The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.01.2018 09:11  Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux

Проект Openwall, известный своими инициативами по обеспечению безопасности, представил первый экспериментальный выпуск механизма LKRG (Linux Kernel Runtime Guard), предназначенного для контроля целостности ядра Linux и обнаружения попыток эксплуатации уязвимостей в ядре. Проект находится на стадии тестирования экспериментального прототипа. Лицензия на код модуля пока не выбрана, рассматривается GPLv2. Для финансирования разработки в будущем не исключается выпуск расширенной платной версии LKRG Pro.

LKRG оформлен в виде загружаемого модуля ядра, который пытается выявлять несанкционированное внесение изменений в работающее ядро (проверка целостности) или изменение полномочий пользовательских процессов (определение применения эксплоитов). Проверка целостности выполняется на основе сравнения хэшей, вычисляемых для наиболее важных областей памяти и структур данных ядра (IDT (Interrupt Descriptor Table), MSR, таблицы системных вызовов, все процедуры и функции, обработчики прерываний, списки загруженных модулей, содержимое секции .text модулей, атрибуты процессов и т.п.). Процедура проверки активируется как периодически по таймеру, так и при наступлении различных событий в ядре (например, при выполнении системных вызовов setuid, setreuid, fork, exit, execve, do_init_module и т.п.).

Определение возможного применения эксплоитов и блокирование атак производится на стадии до предоставления ядром доступа к ресурсам (например, до открытия файла), но после получения процессом несанкционированных полномочий (например, смена UID). При выявлении несанкционированного поведения процессов выполняется их принудительное завершение, чего достаточно для блокирования многих эксплоитов. Так как проект находится на стадии разработки, а оптимизации пока не проводились, накладные расходы от работы модуля составляют примерно 6.5%, но в будущем планируется существенно снизить данный показатель.

Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux, так и для противостояния эксплоитам для ещё неизвестных уязвимостей, если в них не применяется специальных мер для обхода LKRG. При тестировании LKRG успешно справился с определением попыток эксплуатации уязвимостей CVE-2014-9322 (BadIRET), CVE-2017-5123 (отсутствие проверки access_ok() в waitid()) и CVE-2017-6074 (use-after-free в DCCP), но не подходит для определения таких проблем, как CVE-2016-5195 (Dirty COW), поражающих компоненты пространства пользователя через ядро.

Авторы не исключают наличия ошибок в коде LKRG и возможных ложных срабатываний, поэтому пользователям предлагается сопоставить риски от возможных ошибок в LKRG c пользой от предлагаемого метода защиты. Из положительных свойств LKRG отмечается то, что механизм защиты выполнен в виде загружаемого модуля, а не патча к ядру, что позволяет использовать его со штатными ядрами дистрибутивов. В частности, модуль опробован с ядром RHEL7, OpenVZ/Virtuozzo 7 и Ubuntu 16.04. В дальнейшем возможно будет организован процесс формирования бинарных сборок для популярных дистрибутивов.

В будущем также ожидается поддержка отслеживания выхода за пределы изолированных контейнеров (смена namespace) и полноценные средства для блокирования атак - в текущей версии сведения о нарушениях целостности выводятся в виде информационных уведомлений, записываемых в лог ядра. Отдельно развивается расширенный вариант модуля, в котором предоставлены дополнительные опции для защиты процессов, файлов и логов (например, защищённый лог не может быть изменён и удалён, даже пользователем root, а только дополнен).

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление сборки Openwall GNU/*/Linux 3.1-stable
  3. OpenNews: Проект Openwall представил web-интерфейс blists и новый список рассылки kernel-hardening
  4. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  5. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
  6. OpenNews: Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: openwall, kernel, lkrg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, AnPoz, 10:32, 30/01/2018 [ответить] [смотреть все]    [к модератору]
  • +/
    Лучшая защита это отсутствие возможности.
     
     
  • 2.2, наноним, 10:35, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +38 +/
    нет компьютера - нет уязвимостей!
     
     
  • 3.51, Шумер, 10:44, 31/01/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +5 +/
    "Нам эти ваши интернеты на... не нужны!" (с)
     
     
  • 4.66, Аноним, 17:34, 02/02/2018 [^] [ответить] [смотреть все]    [к модератору]
  • –1 +/
    Увы, иранцам это не помогло, так что отсутствие компьютеров таки безопаснее.
     
  • 3.60, 123, 18:27, 31/01/2018 [^] [ответить] [смотреть все]    [к модератору]
  • –1 +/
    RMS одобряет. Он таким образом решил для себя проблему с телефонами.
     
  • 1.6, Аноним, 11:32, 30/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Ошибки не исключены на любой стадии ... весь текст скрыт [показать]
     
     
  • 2.17, Andrey Mitrofanov, 13:33, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    На другой стадии они из будут исключать -- и ошибаться в этом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, solardiz, 15:49, 30/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    Не будем исключать. Это ошибка при составлении новости на OpenNet (но всё равно большое спасибо модераторам что вникли в суть проекта и опубликовали здесь новость). В исходном английском тексте это два разных абзаца - один о том что ошибки и в том числе уязвимости в самом LKRG возможны (и это надо учитывать при принятии решения о его (не-)использовании в конкретном случае) и другой о том что проект на ранней стадии и мы ожидаем ложные срабатывания (из-за чего LKRG пока не принимает жестких мер при обнаружении нарушений).
     
