Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-11-06 19:37:45

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Wystartował Kernel Self Protection Project.

Serwus. Pan Kees Cook (zapewne znany większości z Was), ogłosił powstanie projektu Kernel Self Protection Project, którego celem jest stworzenie wspólnoty ludzi do pracy nad różnorakimi technologiami typu kernel self-protection (z których większość można znaleźć w projekcie PaX oraz Grsecurity). Projekt opiera się na założeniu, że błędy dot. kernela mają bardzo długą żywotność oraz że jądro musi być zaprojektowane w taki sposób, aby zapobiegać tym wadom (wprowadzając np. proaktywne technologie obronne). Tego rodzaju zabezpieczenia, istnieją od lat w projekcie PAX oraz Grsecurity i są opisane w stosach wielu prac naukowych. Niemniej z różnych powodów społecznych, czy technicznych — w większości — nie zostały włączone do jądra Linuksa (upstream). Ten projekt ma to zmienić.

Owa koncepcja jest następstwem występu pana Cook'a na Kernel Summit 2015, podczas którego mówił o tym, co należy zrobić oraz o możliwości tudzież potrzebie wprowadzenia tzw. hartowania i autoochrony do głównego jądra, tj. mainline. Swoje przemówienie rozpoczął od twierdzenia, że bezpieczeństwo nie może opierać się jedynie o tzw. access control oraz attack-surface reduction. Co najważniejsze, musi być czymś więcej, aniżeli tylko naprawianiem błędów etc. Kernel musi być lepiej chroniony w odniesieniu do nieuniknionych błędów bezpieczeństwa. Oczywiście, pan Kees Cook szuka innych osób chętnych do współpracy, zainteresowanych ww. Projektem. "Between the companies that recognize the critical nature of this work, and with Linux Foundation's Core Infrastructure Initiative happy to start funding specific work in this area, I think we can really make a dent".

Oficjalna strona Projektu: Kernel Self Protection Project.

Pozdrawiam serdecznie.

Ostatnio edytowany przez remi (2015-11-11 16:44:32)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#2  2015-11-08 13:08:41

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Wystartował Kernel Self Protection Project.

2356

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:26:51)

Offline

 

#3  2015-11-08 13:53:47

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wystartował Kernel Self Protection Project.

uzytkownikubunt napisał(-a):

We The Washington Post pojawił się ciekawy artykuł o (nie)bezpieczeństwie jądra Linux. Autor:  Craig Timberg, tytuł wraz z leadem:

Net of insecurity
The kernel of the argument
Fast, flexible and free, Linux is taking over the online world. But there is growing unease about security weaknesses

http://www.washingtonpost.com/sf/business/2015/11/0 … the-argument/

Dość tendencyjny ten artykuł.

Jeśli L.T. "nie dba o bezpieczeństwo Linuxa" to kto w czasie niespełna 2 miesięcy przepisał cały podsystem USB po dziurze w sterownik snd_usb_caiaq?
Krasnoludki?

Ile czasu się czeka na załatanie jakiejś krytycznej dziury w kernelu?

Kto bezpośrednio w kernelu trzyma takie draństwa, jak Apparmor, SELinux, Tomoyo, IMA, EVM, Seccomp?

Krótko pisząc, może akurat nie Linus się zajmuje bezpośrednio działem security, ale ten dział bryka całkiem znośnie.

A jak komuś brakuje w standardowym jaju czegoś, to jest np Grsec/Pax...
Można też Snorta przekształcić w "śrutówkę" spinając go z Ipsetem, żeby wszystkie podejrzane adresy blokował na 24h, nie jest to szczególnie trudne.

Clamav (i każdy inny antywir, włączając w to komercyjne) też może w trybie online skanować każdy plik zapisywany na dyziu używając modułu FANOTIFY, jak ktoś antywirusy lubi.

Pomijam system ACL jak Apparmor, SELinux, Tomoyo, czy Grsec-RBAC,
flagi PAXA, albo np podpisywanie cyfrowe binarek na dyziu modułami IMA i EVM.

Krótko pisząc, niby L. T. nie zajmuje się bezpieczeństwem, ale Linuxa zawsze można postawić jak czołg, używając powszechnie dostępnych narzędzi i nie wydając milionów.
Ciekawe, który komercyjny system ma taki wachlarz możliwości ochrony, jak czysty Linux.
Bo jak na razie, z Linuxem rywalizuje tylko *BSD, z punktu widzenia korpo BSD i Linux to "jedna banda". :D
Craig Timberg chyba jest zarażony korporeligią, jak prawie wszyscy popularni publicyści.
Widać, że na prawdziwej technologii chyba  się za bardzo nie zna, albo może "nie chce się znać" w tym konkretnym temacie, jakim jest Linux.

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2015-11-08 14:12:11

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Wystartował Kernel Self Protection Project.

2357

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:26:53)

Offline

 

#5  2015-11-08 14:14:05

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wystartował Kernel Self Protection Project.

uzytkownikubunt napisał(-a):

Jacekalex napisał(-a):

A jak komuś brakuje w standardowym jaju czegoś, to jest np Grsec/Pax...

Brad Spengler jest zacytowany w artykule ;)

“My feeling with Linux is that they still treat security as a kind of nuisance thing,” says computer security expert Brad Spengler, at his home in Lancaster, Pa., of Linux creator Linus Torvalds and top Linux maintainers.

Cytować można nawet samego Papieża, ale wymowa artykułu jest dosyć tendencyjna.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2015-11-08 14:51:25

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Wystartował Kernel Self Protection Project.

2358

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:26:54)

Offline

 

#7  2015-11-08 17:46:54

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Wystartował Kernel Self Protection Project.

W sumie to jak czytam ten text, to po zdaniu:

"For Linux, the operating system that Torvalds created and named after himself, has come to dominate the exploding online world, making it more popular overall than rivals from Microsoft and Apple.

można dojść do wniosku, że ten artykuł ma na celu osłabić ciągle umacniającą się pozycję linuxa. xD

A co do samego Torvaldsa i bezpieczeństwa. To zawsze tak jest, że jeśli coś ma być bezpieczne to nigdy nie będzie użyteczne i trzeba jakoś to pogodzić ze sobą. :] Torvalds jest za tym by soft był bardziej użyteczny niż bezpieczny, przynajmniej tak kiedyś mi się o uszy obiło. xD Ja akurat mam odmienne zdanie i ci którzy by spróbowali popracować na moim komputerze przez parę dni, to by ich szlag trafił, właśnie przez te zabezpieczenia, których ciągle dokładam więcej i więcej. xD Linux jest gdzieś po środku z odchyłami na łatwość obsługi. Dlatego są te wszystkie projekty mające na celu zadbanie o bezpieczeństwo, a to z kolei odbije się na użyteczności albo raczej jej braku. No bo raczej gry nie będą na tym działać. xD

“The people who care most about this stuff are completely crazy. They are very black and white,” he said,

A ja się nie zgodzę, ja jestem tylko "white"! Na przykład, co szyfrować? Jasne że wszystko albo nic, czyli wszystko! xD

“Security in itself is useless. . . .

Dokładnie, ludzie korzystają z TORa i myślą, że są bezpieczni bo to TOR i tylko dlatego. xD



Imagine, Torvalds said, that terrorists exploited a flaw in the Linux kernel to cause a meltdown at a nuclear power plant, killing millions of people.
“There is no way in hell the problem there is the kernel,” Torvalds said. “If you run a nuclear power plant that can kill millions of people, you don’t connect it to the Internet.”

To elektrownie atomowe chodzą na linuxach? xD Poza tym, w dzisiejszych czasach elektrownie muszą być podłączone do internetu, w końcu mamy PoE xD

@Jacekalex, czy ty czytałeś ten text? xD

(Torvalds also was granted stock options by Red Hat and one other company selling Linux products, making him comfortable enough to pay cash for a new house but not nearly as rich as Gates or other top tech executives.)

i to jeszcze:

Even the U.S. government, which has adopted Linux on many of its computers, had the NSA develop advanced security features, called SELinux, making the operating system more suitable for sensitive work.

Red hat płaci Torvaldsowi, a NSA robi zabezpieczenia. Linux nie jest bezpieczny. xD

(This was a defensive effort, say security experts, not part of the NSA’s spying mission.)

Uważajcie bo wam uwierzę. xD

Those who specialize in security think in terms of categories of bugs. Each one is a cousin of others, some known, some not yet discovered, based on which functions they exploit. By studying each new one carefully, these experts say it is possible to defeat entire classes of bugs with a single fix.

Zdziwiliby się ile nowych klas robali wprowadza ta ich poprawka. xD

More recently, in 2014, Linux devotees were unhappy to discover that an Italian surveillance company called Hacking Team had swiftly turned a Linux exploit known as “towelroot” into a skeleton key capable of gaining access to hundreds of millions of Android phones. This allowed Hacking Team to turn Android devices into powerful spying tools — capable of tracking targets, recording their conversations, rifling through their files and even taking pictures of them — on behalf of customers that included some of the world’s most repressive governments.

Jak by ludzie sami tego nie robili, tu nawet i brak prądu nie pomoże, bo ludzie zawsze będą przekładać wygodę nad bezpieczeństwo. xD

Among those who were part of the discussion was Kees Cook, the Linux security engineer who now works for Google. He, too, recalled Spengler’s call to action in 2010. Cook said there have been improvements since then — what he called “the low-hanging fruit” — but not enough.

Nie wiemy czy to my zaczniemy czy one ale jestem pewien, że to my przesłonimy  słońce.... xD

Edward Snowden’s revelations about the extent of government spying — and about how the NSA took advantage of security weaknesses that experts often knew about but had failed to get fixed — have alarmed many in the tech community.

Ktoś im powinien pokazać ten filmik z wywiadem ze Snowdenem, ten gdzie ludzie nie wiedzieli kto to w ogóle jest i co zrobił. xD

Ogólnie to taki se ten text, nic tylko "najeżony propagandą". xD

Offline

 

#8  2015-11-08 18:08:05

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wystartował Kernel Self Protection Project.

Czytałem, ale może sprawdzisz, kto zapłacił Linux Foundation za wsadzenie do jajka 2.6.36 Apparmora?

Albo TOMOYO?

IMA/EVM?

Po prostu Linus odpowiada za główną strategię, trochę w tym marketingu, musi być szybkie, stabilne i proste, a pod Linusem jest fabryka, która robi solidne i stabilne łatki do kernela.
I tam też jest team obrabiający moduły bezpieczeństwa.

Linus sam się tym mógłby zajmować, ale Linux Foundation miała  by takie wpływy, jak OpenBSD, a Linux podobny zasięg.
Właśnie dlatego bezpieczeństwem zajmuje się ktoś inny, i to niekoniecznie NSA.

Dlatego wywiad z Linusem, tak zmontowany, żeby świadczył niezbyt dobrze o całym Linuxie w kontekście bezpieczeństwa  oceniam jak delikatną manipulację.
Po prostu w rzeczywistym świecie nie ma drugiego systemu o tak wszechstronnych możliwościach w dziedzinie bezpieczeństwa, jak Linux.
Najbliżej ideału jest OpenBSD, FreeBSD już goni, ale powoli im to idzie.

Ja od SELinuxa i tak wolę Grsec/Pax. :)

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-11-08 18:14:33)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2015-11-09 01:18:53

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Wystartował Kernel Self Protection Project.

Ja tam nie odnoszę wrażenia po przeczytaniu tego textu, że został napisany by pokazać, że linux jest do dupy, bo nie ma zabezpieczeń. Tam generalnie chodzi o to by w końcu ruszyć i myśleć nad nimi, bo świat się zmienił. Przynajmniej tak w ogromnym skrócie i, że w 2010 roku już coś ludzie chcieli robić ale Torvalds się opiera. xD On akurat nie chce się pchać w te zabezpieczenia bo to większości ludzi i tak jest niepotrzebne i tyle. Choć myślenie w stylu "chcesz coś zaawansowanego robić, to kompa do sieci nie podłączaj" jest śmieszne w dzisiejszych czasach. Nawet jak by tych elektrowni nie podłączali do sieci, to co by stało na przeszkodzie by manualnie wejść do obiektu i zrobić co trza? Oczywiście za pomocą jakiegoś prywatnego laptopa szefa takiego ośrodka, który se lubi pornusy od czasu do czasu pooglądać we flashu u siebie w domu i tak przypadkiem się składa, że tego samego laptopa używa do wielu innych rzeczy. xD Obecnie nie da się uciec od sieci i komputerów.

Offline

 

#10  2015-11-11 15:45:34

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Serwus. Nie wiem, czy to odpowiednie miejsce do pisania o tym, ale skoro dotyczy szeroko pojętego bezpieczeństwa związanego z kernelem Linuksa, to być może wszystko jest w porządku. Otóż Bitdefender Labs przyglądneła się zjawisku nazwanego Linux.Encoder.1, będącym rodzajem złośliwego oprogramowaniem (Ransomware), którego działanie — w skrócie — opiera się na wykorzystaniu luki w popularnej aplikacji Magneto. Trojan szuka katalogów /home, /root oraz /var/lib/mysql, po czym zaczyna szyfrowanie ich zawartość. Podobnie jak w przypadku szkodnika działającego w systemie Windows, szyfruje zawartość plików przy użyciu algorytmu AES. Gdy pliki są zaszyfrowane, hakerzy żądają opłaty w zamian za prywatny klucz RSA służący do odszyfrowania etc.

Więcej informacji można znaleźć w tym miejscu: Linux Ransomware Debut Fails on Predictable Encryption Key.

Natomiast jeśli chodzi o słowa Morfika: "Torvalds jest za tym by soft był bardziej użyteczny niż bezpieczny, przynajmniej tak kiedyś mi się o uszy obiło (...)". Myślę, że to prawda, ponieważ kilka lat temu przeczytałem gdzieś, że Linus był poirytowany faktem, że w dystrybucji OpenSUSE wymagane było hasło użytkownika root do wykonania, wydawałoby się, tak trywialnej czynności jaką jest... zmiana daty via graficzny interfejs. Niemniej, nie będę się wypowiadał, co do słuszności takiego podejścia/myślenia, czy ogólnie kwesti wymagania hasła etc., w podobnych sytuacjach. Niestety, nie potrafię podać źródła. To tak w odniesieniu do powyższej dyskusji :- )

Pozdrawiam.

PS chociaż, po zastanowieniu się, doszedłem do wniosku, że lepszym miejscem byłby dział "Ciekawostki".

Edycja: dodanie postscriptum.

Ostatnio edytowany przez remi (2015-11-11 16:42:36)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#11  2015-11-22 11:40:33

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Wystartował Kernel Self Protection Project.

2398

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:44)

Offline

 

#12  2015-11-22 12:24:38

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Wystartował Kernel Self Protection Project.

uzytkownikubunt napisał(-a):

Znalazłem notatki z wywiadu z Bradem Spenglerem.
https://grsecurity.net/~spender/interview_notes.txt
To jest dopiero piękna, sroga orka bezpieczeństwa jądra Linux.

Stanowisko L. T. jest takie:

Security people are often the black-and-white kind of people that I can't
stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in
that they make such a big deal about concentrating on security to the
point where they pretty much admit that nothing else matters to them.

To me, security is important. But it's no less important than everything
*else* that is also important!

http://article.gmane.org/gmane.linux.kernel/706950

Offline

 

#13  2015-11-22 12:36:37

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Wystartował Kernel Self Protection Project.

2400

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:47)

Offline

 

#14  2015-11-22 12:40:56

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Wystartował Kernel Self Protection Project.

Każdy zgadza się z tym z czym chce i tyle.
Każdy może mieć inne priorytety, potrzeby, przyzwyczajenia etc.

Ta dyskusja jest podobna do tej o wyższości świąt Bożego Narodzenia nad Wielkanocą.

Offline

 

#15  2015-11-22 12:44:23

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Wystartował Kernel Self Protection Project.

2401

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:48)

Offline

 

#16  2016-10-05 19:42:21

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Witam serdecznie. Minęło trochę czasu od rozpoczęcia ww. projektu, którego głównym założeniem jest autoochrona jądra Linuksa. Chociaż istnieje już szereg zabezpieczeń, wciąż odczuwalny jest brak wielu rozwiązań znanych m.in. z PaX oraz grsecurity. Od jakiegoś czasu, ta sytuacja ulega zmianie. W tym miejscu staram się zwrócić na ten fakt uwagę Szanownych Czytelników; zapoczątkowano prace nad wdrożeniem zestawu funkcji w oparciu o PAX_USERCOPY kontrolowanych przez  CONFIG_HARDENED_USERCOPY●. Oczywiście nie zapomniano o: "Under CONFIG_HARDENED_USERCOPY, (...) adds object size checking to the SLUB/SLAB allocator to catch any copies that may span objects". To jest oczywiście niewielka część tego, nad czym aktualnie pracują Deweloperzy

Ponadto, rozpoczęto prace nad częściowym portem funkcji PAX_MEMORY_SANITIZE. W międzyczasie zainicjowano proces mający na celu dodanie wspracia dla funkcji PAX_REFCOUNT w tzw. the upstream kernel. W roku 2016. prowadzono rozmowy via listy mailingowe dot. m.in: GRKERNSEC_KSTACKOVERFLOW, GRKERNSEC_BRUTE. Całkiem nieźle biorąc pod uwagę problemy z przeszłości.

Rekapitulując; nie trzeba wnikliwości analitycznej, by stwierdzić, że Kernel Self Protection Project okazał się rzeczą potrzebną głównie, ze względu na oferowany szereg funkcji bezpieczeństwa, które są naprawdę bardzo użyteczne etc. Byłaby to wiadomość iście pocieszająca, gdyby nie fakt, że w 2009. roku p. Linus Torvalds stwierdził, że to, co zawiera grsecurity/PaX● - cytuję in extenso jest m.in: "insane and very annoying and invasive code" (zob. Grsecurity is about to be discontinued, unless...). Cała ta dyskusja miała miejsce w czasie, kiedy p. Gabor Micsko napisał wniosek do p. Torvaldsa nt. przemyślenia implementacji grsecurity etc. (zob. Grsecurity is about to be discontinued, unless...). Oczywiście każdy ma prawo do własnego zdania. Niemniej ta i podobne kwestie są szeroko opisane w internecie.

Pozdrawiam.

═══════════════════════════════════════════════════════════════════════════════════════════════════════════════════════
Wszystkie prace dotyczące ww. funkcji opierają się na kodzie stworzonym przez PaX Team oraz p. Brad'a Spengler'a. Wszystkie wspomniane opcje, tj.: PAX_/GRKERNSEC_ są szczegółowo opisane w tym miejscu: Grsecurity and PaX Configuration Options.
═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════

Hardened Usercopy Appears Ready To Be Merged For Linux 4.8
Spender/interview_notes

EDYCJA: formatowanie tekstu

Ostatnio edytowany przez remi (2016-10-30 18:18:13)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#17  2016-10-05 20:26:36

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wystartował Kernel Self Protection Project.

Kiedy program Grsec po wybuchu ostatniego kryzysu stracił cześć sponsorów, przez co jego istnienie było zagrożone, to całkiem sporo ludzi chciało włączenia całego Grsec/Pax do Kernela i odpowiedź L.T. i innych Devów Kernela była dosyć jednoznaczna.

Z resztą, jak jakaś dystrybucja chce mieć jajo z Grsec, to nie ma najmniejszego problemu,
Z drugiej strony wyobrażam sobie Grsec w standardowym jaju Debiana w szkołach i wśród początkujących użyszkodników.

Właśnie dlatego Grsec jest osobną łatką, a projekt portowania na siłę funkcji Paxa do waniliowego kernela jest skazany na porażkę.

Z resztą ciekaw jestem, jak użyszkodnicy będą instalowali sterowniki ATI i Nvidii z włączonym USERCOPY, do Nvidii jest łatka przygotowana przez Deweloperów Paxa.
https://www.grsecurity.net/~paxguy1/

Pozdro

Ostatnio edytowany przez Jacekalex (2016-10-21 23:41:37)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2016-10-21 13:03:07

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Serwus. Jacekalex myślę, że masz rację. Niemniej, mam w sobie odrobinę nadziei, że "projekt portowania na siłę funkcji Paxa do waniliowego kernela", jednak nie jest skazany na porażkę. Zobaczymy, jakie będą efekty w przyszłości. Być może, w końcu, cała sprawa związana z niechęcią do grsecurity, o czym wspominaliśmy wcześniej, zacznie rozszerzać się aż do paraleli Linuks = Bezpieczeństwo? (Nie, to nie miało być zdanie sarkastyczne). A może się mylę, i to wszystko, tak naprawdę, już w całości należy do krainy wybujałej fantasmagorii :- )

Tymczasem zaczęto przenosić funkcję PAX_REFCOUNT (zob. grsecurity forum: PAX_REFCOUNT Documentation), dzięki której: "the kernel will detect and prevent overflowing various (but not all) kinds of object reference counters" (zob. Prevent various kernel object reference counter overflows [w:] Grsecurity and PaX Configuration Options). Na chwilę obecną wspierana jest tylko architektura x86. Oczekuje się, że w pozostałych, np. arm64, funkcja będzie dodawana stopniowo etc. Wykorzystanie HARDENED_ATOMIC (konfigurowane przy użyciu CONFIG_HARDENED_ATOMIC jak również HAVE_ARCH_HARDENED_ATOMIC) przewiduje obowiązkową ochronę przed tzw. "kernel reference counter overflows". Przykładowe błędy, do których można odnieść wspomnianą opcję, to m.in.: CVE-2016-3135, CVE-2010-2959. Natomiast w tym miejscu, znajduje się stosunkowo świeży przykład dot. "Reference Count": Overflow Using BPF Maps.

Więcej informacji można znaleźć, czytając system śledzenia łatek - Patchwork, projekt: Kernel Hardening.

Pozdrawiam serdecznie.

EDYCJA: formatowanie tekstu

Ostatnio edytowany przez remi (2017-04-06 15:28:54)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#19  2017-04-27 11:48:56

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Witam serdecznie. Ponieważ Kernel Self Protection Project w ogromniej części oparty jest o projekt Grsecurity, postanowiłem napisać o tym właśnie w tym miejscu; otóż od dnia 26. kwietnia 2017 roku, Grsecurity dla jądra Linuksa 4.9, będzie ostatnim dostępnym patchem i od teraz wszystkie poprawki dostępne na oficjalnej stronie Projektu staną się sprawą całkowicie prywatną. Publiczne poprawki testowe zostały usunięte z obszaru pobierania. Wybór wersji 4.9 został podyktowany faktem, iż jest to wydanie typu LTS. Natomiast jeśli chodzi o Projekt PaX; ponieważ jest to wspólna decyzja, w kolejnych wydaniach kernela, nie będą dostępne publiczne łaty.

Jako powód tej decyzji podano; "We have been providing grsecurity freely for 16 years. Given renewed interest in security by the Linux community, we are opening our playground for newcomers to experiment with new ideas (...)" Poza tym Projekt Grsecurity chce skoncentrować swoje wysiłki na następnej generacji systemów zabezpieczeń etc. Usługi dla dotychczasowych klientów pozostają nienaruszone. Oczywiście starsze wersje mogą być nadal wykorzystywane. Licencja GPLv2 zapewnia użytkownikom możliwość dalszego używania, modyfikowania i redystrybuowania kodu znajdującego się w Grsecurity.

Więcej informacji: No more grsecurity test patches oraz FAQ.

Pozdrawiam.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#20  2017-04-27 18:47:01

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wystartował Kernel Self Protection Project.

Tu sobie strzelili w stopę.

Kees Cook przeportuje co się da z Grsec do kernela (czyli praktycznie wszystko) & goodbye Grsec.

Jeżeli nie będzie użytkowników otwartej wersji GPL, to świat szybko zapomni o Grsec i Paxie.
Nie będzie też darmowego i dokładnego testowania rozwiązań, które trafią potem do stabilnej wersji.
Także traktuję to jako zakończenie projektu rozłożone na raty.

Chyba że ta decyzja była rezultatem chwilowego wkurzenia i zostanie odszczekana w przyszłości, ale urban legend o końcu Grseca pójdzie w świat pierwsza, a za nią pójdzie cały projekt.

Pozdro

Ostatnio edytowany przez Jacekalex (2017-04-27 18:50:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2017-04-27 19:43:40

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Cześć Jacekalex. Myślę, że masz rację — jest to chyba "rezultat chwilowego wkurzenia". Jakiś czas temu, czytałem komentarze p. Brad'a Spengler'a odnoszące się do niektórych rzeczy, które składają się na Projekt KSPP. (Głównie chodziło o coś w stylu metody; kopiuj, wklej etc.) Z drugiej strony, całkiem sporo rzeczy zostało już przeportowanych. Ostatnio np. było to GRKERNSEC_HARDEN_TTY. W wyniku tego działania, utworzo konfigurację jądra: SECURITY_TIOCSTI_RESTRICT oraz opcję sysctl(8) - narzędzia do modyfikowania parametrów jądra - kernel.tiocsti_restrict, aby kontrolować tę funkcję.

Ponadto, dokonano niejako przeniesienia; "grsecurity's structure layout randomization plugin to upstream." Owa wtyczka losuje układ wybranych struktur w czasie kompilacji, jako probabilistyczną obronę przed atakami. Niemniej, jak stwierdził p. Kees Cook; "While less useful for distribution kernels (where the randomization seed must be exposed for third party kernel module builds), it still has some value there since now all kernel builds would need to be tracked by an attacker."

Z drugiej strony, oprócz portowania rozwiązań z Grsecurity, tworzone były nowe mechanizmy, jak np. ModAutoRestrict, będący modułem zabezpieczeń dla Linuksa, który stosuje ograniczenia dotyczące automatycznego ładowania modułów. Opcja odpowiadająca za tę funkcję, to: CONFIG_SECURITY_MODAUTORESTRICT. Natomiast sam mechanizm może być kontrolowany via interfejs sysctl(8) i /proc/sys/kernel/modautorestrict/autoload. Chociaż i w tym przypadku za inspirację posłużył patch Grsecurity: GRKERNSEC_MODHARDEN :- )

Oczywiście, ww. opcja w jakiś sposób uzupełnia znany już mechanizm /proc/sys/kernel/modules_disabled, który jednak działa tylko w dwóch trybach: allow lub deny. W ModAutoRestrict stosowane są trzy wartości; wymagany jest, w przypadku procesów, m.in. CAP_SYS_MODULE. CAP_NET_ADMIN powinien umożliwiać automatyczne ładowanie modułów za pomocą aliasu "netdev-% s" etc. Stosując opcję 2; procesy nie mogą automatycznie ładować modułów. Po ustawieniu tej wartości, zmiana nie jest możliwa. Ponadto ModAutoRestrict, umożliwia Administratorom systemu lub mechanizmom typu sandbox, zapobieganie ładowaniu niepotrzebnych modułów.

Przepraszam — sporo tego. Chciałem jedynie podsumować działania, które podjęto w ramach Projektu KSPP. Zwłaszcza w czasie ogłoszenia przez Grsecurity takiej wiadomości.

Pozdrawiam.

EDYCJA: formatowanie tekstu etc.

Ostatnio edytowany przez remi (2017-04-27 19:46:15)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#22  2017-04-27 20:03:57

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wystartował Kernel Self Protection Project.

Właśnie się buduje 4.10.13 wg dokumentacji KSPP.

Chociaż  TIOCSTI_RESTRICT i HARDEN_TTY w konfigu nie widzę, ale za kilka dni będę miał pancer-jajo bez grseca.

# G1 ###   czw kwi 27 19:57:54  localhost : /usr/src/linux
root ~> grep TIOCSTI_RESTRICT .config

# G1 ###   czw kwi 27 19:58:02  localhost : /usr/src/linux
root ~> grep HARDEN_TTY .config

Chociaż moim zdaniem najlepszym mechanizmem był TPE,  chyba będzie trzeba napisać do Keesa Cooka, żeby to przeportował, bo sama funkcja jest dosyć prosta w działaniu, banalnie prosta w konfiguracji  i zarazem morderczo skuteczna.

Ostatnio edytowany przez Jacekalex (2017-04-27 20:05:11)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#23  2017-05-08 21:43:25

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Witam. Opcje, o których wspominasz pojawią się zapewne w nieco późniejszej wersji kernela. Odpowiednie łatki dopiero zostały stworzone i opublikowane - potrzebna jest jeszcze akceptacja oraz sprawdzenie przez innych Deweloperów etc. Ciekawe natomiast jest to, że ludzie związani z Projektem Hardened Gentoo dołączyli m.in. do KSPP w celu połączenia funkcji Grsecurity/PaX z the upstream kernel. Więcej informacji znajduje się w tym miejscu: Hardened Kernel.

Natomiast, jeśli chodzi o same zmiany zachodzące na tym polu, czyli szeroko pojętym hardeningu kernela Linuksa, to dosyć ważnym miejscem pod tym względem - oczywiście jednym z wielu - jest blog p. Cook'a, który notabene wymieniony jest jako współpracownik Hardened Gentoo; Security things in Linux v4.X.

Pozdrawiam.

Ostatnio edytowany przez remi (2017-05-08 21:49:14)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#24  2017-05-09 18:24:29

  Renia - Użytkownik

Renia
Użytkownik
Zarejestrowany: 2014-08-29

Re: Wystartował Kernel Self Protection Project.

Ciekawy projekt, właśnie kompiluję sobie kernel z ich łatkami.

Offline

 

#25  2017-05-10 16:42:07

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: Wystartował Kernel Self Protection Project.

Cześć Reniu. Udało Ci się? Korzystasz już z tego kernela?


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)