|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от opennews (ok) on 07-Фев-17, 12:14 | ||
Проект grsecurity представил (https://www.grsecurity.net/rap_announce_full.php) первый выпуск набора патчей с реализацией механизма защиты RAP (Reuse Attack Protector) для ядра Linux, позволяющего блокировать работу эксплоитов, основанных на технике заимствования кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%...). Набор патчей включает всю запланированную функциональность и опубликован под лицензией GPLv2 в публичной тестовой ветке (https://www.grsecurity.net/download.php#test) grsecurity для ядра Linux 4.9 (стабильные ветки grsecurity распространяются (https://www.opennet.me/opennews/art.shtml?num=42856) платно). | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
2. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –3 +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 12:28 | ||
> В анонсе также упоминается о подготовке расширенной коммерческой реализации RAP, демонстрирующую более... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
35. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Андрей (??) on 07-Фев-17, 20:41 | ||
Точно так же, как сотрудники Intel, которые комитят в gcc. А их коллеги работают над Intel Compiler, которые в разы опережает gcc, когда речь заходит об использовании распараллеливающих инструкций. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
3. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –4 +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 12:38 | ||
А чо - хавленый selinux, который шляпа так активно двигала, не помогает? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +10 +/– | |
Сообщение от Владимир (??) on 07-Фев-17, 12:50 | ||
Хваленый SELinux - это когда вы вешаете замок чтобы никто не пролез. Защиты всякие. Но если уж пролез - тут RAP его поймает и надает по попе. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
18. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +2 +/– | |
Сообщение от . on 07-Фев-17, 17:22 | ||
> Хваленый SELinux - это когда вы вешаете замок чтобы никто не пролез. Защиты всякие. Но | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
25. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –2 +/– | |
Сообщение от Валик228 on 07-Фев-17, 18:36 | ||
нормальная реализация. сложновата чуток... | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
56. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от vitvegl on 08-Фев-17, 10:56 | ||
Что там сложного? Все просто - пользователь, роль, тип | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
6. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +3 +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 13:19 | ||
Можетю. "защиты от RAP"? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
48. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +1 +/– | |
Сообщение от irinat (ok) on 08-Фев-17, 01:24 | ||
Нет. RAP (Reuse Attack Protector) защищает от ROP (Return Oriented Programming) атак. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
9. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 15:16 | ||
Объясните, кто грамотный. Вот, они под эту защиту целый регистр (r12) резеривруют. Зачем тогда возня с cookie? Вот у нас теперь 2 регистра есть, зарезервированных под стек: rsp и r12 (а вместе с rbp и все 3). Почему тогда не сделать 2 стека, один только для адресов возврата, другой только для локальных переменных? Тогда адрес возврата принципиально невозможно будет переписать. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
|
14. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +15 +/– | |
Сообщение от Crazy Alex (ok) on 07-Фев-17, 15:47 | ||
Экий печальный бред... | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
64. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 16:16 | ||
> ... ЯП (java, C#, ..) ... в них стеков нет | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
77. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от die_russofobs Не раб STEAMDRM on 14-Фев-17, 21:30 | ||
> "... Почему тогда не сделать ..." | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
10. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 15:25 | ||
А с каких пор можно продавать патчи на ядро ? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
13. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 15:37 | ||
Всегда можно было. Более того, они не обязательно должны быть под GPL. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
32. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 20:22 | ||
Ты перепутал патчи и модули ядра. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
38. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Crazy Alex (ok) on 07-Фев-17, 21:24 | ||
И патчи тоже можно. Другое дело, что после наложения патча ты получившийся продукт распространять не сможешь. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
39. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 22:04 | ||
то есть GPL не мешает пропринетарщикам зажимать код ? | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
51. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –2 +/– | |
Сообщение от Crazy Alex (??) on 08-Фев-17, 04:31 | ||
Скажем так - сильно затрудняет это дело. Настолько, что как мейнстрим такой подход не годится. А так - теоретически можно вообще бинарный патч для ksplice делать и распространять, пожалуй. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
55. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Вы все врете on 08-Фев-17, 09:23 | ||
> сильно затрудняет это дело | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
78. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 17-Фев-17, 09:24 | ||
> Ребята из grsecurity чувствую себя при этом прекрасно. | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
76. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Michael Shigorin (ok) on 11-Фев-17, 13:25 | ||
> Скажем так - сильно затрудняет это дело. | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
19. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Crazy Alex (ok) on 07-Фев-17, 17:31 | ||
О, да тут, я смотрю, модер порезвился. Непонятно, правда, с чего. Ну повторю, не жалко. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от . on 07-Фев-17, 17:36 | ||
> А пока где-то в левом патче сидит эта штука - вреда | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
23. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 17:42 | ||
>grsecurity все же не какой-то левый патч. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
27. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –3 +/– | |
Сообщение от пох on 07-Фев-17, 18:52 | ||
давай ты прямо сейчас не подглядывая в файлик назовешь имена людей, которые не "представляют", для рекламного хайпа, а реально влияют на содержимое архива linux-4.xxxx.tar.xz | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
36. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 21:12 | ||
Стоп. Давай сначала отвечать за базар. Нонейм шлет патчи. Нонейм НЕ является персоной с финансовой независимости. Он продался. И продался очень некрасиво: пишет значит GPLv2 код, продает его. Не выпускает стейбл-версии (они лишь для покупателей). Небось еще и продает как пирожки: одна лицензия на одну версию. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
42. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от тоже аноним on 07-Фев-17, 23:52 | ||
> Нонейм шлет патчи. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
44. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 00:11 | ||
>кому это он их шлет? Он их никому не шлет, в паблик вываливает. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
46. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от тоже аноним on 08-Фев-17, 01:04 | ||
>>кому это он их шлет? Он их никому не шлет, в паблик вываливает. | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
50. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от gogo on 08-Фев-17, 03:50 | ||
>gpl ничуть не запрещает не публиковать свои патчи (снова твоя проблема нечитания по-английски дальше тривиальных фраз). Их всего лишь надо предоставить _пользователю_(заплатившему тебе денег и возможно подписавшему nda) - если он попросит | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
52. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –2 +/– | |
Сообщение от Crazy Alex (??) on 08-Фев-17, 04:38 | ||
Э... grsecurity я в гробу видел по десятку причин, но вот тут ты не прав. Патч - это ж не производный продукт, он может вообще под какой угодно лицензией поставляться. | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
54. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +1 +/– | |
Сообщение от gogo on 08-Фев-17, 08:43 | ||
> Э... grsecurity я в гробу видел по десятку причин, но вот | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
58. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 11:20 | ||
Производный продукт: | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
70. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +2 +/– | |
Сообщение от gogo on 09-Фев-17, 14:43 | ||
Дорогая, патч без ядра - это вообще ничто. Сам по себе он ничего не может делать. | ||
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору |
57. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 10:58 | ||
>я тебя спросил - что такое "stable версия", которой тебе, обиженому кисе, не дают. | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
59. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 14:01 | ||
> Да, я не знаю, что такое stable-версия. | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
63. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +2 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 16:13 | ||
Вобщем, ничего ты не выяснил. Ответов на вопросы не дал. Все что высказал: вода водой. Сделаю это за тебя: https://www.grsecurity.net/business_support.php | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
66. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от . on 08-Фев-17, 17:27 | ||
>>Commercial users of grsecurity are encouraged to purchase a yearly support contract... | ||
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору |
26. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Crazy Alex (ok) on 07-Фев-17, 18:43 | ||
Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то было б у них поменьше пафоса (как минимум - елси б они не претендовали на универсальность, а конкретно указывали бы ниши, на которые они претендуют) - лично я бы относился к ним лучше. А так - ещё одни masturbating monkeys, считающие, что главное - безопасность любой ценой. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
33. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 20:24 | ||
> Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
37. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Crazy Alex (ok) on 07-Фев-17, 21:21 | ||
Да какая и всегда с заботой о безопасности - потеря производительности и ограничение возможностей, ну и дополнительная сложность. С этой штукой из топика, например, разного рода ассемблерные фокусы вида "запрыгнул в середину функции" явно будут проблемными. Вообще есть очень мало техник (если есть вообще), которые можно применить только злонамеренно. Подозреваю, что с какими-нибудь вариациями на тему ksplice оно тоже дружить не будет. | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
43. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от тоже аноним on 07-Фев-17, 23:57 | ||
> Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
53. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Crazy Alex (??) on 08-Фев-17, 04:44 | ||
Собственно критерий нормлаьной технологии - внятно указанные границы применимости. Защитить порнушку от родителей или фото с любовницей от жены - это одно, сервак в интернете - другое, а понять, в каких сценариях какие trade-off - вообще третье. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
60. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 14:18 | ||
> Собственно критерий нормлаьной технологии - внятно указанные границы применимости. | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
20. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от . on 07-Фев-17, 17:33 | ||
> Ранее предлагаемые способы защиты от атак с использованием методов возвратно- | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
|
30. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –2 +/– | |
Сообщение от Аноним (??) on 07-Фев-17, 19:12 | ||
Может, ещё как может. Стандарты защиты таковы, что системный код разбивают на две части: ядро + системная библиотека. В Windows это ntoskrnl + *.dll, причём системная библиотека грузится в адресное пространство программы. Т.к. системные библиотеки у всех общие, то системные библиотеки грузятся в разделяемую память, общую для всех программ, доступную программам только для чтения. Ядро в теории вообще не должно быть доступно, т.к. SYSCALL позволяет вынести его в недоступное адресное пространство, но обычно его ложат вместе с системными библиотеками. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
45. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +1 +/– | |
Сообщение от пох on 08-Фев-17, 00:24 | ||
> Может, ещё как может. Стандарты защиты таковы, что системный код разбивают на | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
47. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от Аноним (??) on 08-Фев-17, 01:22 | ||
Ты бы хоть книжки почитал раз даже в терминологии плаваешь... Дам наводку: адресное пространство (твой "флэт") в 32-битной ОС обычно делится на две части. Найди и почитай зачем и что именно находится в верхней его части. | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
61. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от пох on 08-Фев-17, 14:59 | ||
> Ты бы хоть книжки почитал раз даже в терминологии плаваешь | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
62. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от пох on 08-Фев-17, 15:03 | ||
>> Дам наводку: адресное пространство (твой "флэт") в 32-битной ОС обычно делится на две | ||
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору |
72. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от добрый on 09-Фев-17, 18:30 | ||
Справедливости ради, попытки использовать разные сегменты были и вполне успешные, хоть и нишевые: это и PaX UDEREF для x86_32, и ядра редхата, позволявшие юзерспейс-процессам использовать все 4 ГБ адресуемой памяти. | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
67. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от добрый on 09-Фев-17, 03:35 | ||
Очень много недопонимания и агрессии в комментариях. Попробую прояснить некоторые моменты. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
68. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +1 +/– | |
Сообщение от Аноним (??) on 09-Фев-17, 04:29 | ||
Очень хорошо, спасибо. Ты говоришь, что запрет распространения купленных исходников GPL есть НЕ нарушение GPL. Пруф в студию или мне нужно это сделать за тебя? | ||
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору |
69. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от Аноним (??) on 09-Фев-17, 08:54 | ||
> Очень хорошо, спасибо. Ты говоришь, что запрет распространения купленных исходников GPL | ||
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору |
73. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 10-Фев-17, 01:26 | ||
Я покопался в сути вопроса. Ньанс заключается в том, что ядро Linux поставляется под GPL с исключениями. А данный патч насильно превращает ядро Linux в софт под чистым GPL. Таким образом, вынуждая корпорации не только открывать код несчастного патча, но и всего остального (закрытые модули, закрытое ПО, писавшееся десятилетиями в 100, 500, 1000 человек), вообще не связанного с этим патчем. | ||
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору |
74. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от добрый on 10-Фев-17, 03:32 | ||
> Я покопался в сути вопроса. Ньанс заключается в том, что ядро Linux | ||
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору |
75. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | +/– | |
Сообщение от Аноним (??) on 10-Фев-17, 04:03 | ||
>По поводу же модулей из разъяснений Линуса следует, что они рассматриваются как пользователи стандартных интерфейсов ядра и скорее загружаются в него, а не линкуются | ||
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору |
71. "Проект grsecurity опубликовал реализацию механизма защиты RA..." | –1 +/– | |
Сообщение от добрый on 09-Фев-17, 18:19 | ||
> Заявления "если найдутся достаточные основания подозревать клиента..." юридически не обоснованы и не могут быть поводом для расторжения контракта. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |