The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

HookSafe - гипервизор для защиты от руткитов

11.11.2009 22:09

В секции компьютерной безопасности на конференции ACM был представлен проект HookSafe, в рамках которого создана новая система для защиты от руткитов (rootkit), отличающаяся от ранее доступных решений низким влиянием на производительность и высокой эффективностью. HookSafe выполнен в виде гипервизора, перераспределяющего в Linux ядре около 6 тысяч точек возможного перехвата управления, которые можно использовать для скрытия своего присутствия в системе, в отдельную защищенную область памяти. Так как данная область через аппаратные механизмы защищена от модификации, руткит не может организовать перенаправление на себя управления через изменение содержимого возможных точек перехвата.

Эксперимент показал, что HookSafe, установленный в Ubuntu 8.04, смог успешно заблокировать внедрение девяти известных руткитов, при этом падение производительности подконтрольной системы оказалась на уровне 6%. Тем не менее, некоторые эксперты не рекомендуют рассматривать HookSafe как панацею, так как система решает лишь часть проблемы, защищая ядро, но не предотвращая возможность запуска руткита. Кроме того, в ядре слишком много мест где можно перехватить управление, и они могут быть задействованы в новых руткитах.

  1. Главная ссылка к новости (http://www.darkreading.com/vul...)
  2. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
  3. OpenNews: Новый способ внедрения rootkit в Linux ядро
  4. OpenNews: Для Linux выпущен руткит принципиально нового типа
  5. OpenNews: На конференции EUSecWest будет представлен первый rootkit для Cisco
  6. OpenNews: Концепция руткита, интегрируемого в BIOS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24221-linux
Ключевые слова: linux, security, rootkit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, аноним (?), 22:34, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >падение производительности подконтрольной системы оказалась на уровне 6%

    SELinux, AppArmor, HookSafe...

    вспоминается спор о катастрофическом (7-15%) влиянии микроядра на производительность системы

     
  • 1.2, аноним (?), 22:53, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Проблема с микроядром в сложности управления памятью и работе DMA
     
  • 1.3, ssnet (?), 23:18, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    при наличии микоядра, в стандартном его понимании (например QNX),  защищаться от руткитов гораздо сложнее ...  
     
     
  • 2.10, Аноним (-), 13:55, 12/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >при наличии микоядра, в стандартном его понимании (например QNX),  защищаться от
    >руткитов гораздо сложнее ...

    С чего это вдруг?

     

  • 1.4, ssnet (?), 23:20, 11/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >>Проблема с микроядром в сложности управления памятью и работе DMA

    Бред

     
  • 1.5, User294 (ok), 00:15, 12/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А микроядра никак не защищают от руткитов.
     
  • 1.6, Аноним (-), 08:56, 12/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Любая новая защита спасёт от существующих атак.
    Любая новая атака пробьёт существующую защиту.
    Иначе ни кто не стал бы заниматься ни тем ни другим.
     
     
  • 2.8, Аноним (-), 10:03, 12/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Любая новая защита спасёт от существующих атак.
    >Любая новая атака пробьёт существующую защиту.
    >Иначе ни кто не стал бы заниматься ни тем ни другим.

    "ЖЖЖЖ ..." сказала японская пила

     

  • 1.7, аноним (?), 10:00, 12/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    самое слабое звено в любой защите это человек
     
     
  • 2.9, NarkTranquility (?), 11:29, 12/11/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и самое сильное в нападении
     

  • 1.12, Gambler (ok), 23:08, 12/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понимаю, зачем нужен тормозящий гипервизор, если любая нормальная OC и так виртуализирует доступ к памяти? И всякую защиту, встроенную в железо, она и так должна использовать?
     
     
  • 2.13, Vikarti Anatra (?), 12:59, 10/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Есть две мааленьких проблемы:
    - дыры в драйверах+сам объем кода ОС
    - в некоторых -:) ОС которые их пользователями считаются нормальными -:) - у юзера  - права админа (и UAC тут мало спасет.Ну скачает пользователь кодек для просмотра xxx-видео,ну появится окно UAC на установку этого кодека и что?).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру