The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Предложен механизм уведомления о попытках взлома ядра Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от opennews (??) on 23-Дек-13, 22:53 
Сотрудник компании Oracle, Вегард Носсум (Vegard Nossum), в рассылке разработчиков ядра Linux предложил (https://lkml.org/lkml/2013/12/12/358) отслеживать попытки применения известных эксплоитов. Поскольку разные ядра Linux имеют разные уязвимости, то атакующий скорее всего попытается применить разные эксплоиты перед тем, как атака увенчается успехом. Подобную активность можно использовать для организации системы раннего оповещения о попытках эксплуатации уязвимостей в ядре.


При исправлении уязвимостей обычно добавляются дополнительные проверки валидности поступающих из пространства пользователя входных данных (например, проверяется выход за пределы массива). Суть предложенного метода сводится к расширению действий при срабатывании связанных с устранением уязвимостей проверок, в которых кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).

Вегард Носсум не ограничился теоретическими рассуждениями и представил публике достаточно объёмный патч, добавляющих контрольные уведомления для серьёзных уязвимостей, позволяющих получить права суперпользователя. Для избежания замусоривания кода ядра уведомлениями об устаревших проблемах, предлагается поддерживать только аннотации для уязвимостей, выявленных за последние пять лет. Накладные расходы от использования нового механизма проверки минимальны, а результат работы отражается только в логе, поэтому механизм выявления фактов применения эксплоитов рекомендуется включить по умолчанию.

URL: https://lkml.org/lkml/2013/12/12/358
Новость: http://www.opennet.me/opennews/art.shtml?num=38714

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Предложен механизм уведомления о попытках взлома ядра Linux"  +12 +/
Сообщение от Аноним (??) on 23-Дек-13, 22:53 
На первый взгляд здравая идея.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Предложен механизм уведомления о попытках взлома ядра Linux"  –26 +/
Сообщение от pavlinux (ok) on 24-Дек-13, 00:25 
> На первый взгляд здравая идея.

Красиво отмазался, менеджером будешь - и воздух потряс и сам не при делах.
В итоге: КПД = 0%, а тебе бонусы за имитацию бурной деятельности.

---

В общем, реквестую эту фичу в раздел [ Kernel hacking ], а не [ Security options ], там от неё больше пользы будет.
Кривой софт можно отлаживать.  

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Предложен механизм уведомления о попытках взлома ядра Linux"  +11 +/
Сообщение от Аноним (??) on 24-Дек-13, 00:40 
Обсуждать обсуждения других - не мешки ворочить
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Предложен механизм уведомления о попытках взлома ядра Linux"  –18 +/
Сообщение от pavlinux (ok) on 24-Дек-13, 00:45 
> Обсуждать обсуждения других - не мешки ворочить

про себя чтоль?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

44. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от chinarulezzz (ok) on 24-Дек-13, 04:34 
каждый может уйти в рекурсию, но начал её ты :P
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "Предложен механизм уведомления о попытках взлома ядра Linux"  –3 +/
Сообщение от pavlinux (ok) on 24-Дек-13, 05:11 
> каждый может уйти в рекурсию, но начал её ты :P

Чтоб понять рекурсию, нужно понять рекурсию.
Рекурсию начал Аноним. http://www.opennet.me/openforum/vsluhforumID3/93228.html#21

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

48. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от ананим on 24-Дек-13, 05:45 
>Кривой софт можно отлаживать.

Тогда вот это фичу:
>Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы (например, фиксировать в логе факт передачи неверных параметров системному вызову, в котором ранее была выявленная связанная с данными параметрами уязвимость).

лучше зразу заменить на опцию, когда при передаче параметров выводятся ситуации с граничными значениями.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

95. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Аноним (??) on 24-Дек-13, 14:50 
> В итоге: КПД = 0%,

Если уж на то пошло, процессоры не производят механической работы и почти не генерируют излучений. Все что они делают - переводят электричество в тепло. Так что их КПД можно считать равным нулю. С другой стороны, нечто подобное можно и про тебя сказать...

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

3. "Предложен механизм уведомления о попытках взлома ядра Linux"  +4 +/
Сообщение от Inome email(ok) on 23-Дек-13, 23:02 
Так, как это пока планируется, это будет работать только на новых ядрах. Вопрос в другом - будет ли старый эксплойт работать на новом ядре ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Исай on 24-Дек-13, 00:01 
> Так, как это пока планируется, это будет работать только на новых ядрах.
> Вопрос в другом - будет ли старый эксплойт работать на новом
> ядре ?

В том то и задумка. Атакующий не знает какую версию ядра атакует. И будет пробовать разные эксплойты. И вот сообщения о срабатывании патча на какие то уже закрытые дыры и будут сыпаться в лог. Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Предложен механизм уведомления о попытках взлома ядра Linux"  +4 +/
Сообщение от Vkni (ok) on 24-Дек-13, 00:20 
> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.

А по достижении 1000 очков вы принудительно выключаете компьютер? :-)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

53. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 09:47 
Сервак вкалывающий  на автомате в серверной, один из 100500 - можно и автоматически выключить, для дальнейшего разбора полетов.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

65. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Vkni (ok) on 24-Дек-13, 11:23 
> Сервак вкалывающий  на автомате в серверной, один из 100500 - можно
> и автоматически выключить, для дальнейшего разбора полетов.

Спасибо, было смешно.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

72. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 11:35 
> Спасибо, было смешно.

Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

85. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:31 
> в большой инфраструктуре отказ 1 сервера вообще ничего не решает

если на этом аппарате не висит несколько виртуальных

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

90. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:37 
> если на этом аппарате не висит несколько виртуальных

Ломают обычно как раз виртуалки, т.к. клиентские службы висят на них.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

130. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Аноним (??) on 24-Дек-13, 18:40 
> если на этом аппарате не висит несколько виртуальных

Если у вас виртуализация - зачем вы вообще хост в интернет вывесили? Увольте эникеев и наймите нормального админа, который не будет продалбываться настолько глупо. А виртуалку как раз более чем логично заснапшотить (чтобы изучить что и как) и потушить и/или откатить на known good снапшот.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

109. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от www2 (ok) on 24-Дек-13, 17:11 
>Ничего особенно смешного - в большой инфраструктуре отказ 1 сервера вообще ничего не решает. А вот хакер прорубившийся в инфраструктуру и начавший шариться внутрях - это плохо. Он может какие-нибудь конфиденциальные данные уволочь, например. Вопрос в общем то в минимизации последствий.

Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

132. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:41 
> Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми
> эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.

Как известно, сдуру можно и х... сломать.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

136. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 18:44 
Напоминаю - чтобы запустить эти эксплоиты надо же иметь права на запуск в системе, хоть и не рутовые. Что, как бы, уже достаточная проблема для принятия срочных мер.
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

144. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Vkni (ok) on 24-Дек-13, 19:22 
> Напоминаю - чтобы запустить эти эксплоиты надо же иметь права на запуск
> в системе, хоть и не рутовые. Что, как бы, уже достаточная
> проблема для принятия срочных мер.

Алекс, не обязательно. Достаточно, чтобы невзломанная торчащая в сеть софтина могла послать такой запрос ядру при каком-то запросе извне. Например, web-сервер может запросить какой-то файл из файловой системы с именем, которое напоминает строку exploitа соответствующего вызова.

А для детектирования и отсечения вызовов, которые web-сервер НЕ ДОЛЖЕН делать, есть SELinux.

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

143. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Vkni (ok) on 24-Дек-13, 19:00 
> Вы только что придумали новый вид DoS атаки - засыпать сеть баянистыми
> эксплойтами. Как весь кластер/ферма лягут, тогда у анонима появится первая извилина.

Нет, только когда будет ложиться с перерывом в 25 минут в течение недели.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

71. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Pilat (ok) on 24-Дек-13, 11:34 
>> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)

Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

110. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от www2 (ok) on 24-Дек-13, 17:16 
>>> Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.
>> А по достижении 1000 очков вы принудительно выключаете компьютер? :-)
> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.

Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере биллинга.

Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

111. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Pilat (ok) on 24-Дек-13, 17:22 
>> Если есть информация чей процесс занялся ломкой, то можно отключить аккаунт.
> Ага. А аккаунт - mysql на шаред-хостинге. Или какой-нибудь radius на сервере
> биллинга.
> Синдром вахтёра какой-то: "гражданин, пройдёмте в отделение, там разберёмся".

А у Вас синдром теоретика.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

146. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 19:57 
А ты уже реально в продакшене это применяешь? Можно примеров?
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

112. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от freehck email(ok) on 24-Дек-13, 17:30 
Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б ему не было.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

128. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Pilat (ok) on 24-Дек-13, 18:34 
> Прекрасное замечание. Ещё бы объяснили, что значит "отключить аккаунт" - цены б
> ему не было.

процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

134. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Аноним (??) on 24-Дек-13, 18:42 
> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?

Рассуждения папуаса на тему принципов работы микроволновки...

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

138. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от freehck email(ok) on 24-Дек-13, 18:45 
>> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
>> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
> Рассуждения папуаса на тему принципов работы микроволновки...

И не говорите. Я думал, что готов к любой чуши, но к такому нельзя подготовиться, в самом деле... Я даже не знаю, как ответить.

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

152. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Pilat (ok) on 25-Дек-13, 08:05 
>> процесс имеет владельца, владелец связан с аккаунтом - значит, если это shared
>> хостинг, аккаунт можно отключит. Вам никогда за превышение нагрузки не отключали?
> Рассуждения папуаса на тему принципов работы микроволновки...

У Вас есть способности к троллингу, продолжайте!

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

19. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 00:35 
>> Так, как это пока планируется, это будет работать только на новых ядрах.
>> Вопрос в другом - будет ли старый эксплойт работать на новом
>> ядре ?
> В том то и задумка. Атакующий не знает какую версию ядра атакует.

Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно, спрятать версию ядра.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Предложен механизм уведомления о попытках взлома ядра Linux"  +3 +/
Сообщение от Аноним (??) on 24-Дек-13, 00:46 
> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
> спрятать версию ядра.

Предлагаю: за каждую попытку версии ядра - помечать бинарник как suspected malware.

// Табличка "Sarcasm" прилагается.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 00:46 
> Предлагаю: за каждую попытку версии ядра

*узнать версию ядра

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от rshadow (ok) on 24-Дек-13, 01:39 
Сарказм или нет, а скайпик первый же в логах засветится...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

56. "Предложен механизм уведомления о попытках взлома ядра Linux"  +3 +/
Сообщение от Аноним (??) on 24-Дек-13, 10:00 
> Сарказм или нет, а скайпик первый же в логах засветится...

Ну дык всё правильно же: suspected malware.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

68. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 11:28 
> Сарказм или нет, а скайпик первый же в логах засветится...

Так малвари кусок же.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

74. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от vitalif (ok) on 24-Дек-13, 11:45 
ну тада главная малварь - это будет /bin/uname ...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

66. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от Аноним (??) on 24-Дек-13, 11:28 
> спрятать версию ядра.

$ uname -a
Linux rocks! I took time machine from da LOR :) 4.0.4 (boring system crap you don't need anyway) WTF? WTF? WTF? GNU/Linux

Ну вот такое вот безобразие может вернуть uname(). Удачи в хацкинге этой версии ядра....

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

81. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 13:38 
Я рад за Opennet! Первый клоун появился только спустя 12 часов!
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

73. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Pilat (ok) on 24-Дек-13, 11:36 
> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
> спрятать версию ядра.

Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

82. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 13:45 
>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
>> спрятать версию ядра.
> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.

Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать версию ядра?!"
- Да как два байта об асфальт! - надо всё пропатчить и пересобрать?!  (с) Шариков.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

88. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:33 
>>> Ты даже не представляешь, как геморройно, если не сказать, что вообще невозможно,
>>> спрятать версию ядра.
>> Версия ядра может быть очень хорошо спрятана за версией патчей, наложенных на
>> ядро. Какой-нибудь 2.6.18 имеет море патчёванных клонов.
> Приходишь ты значить на работу, скажем в ГазПром, ... "- как спрятать
> версию ядра?!"
> - Да как два байта об асфальт! - надо всё пропатчить и
> пересобрать?!  (с) Шариков.

Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

92. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:38 
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.

И только в НПО им. Лавочкина - Арч.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

96. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Аноним (??) on 24-Дек-13, 14:52 
> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.

И при этом мы ухитряемся клещиться с штатами. Вот так разок попросит правительство штатов снести активацию "этим кoзлaм", в форме в которой MS будет сложно отказать. И нагнется у нас все рaком, от банкоматов до аэс...

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

153. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от ананим on 25-Дек-13, 10:52 
>И при этом мы ухитряемся клещиться с штатами.

А с чего вы это взяли?

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

147. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от pavlinux (ok) on 24-Дек-13, 21:08 

> Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и
> в Росатоме, и в РЖД, и в Ростелекоме.

http://hh.ru/vacancy/9478240

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

154. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от ананим on 25-Дек-13, 10:54 
>Какая, к черту, версия ядра! В Газпроме везде Windows стоит, как и в Росатоме, и в РЖД, и в Ростелекоме.

Точно!
У любой секретарше именно она. Судя по пасьянсу.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

27. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от AI email on 24-Дек-13, 00:51 
BSOD же!
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от demimurych email(ok) on 24-Дек-13, 00:59 
Здрасти пожалуйста.
Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация о том что за ядро используется какие сервисы и так далее.
Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.

Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее окружение. Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

30. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 01:25 
> Но почему тогда не пойти дальше и следуя заветам сунь цзы и его искусству войны
> не создавать иллюзию того что человек рут получил? Ну и так далее и тому подобное.

Ну! - иллюзию рута, иллюзию gcc и его результатов, иллюзию интернета, ...

Есть в далёкой Австралии мужичок, фанат Xen, так он всем раздавал рута,
с надписью при входе "Я работаю в XEN, сломай меня если сможешь!",
Так его особо никто и не ломал, вешали своего irc-демона и сваливали. :)

Вопрос от журнала "Спамботы и руткиты", наши читатели интересуются, - какая хрен разница, откуда спам слать?

  

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от plain5ence (ok) on 24-Дек-13, 02:27 
Пусть шлют в иллюзию интернета, не жалко. Главное, чтобы в этих рутах вместо процессорного времени тоже была только иллюзия.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 02:38 
> Пусть шлют в иллюзию интернета, не жалко.

Да он при первом же пинге спалится, Глеб Егорыч.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от chinarulezzz (ok) on 24-Дек-13, 03:18 
нужна иллюзия пинга!
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

45. "Предложен механизм уведомления о попытках взлома ядра Linux"  +3 +/
Сообщение от pavlinux (ok) on 24-Дек-13, 05:06 
> нужна иллюзия пинга!

iptables -t matix -I ILLUSION -m neo -s 0/0 -d 0/0 -j ILLUSION --illusion-with hard-drugs;

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

51. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от PavelR (ok) on 24-Дек-13, 08:31 
Чет ты зациклился..
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

52. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от vi on 24-Дек-13, 09:42 
> Чет ты зациклился..

Drug-level набирает.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

117. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:26 
> Здрасти пожалуйста.
> Прежде чем собирать и использовать эксплоит на целевой машине собирается вся информация
> о том что за ядро используется какие сервисы и так далее.
> Конечно можно пытаться скрывать эту информацию, но это палка о двух концах.

Это у специалистов называется "уменьшением площади поражения" и делается, вообще говоря, в крайне желательном порядке.

> Фактически все что предлагает мужик, это интегрировать функции хони потов в рабочее
> окружение. Но почему тогда не пойти дальше и следуя заветам сунь
> цзы и его искусству войны
> не создавать иллюзию того что человек рут получил? Ну и так далее
> и тому подобное.

Погугли. Удивишься.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

59. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Адекват (ok) on 24-Дек-13, 10:48 
> будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование
> на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то
> команды.

Вход по ssh - прибитие демона  sshd, c уведомлением админа по почте "так мол и так, обнаружена попытка входа по ssh, есть подозрение на то что это хакеры, демон sshd остановлен", да, вот прям так из Гваделупы в Урюпинск.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

70. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 11:30 
> Вход по ssh - прибитие демона  sshd,

А что, это мысль: повесить демон на порт иной чем 22, сделать порткнок, а кто влобовую долбится на 22 - просто в файрвол его, пусть netfilter для начала хакает.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

89. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:35 
> Вход по ssh - прибитие демона  sshd, c уведомлением админа по
> почте

Тогда уж проще SMS подцепить.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

108. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от www2 (ok) on 24-Дек-13, 17:09 
>Я бы даже предложил ввести какое то ранжирование таких срабатываний. Скажем одна уязвимость (сообщение и попытке поюзать) - 10 очков, другая - 20 очков. Как только для какой то сущьности (ip, user, shell) будет достигнуто скажем 50 очков - будут приняты меры. Например блокирование на уровне ip фаерволом, убийство процесса, убийство шелла, выполнение какой то команды.

Вот не нужно этого. Делайте с логами что хотите, fail2ban в помощь. Но в ядро это встраивать не нужно - достаточно просто логирования.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

6. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от хрюкотающий зелюк on 23-Дек-13, 23:05 
Мысль неплохая, а раз уже и патч готов - так тем более.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 00:44 
Лишь бы это не перерасло в черезчур умную систему безопасности, и как итог запрещало делать свои вставки в модулях и/или забивать блочное устройство нулями...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

119. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:28 
> Мысль неплохая, а раз уже и патч готов - так тем более.

В монолитном ядре??????!!!! Ню-ню.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

139. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Аноним (??) on 24-Дек-13, 18:45 
> В монолитном ядре??????!!!! Ню-ню.

Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice). Покажи мне такой номер на каком-нибудь еще ядре? :)

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

145. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 19:55 
> Этот монолит умудряются на лету патчить, затыкая дыры без ребута (google://ksplice).

Оно еще шевелится? Вроде бы оракел купил и придушил.

Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

8. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от makky email(ok) on 23-Дек-13, 23:22 
А база данных эксплойтов будет обновляться как антивирус что ли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от imgxx on 23-Дек-13, 23:29 
С выходом новых ядер/ с исправлением уязвимости
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от IMHO on 23-Дек-13, 23:42 
kasperskyd или kavd будет
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

55. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Аноним (??) on 24-Дек-13, 09:55 
systemd-kisd
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

50. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от nur on 24-Дек-13, 07:24 
дада, здравствуй антивирус для линух!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

67. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от Pilat (ok) on 24-Дек-13, 11:28 
> А база данных эксплойтов будет обновляться как антивирус что ли?

В данном случае не так важно иметь актуальную базу эксплоитов - так как не эксплоиты ловятся, а их деятельность, причём ловится как раз деятельность устаревшая аж на 5 лет.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

150. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Аноним (??) on 25-Дек-13, 07:02 
> устаревшая аж на 5 лет

В пределе. А так-то и вчерашняя сгодится.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

120. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:28 
> А база данных эксплойтов будет обновляться как антивирус что ли?

Есть идеи умнее?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Предложен механизм уведомления о попытках взлома ядра Linux"  –2 +/
Сообщение от vbv email(ok) on 23-Дек-13, 23:50 
Хорошо!
Допустим, узнали что нас ломают...
Дальше, что?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Предложен механизм уведомления о попытках взлома ядра Linux"  +2 +/
Сообщение от Аноним (??) on 23-Дек-13, 23:59 
> Допустим, узнали что нас ломают...
> Дальше, что?

Идём искать дырявое web-приложение, через которое смогли запустить эксплоит, и начинаем разбираться каких спамерских ботов, DDos-скриптов и открытых прокси назапускали под тем пользователем. Для того чтобы начать спамить, DDoS-ить и взламывать других можно без root обойтись.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

91. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:38 
>> Допустим, узнали что нас ломают...
>> Дальше, что?
> Идём искать

Именно так. http://lenta.ru/news/2013/12/24/utechka/ Ищешь, потом докладываешь в уполномоченный орган, потом тебя наказывают. Если не доложить, накажут еще больше. Так что очень актуальная заметка.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

93. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Аноним (??) on 24-Дек-13, 14:40 
> Если не доложить, накажут еще больше.

ЛПП. Если не доложить - не накажут.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

35. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от PnD (??) on 24-Дек-13, 02:00 
Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий (в списке понятно не значащийся) и на этом ку-ку. Так что разве что для хонейпота сгодится.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

69. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Pilat (ok) on 24-Дек-13, 11:30 
> Традиционный нюанс: применение эксплоитов от-нового-к старому отработает самый свежий
> (в списке понятно не значащийся) и на этом ку-ку. Так что
> разве что для хонейпота сгодится.

Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать что какое-то пользовательское приложение, с пользовательскими правами, пытается получить рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при этом может и устоять.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

80. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 13:31 
> Ловится не факт взлома системы, а факт попытки взлома, с целью сигнализировать
> что какое-то пользовательское приложение, с пользовательскими правами, пытается получить
> рутовые права - то есть что пользовательский аккаунт скомпрометирован. Система при
> этом может и устоять.

Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся бесполезны.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

84. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Pilat (ok) on 24-Дек-13, 13:52 
> Как заметил комментатор выше - _как правило_, система _должна_ устоять. В противном
> случае ее просто ломанут самым свежим сплойтом, и все защиты окажутся
> бесполезны.

Ну почему же. Отчёт о попытке взлома может уйти до реального взлома. В любом случае цель патча - именно отловить попытки взлома, а не сам взлом или защититься от него.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

94. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 14:41 
> Ну почему же. Отчёт о попытке взлома может уйти до реального взлома.

Логика и здравый смысл подсказывают, что сначала будут тестироваться самые свежие сплойты. И если они сработают, до старых дело не дойдет.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

98. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 15:05 
Еще раз. Если пытаются рутовать - то уже надо принимать меры, даже если ядро устоит. Потому что уже в систему как-то влезли. То есть да, против 0-day не устоит (хотя может и выжить - допустим, с вариантом ядра не угадал атакующий), но в остальных случаях - отмаякует, а не подарит атакующему шанс, не получив рута, мирно ботнетить и спам слать.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

12. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Baz on 23-Дек-13, 23:53 
интересно будет видеть надстройку, которая будет реализовывать монитор таких событий и предоставлять быстрый доступ к необходимым интерфейсам ответных действий.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 00:18 
Адназначна плюсовый новость,  а то последнее время только про новые ботнеты видно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от Аноним (??) on 24-Дек-13, 00:20 
Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

123. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:30 
> Теперь боты, перед тем, как гонять сплойты, будут запрашивать uname.

"Ты не поверишь.....", но ядра определяются не только по uname.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от A.Stahl on 24-Дек-13, 00:35 
>Сотрудник компании Oracle ... предложил

Бойтесь данайцев, дары приносящих.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Предложен механизм уведомления о попытках взлома ядра Linux"  +4 +/
Сообщение от Аноним (??) on 24-Дек-13, 00:44 
>> Сотрудник компании Oracle ... предложил
> Бойтесь данайцев, дары приносящих.

Предлагаю запретить принимать в Linux патчи от негров. Ибо.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от lucentcode (ok) on 24-Дек-13, 01:43 
Идея интересная. Но лишний код в ядре - это как-то не правильно. Ядро и так объёмное. Может, можно вынести основную часть данного функционала в юзерспейс?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 24-Дек-13, 01:56 
данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от pavlinux (ok) on 24-Дек-13, 02:29 
> данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
> каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.

echo "%d%d, 0x42a75ed3,$(pidof spambot)" > /proc/`pidof apache2`/smaps
echo - это попытка взлома?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от lucentcode (ok) on 24-Дек-13, 02:30 
> данный функционал просто не нужен. Есть всевозможные аудиты (пишут кого и при
> каком действии отфутболили) которых вполне достаточно для фиксации попыток взлома.

Тоже верно. Нечего засорять ядро. Так в него могут много чего запихать.


Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

75. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Andrey Mitrofanov on 24-Дек-13, 11:46 
>> данный функционал просто не нужен.
> Тоже верно. Нечего засорять ядро.

Ну, пусть сделают  trace point-ы, неактивные по умолчанию и практически бесплатные _в _смысле производительности, а к ним ещё auditd, fail2ban или [k]analize какой -- включающий исторожащий следовую полосу. Для тех, кому надо.

Но да, tracepoint-ы - часть API, для некоторых, и поддерживать конкретные пойнты (=много всех этих) "всегда в будущем", эти некоторые могут не согласиться. А API для перечисления-обнарпужения именно этих t-p -- так прочсто подарок именно тем самым кракерам.

Зовите академиков и Шнайера!

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от chinarulezzz (ok) on 24-Дек-13, 03:14 
т.е ядро должно будет поставляться еще с базой данных известных эксплойтов? Зачем? от 0-day все равно не спасёт, а уже известные эксплойты на то и известные, чтоб разработчики ядра исправили уязвимость. Зачем вводить проверку в ядро, и к тому же нагружать ядерщиков дополнительной работой? На случай, если я невнимательно слежу за безопасностью и не обновляю ядро с исправлениями?

Может это на случаи, когда не хочется обновлять парк машин с версиями ядер без исправлений безопасности, полагаясь на "авось никто и не взломает", а когда начнут взламывать - сразу затрубить об этом? Пока гром не грянет, мужик не перекрестится - по оракловски?))

P.S. Судя по тому, как они исправляют уязвимости в java, я б не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж о самой оракл.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от count0krsk (ok) on 24-Дек-13, 06:11 
Я таки вам отрою секрет. Не все админы в России, Индии и Китае, после с геморром развернутого парка машин где-нибудь на аутсорсе, таки следят за ним.
Доходит до того, что тачка встает колом из-за того, что /log забился. Приезжаешь, чистишь, смотришь не ломанули ли за это время, уезжаешь.
-----
Прошло 2 года...
-----

Если в логе будет WARNING-WARNING, его можно будет прикрутить к какому-нибудь парсеру, который шлет куда-нибудь мыло, и кто-то принимает меры.
А не тогда, когда к нему дяди со значками придут выяснять, как так получилось, что с подопечного вам ПК взломали сайт президента.

-----
Да, ССЗБ, и поделом. Но с данными патчами мир станет чуточку добрее, разве не так?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

60. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 10:58 
> т.е ядро должно будет поставляться еще с базой данных известных эксплойтов?

Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ и библиотек - левак в ядро можно и случайно отправить.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

76. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Andrey Mitrofanov on 24-Дек-13, 11:51 
> Не эксплойтов а фиксов на них. Плюс хорошая помощь в дебаге программ
> и библиотек - левак в ядро можно и случайно отправить.

В смысле _случайно отправить в ядро патч с _уже _известным эксплойтом? :))) Дойдёт до Л.Т. интересно?

Или ты про аргументы-вызовы? За то _есть trinity http://codemonkey.org.uk/tag/trinity/ , граница на "замке".

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

100. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 15:07 
И как trinity поможет отследить, что твоя (или не твоя) софтина в каки-то случаях шлет в ядро бред?
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

121. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Andrey Mitrofanov on 24-Дек-13, 18:29 
> И как trinity поможет отследить, что твоя (или не твоя) софтина в
> каки-то случаях шлет в ядро бред?

Сколько изней Вселенной понадобится, чтобы обезья^W"твоя (или не твоя) софтина" _случайно послала эекспойт в ядро? И сама в ботнет записалась?

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

61. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от еще один аноним on 24-Дек-13, 11:00 
вы совсем невнимательно читаете новость, там же все написано

> т.е ядро должно будет поставляться еще с базой данных известных эксплойтов?

нет: "При исправлении уязвимостей обычно добавляются дополнительные проверки валидности поступающих из пространства пользователя входных данных (например, проверяется выход за пределы массива). Суть предложенного метода сводится к расширению действий при срабатывании проверок, связанных с устраненными уязвимостями. Кроме вывода кода ошибки предлагается формировать специальное уведомление для администратора системы". Т.е. каждый патч, который что-то закрывает, будет иметь кусок кода, который вызовет логгирование попытки эксплойта уязвимости. Т.е. "базы данных известных эксплойтов" не будет

> Зачем? от 0-day все равно не спасёт, а уже известные эксплойты на то и известные,
> чтоб разработчики ядра исправили уязвимость

опять не читаете новость: "В частности, появление в логе данных о применении эксплоитов может говорить о том, что атакующие уже получили доступ к системе на уровне непривилегированного пользователя, например, через взлом web-приложения или кражу пароля". Т.е. это не защита ядра от уязвимости. Это сигнал о том что использовали уязвимость в обычном приложении и скоро могут добраться до ядра, а если уже добрались ( 0-day ) и красиво почистили логи, то наверное об этом узнать можно только если логгирование идет на удаленную машину ( или на принтер :) )

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

62. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Адекват (ok) on 24-Дек-13, 11:05 
> P.S. Судя по тому, как они исправляют уязвимости в java, я б
> не стал доверять предлагаемому методу соблюдения безопасности вообще, не говоря уж
> о самой оракл.

Блин ну что ты разворчался - ну захотели ребята свой бекдор встроить в ядро, ну подумаешь.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

54. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 09:51 
Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не составляет труда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

126. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:32 
> Вообще-то, если хакер получил доступ к локальному пользователю, узнать версию ядра не
> составляет труда.

Его и удаленно как правило узнать труда не составляет. Открой для себя fingerprinting.....

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

140. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 18:47 
> fingerprinting.....

Да, заодно не забудь рассказать как он работает на практике. Пример можно посмотреть в nmap.

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

58. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от Адекват (ok) on 24-Дек-13, 10:41 
Что-то мне подсказывает что будут ложные срабатывания.
И если пользователь-админ не будет понимать происходящих процессов, не будет разбираться в предмете, то будет ситуация вида "ой меня взломали, гуглить-гуглиьт-гуглить, патчить, патчить, патчить - сломалось, чинить-чинить-чинить".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от vn971 (ok) on 24-Дек-13, 11:13 
Ложное срабатывание мне симпатичней чем отсутствие срабатывания. Хотя, всё ещё от деталей зависит, конечно.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

79. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 13:29 
Слышали притчу про человека, который кричал "Волки!"?
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

87. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Andrey Mitrofanov on 24-Дек-13, 14:32 
> Слышали притчу про человека, который кричал "Волки!"?

Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей про один популярный в узких кругах продавцов железа дистрибутив.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

105. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Аноним (??) on 24-Дек-13, 15:50 
> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей

Миллион мух не может ошибаться.
Если бы можно было отключить file permissions - их бы тоже отключали.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

107. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от vi on 24-Дек-13, 16:51 
>> Нет, мы видели "Сначала отключите SELinux." в с-начале всех среднестатистических статей
> Миллион мух не может ошибаться.
> Если бы можно было отключить file permissions - их бы тоже отключали.

file permissions - есть уже давно (это не оправдание, а показатель того, что раньше люди работающие с вычислительной техникой были немного более ответственными и более развитыми в области компьютерных наук).
Плюс ко всему file permissions "немного" проще в понимании (да он и проще на самом деле).
SELinux же, сложнее и моложе.

Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?


Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

113. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 17:59 
> Да и кто Вам мешает обратившись в память ядра отключить проверку permissions, например тем, что перед началом проверки приравнивать euid к нулю (или как нибудь более тупым способом)?

Это надо ядро хакать. Типовому автору типовых статей "настроим LAMP в три команды apt-get... ой, то есть yum" это не по силам.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

159. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от arisu (ok) on 28-Дек-13, 23:10 
> Ложное срабатывание мне симпатичней чем отсутствие срабатывания.

так не проблема: сделай себе утилиту, которая пишет в сислог «а-а-а-а-а, сплоеты, хацкеры, ламаютспасите!», повешай в крон — и будет тебе ЩАСТЬЕ.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

101. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 15:10 
Ну так пользователю-хомяку не надо алерты на экран выводить, а в случае нужды в диагностике - кто-то более понимающий в лог глянет. А на сервере - тем более в самый раз, там уже и правила для анализа прикрутить можно. Тем более, что ложные срабатывания могут только вида "баг в клиентском софте" - нефиг мусор в сисколлы слать.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

86. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Sw00p aka Jerom on 24-Дек-13, 14:32 
два часа ночи - запустил подборку сплоитов, система записала в логи попытки и один сплоит пробил рута, что дальше ? чистим те самые логи ))

помоему безнадёжно, народ хнёй страдает в место того, чтобы реально что-то делать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от хоть бы кто on 24-Дек-13, 15:02 
по-моему  народ херней страдает и пишет на форумах, вместо того, чтобы что-то делать. ))
как показывает практика, пробить експлоитом какое нибудь web приложение в юзерспейсе гораздо проще, чем поднять привилегии через уязвимость в ядре. а значит - в большинстве случаев уведомление от ядра будет полезным. а логи можно вести на удаленной машине, там же держать и систему мониторинга таких сообщений.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

106. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Sw00p aka Jerom on 24-Дек-13, 16:21 
там где используют удалённое хранение логов, просто так сплоиты не поюзаешь значить,
что мешает забить логи и они сротируются а в дальнейшем вовсе затрутся
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

102. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 15:12 
А дальше - в момент подбора, разумеется, ушли нотификейшны на внешнюю систему. Дальше - по обстоятельствам. Где админ зашевелится, где всем пофигу, а где подозрительную систему просто вырубит автоматика до разбирательства.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

99. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от Аноним (??) on 24-Дек-13, 15:05 
Возможно как-то определять все невалидные данные, не только связанные с эксплоитом? Тогда в логи попадут и ошибки программ, которых вроде как быть не должно, и новые неизвестные угрозы. А юзера, который сильно гадит можно банить автоматом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

104. "Предложен механизм уведомления о попытках взлома ядра Linux"  +1 +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 15:16 
Теоретически можно, но на практике - получим жирный оверхед, скорее всего. А так - имеем выборочные тесты именно на поиск уязвимостей.

Хотя предложенный вами мониторинг как именно отладочная фича (активируемая при соответствующих флагах ядра) имеет право на жизнь, конечно. Но фишка предложенного оракловцами варианта в том, что его можно более-менее уверенно включать по дефолту.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

160. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от arisu (ok) on 28-Дек-13, 23:12 
> Возможно как-то определять все невалидные данные, не только связанные с эксплоитом?

именно дл таких случаев и придуманы коды ошибок, которые система таки возвращает, если её просят о странном. или ты уверен, что входные данные никто вообще не валидирует?

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

103. "Предложен механизм уведомления о попытках взлома ядра Linux"  –1 +/
Сообщение от Crazy Alex (ok) on 24-Дек-13, 15:13 
Как по мне - очень здравая и практически дармовая фича.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

148. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от vi email on 24-Дек-13, 21:10 
> Как по мне - очень здравая и практически дармовая фича.

http://opennet.ru/openforum/vsluhforumID3/93228.html#20

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

149. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от vi on 24-Дек-13, 21:12 
> Как по мне - очень здравая и практически дармовая фича.

http://opennet.ru/openforum/vsluhforumID3/93228.html#79

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

155. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от svsd_val (ok) on 25-Дек-13, 13:39 
Ну тут то тебе не человек орёт а ядро тихо шепчет - да и не просто так =)
Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

157. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от vi on 27-Дек-13, 16:08 
> Ну тут то тебе не человек орёт а ядро тихо шепчет -
> да и не просто так =)

У ядра и так задач хватает!
http://http://www.la-samhna.de/samhain/

Ответить | Правка | ^ к родителю #155 | Наверх | Cообщить модератору

161. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от arisu (ok) on 28-Дек-13, 23:13 
> Как по мне - очень здравая и практически дармовая фича.

нафиг бесполезная чушь, которая к тому же добавляет в ядро бесполезный код. типичное решение «в корпоративном стиле», по методологии «выключаем мозги, включаем кодогенератор».

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

156. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от psv (??) on 26-Дек-13, 16:10 
индустриальный стиль "решения" :)

вместо того что бы с таким же интузиазизмом вести набор правил для selinux сделать велосипед незащищающий ни от чего, но вешающий в ядро кучу ифов :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

158. "Предложен механизм уведомления о попытках взлома ядра Linux"  +/
Сообщение от arisu (ok) on 28-Дек-13, 23:02 
надеюсь, эту чушь никто в mainline не возьмёт. пусть там оракуль свой анбрыкабл уродует в уголке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру