Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Serwus. Pan Kees Cook (zapewne znany większości z Was), ogłosił powstanie projektu [b]Kernel Self Protection Project[/b], którego celem jest stworzenie wspólnoty ludzi do pracy nad różnorakimi technologiami typu [i]kernel self-protection[/i] (z których większość można znaleźć w projekcie PaX oraz Grsecurity). Projekt opiera się na założeniu, że błędy dot. kernela mają bardzo długą żywotność oraz że jądro musi być zaprojektowane w taki sposób, aby zapobiegać tym wadom (wprowadzając np. proaktywne technologie obronne). Tego rodzaju zabezpieczenia, istnieją od lat w projekcie PAX oraz Grsecurity i są opisane w stosach wielu prac naukowych. Niemniej z różnych powodów społecznych, czy technicznych — w większości — nie zostały włączone do jądra Linuksa ([i]upstream[/i]). Ten projekt ma to zmienić.
Owa koncepcja jest następstwem występu pana Cook'a na [b]Kernel Summit 2015[/b], podczas którego mówił o tym, co należy zrobić oraz o możliwości tudzież potrzebie wprowadzenia tzw. hartowania i autoochrony do głównego jądra, tj. [i]mainline[/i]. Swoje przemówienie rozpoczął od twierdzenia, że bezpieczeństwo nie może opierać się jedynie o tzw. [i]access control[/i] oraz [i]attack-surface reduction[/i]. Co najważniejsze, musi być czymś więcej, aniżeli tylko naprawianiem błędów etc. Kernel musi być lepiej chroniony w odniesieniu do nieuniknionych błędów bezpieczeństwa. Oczywiście, pan Kees Cook szuka innych osób chętnych do współpracy, zainteresowanych ww. Projektem. "[i]Between the companies that recognize the critical nature of this work, and with Linux Foundation's Core Infrastructure Initiative happy to start funding specific work in this area, I think we can really make a dent[/i]".
Oficjalna strona Projektu: [url=http://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project][color=blue]Kernel Self Protection Project[/color][/url].
Pozdrawiam serdecznie.
Ostatnio edytowany przez remi (2015-11-11 16:44:32)
Offline
2356
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:26:51)
Offline
[quote=uzytkownikubunt]We The Washington Post pojawił się ciekawy artykuł o (nie)bezpieczeństwie jądra Linux. Autor: Craig Timberg, tytuł wraz z leadem:
Net of insecurity
The kernel of the argument
Fast, flexible and free, Linux is taking over the online world. But there is growing unease about security weaknesses[/quote]
http://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/[/quote]
Dość tendencyjny ten artykuł.
Jeśli L.T. "nie dba o bezpieczeństwo Linuxa" to kto w czasie niespełna 2 miesięcy przepisał cały podsystem USB po dziurze w sterownik [b]snd_usb_caiaq[/b]?
Krasnoludki?
Ile czasu się czeka na załatanie jakiejś krytycznej dziury w kernelu?
Kto bezpośrednio w kernelu trzyma takie draństwa, jak Apparmor, SELinux, Tomoyo, IMA, EVM, Seccomp?
Krótko pisząc, może akurat nie Linus się zajmuje bezpośrednio działem security, ale ten dział bryka całkiem znośnie.
A jak komuś brakuje w standardowym jaju czegoś, to jest np Grsec/Pax...
Można też Snorta przekształcić w "śrutówkę" spinając go z Ipsetem, żeby wszystkie podejrzane adresy blokował na 24h, nie jest to szczególnie trudne.
Clamav (i każdy inny antywir, włączając w to komercyjne) też może w trybie online skanować każdy plik zapisywany na dyziu używając modułu FANOTIFY, jak ktoś antywirusy lubi.
Pomijam system ACL jak Apparmor, SELinux, Tomoyo, czy Grsec-RBAC,
flagi PAXA, albo np podpisywanie cyfrowe binarek na dyziu modułami IMA i EVM.
Krótko pisząc, niby L. T. nie zajmuje się bezpieczeństwem, ale Linuxa zawsze można postawić jak czołg, używając powszechnie dostępnych narzędzi i nie wydając milionów.
Ciekawe, który komercyjny system ma taki wachlarz możliwości ochrony, jak czysty Linux.
Bo jak na razie, z Linuxem rywalizuje tylko *BSD, z punktu widzenia korpo BSD i Linux to "jedna banda". :D
Craig Timberg chyba jest zarażony korporeligią, jak prawie wszyscy popularni publicyści.
Widać, że na prawdziwej technologii chyba się za bardzo nie zna, albo może "nie chce się znać" w tym konkretnym temacie, jakim jest Linux.
Pozdro
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
2357
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:26:53)
Offline
[quote=uzytkownikubunt][quote=Jacekalex]A jak komuś brakuje w standardowym jaju czegoś, to jest np Grsec/Pax...[/quote]
Brad Spengler jest zacytowany w artykule ;)
“My feeling with Linux is that they still treat security as a kind of nuisance thing,” says computer security expert Brad Spengler, at his home in Lancaster, Pa., of Linux creator Linus Torvalds and top Linux maintainers.[/quote]
[/quote]
Cytować można nawet samego Papieża, ale wymowa artykułu jest dosyć tendencyjna.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
2358
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:26:54)
Offline
W sumie to jak czytam ten text, to po zdaniu:
"For Linux, the operating system that Torvalds created and named after himself, has come to dominate the exploding online world, making it more popular overall than rivals from Microsoft and Apple.[/quote]
można dojść do wniosku, że ten artykuł ma na celu osłabić ciągle umacniającą się pozycję linuxa. xD
A co do samego Torvaldsa i bezpieczeństwa. To zawsze tak jest, że jeśli coś ma być bezpieczne to nigdy nie będzie użyteczne i trzeba jakoś to pogodzić ze sobą. :] Torvalds jest za tym by soft był bardziej użyteczny niż bezpieczny, przynajmniej tak kiedyś mi się o uszy obiło. xD Ja akurat mam odmienne zdanie i ci którzy by spróbowali popracować na moim komputerze przez parę dni, to by ich szlag trafił, właśnie przez te zabezpieczenia, których ciągle dokładam więcej i więcej. xD Linux jest gdzieś po środku z odchyłami na łatwość obsługi. Dlatego są te wszystkie projekty mające na celu zadbanie o bezpieczeństwo, a to z kolei odbije się na użyteczności albo raczej jej braku. No bo raczej gry nie będą na tym działać. xD“The people who care most about this stuff are completely crazy. They are very black and white,” he said,[/quote]
A ja się nie zgodzę, ja jestem tylko "white"! Na przykład, co szyfrować? Jasne że wszystko albo nic, czyli wszystko! xD“Security in itself is useless. . . .[/quote]
Dokładnie, ludzie korzystają z TORa i myślą, że są bezpieczni bo to TOR i tylko dlatego. xDImagine, Torvalds said, that terrorists exploited a flaw in the Linux kernel to cause a meltdown at a nuclear power plant, killing millions of people.
“There is no way in hell the problem there is the kernel,” Torvalds said. “If you run a nuclear power plant that can kill millions of people, you don’t connect it to the Internet.”[/quote]
To elektrownie atomowe chodzą na linuxach? xD Poza tym, w dzisiejszych czasach elektrownie muszą być podłączone do internetu, w końcu mamy [url=https://pl.wikipedia.org/wiki/Power_over_Ethernet]PoE[/url] xD
@Jacekalex, czy ty czytałeś ten text? xD(Torvalds also was granted stock options by Red Hat and one other company selling Linux products, making him comfortable enough to pay cash for a new house but not nearly as rich as Gates or other top tech executives.)[/quote]
i to jeszcze:Even the U.S. government, which has adopted Linux on many of its computers, had the NSA develop advanced security features, called SELinux, making the operating system more suitable for sensitive work.[/quote]
Red hat płaci Torvaldsowi, a NSA robi zabezpieczenia. Linux nie jest bezpieczny. xD(This was a defensive effort, say security experts, not part of the NSA’s spying mission.)[/quote]
Uważajcie bo wam uwierzę. xDThose who specialize in security think in terms of categories of bugs. Each one is a cousin of others, some known, some not yet discovered, based on which functions they exploit. By studying each new one carefully, these experts say it is possible to defeat entire classes of bugs with a single fix.[/quote]
Zdziwiliby się ile nowych klas robali wprowadza ta ich poprawka. xDMore recently, in 2014, Linux devotees were unhappy to discover that an Italian surveillance company called Hacking Team had swiftly turned a Linux exploit known as “towelroot” into a skeleton key capable of gaining access to hundreds of millions of Android phones. This allowed Hacking Team to turn Android devices into powerful spying tools — capable of tracking targets, recording their conversations, rifling through their files and even taking pictures of them — on behalf of customers that included some of the world’s most repressive governments.[/quote]
Jak by ludzie sami tego nie robili, tu nawet i brak prądu nie pomoże, bo ludzie zawsze będą przekładać wygodę nad bezpieczeństwo. xDAmong those who were part of the discussion was Kees Cook, the Linux security engineer who now works for Google. He, too, recalled Spengler’s call to action in 2010. Cook said there have been improvements since then — what he called “the low-hanging fruit” — but not enough.[/quote]
Nie wiemy czy to my zaczniemy czy one ale jestem pewien, że to my przesłonimy słońce.... xDEdward Snowden’s revelations about the extent of government spying — and about how the NSA took advantage of security weaknesses that experts often knew about but had failed to get fixed — have alarmed many in the tech community.[/quote]
Ktoś im powinien pokazać ten filmik z wywiadem ze Snowdenem, ten gdzie ludzie nie wiedzieli kto to w ogóle jest i co zrobił. xD
Ogólnie to taki se ten text, nic tylko "najeżony propagandą". xDOffline
#8 2015-11-08 18:08:05
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Wystartował Kernel Self Protection Project.
Czytałem, ale może sprawdzisz, kto zapłacił Linux Foundation za wsadzenie do jajka 2.6.36 Apparmora?
Albo TOMOYO?
IMA/EVM?
Po prostu Linus odpowiada za główną strategię, trochę w tym marketingu, musi być szybkie, stabilne i proste, a pod Linusem jest fabryka, która robi solidne i stabilne łatki do kernela.
I tam też jest team obrabiający moduły bezpieczeństwa.
Linus sam się tym mógłby zajmować, ale Linux Foundation miała by takie wpływy, jak OpenBSD, a Linux podobny zasięg.
Właśnie dlatego bezpieczeństwem zajmuje się ktoś inny, i to niekoniecznie NSA.
Dlatego wywiad z Linusem, tak zmontowany, żeby świadczył niezbyt dobrze o całym Linuxie w kontekście bezpieczeństwa oceniam jak delikatną manipulację.
Po prostu w rzeczywistym świecie nie ma drugiego systemu o tak wszechstronnych możliwościach w dziedzinie bezpieczeństwa, jak Linux.
Najbliżej ideału jest OpenBSD, FreeBSD już goni, ale powoli im to idzie.
Ja od SELinuxa i tak wolę Grsec/Pax. :)
Pozdro
;-)Ostatnio edytowany przez Jacekalex (2015-11-08 18:14:33)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#9 2015-11-09 01:18:53
morfik - Cenzor wirtualnego świata
Re: Wystartował Kernel Self Protection Project.
Ja tam nie odnoszę wrażenia po przeczytaniu tego textu, że został napisany by pokazać, że linux jest do dupy, bo nie ma zabezpieczeń. Tam generalnie chodzi o to by w końcu ruszyć i myśleć nad nimi, bo świat się zmienił. Przynajmniej tak w ogromnym skrócie i, że w 2010 roku już coś ludzie chcieli robić ale Torvalds się opiera. xD On akurat nie chce się pchać w te zabezpieczenia bo to większości ludzi i tak jest niepotrzebne i tyle. Choć myślenie w stylu "chcesz coś zaawansowanego robić, to kompa do sieci nie podłączaj" jest śmieszne w dzisiejszych czasach. Nawet jak by tych elektrowni nie podłączali do sieci, to co by stało na przeszkodzie by manualnie wejść do obiektu i zrobić co trza? Oczywiście za pomocą jakiegoś prywatnego laptopa szefa takiego ośrodka, który se lubi pornusy od czasu do czasu pooglądać we flashu u siebie w domu i tak przypadkiem się składa, że tego samego laptopa używa do wielu innych rzeczy. xD Obecnie nie da się uciec od sieci i komputerów.
Offline
#10 2015-11-11 15:45:34
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Serwus. Nie wiem, czy to odpowiednie miejsce do pisania o tym, ale skoro dotyczy szeroko pojętego bezpieczeństwa związanego z kernelem Linuksa, to być może wszystko jest w porządku. Otóż [b]Bitdefender Labs[/b] [i]przyglądneła[/i] się zjawisku nazwanego [tt]Linux.Encoder.1[/tt], będącym rodzajem złośliwego oprogramowaniem ([i]Ransomware[/i]), którego działanie — w skrócie — opiera się na wykorzystaniu luki w popularnej aplikacji [b]Magneto[/b]. Trojan szuka katalogów [tt]/home[/tt], [tt]/root[/tt] oraz [tt]/var/lib/mysql[/tt], po czym zaczyna szyfrowanie ich zawartość. Podobnie jak w przypadku szkodnika działającego w systemie Windows, szyfruje zawartość plików przy użyciu algorytmu AES. Gdy pliki są zaszyfrowane, hakerzy żądają opłaty w zamian za prywatny klucz RSA służący do odszyfrowania etc.
Więcej informacji można znaleźć w tym miejscu: [url=http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/][color=blue]Linux Ransomware Debut Fails on Predictable Encryption Key[/color][/url].
Natomiast jeśli chodzi o słowa [b]Morfika[/b]: "[i]Torvalds jest za tym by soft był bardziej użyteczny niż bezpieczny, przynajmniej tak kiedyś mi się o uszy obiło[/i] (...)". Myślę, że to prawda, ponieważ kilka lat temu przeczytałem gdzieś, że Linus był poirytowany faktem, że w dystrybucji OpenSUSE wymagane było hasło użytkownika root do wykonania, wydawałoby się, tak trywialnej czynności jaką jest... zmiana daty via graficzny interfejs. Niemniej, nie będę się wypowiadał, co do słuszności takiego podejścia/myślenia, czy ogólnie kwesti wymagania hasła etc., w podobnych sytuacjach. Niestety, nie potrafię podać źródła. To tak w odniesieniu do powyższej dyskusji :- [i])[/i]
Pozdrawiam.
PS chociaż, po zastanowieniu się, doszedłem do wniosku, że lepszym miejscem byłby dział "Ciekawostki".
[color=gray]Edycja: [i]dodanie postscriptum[/i][/color].Ostatnio edytowany przez remi (2015-11-11 16:42:36)
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
#11 2015-11-22 11:40:33
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Wystartował Kernel Self Protection Project.
2398
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:44)
Offline
#12 2015-11-22 12:24:38
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Wystartował Kernel Self Protection Project.
[quote=uzytkownikubunt]Znalazłem notatki z wywiadu z Bradem Spenglerem.
https://grsecurity.net/~spender/interview_notes.txt
To jest dopiero piękna, sroga orka bezpieczeństwa jądra Linux.[/quote]
Stanowisko L. T. jest takie:Security people are often the black-and-white kind of people that I can't
stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in
that they make such a big deal about concentrating on security to the
point where they pretty much admit that nothing else matters to them.
To me, security is important. But it's no less important than everything
*else* that is also important![/quote]
http://article.gmane.org/gmane.linux.kernel/706950Offline
#13 2015-11-22 12:36:37
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Wystartował Kernel Self Protection Project.
2400
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:47)
Offline
#14 2015-11-22 12:40:56
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Wystartował Kernel Self Protection Project.
Każdy zgadza się z tym z czym chce i tyle.
Każdy może mieć inne priorytety, potrzeby, przyzwyczajenia etc.
Ta dyskusja jest podobna do tej o wyższości świąt Bożego Narodzenia nad Wielkanocą.Offline
#15 2015-11-22 12:44:23
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Wystartował Kernel Self Protection Project.
2401
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:27:48)
Offline
#16 2016-10-05 19:42:21
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Witam serdecznie. Minęło trochę czasu od rozpoczęcia ww. projektu, którego głównym założeniem jest autoochrona jądra Linuksa. Chociaż istnieje już szereg zabezpieczeń, wciąż odczuwalny jest brak wielu rozwiązań znanych m.in. z PaX oraz grsecurity. Od jakiegoś czasu, ta sytuacja ulega zmianie. W tym miejscu staram się zwrócić na ten fakt uwagę Szanownych Czytelników; zapoczątkowano prace nad wdrożeniem zestawu funkcji w oparciu o [tt]PAX_USERCOPY[/tt] kontrolowanych przez [tt]CONFIG_HARDENED_USERCOPY[/tt]●. Oczywiście nie zapomniano o: "[i]Under CONFIG_HARDENED_USERCOPY, (...) adds object size checking to the SLUB/SLAB allocator to catch any copies that may span objects[/i]". To jest oczywiście niewielka część tego, nad czym aktualnie pracują Deweloperzy
Ponadto, rozpoczęto prace nad częściowym portem funkcji [tt]PAX_MEMORY_SANITIZE[/tt]. W międzyczasie zainicjowano proces mający na celu dodanie wspracia dla funkcji [tt]PAX_REFCOUNT[/tt] w tzw. [i]the upstream kernel[/i]. W roku 2016. prowadzono rozmowy via listy mailingowe dot. m.in: [tt]GRKERNSEC_KSTACKOVERFLOW[/tt], [tt]GRKERNSEC_BRUTE[/tt]. Całkiem nieźle biorąc pod uwagę [i]problemy[/i] z przeszłości.
Rekapitulując; nie trzeba wnikliwości analitycznej, by stwierdzić, że [b]Kernel Self Protection Project[/b] okazał się rzeczą potrzebną głównie, ze względu na oferowany szereg funkcji bezpieczeństwa, które są naprawdę bardzo użyteczne etc. Byłaby to wiadomość iście pocieszająca, gdyby nie fakt, że w 2009. roku p. Linus Torvalds stwierdził, że to, co zawiera grsecurity/PaX● - cytuję in extenso jest m.in: "[i]insane and very annoying and invasive code[/i]" (zob. [url=https://lwn.net/Articles/313765/][color=blue]Grsecurity is about to be discontinued, unless...[/color][/url]). Cała ta dyskusja miała miejsce w czasie, kiedy p. Gabor Micsko napisał wniosek do p. Torvaldsa nt. przemyślenia implementacji grsecurity etc. (zob. [url=https://lwn.net/Articles/313758/][color=blue]Grsecurity is about to be discontinued, unless...[/color][/url]). Oczywiście każdy ma prawo do własnego zdania. Niemniej ta i podobne kwestie są szeroko opisane w internecie.
Pozdrawiam.
═══════════════════════════════════════════════════════════════════════════════════════════════════════════════════════
Wszystkie prace dotyczące ww. funkcji opierają się na kodzie stworzonym przez PaX Team oraz p. Brad'a Spengler'a. Wszystkie wspomniane opcje, tj.: [tt]PAX_/GRKERNSEC_[/tt] są szczegółowo opisane w tym miejscu: [url=https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Introduction][color=blue]Grsecurity and PaX Configuration Options[/color][/url].
═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════
● [url=https://www.phoronix.com/scan.php?page=news_item&px=Hardened-Usercopy-Linux-4.8][color=blue]Hardened Usercopy Appears Ready To Be Merged For Linux 4.8[/color][/url]
● [url=https://grsecurity.net/~spender/interview_notes.txt][color=blue]Spender/interview_notes[/color][/url]
[color=gray]EDYCJA: [i]formatowanie tekstu[/i][/color]Ostatnio edytowany przez remi (2016-10-30 18:18:13)
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
#17 2016-10-05 20:26:36
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Wystartował Kernel Self Protection Project.
Kiedy program Grsec po wybuchu ostatniego kryzysu stracił cześć sponsorów, przez co jego istnienie było zagrożone, to całkiem sporo ludzi chciało włączenia całego Grsec/Pax do Kernela i odpowiedź L.T. i innych Devów Kernela była dosyć jednoznaczna.
Z resztą, jak jakaś dystrybucja chce mieć jajo z Grsec, to nie ma najmniejszego problemu,
Z drugiej strony wyobrażam sobie Grsec w standardowym jaju Debiana w szkołach i wśród początkujących użyszkodników.
Właśnie dlatego Grsec jest osobną łatką, a projekt portowania na siłę funkcji Paxa do waniliowego kernela jest skazany na porażkę.
Z resztą ciekaw jestem, jak użyszkodnicy będą instalowali sterowniki ATI i Nvidii z włączonym USERCOPY, do Nvidii jest łatka przygotowana przez Deweloperów Paxa.
https://www.grsecurity.net/~paxguy1/
PozdroOstatnio edytowany przez Jacekalex (2016-10-21 23:41:37)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#18 2016-10-21 13:03:07
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Serwus. [b]Jacekalex[/b] myślę, że masz rację. Niemniej, mam w sobie odrobinę nadziei, że "[i]projekt portowania na siłę funkcji Paxa do waniliowego kernela[/i]", jednak nie jest skazany na porażkę. Zobaczymy, jakie będą efekty w przyszłości. Być może, w końcu, cała sprawa związana z niechęcią do [tt]grsecurity[/tt], o czym wspominaliśmy wcześniej, zacznie rozszerzać się aż do paraleli Linuks = [u][b]B[/b][/u]ezpieczeństwo? (Nie, to nie miało być zdanie sarkastyczne). A może się mylę, i to wszystko, tak naprawdę, już w całości należy do krainy wybujałej fantasmagorii :- )
Tymczasem zaczęto [i]przenosić[/i] funkcję [tt]PAX_REFCOUNT[/tt] (zob. [url=https://forums.grsecurity.net/viewtopic.php?f=7&t=4173][color=blue]grsecurity forum: PAX_REFCOUNT Documentation[/color][/url]), dzięki której: "[i]the kernel will detect and prevent overflowing various (but not all) kinds of object reference counters"[/i] (zob. [b]Prevent various kernel object reference counter overflows[/b] [w:] [url=https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Prevent_various_kernel_object_reference_counter_overflows][color=blue]Grsecurity and PaX Configuration Options[/color][/url]). Na chwilę obecną wspierana jest tylko architektura [tt]x86[/tt]. Oczekuje się, że w pozostałych, np. [tt]arm64[/tt], funkcja będzie dodawana stopniowo etc. Wykorzystanie [tt]HARDENED_ATOMIC[/tt] (konfigurowane przy użyciu [tt]CONFIG_HARDENED_ATOMIC[/tt] jak również [tt]HAVE_ARCH_HARDENED_ATOMIC[/tt]) przewiduje obowiązkową ochronę przed tzw. "[i]kernel reference counter overflows[/i]". Przykładowe błędy, do których można odnieść wspomnianą opcję, to m.in.: [url=https://security-tracker.debian.org/tracker/CVE-2016-3135][color=blue]CVE-2016-3135[/color][/url], [url=https://security-tracker.debian.org/tracker/CVE-2010-2959][color=blue]CVE-2010-2959[/color][/url]. Natomiast w tym miejscu, znajduje się stosunkowo świeży przykład dot. "[i]Reference Count[/i]": [url=https://www.exploit-db.com/exploits/39773/][color=blue]Overflow Using BPF Maps[/color][/url].
Więcej informacji można znaleźć, czytając system śledzenia łatek - [url=https://patchwork.kernel.org/][color=blue]Patchwork[/color][/url], projekt: [b]Kernel Hardening[/b].
Pozdrawiam serdecznie.
[color=gray]EDYCJA: [i]formatowanie tekstu[/i][/color]Ostatnio edytowany przez remi (2017-04-06 15:28:54)
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
#19 2017-04-27 11:48:56
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Witam serdecznie. Ponieważ [b]Kernel Self Protection Project[/b] w ogromniej części oparty jest o projekt Grsecurity, postanowiłem napisać o tym właśnie w tym miejscu; otóż od dnia 26. kwietnia 2017 roku, Grsecurity dla jądra Linuksa 4.9, będzie ostatnim dostępnym patchem i od teraz wszystkie poprawki dostępne na oficjalnej stronie Projektu staną się sprawą całkowicie prywatną. Publiczne poprawki testowe zostały usunięte z obszaru pobierania. Wybór wersji 4.9 został podyktowany faktem, iż jest to wydanie typu [tt]LTS[/tt]. Natomiast jeśli chodzi o Projekt PaX; ponieważ jest to wspólna decyzja, w kolejnych wydaniach kernela, nie będą dostępne publiczne łaty.
Jako powód tej decyzji podano; "[i]We have been providing grsecurity freely for 16 years. Given renewed interest in security by the Linux community, we are opening our playground for newcomers to experiment with new ideas (...)[/i]" Poza tym Projekt Grsecurity chce skoncentrować swoje wysiłki na następnej generacji systemów zabezpieczeń etc. Usługi dla dotychczasowych klientów pozostają nienaruszone. Oczywiście starsze wersje mogą być nadal wykorzystywane. Licencja [tt]GPLv2[/tt] zapewnia użytkownikom możliwość dalszego używania, modyfikowania i redystrybuowania kodu znajdującego się w Grsecurity.
Więcej informacji: [url=https://grsecurity.net/passing_the_baton.php][color=blue]No more grsecurity test patches[/color][/url] oraz [url=https://grsecurity.net/passing_the_baton_faq.php][color=blue]FAQ[/color][/url].
Pozdrawiam.
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
#20 2017-04-27 18:47:01
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Wystartował Kernel Self Protection Project.
Tu sobie strzelili w stopę.
Kees Cook przeportuje co się da z Grsec do kernela (czyli praktycznie wszystko) & goodbye Grsec.
Jeżeli nie będzie użytkowników otwartej wersji GPL, to świat szybko zapomni o Grsec i Paxie.
Nie będzie też darmowego i dokładnego testowania rozwiązań, które trafią potem do stabilnej wersji.
Także traktuję to jako zakończenie projektu rozłożone na raty.
Chyba że ta decyzja była rezultatem chwilowego wkurzenia i zostanie odszczekana w przyszłości, ale urban legend o końcu Grseca pójdzie w świat pierwsza, a za nią pójdzie cały projekt.
PozdroOstatnio edytowany przez Jacekalex (2017-04-27 18:50:12)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#21 2017-04-27 19:43:40
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Cześć [b]Jacekalex[/b]. Myślę, że masz rację — jest to chyba "[i]rezultat chwilowego wkurzenia[/i]". Jakiś czas temu, czytałem komentarze p. Brad'a Spengler'a odnoszące się do niektórych rzeczy, które składają się na Projekt [b]KSPP[/b]. (Głównie chodziło o coś w stylu metody; [i]kopiuj, wklej[/i] etc.) Z drugiej strony, całkiem sporo rzeczy zostało już przeportowanych. Ostatnio np. było to [tt]GRKERNSEC_HARDEN_TTY[/tt]. W wyniku tego działania, utworzo konfigurację jądra: [tt]SECURITY_TIOCSTI_RESTRICT[/tt] oraz opcję [i]sysctl(8)[/i] - narzędzia do modyfikowania parametrów jądra - [tt]kernel.tiocsti_restrict[/tt], aby kontrolować tę funkcję.
Ponadto, dokonano niejako przeniesienia; "[i]grsecurity's structure layout randomization plugin to upstream[/i]." Owa wtyczka losuje układ wybranych struktur w czasie kompilacji, jako probabilistyczną obronę przed atakami. Niemniej, jak stwierdził p. Kees Cook; "[i]While less useful for distribution kernels (where the randomization seed must be exposed for third party kernel module builds), it still has some value there since now all kernel builds would need to be tracked by an attacker.[/i]"
Z drugiej strony, oprócz portowania rozwiązań z Grsecurity, tworzone były nowe mechanizmy, jak np. [tt]ModAutoRestrict[/tt], będący modułem zabezpieczeń dla Linuksa, który stosuje ograniczenia dotyczące automatycznego ładowania modułów. Opcja odpowiadająca za tę funkcję, to: [tt]CONFIG_SECURITY_MODAUTORESTRICT[/tt]. Natomiast sam mechanizm może być kontrolowany via interfejs [i]sysctl(8)[/i] i [tt]/proc/sys/kernel/modautorestrict/autoload[/tt]. Chociaż i w tym przypadku za inspirację posłużył patch Grsecurity: [tt]GRKERNSEC_MODHARDEN[/tt] :- [i])[/i]
Oczywiście, ww. opcja w jakiś sposób uzupełnia znany już mechanizm [tt]/proc/sys/kernel/modules_disabled[/tt], który jednak działa tylko w dwóch trybach: [b]allow[/b] lub [b]deny[/b]. W [tt]ModAutoRestrict[/tt] stosowane są trzy wartości; wymagany jest, w przypadku procesów, m.in. [tt]CAP_SYS_MODULE[/tt]. [tt]CAP_NET_ADMIN[/tt] powinien umożliwiać automatyczne ładowanie modułów za pomocą aliasu "[i]netdev-% s[/i]" etc. Stosując opcję [tt]2[/tt]; procesy nie mogą automatycznie ładować modułów. Po ustawieniu tej wartości, zmiana nie jest możliwa. Ponadto [tt]ModAutoRestrict[/tt], umożliwia Administratorom systemu lub mechanizmom typu sandbox, zapobieganie ładowaniu niepotrzebnych modułów.
Przepraszam — sporo tego. Chciałem jedynie [i]podsumować[/i] działania, które podjęto w ramach Projektu [b]KSPP[/b]. Zwłaszcza w czasie ogłoszenia przez Grsecurity takiej wiadomości.
Pozdrawiam.
[color=gray][b]EDYCJA:[/b] [i]formatowanie tekstu etc[/i].[/color]Ostatnio edytowany przez remi (2017-04-27 19:46:15)
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
#22 2017-04-27 20:03:57
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Wystartował Kernel Self Protection Project.
Właśnie się buduje 4.10.13 wg dokumentacji KSPP.
Chociaż TIOCSTI_RESTRICT i HARDEN_TTY w konfigu nie widzę, ale za kilka dni będę miał pancer-jajo bez grseca.# G1 ### czw kwi 27 19:57:54 localhost : /usr/src/linux
root ~> grep TIOCSTI_RESTRICT .config
# G1 ### czw kwi 27 19:58:02 localhost : /usr/src/linux
root ~> grep HARDEN_TTY .config[/quote]
Chociaż moim zdaniem najlepszym mechanizmem był TPE, chyba będzie trzeba napisać do Keesa Cooka, żeby to przeportował, bo sama funkcja jest dosyć prosta w działaniu, banalnie prosta w konfiguracji i zarazem morderczo skuteczna.Ostatnio edytowany przez Jacekalex (2017-04-27 20:05:11)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#23 2017-05-08 21:43:25
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Witam. Opcje, o których wspominasz pojawią się zapewne w nieco późniejszej wersji kernela. Odpowiednie łatki dopiero zostały stworzone i opublikowane - potrzebna jest jeszcze akceptacja oraz sprawdzenie przez innych Deweloperów etc. Ciekawe natomiast jest to, że ludzie związani z Projektem [tt]Hardened Gentoo[/tt] dołączyli m.in. do [b]KSPP[/b] w celu połączenia funkcji Grsecurity/PaX z [i]the upstream kernel[/i]. Więcej informacji znajduje się w tym miejscu: [url=https://wiki.gentoo.org/wiki/Hardened/Hardened_Kernel_Project][color=blue]Hardened Kernel[/color][/url].
Natomiast, jeśli chodzi o same zmiany zachodzące na tym polu, czyli szeroko pojętym [i]hardeningu[/i] kernela Linuksa, to dosyć ważnym miejscem pod tym względem - oczywiście jednym z wielu - jest blog p. Cook'a, który notabene wymieniony jest jako współpracownik [tt]Hardened Gentoo[/tt]; [url=https://outflux.net/blog/archives/category/kernel/][color=blue]Security things in Linux v4.X[/color][/url].
Pozdrawiam.Ostatnio edytowany przez remi (2017-05-08 21:49:14)
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
#24 2017-05-09 18:24:29
Renia - Użytkownik
- Renia
- Użytkownik
- Zarejestrowany: 2014-08-29
Re: Wystartował Kernel Self Protection Project.
Ciekawy projekt, właśnie kompiluję sobie kernel z ich łatkami.
Instalacja E-Deklaracje na Debianie 64-bit:
https://forum.dug.net.pl/viewtopic.php?pid=301794#p301794Offline
#25 2017-05-10 16:42:07
remi - amputować akrobatów
- remi
- amputować akrobatów
- Zarejestrowany: 2011-05-27
Re: Wystartował Kernel Self Protection Project.
Cześć [b]Reniu[/b]. Udało Ci się? Korzystasz już z tego kernela?
[color=#5B5B5B][tt][b]Ł[/b][i]a[/i]m[/tt] [tt][b][i]Z[/b][/i]As[i]a[/i]d[b][/tt][tt]y[/tt][/b][b]![/b] w[i]Y[/i][b]j[/b][b]ą[/b]Tk[i][b]Ó[/b][/i][b]w[/b] [tt][i]j[/i][b]e[i]s[/i][/b]t[/tt] w[tt][b][/b]I[b][i]ę[/i][/b][/tt]c[b]e[i]j[/i][/b][/color].Offline
Informacje debugowania
Time (s) Query 0.00012 SET CHARSET latin2 0.00004 SET NAMES latin2 0.00094 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.58.90' WHERE u.id=1 0.00074 UPDATE punbb_online SET logged=1732193914 WHERE ident='3.145.58.90' 0.00045 SELECT * FROM punbb_online WHERE logged<1732193614 0.00072 DELETE FROM punbb_online WHERE ident='3.144.29.213' 0.00082 DELETE FROM punbb_online WHERE ident='3.144.89.42' 0.00074 DELETE FROM punbb_online WHERE ident='3.145.18.135' 0.00075 SELECT topic_id FROM punbb_posts WHERE id=310423 0.00006 SELECT id FROM punbb_posts WHERE topic_id=27870 ORDER BY posted 0.00057 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27870 AND t.moved_to IS NULL 0.00005 SELECT search_for, replace_with FROM punbb_censoring 0.00354 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27870 ORDER BY p.id LIMIT 0,25 0.00075 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27870 Total query time: 0.01029 s