The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Модуль ядра Linux для распознавания rootkit'ов

25.04.2009 12:14

Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, опубликовал код нового проекта Curuncula, представляющего собой модуль ядра Linux для определения наличия rootkit'ов в ядре, основанных на встроенных в процессоры Intel средствах отладки, в том числе использующих флаг доступа GD. Модуль работает в ядрах серии 2.4 и 2.6, основан на использовании механизма трассировки процессов в процессорах Intel ("last branch recording").

  1. Главная ссылка к новости (http://www.securityfocus.com/a...)
  2. OpenNews: Новый способ внедрения rootkit в Linux ядро (/dev/mem)
  3. OpenNews: Linux системы более подвержены атакам на уязвимость в CPU Intel ?
  4. OpenNews: Для Linux выпущен руткит принципиально нового типа (Debug Register Rootk)
  5. OpenNews: На конференции EUSecWest будет представлен первый rootkit для Cisco
  6. OpenNews: Концепция руткита, интегрируемого в BIOS
Автор новости: Romik
Тип: К сведению
Ключевые слова: rootkit, security, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, goshanecr (??), 13:05, 25/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему если Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, то проект только для руткитов под linux? Понятно что абсолютно разные системы BSD и Linux но лучше ведь начинать писать сразу под всё где это может пригодиться
     
     
  • 2.3, Heckfy (ok), 13:26, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что продукты будут разные по строению, а работа над несколькими проектами в один момент времени слишком утомительна.
    Ко всему прочему, его модуль работает в двух ядрах - 2.4 и 2.6. И не каждый сможет дать однозначный ответ, возможно ли было написать универсальный код.
    Так что, на первый взгляд, он написал два продукта.
     
     
  • 3.4, Heckfy (ok), 14:13, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, авторам руткитов осталось только научиться эмулировать загруженность этого модуля и его работу. :-)
     

  • 1.2, anonymouse (?), 13:14, 25/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше написать под одну систему и затем портировать под другую, чем хвататься за все и не довести до ума нигде.
     
  • 1.5, pavlinux (ok), 14:55, 25/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Процессор АМД да и ядро с kernel.org - чё делать???
     
     
  • 2.7, Vadim (??), 15:37, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    застрелиться...

    Ъ по ссылкам не ходят? ;)

     
     
  • 3.9, pavlinux (ok), 15:56, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а по делу.
     
     
  • 4.14, Vadim (??), 18:00, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А по делу, по ссылки написано, что автор выпустил маленький модуль ядра, который использует ОСОБЕННОСТИ архитектуры процессоров интел и делится им с сообществом, чему стоит возрадоваться. Под АМД если подобный функционал и существует, то он вероятно значительно отличается от интел, владельцы АМД могут покопаться в спеках на свой процессор и выслать патч автору.
     
  • 2.11, dmsuslov (??), 17:18, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да, кстати, у меня тоже AMD. Не будет работать с ним?
     

  • 1.8, Андрей (??), 15:47, 25/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идёт к тому, что заметное процессорное время будет тратиться на проверки безопасности.
     
     
  • 2.10, Аноним (-), 16:07, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А мы сделаем 50-ти ядерные процессоры, и время станет совсем не заметным. А вообще по теме процессоров: http://www.3dnews.ru/news/12_yadernie_protsessori_opteron_poyavyatsya_v_2011_
     
     
  • 3.13, User294 (ok), 17:55, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А мы сделаем 50-ти ядерные процессоры,

    Хз как там насчет 50, а АМД пообещало к 2010 году 16-ядерные оптероны.Не так уж далеко и до 50 осталось? :)

     
     
  • 4.15, pavlinux (ok), 19:58, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Сделали бы 2-х ядерный на 6 Ghz было бы чудно...

     
     
  • 5.27, Sergey (??), 13:31, 28/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Сделали бы 2-х ядерный на 6 Ghz было бы чудно...

    А зачем? Коллеги как-то тестировали два проца, оба 4х ядерных, один Sparc VII 2.5Gz, PowerV+ 5.0Gz, спарк показал производительность меньше на 2-3%, что укладывается в погрешности измерений. Цена сервера на спарке более чем в 2 раза ниже чем на power. И зачем нужен кипятильник на 6Gz?

     

  • 1.12, Аноним (-), 17:28, 25/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    заметьте. только неавно говорили про новый тип рткитов для линукс ядра.
    а теперь вот что выпустили. так что это гуд. как говориться "full disclosure".
    и этот принцип РАБОТАЕТ!
     
  • 1.16, fiuewbiu34 (?), 21:48, 25/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скомпилировал я этот модуль, подгрузил, при вызове lsmod система ушла в ребут без предупреждений.
    CPU: Intel E8400
    ядро 2.6.29
     
     
  • 2.17, waf (ok), 23:34, 25/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А ты не молчи, а сразу bugreport.
     
     
  • 3.21, fiuewbiu34 (?), 14:04, 26/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    уже
     

  • 1.18, Romik (??), 00:58, 26/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В слове "основанных" ссылка куда-то не туда ведёт.
     
     
  • 2.20, XoRe (ok), 12:02, 26/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >В слове "основанных" ссылка куда-то не туда ведёт.

    Там была новость про руткит.

     

  • 1.22, Frank (??), 09:27, 27/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём новых руткитов, использующих особые особенности процессоров Intel для сокрытия своего присутствия от модулей распознавания руткитов!
     
  • 1.23, mazzay (?), 10:07, 27/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и ждем новых модулей для модулей ядра Linux для распознавания rootkit'ов
     
  • 1.24, id (?), 12:24, 27/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    50 ядер 1 из которых используется пользователем а остальные для самопроверки компьютера
     
  • 1.26, Аноним (-), 19:53, 27/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я тут подумал, а не может этот модуль быть руткитом?
     
     
  • 2.29, Alex542 (?), 18:57, 22/12/2009 [^] [^^] [^^^] [ответить]  
  • +/
    U meny Linux8helena. Pereustanovka izbavit ot Rurkita (znak voprosa)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру