях и/или забивать блочное устройство нулями...
| | |
| 2.119, Аноним (-), 18:28, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Мысль неплохая, а раз уже и патч готов - так тем более.
В монолитном ядре??????!!!! Ню-ню.
| | |
| |
| 3.139, Аноним (-), 18:45, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В монолитном ядре??????!!!! Ню-ню.
Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice). Покажи мне такой номер на каком-нибудь еще ядре? :)
| | |
| |
| 4.145, Аноним (-), 19:55, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice).
Оно еще шевелится? Вроде бы оракел купил и придушил.
| | |
|
|
|
| 1.8, makky (ok), 23:22, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 А база данных эксплойтов будет обновляться как антивирус что ли?
| | |
| |
| 2.67, Pilat (ok), 11:28, 24/12/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> А база данных эксплойтов будет обновляться как антивирус что ли?
В данном случае не так важно иметь актуальную базу эксплоитов - так как не эксплоиты ловятся, а их деятельность, причём ловится как раз деятельность устаревшая аж на 5 лет.
| | |
| |
| 3.150, Аноним (-), 07:02, 25/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> устаревшая аж на 5 лет
В пределе. А так-то и вчерашняя сгодится.
| | |
|
| 2.120, Аноним (-), 18:28, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А база данных эксплойтов будет обновляться как антивирус что ли?
Есть идеи умнее?
| | |
|
| |
| 2.13, Аноним (-), 23:59, 23/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Допустим, узнали что нас ломают...
> Дальше, что?
Идём искать дырявое web-приложение, через которое смогли запустить эксплоит, и начинаем разбираться каких спамерских ботов, DDos-скриптов и открытых прокси назапускали под тем пользователем. Для того чтобы начать спамить, DDoS-ить и взламывать других можно без root обойтись.
| | |
| |
| 3.91, Аноним (-), 14:38, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Допустим, узнали что нас ломают...
>> Дальше, что?
> Идём искать
Именно так. http://lenta.ru/news/2013/12/24/utechka/ Ищешь, потом докладываешь в уполномоченный орган, потом тебя наказывают. Если не доложить, накажут еще больше. Так что очень актуальная заметка.
| | |
| |
| 4.93, Аноним (-), 14:40, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Если не доложить, накажут еще больше.
ЛПП. Если не доложить - не накажут.
| | |
|
|
| 2.35, PnD (??), 02:00, 24/12/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий (в списке понятно не значащийся) и на этом ку-ку. Так что разве что для хонейпота сгодится.
| | |
| |
| 3.69, Pilat (ok), 11:30, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий
> (в списке понятно не значащийся) и на этом ку-ку. Так что
> разве что для хонейпота сгодится.
Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать что какое-то пользовательское приложение, с пользовательскими правами, пытается получить рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при этом может и устоять.
| | |
| |
| 4.80, Аноним (-), 13:31, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать
> что какое-то пользовательское приложение, с пользовательскими правами, пытается получить
> рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при
> этом может и устоять.
Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся бесполезны.
| | |
| |
| 5.84, Pilat (ok), 13:52, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном
> случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся
> бесполезны.
Ну почему же. Отчёт о попытке взлома может уйти до реального взлома. В любом случае цель патча - именно отловить попытки взлома, а не сам взлом или защититься от него.
| | |
| |
| 6.94, Аноним (-), 14:41, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну почему же. Отчёт о попытке взлома может уйти до реального взлома.
Логика и здравый смысл подсказывают, что сначала будут тестироваться самые свежие сплойты. И если они сработают, до старых дело не дойдет.
| | |
|
| 5.98, Crazy Alex (ok), 15:05, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Еще раз. Если пытаются рутовать - то уже надо принимать меры, даже если ядро устоит. Потому что уже в систему как-то влезли. То есть да, против 0-day не устоит (хотя может и выжить - допустим, с вариантом ядра не угадал атакующий), но в остальных случаях - отмаякует, а не подарит атакующему шанс, не получив рута, мирно ботнетить и спам слать.
| | |
|
|
|
|
| 1.12, Baz (?), 23:53, 23/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
интересно будет видеть надстройку, которая будет реализовывать монитор таких событий и предоставлять быстрый доступ к необходимым интерфейсам ответных действий.
| | |
| 1.15, Аноним (-), 00:18, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Адназначна плюсовый новость, а то последнее время только про новые ботнеты видно...
| | |
| |
| 2.123, Аноним (-), 18:30, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname.
"Ты не поверишь.....", но ядра определяются не только по uname.
| | |
|
| |
| 2.23, Аноним (-), 00:44, 24/12/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
>> Сотрудник компании Oracle ... предложил
> Бойтесь данайцев, дары приносящих.
Предлагаю запретить принимать в Linux патчи от негров. Ибо.
| | |
|
| 1.33, lucentcode (ok), 01:43, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Идея интересная. Но лишний код в ядре - это как-то не правильно. Ядро и так объёмное. Может, можно вынести основную часть данного функционала в юзерспейс?
| | |
| |
| 2.34, all_glory_to_the_hypnotoad (ok), 01:56, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.
| | |
| |
| 3.38, pavlinux (ok), 02:29, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
> каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.
echo "%d%d, 0x42a75ed3,$(pidof spambot)" > /proc/'pidof apache2'/smaps
echo - это попытка взлома?
| | |
| 3.40, lucentcode (ok), 02:30, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
> каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.
Тоже верно. Нечего засорять ядро. Так в него могут много чего запихать.
| | |
| |
| 4.75, Andrey Mitrofanov (?), 11:46, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> данный функционал просто не нужен.
> Тоже верно. Нечего засорять ядро.
Ну, пусть сделают trace point-ы, неактивные по умолчанию и практически бесплатные _в _смысле производительности, а к ним ещё auditd, fail2ban или [k]analize какой -- включающий исторожащий следовую полосу. Для тех, кому надо.
Но да, tracepoint-ы - часть API, для некоторых, и поддерживать конкретные пойнты (=много всех этих) "всегда в будущем", эти некоторые могут не согласиться. А API для перечисления-обнарпужения именно этих t-p -- так прочсто подарок именно тем самым кракерам.
Зовите академиков и Шнайера!
| | |
|
|
|
| 1.42, chinarulezzz (ok), 03:14, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 т.е ядро должно будет поставляться еще с базой данных известных эксплойтов? Зачем? от 0-day все равно не спасёт, а уже известные эксплойты на то и известные, чтоб разработчики ядра исправили уязвимость. Зачем вводить проверку в ядро, и к тому же нагружать ядерщиков дополнительной работой? На случай, если я невнимательно слежу за безопасностью и не обновляю ядро с исправлениями?
Может это на случаи, когда не хочется обновлять парк машин с версиями ядер без исправлений безопасности, полагаясь на "авось никто и не взломает", а когда начнут взламывать - сразу затрубить об этом? Пока гром не грянет, мужик не перекрестится - по оракловски?))
P.S. Судя по тому, как они исправляют уязвимости в java, я б не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж о самой оракл.
| | |
| |
| 2.49, count0krsk (ok), 06:11, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Я таки вам отрою секрет. Не все админы в России, Индии и Китае, после с геморром развернутого парка машин где-нибудь на аутсорсе, таки следят за ним.
Доходит до того, что тачка встает колом из-за того, что /log забился. Приезжаешь, чистишь, смотришь не ломанули ли за это время, уезжаешь.
-----
Прошло 2 года...
-----
Если в логе будет WARNING-WARNING, его можно будет прикрутить к какому-нибудь парсеру, который шлет куда-нибудь мыло, и кто-то принимает меры.
А не тогда, когда к нему дяди со значками придут выяснять, как так получилось, что с подопечного вам ПК взломали сайт президента.
-----
Да, ССЗБ, и поделом. Но с данными патчами мир станет чуточку добрее, разве не так?
| | |
| 2.60, Аноним (-), 10:58, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> т.е ядро должно будет поставляться еще с базой данных известных эксплойтов?
Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ и библиотек - левак в ядро можно и случайно отправить.
| | |
| |
| 3.76, Andrey Mitrofanov (?), 11:51, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ
> и библиотек - левак в ядро можно и случайно отправить.
В смысле _случайно отправить в ядро патч с _уже _известным эксплойтом? :))) Дойдёт до Л.Т. интересно?
Или ты про аргументы-вызовы? За то _есть trinity http://codemonkey.org.uk/tag/trinity/ , граница на "замке".
| | |
| |
| 4.100, Crazy Alex (ok), 15:07, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
И как trinity поможет отследить, что твоя (или не твоя) софтина в каки-то случаях шлет в ядро бред?
| | |
| |
| 5.121, Andrey Mitrofanov (?), 18:29, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> И как trinity поможет отследить, что твоя (или не твоя) софтина в
> каки-то случаях шлет в ядро бред?
Сколько изней Вселенной понадобится, чтобы обезья^W"твоя (или не твоя) софтина" _случайно послала эекспойт в ядро? И сама в ботнет записалась?
| | |
|
|
|
| 2.62, Адекват (ok), 11:05, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> P.S. Судя по тому, как они исправляют уязвимости в java, я б
> не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж
> о самой оракл.
Блин ну что ты разворчался - ну захотели ребята свой бекдор встроить в ядро, ну подумаешь.
| | |
|
| 1.54, Аноним (-), 09:51, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не составляет труда.
| | |
| |
| 2.126, Аноним (-), 18:32, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не
> составляет труда.
Его и удаленно как правило узнать труда не составляет. Открой для себя fingerprinting.....
| | |
| |
| 3.140, Аноним (-), 18:47, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> fingerprinting.....
Да, заодно не забудь рассказать как он работает на практике. Пример можно посмотреть в nmap.
| | |
|
|
| 1.58, Адекват (ok), 10:41, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Что-то мне подсказывает что будут ложные срабатывания.
И если пользователь-админ не будет понимать происходящих процессов, не будет разбираться в предмете, то будет ситуация вида "ой меня взломали, гуглить-гуглиьт-гуглить, патчить, патчить, патчить - сломалось, чинить-чинить-чинить".
| | |
| |
| 2.63, vn971 (ok), 11:13, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Ложное срабатывание мне симпатичней чем отсутствие срабатывания. Хотя, всё ещё от деталей зависит, конечно.
| | |
| |
| |
| 4.87, Andrey Mitrofanov (?), 14:32, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Слышали притчу про человека, который кричал "Волки!"?
Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей про один популярный в узких кругах продавцов железа дистрибутив.
| | |
| |
| 5.105, Аноним (-), 15:50, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей
Миллион мух не может ошибаться.
Если бы можно было отключить file permissions - их бы тоже отключали.
| | |
| |
| 6.107, vi (?), 16:51, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей
> Миллион мух не может ошибаться.
> Если бы можно было отключить file permissions - их бы тоже отключали.
file permissions - есть уже давно (это не оправдание, а показатель того, что раньше люди работающие с вычислительной техникой были немного более ответственными и более развитыми в области компьютерных наук).
Плюс ко всему file permissions "немного" проще в понимании (да он и проще на самом деле).
SELinux же, сложнее и моложе.
Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?
| | |
| |
| 7.113, Аноним (-), 17:59, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?
Это надо ядро хакать. Типовому автору типовых статей "настроим LAMP в три команды apt-get... ой, то есть yum" это не по силам.
| | |
|
|
|
|
| 3.159, arisu (ok), 23:10, 28/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Ложное срабатывание мне симпатичней чем отсутствие срабатывания.
так не проблема: сделай себе утилиту, которая пишет в сислог «а-а-а-а-а, сплоеты, хацкеры, ламаютспасите!», повешай в крон — и будет тебе ЩАСТЬЕ.
| | |
|
| 2.101, Crazy Alex (ok), 15:10, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну так пользователю-хомяку не надо алерты на экран выводить, а в случае нужды в диагностике - кто-то более понимающий в лог глянет. А на сервере - тем более в самый раз, там уже и правила для анализа прикрутить можно. Тем более, что ложные срабатывания могут только вида "баг в клиентском софте" - нефиг мусор в сисколлы слать.
| | |
|
| 1.86, Sw00p aka Jerom (?), 14:32, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
два часа ночи - запустил подборку сплоитов, система записала в логи попытки и один сплоит пробил рута, что дальше ? чистим те самые логи ))
помоему безнадёжно, народ хнёй страдает в место того, чтобы реально что-то делать
| | |
| |
| 2.97, хоть бы кто (?), 15:02, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
по-моему народ херней страдает и пишет на форумах, вместо того, чтобы что-то делать. ))
как показывает практика, пробить експлоитом какое нибудь web приложение в юзерспейсе гораздо проще, чем поднять привилегии через уязвимость в ядре. а значит - в большинстве случаев уведомление от ядра будет полезным. а логи можно вести на удаленной машине, там же держать и систему мониторинга таких сообщений.
| | |
| |
| 3.106, Sw00p aka Jerom (?), 16:21, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
там где используют удалённое хранение логов, просто так сплоиты не поюзаешь значить,
что мешает забить логи и они сротируются а в дальнейшем вовсе затрутся
| | |
|
| 2.102, Crazy Alex (ok), 15:12, 24/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
А дальше - в момент подбора, разумеется, ушли нотификейшны на внешнюю систему. Дальше - по обстоятельствам. Где админ зашевелится, где всем пофигу, а где подозрительную систему просто вырубит автоматика до разбирательства.
| | |
|
| 1.99, Аноним (-), 15:05, 24/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Возможно как-то определять все невалидные данные, не только связанные с эксплоитом? Тогда в логи попадут и ошибки программ, которых вроде как быть не должно, и новые неизвестные угрозы. А юзера, который сильно гадит можно банить автоматом.
| | |
| |
| 2.104, Crazy Alex (ok), 15:16, 24/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Теоретически можно, но на практике - получим жирный оверхед, скорее всего. А так - имеем выборочные тесты именно на поиск уязвимостей.
Хотя предложенный вами мониторинг как именно отладочная фича (активируемая при соответствующих флагах ядра) имеет право на жизнь, конечно. Но фишка предложенного оракловцами варианта в том, что его можно более-менее уверенно включать по дефолту.
| | |
| 2.160, arisu (ok), 23:12, 28/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Возможно как-то определять все невалидные данные, не только связанные с эксплоитом?
именно дл таких случаев и придуманы коды ошибок, которые система таки возвращает, если её просят о странном. или ты уверен, что входные данные никто вообще не валидирует?
| | |
|
| |
| 2.161, arisu (ok), 23:13, 28/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Как по мне - очень здравая и практически дармовая фича.
нафиг бесполезная чушь, которая к тому же добавляет в ядро бесполезный код. типичное решение «в корпоративном стиле», по методологии «выключаем мозги, включаем кодогенератор».
| | |
|
| 1.156, psv (??), 16:10, 26/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
индустриальный стиль "решения" :)
вместо того что бы с таким же интузиазизмом вести набор правил для selinux сделать велосипед незащищающий ни от чего, но вешающий в ядро кучу ифов :)
| | |
| 1.158, arisu (ok), 23:02, 28/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
надеюсь, эту чушь никто в mainline не возьмёт. пусть там оракуль свой анбрыкабл уродует в уголке.
| | |
|