  • 1.7, Аноним, 11:51, 30/01/2018 [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Можно уменьшить потерю производительности ценой небольшого повышения потребления... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 11:52, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Хотя модулем такое сделать скорее всего не получится.
     
     
  • 3.9, Аноним, 12:21, 30/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ви таки хотите поломать нашу любимую машину Тьюринга И добавить туда блекджека ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 12:31, 30/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    http openwall info wiki p_lkrg Protected_Features приятных им глюков с kretpro... весь текст скрыт [показать]
     
  • 1.13, X4asd, 13:07, 30/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –7 +/
    хренью занимаются..

    придумали какого-то касперского для Linux.

     
     
  • 2.30, Michael Shigorin jolla, 16:41, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вы, как обычно, не обладаете даже квалификацией для понимания ее недостатка н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, pavlinux, 23:51, 30/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Всё нормально, мы для таких и работаем ... весь текст скрыт [показать]
     
  • 3.43, Аноним, 00:04, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    недостаток очевиден медной проволокой прикрутили костылище вполне себе обыкно... весь текст скрыт [показать]
     
     
  • 4.44, Аноним, 00:04, 31/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    антипаттерн*
     
  • 1.14, Аноним, 13:07, 30/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Ну то есть всё как обычно Если эта штука станет достаточно распространена, её б... весь текст скрыт [показать]
     
  • 1.16, Аноним, 13:32, 30/01/2018 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Неудачное название для такого класса проектов, 8212 открытая стена ... весь текст скрыт [показать]
     
     
  • 2.19, Andrey Mitrofanov, 13:44, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Окна tm R sm -- лучше ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, pavlinux, 15:18, 30/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Солнышко, Яблоко, Дурдом Ромашка, Конц лагерь Огонёк ... весь текст скрыт [показать]
     
  • 2.26, solardiz, 15:40, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    По-моему, наоборот очень удачное У нас motto - bringing security into open env... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Нанобот, 14:30, 30/01/2018 [ответить] [смотреть все]     [к модератору]  
  • –7 +/
    жалкое подобие Windows PatchGuard первые версии которого появились более десяти... весь текст скрыт [показать]
     
     
  • 2.25, solardiz, 15:27, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Аналогия уместна, но по-моему она ограничивается тем что мы в анонсе LKRG называ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Michael Shigorin jolla, 16:47, 30/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    это именно что жалкий виндовбросчик, не стоит внимания... весь текст скрыт [показать]
     
  • 3.42, pavlinux, 23:54, 30/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Нельзя защищать то от того , чего еще нет ... весь текст скрыт [показать]
     
  • 1.21, Ананас, 14:52, 30/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Лет 10-12 назад проблема достойно решалась использованием LIDS.
    Теперь вариант с LKRG...
    Все вращается по кругу.
     
     
  • 2.24, solardiz, 15:19, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    По-моему, общее с LIDS здесь только то, что в новости в последней фразе последне... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, ПавелС, 14:28, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален BSD securelevel результат тяжёлой паранойи поверьте мн... весь текст скрыт [показать]
     
  • 1.34, VINRARUS, 21:01, 30/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    А я сказал: "Вот и на Linux появился антивирус"!
    Шо за цензура на ресурсе?
     
     
  • 2.38, Michael Shigorin, 23:09, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Похоже, кто-то из коллег-модераторов или даже скрипт-автомодератор счёл, что эта... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, VINRARUS, 04:20, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    В чом истерика то Обычная констатация факта А аргументы в новости написаны М... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 11:19, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну наверное тем, что как раз вирусы-то он и не ловит ... весь текст скрыт [показать]
     
     
  • 5.61, VINRARUS, 20:40, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Как будто антивирус их ловит D... весь текст скрыт [показать]
     
  • 1.35, worldmind, 21:51, 30/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Так теперь хакеры будут сначала модифицировать этот модуль, а потом уже ядро?
     
     
  • 2.69, Аноним, 13:19, 04/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Достаточно только модуль.
     
  • 1.48, Аноним, 04:56, 31/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Лол и чем же это отличается от Кошперговского Не удивлюсь появлению полностью... весь текст скрыт [показать]
     
  • 1.50, Аноним, 09:02, 31/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    solardiz, если кто-то добьётся rce в режиме ядра, то что ему помешает найти вашу... весь текст скрыт [показать]
     
     
  • 2.54, Аноним, 12:15, 31/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Если кто-то добьётся RCE на уровне ядра, то зачем ему что-то менять, когда RCE у... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Аноним, 22:01, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вообще-то я спрашивал solar designerа Имхо тут 2 варианта 1 проверка происходи... весь текст скрыт [показать]
     
     
  • 4.63, solardiz, 22:45, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Во-первых, мы сразу позиционируем LKRG как bypassable by design и как предоставл... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 03:36, 01/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ясно, спасибо.
     
  • 5.67, Аноним, 18:41, 02/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Звучит очень разумно Это не абсолютная защита, но подложить атакующим пару мин ... весь текст скрыт [показать]
     
  • 1.65, Аноним, 14:00, 01/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А вот и антивирус, в pro версии видимо добавят сигнатуры эксплоитов ;-)
     
     
  • 2.68, Аноним, 04:49, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Прежде, чем добавлять сигнатуры в Pro версию, надо убедиться, что те эксплойты о... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor