The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код в загружаемое ядро Linux

30.11.2024 23:01

Исследователи из компании ESET выявили новый буткит "Bootkitty", устанавливаемый после взлома системы вместо загрузчика GRUB и применяемый для подстановки в ядро Linux вредоносных компонентов, которые затем позволяют атакующему скрыто контролировать систему и выполнять в ней свои действия. Утверждается, что это первый UEFI-буткит, нацеленный на поражение систем Linux.

Bootkitty размещается в файле grubx64.efi в системном разделе EFI (EFI system partition, /boot/efi/EFI/ubuntu) вместо штатного загрузчика GRUB. После активации UEFI-прошивкой буткит загружает в память реальный загрузчик GRUB2 и вносит в размещённый в памяти код GRUB2 изменения, отключающие проверку целостности компонентов, загружаемых в дальнейшем, а также добавляет обработчик, вызываемый после распаковки образа ядра Linux в память. Указанный обработчик вносит изменения в загруженные в память функции ядра (отключает проверку модулей по цифровой подписи), а также изменяет строку запуска процесса инициализации с "/init" на "LD_PRELOAD=/opt/injector.so /init)".

Библиотека injector.so перехватывает некоторые операции SELinux и функцию init_module, которая затем используется для загрузки модуля ядра /opt/dropper.ko. Модуль ядра dropper.ko создаёт и запускает исполняемый файл /opt/observer, затем скрывает себя в списке модулей ядра и выставляет обработчики системных вызовов, таких как getdents и tcp4_seq_show, для скрытия файла /opt/observer и определённого сетевого трафика. Исполняемый файл /opt/observer загружает модуль ядра /opt/rootkit_loader.ko, который является загрузчиком руткита /opt/rootkit.

Для установки буткита требуется привилегированный доступ к системе и обычно подобные виды вредоносного ПО используются атакующими после успешного взлома или компрометации системы для закрепления своего дальнейшего присутствия и скрытия осуществляемой вредоносной активности. Библиотека injector.so и вредоносные модули ядра помещаются атакующим в образ начального RAM-диска или в файловую систему. Загрузчик grubx64.efi размещается в раздел с файлами для UEFI.

В варианте Bootkitty, попавшем в руки исследователей, модификация функций в памяти ядра производилась по заранее определённым смещениям без проверки корректности этих смещений для загруженной версии ядра. Используемые в Bootkitty смещения были применимы лишь к версиям ядра и GRUB, поставляемым в определённых выпусках Ubuntu, а в остальных системах приводили к сбою при загрузке. Для верификации загрузчика Bootkitty (grubx64.efi) использовался самоподписанный сертификат, что не позволяло применять буткит на системах с включённым режимом UEFI Secure Boot без установки сертификата атакующего в список заслуживающих доверия сертификатов в UEFI. Подобные особенности натолкнули исследователей на мысль, что Bootkitty лишь прототип буткита, пока не применяемый для реальных атак.

Изучив опубликованную ESET информацию, исследователи из компании Binarly REsearch заметили среди связанных с Bootkitty артефактов BMP-изображения, используемые для эксплуатации уязвимости LogoFAIL, позволяющей выполнить код на уровне UEFI-прошивки и обойти механизм UEFI Secure Boot. В контексте Bootkitty эксплуатация уязвимости LogoFAIL применялась для добавления в список одобренных сертификатов UEFI самоподписанного сертификата атакующего, которым заверен загрузчик буткита grubx64.efi, что позволяло запустить буткит на системах c активным UEFI Secure Boot без добавления сертификата вручную.

Атака осуществляется через размещение в разделе ESP (EFI System Partition) специально оформленного изображения в формате BMP для его вывода UEFI-прошивкой в качестве логотипа производителя. Из-за использования в UEFI-прошивках уязвимых библиотек для работы с изображениями, обработка специально оформленного изображения может привести к переполнению буфера и выполнению кода с привилегиями прошивки UEFI. Уязвимость LogoFAIL была выявлена год назад и затрагивала UEFI-прошивки, среди прочего используемые на ноутбуках Acer, HP, Fujitsu и Lenovo. В новых версиях UEFI-прошивок проблема устранена, но многие находящиеся в обиходе устройства продолжают работать с уязвимыми версиями прошивок.



  1. Главная ссылка к новости (https://www.binarly.io/blog/lo...)
  2. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
  3. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
  4. OpenNews: Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd
  5. OpenNews: Уязвимости в UEFI-прошивках на базе фреймворка InsydeH2O, позволяющие выполнить код на уровне SMM
  6. OpenNews: Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62321-bootkit
Ключевые слова: bootkit, uefi, mallware, logofail
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:13, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Shim и его последствия, которых пришлось подождать.
     
     
  • 2.5, Аноним (5), 23:32, 30/11/2024 [^] [^^] [^^^] [ответить]  
  • +16 +/
    100%. Вместо внятной документации по описанию работы secure boot и утилит по рулению ключами, например, люди получили черный ящик, который как-то работает. Производители железа вот прямо с этого места (как-то работает) умыли руки. Гора родила shim, чтобы хоть как-то прокыстылять положение дел, но сильно понятней, как устроен SB не стало, и тоже умыли руки.
     
     
  • 3.16, Семен (??), 01:13, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +14 +/
    SB как раз работает очень даже понятно, так же UEFI. Есть всем доступная и понятная документация и спецификация. Все ровно так же как в интернете работает SSL или TLS, есть корневой сертификат - центра доверия - сертификат Microsoft, им подписываются вендор сертификаты, у каждого производителя оборудования они так же могут быть свои и они вшиты в прошивку или в чип с защитой от стирания и перезаписи, таким образом все другие сертификаты подписанные этими сертификатами могут быть легко проверены по открытой подписи корневого сертификата. Но такие закрытые ключи никто не дает, но дают открытый. Таким образом все бинарники подписанные этими сертификатами проходят sb политику безопасности и легко проверяются, подпись и контрольные суммы не возможно подделать. Так же работает любая цифровая подпись https://www.gnupg.org/gph/en/manual/x135.html

    Собственно некоторые вендоры позволяют ставить самоподписанные сертификаты, которые хранятся в TPM, но их можно установить только через бинарник подписанный корневым сертификатом. Как я знаю загрузчик просто передает управления shim, который производит дальнейшную проверку SB, потому что собственно сама прошика не знает как проверить подписи у разных типов файлов, и какие там смещения в файлах, а дальше он передает управление grub и ядру подписанными самоподписанными сертификатами или вендор ключами, теперь они становятся центрами доверия и ядро может проверять свои модули, вроде как RedHat все же дали в какой-то момент свой вендор ключ. Отсюда лучше иметь SB чем его не иметь, вы так пишете будь-то при MBR не было буткитов, было и не мало, и установить их было намного проще. Проблема заключается в другом, что в современном компьютере при включении запускается с десяток чипов-устройств, у которых свои прошики, которые напоминают операционную систему и имеют свободный доступ к системным шинам, отсюда там могут быть и бекдоры и уйзвимости, которые можно использовать. И это кстати не байки для параноиков, это реальность(посмотрите видео от инженеров по устройству компьютеров), что почти каждое устройство имеет свою микро операционную систему и свободный доступ к подключенным шинам.

     
     
  • 4.51, Аноним (51), 07:32, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Всё настолько прозрачно и понятно, что до сих пор https github com rhboot shim... большой текст свёрнут, показать
     
     
  • 5.61, нах. (?), 11:06, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вопрос в другом, что мешает зловредам подписываться теми же сертом что и shim?

    то что у их авторов нет закрытого ключа microsoft, которым подписан shim, неожиданно, правда?

    А ты продолжай добавлять непонятные тебе ключи не читая документацию, используя вместо нее мурзилки от неведомых васянов. Так точно безопастно.

    > до сих пор нет нормальной инструкции, как сгенерировать свои ключи, подписать ядро/модули, граб,
    > залить в TPM и получить нормально загружающуюся систему.

    значит тебе и не надо этим заниматься.

    За тебя все сделали редхат с убунточкой. Пользуйся на здоровье.

     
     
  • 6.134, Аноним (134), 13:57, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Полагаться на безопасТность от Micro$oft - такая себе безопасность.
     
     
  • 7.147, Аноним (-), 19:03, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Полагаться на безопасТность от Micro$oft - такая себе безопасность.

    Ну так они и сообщили что отзывать проблемные ключи которыми подписан дырявый или малварный крап - не будут, ибо загрузка винды тоже сломается. Так что - тусите с малварью, и черт с ней с секурити. Вот если сломать загрузку конкурентам - там безопасность во все поля. А если загрузку винды - и черт с ней с безопасностью.

    По моему такая политика лучше всего описывается фразой "двойные стандарты".

     
     
  • 8.156, Семен (??), 13:14, 03/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так это же бред Чтобы отзывать скомпроментированный сертификат не нужно отзыват... текст свёрнут, показать
     
     
  • 9.164, нах. (?), 18:06, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    проблема что им понаподписывали чего - MS так толком и не призналась Т е д... текст свёрнут, показать
     
     
  • 10.168, Аноним (168), 07:33, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    shim - зло, делающие невозможным реализацию цепочки Integrity ... текст свёрнут, показать
     
  • 5.111, Аноним (111), 00:03, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Конечно всё было. Претензия в том, что первый компьютер с материнской платой
    > uefi+sb появился где-то в 2015, но до сих пор нет нормальной
    > инструкции, как сгенерировать свои ключи, подписать ядро/модули, граб, залить в TPM
    > и получить нормально загружающуюся систему.

    А потому что эти знания не для гоев, это кому надо знают и скоро будут продавать гоям uki, которую как раз выкатят под шумок о том, что какие зря ядра гоям неположены, а только лишь правильноподписанные.

    > Всё сводится к тому, что загрузи PreLoader, заэнролль ключи - и не
    > e b мозги себе и другим людям. Дутая сесурность какая-то.

    Бгг, уважаемый, какая сикурность может быть в недобиосах, в которых вкорячивают форму для отправки мыла разработчикам этой блоатвари, прямо с модными GUI?! xD

     
  • 5.120, Аноним (120), 07:56, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все разъяснил https www opennet ru openforum vsluhforumID3 134399 html 80 htt... большой текст свёрнут, показать
     
  • 4.52, Аноним (-), 07:33, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >И это кстати не байки для параноиков, это реальность(посмотрите видео от инженеров по устройству компьютеров), что почти каждое устройство имеет свою микро операционную систему и свободный доступ к подключенным шинам.

    Intel ME - внутри работает MINIX3.

     
     
  • 5.79, Аноним (79), 14:04, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У-у-у, как страшно! Выключи компьютер из розетки, и не подходи к нему больше!
     
     
  • 6.113, Neon (??), 00:28, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, а палестинцев пейджеры взрывались. Никогда не стоит брать пейджеры и мобилы в руки
     
     
  • 7.128, Финнишпруф (?), 10:59, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Твоя клавиатура. 3.. 2.. 1..
     
  • 7.157, Семен (??), 17:33, 03/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не только пейджеры. А уже есть инциденты в РФ, вроде этим летом началось что Keysight и Rohde & Schwarz массово заблокировали осциллографы, векторные анализаторы и другое измерительное оборудование. При этом вместе с оборудованием в РФ еще случайным образом было заблокировано оборудование в совершенно разных странах. И для разблокировки просят копии документов от их официального поставщика в их стране. Притом разблокировать они не торопятся, и там бюрократия, у людей прошли месяцы с момента подачи документов и разблокировки, и встала работа. На западе вообще паранойя, в первые дни СВО они начали блокировать инженерное ПО якобы по причине, что оно может использоваться для производства оружия. У меня так лицензию на честно купленный матлаб заблокировали.
     
     
  • 8.161, Аноним (161), 09:16, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В 2012 году, до 2014 и до 2022 годов, удаленно, были заблокированы газовые турби... текст свёрнут, показать
     
  • 8.165, нах. (?), 18:10, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    наверное, случилось что-то ... текст свёрнут, показать
     
     
  • 9.167, Аноним (-), 19:14, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да там и дроны стали периодически улетать - в Баларусь, чтоли Хотя, вроде, по в... текст свёрнут, показать
     
  • 9.169, Аноним (168), 07:44, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно как происходит отключение В выше перечисленных случаях наверно через ... текст свёрнут, показать
     
     
  • 10.171, Семен (??), 17:14, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не редко все приборы объединены в локальную сеть, и рулятся через софт - больше ... большой текст свёрнут, показать
     
  • 4.102, keydon (ok), 17:47, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > есть корневой сертификат - центра доверия - сертификат Microsoft

    Что может пойти не так?

    > Собственно некоторые вендоры позволяют ставить самоподписанные сертификаты

    А некоторые не позволяют. Чувствуешь отличие от браузеров? И если с браузерами это была бы проблема "не могу зайти на сайт", то с UEFI "не могу поставить систему".

    > которые хранятся в TPM

    Чёрный проприетарный ящик который уже как миниум в 2ух редакциях оказался полным корытом. Что может пойти не так?

    > Отсюда лучше иметь SB чем его не иметь

    Иногда табличка "осторожно возможен камнепад" помогает лучше чем наличие жёлтой касочки

     
     
  • 5.105, Семен (??), 19:59, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего, если все работает Отозвать сертификат можно только обновлением прошивки... большой текст свёрнут, показать
     
     
  • 6.118, keydon (ok), 05:10, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зато подписать может и сам майкрософт и скорее всего любое правительство под чей... большой текст свёрнут, показать
     
  • 4.110, Аноним (111), 23:58, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > SB как раз работает очень даже понятно, так же UEFI. Есть всем
    > доступная и понятная документация и спецификация.

    На которую примерно лишь все кладут болт и каждый суслик аграном делает по-своему, отчего реальные реализации UEFI настолько кривы и костыльны, как бох на душу положит, что разработчики Debian об этом прямо официально в каждом установщике предупреждают, что это сраный и убогий е#%ный стыд и так быть не должно, мы сделали с нашей системой непотребства, чтобы оно всё равно работало, но имейте в виду, что вы пользуетесь зашкварными прошивками, который шкварит Debian и само понятие логично построенных систем.

     

     ....большая нить свёрнута, показать (25)

  • 1.2, Аноним (2), 23:14, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    И таких подстав ещё цать. Открытый исходный код... Присылайте ваши пулл-реквесты!
     
     
  • 2.3, Аноним (3), 23:24, 30/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.microsoft.com/ru-ru/security/
     
  • 2.24, Bottle (?), 01:55, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вообще, проблема безопасности системная, начиная с железа.
    Пока не решат проблему на аппаратном уровне, править программные ошибки смысла мало.
     
     
  • 3.101, Аноним (101), 17:18, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    На том же железе, но с Legacy BIOS, таких проблем почему-то не было.
     
     
  • 4.140, Аноним (140), 14:54, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т.к. хомяк в то время ещё не выбрал Вебню. Теперь выходит, вебню надо отсаживать в абсолютную изоляцию. Одновременно вебня хочет верификацию, чтобы быть уверенной в контроле.

    Типовая корпоративно-бизнесовая возня.

     
  • 4.142, нах. (?), 16:02, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ловите попаданца!

    В _нашем_ мире буткитов для "legacy bios" "почему-то" было и есть мильен с тыщами, их уже даже по названиям никто не запоминает.

    А вот для uefi, обратите внимание - пока нашли целый аж один.

     

  • 1.6, Oe (?), 23:35, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Переполнение в декодере bmp ахахахаха, там код "декодера" две с половиной строки, даж на ламповом компьютере запустится.
     
     
  • 2.18, Семен (??), 01:18, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати да, формат нереально простой, как они так могли обосраться. Может специально был бекдор? Мне что-то верится с трудом, что в коде в пару сотен строк, в которым пару десятков строк нужны для декодирования можно так ошибиться и не заметить переполнение.
     
     
  • 3.30, Аноним (30), 02:47, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > как они так могли обосраться

    Ты не поверишь, взяв опенсорсную либу. Думали там тысячи глаз, но не знали, что все шоколадные. А других бесплатных кодеров у нас для вас нет.

     
     
  • 4.50, Аноним (50), 07:03, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты не поверишь, но у MS тоже был баг в декодере BMP в IE. И никакого опенсорса, кстати.
     
  • 3.58, Аноним (58), 10:05, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может специально был бекдор?

    Торвальдса в содружестве с Microsoft проверьте.

     
  • 3.117, Аноним (101), 04:32, 02/12/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     

  • 1.8, Oe (?), 23:41, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    А чо в конце 2024 адреса функций всё еще не рандомизируются при каждой компиляции и двадцать лет лежат по статичным адресам?
    'затем скрывает себя в списке модулей ядра'
    А чо модуль ядра может сам себя скрыть? У вас все равно 99% тормозов в  юзерспейсе, неужели нельзя модули в контейнерах запускать? Ах, обратная совместимость, нельзя ломать.
     
     
  • 2.9, Aliech (ok), 00:00, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Дорогой Анон, а просвети как, как это модуль ядра запустить в контейнере? Каком контейнере?
     
     
  • 3.10, Аноним (10), 00:07, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Создаёшь докер в докере. Пишешь код модуля, для наглядности используй javascript, да и нода тоже пригодится, инструмент ведь универсальный. А потом запускаешь. Понял?
     
     
  • 4.14, Аноним (14), 00:48, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это такое издевательство?

    Запускать части ядра в контейнерах?

    Кого вы хотите им проклясть?

     
  • 4.32, Аноним (32), 03:05, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какой бред.
     
     
  • 5.43, Аноним (2), 03:57, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты тоже помогай, без тебя не справятся.
     
  • 4.56, gleb (?), 09:46, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Создаёшь докер в докере.

    то есть, приглашаешь потенциального взломщика похакать ещё и хостовую систему?

    ну, ок.

     
  • 4.94, Аноним (-), 16:58, 01/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.15, sysrise (ok), 00:57, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Видимо 20 футовом ;)
     
  • 3.19, Oe (?), 01:33, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Берешь и запускаешь. Не запускается, значит переписываешь ядро и модуль пока не начнет запускаться.
     
  • 2.21, Аноним (21), 01:44, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >А чо модуль ядра может сам себя скрыть?

    А то как же! Ядерный код же!
    >У вас все равно 99% тормозов в  юзерспейсе, неужели нельзя модули в контейнерах запускать?

    Молодёжь переизобретает микроядро же!
    >Ах, обратная совместимость, нельзя ломать.

    Это последсвия потери идей миникса же! Таненбаум предупреждал же!

     

  • 1.23, мяв (?), 01:54, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и да, все равно массовое заражение будет для атакующего болью - в федоре, вон, уже на uki перешли и MOK выкинули
    зы. про выкидывание не уверена, но если не выкинули - странно.. тогда переход смысла лишается.
     
     
  • 2.60, cat666 (ok), 10:54, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и как это осложнит заражение системы, если все средства для формирования uki и его подписи есть на целевой системе? Всё тоже самое только другим модным словом называется.
     
  • 2.62, нах. (?), 11:08, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    внезапно, uki тоже надо чем-то подписать. microsoft за вас это делать не собирается.

     

  • 1.25, мяв (?), 01:59, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Библиотека injector.so перехватывает некоторые операции SELinux и функцию init_module

    каким образом буткит собрался что-то в /boot вытанцовывать с включенным selinux перед перезагрузкой - тоже не совсем ясно.
    редхатовская политика левым процессам не дает в boot_t писать.

     
     
  • 2.39, Семен (??), 03:18, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все гениальное просто: setenforce 0
    Во всех redhat подобных дистрибутивах можно отключить selinux, запрет на изменения прописываются в конфиге ядра при сборке, думаю они не отключают эту функцию, на случай траблшутинга и запуска релайбла у малограмотных юзеров. 99% пользователей не знают, как им пользоваться и как разрабатывать свои политики, если их софт чудесным образом не запускается. Вы не поверите, но в очень большом количество туторов для редхат, центоса, и федоры первым делом отключают selinux. Классический пример, на котором 99% пользователей затыкаются, что при создании директории вебсервера и запуска вебсервера, вебсервер ваш шлет на 3 буквы из-за selinux и люди не могут прописать нужные контексты.

     
     
  • 3.67, нах. (?), 11:17, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    autorelabel все равно ж при перезагрузке делается Совершенно непонятно, зачем р... большой текст свёрнут, показать
     
     
  • 4.77, мяв (?), 13:53, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >потому что хрен знает, какие там нужны.

    ps -eZ | grep myService

    >обратите вон внимание на *bsd - securelevel двигается только в одну сторону, вверх.

    tomoyo и емнип, AA, тоже могут изменения политики в рантайме запрещать.

     
     
  • 5.91, нах. (?), 16:30, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну я же сразу обозначил что речь не о твоем локалхосте.

    Не так просто там все правильно настроить. Если софт не свой и не хеловрот - то можно считать нереальным. Поэтому если есть transition mode и соответствующий переключатель - лучше им воспользоваться. targeted selinux никогда не задумывался для защиты твоих приложений, это универсальное решение, прикрывающее _штатные_ системные. Причем вот ровно те до которых дошли руки - на то и targeted. В частности про которые заранее хорошо известно, куда они лезут и что им там надо.

    Ну или горе-писатель политики думал что ему известно. С веб-серверами последнее. Впрочем, старожилы еще помнят десять лет неработавший tftp, потому что автор политики не знал для чего на самом деле тот предназначен и как используется.

     
     
  • 6.112, мяв (?), 00:24, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >то можно считать нереальным.

    не нужно проецировать .. это несколько команд.
    >куда они лезут и что им там надо.

    в случае с 99% приложений, Вы это предугадать не сможете.
    условно, пользователь конфиг к себе в хомяк засунет. или какой-то drop-in.
    > прикрывающее _штатные_ системные

    системные тоже обычно работают с файлами, указанными пользователем.
    и пользователь, очевидно, должен уметь работать со штатной системой защиты.
    политики и вовсе можно довольно удобно прям с приложениями поставлять через пм.
    в каком-то непопулярном дитрибутиве так и сделано, вместо одного-двух пакетов с политикой.

    >Впрочем, старожилы еще помнят десять лет неработавший tftp

    старожилы за 10 лет случайно auditd  илм хотя бы audit2allow не осилили?

     
     
  • 7.155, нах. (?), 12:22, 03/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > не нужно проецировать .. это несколько команд.

    повторяю, твой опыт локалхоста нужен примерно никому. Он у тебя торчит примерно из каждой строчки.
    По "myService" уже было все понятно.

    >>куда они лезут и что им там надо.
    > в случае с 99% приложений, Вы это предугадать не сможете.

    опыт локалхоста

    > старожилы за 10 лет случайно auditd  илм хотя бы audit2allow не осилили?

    опыт локалхоста

     
     
  • 8.160, мяв (?), 01:54, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы, кроме матры про локалхост, не сказали ничего специально для Вас Вам на ... большой текст свёрнут, показать
     
     
  • 9.162, нах. (?), 12:17, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тебе на нелокалхосте когда-нибудь придет понимание что там нет никакого отдельно... текст свёрнут, показать
     
  • 9.163, мяв (?), 12:32, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ответ на комментарий выше нах, man auditd это Ваше подобие тех аргумента руби... текст свёрнут, показать
     
     
  • 10.166, нах. (?), 18:58, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну почему, почему местные недоучки прочитавшией аж целый man auditd думают что х... текст свёрнут, показать
     
  • 4.148, Аноним (-), 19:06, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > (обратите вон внимание на *bsd - securelevel двигается только в одну сторону,
    > вверх. Из 1 сделать ноль без перезагрузки нельзя никак. И если
    > загрузчик тоже настроен ставить его в 1 - без перехвата управления
    > снова никак.)

    Lockdown так же работает. Как и например загрузки модулей. Правда, даже так - более 9000 способов как попробовать нечто этакое все же останется.

    Прикинь - у твоих замшелых жителей башни слоновой кости нет монополии на эту идею.

     
     
  • 5.150, нах. (?), 19:38, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вот и имеете мильен способов, все в теории, "как попробовать нечто". На деле ничего не работает и сразу все ломается.

    А не один параметр в конфиге, там где он и должен был бы быть и где его ожидают найти. С которым просто работает - потому что это штатное хорошо изученное решение.

     
     
  • 6.158, Аноним (-), 00:06, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    code 0 850860 Kernel is locked down from Kernel configuration see man k... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (13)

  • 1.29, Аноним (29), 02:43, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сделали бы защищённое хранилище для загрузчиков и доступ к нему по одноразовому коду, показывать код на отдельном экране - вспотеешь загрузчик подменять вредоносами. А сейчас какой-то недосекурибут который кроме тивоизации ничего не даёт.
     
     
  • 2.37, Аноним (32), 03:14, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уже же есть такое - вынос загрузчика на флеш.
     
     
  • 3.40, Аноним (29), 03:29, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > вынос загрузчика на флеш

    непрактично как все прочие внешние накопители

     
  • 3.93, Аноним (-), 16:55, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как это вас защитит от буткита? Вынуть флешку из компьютера? Оригинально, только от всех буткитов не защитит.
     
     
  • 4.107, Аноним (107), 22:59, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, я тут подумал - идея с флешкой, если для 3.5 дюйма слота в целом неплохая идея - нажимаешь кнопочку, флешка вставлена, нажимаешь ещё раз - вынута. И тем не менее - не очень удобно, да и подмену бута можно заметить не сразу. Привыкнешь - можно не заметить подмену что оно бутается без флешки, кнопку по привычке можно включать или не выключать.
     
     
  • 5.116, Аноним (-), 03:54, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Впрочем, я тут подумал - идея с флешкой, если для 3.5 дюйма
    > слота в целом неплохая идея - нажимаешь кнопочку, флешка вставлена, нажимаешь
    > ещё раз - вынута. И тем не менее - не очень
    > удобно, да и подмену бута можно заметить не сразу. Привыкнешь -
    > можно не заметить подмену что оно бутается без флешки, кнопку по
    > привычке можно включать или не выключать.

    Есть флешки с переключателем ReadOnly, как и полноразмерные SD карты, между прочим. К тому же на SD можно выставить перманентный readonly пульнув в нее соотв команды.

     
     
  • 6.154, Аноним (154), 02:11, 03/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > К тому же на SD можно выставить перманентный readonly пульнув в нее соотв команды.

    Да там переключатель есть сбоку. А кому это нужно? Где-то на заводах?

     
     
  • 7.159, Аноним (-), 00:12, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тем кто не хочет проходной двор у себя в системах В uSD переключателя, таки, не... большой текст свёрнут, показать
     
  • 2.57, Аноним (57), 09:57, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >кроме тивоизации

    так в этом и была задача изготовления инновации. Остальное — мусор для тиктокеров и квадробберов, возомнивших себя хозяевами своих устройств.

     
  • 2.63, нах. (?), 11:11, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты не хочешь оплачивать отдельный экран. Может еще и отдельную клавиатуру для ввода кодов тебе? Посмотри цены на карточные терминалы и расстройся.

    А потом окажется что код писали лудшие специалисты из под Бангалора, и при нажатии какой-нибудь кнопки надолго - контроль ввода кодов отключается из-за переполнения кольцевого буфера (привет, grub)

     
     
  • 3.73, Аноним (29), 13:14, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Посмотри цены на карточные терминалы и расстройся.

    ахаха - 100 руб в розницу, отдельная клавиатура нафик не нужна

    https://aliexpress.ru/item/1005005335436970.html

    кроме паролей можно и другую инфу выводить - заряд акума, температуру и тд

     
     
  • 4.83, Аноним (83), 14:48, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ахаха - 100 руб в розницу, отдельная клавиатура нафик не нужна
    > https://aliexpress.ru/item/1005005335436970.html

    И? Дальше-то что? Взаимодействие с этой дорогущей (тут производители железок все еще берут 8и и 16 битную мк-рухлядь вместо STM32, икслючительно потому что стоит 4, а не 24 цента) фиговиной кто обеспечивать будет?
    А совету директоров объяснять, зачем недополученую прибыль на крень спустили?

     
     
  • 5.89, нах. (?), 16:21, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Взаимодействие с этой дорогущей (тут производители железок все еще берут 8и и 16 битную
    > мк-рухлядь вместо STM32, икслючительно потому что стоит 4, а не 24 цента) фиговиной кто
    > обеспечивать будет?

    драйвер уэфи написать для нее (ну правда заодно i2c - вряд ли в уэфи есть штатный) можно - вопрос чем он поможет и от чего.

    Я, как обычно, недооценил интеллектуальный уровень местной публики, он сугубо отрицательный.

     
     
  • 6.108, Аноним (108), 23:21, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Я, как обычно, недооценил интеллектуальный уровень местной публики, он сугубо отрицательный.

    Так круто же. Integer underflow -> эвона какой IQ ломовой. Вот это я понимаю - задним умом крепок!

     
  • 5.96, Аноним (29), 17:01, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > тут производители железок все еще берут 8и и 16 битную мк-рухлядь

    где тут и каких железок, вы наркоты объелись тут все чтоли

     
     
  • 6.104, Аноним (83), 18:08, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Сделали бы защищённое хранилище для загрузчиков и доступ к нему по одноразовому коду, показывать код на отдельном экране
    > где тут и каких железок,

    На счетах, очевидно же ...

    > вы наркоты объелись тут все чтоли

    Просто ты, походу, тот еще "стратег", умеющий лишь в раздачу невнятных указаний в комментах "как надо бы правильно, я точно знаю!".
    Куда ты свой "отдельный экран" пихать-то собрался, а? (Гусары молчать!)


     
     
  • 7.137, Аноним (134), 14:07, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Одноразовый код по SMS :)
     
  • 4.88, нах. (?), 16:20, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    так это - просто экран. Ни от чего не защитит и ничему не поможет.
    Чем отличается вывод в него от вывода на основной рабочий и нахрен лазить куда-то под стол к корпусу чтобы посмотреть температуру - у местных кулибиных недоучек можно не спрашивать.

     
     
  • 5.95, Аноним (29), 16:59, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем отличается вывод в него от вывода на основной рабочий

    на сервере основного вообще нет

    > и нахрен лазить куда-то под стол

    у меня ноутбук на столе

     
  • 5.99, Аноним (29), 17:09, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > так это - просто экран. Ни от чего не защитит и ничему не поможет

    защищать надо хранилище с загрузчиком, отдельный экран это опция, а сейчас у тебя защищены ключи микрософта - нахер они вообще нужны ?

     
  • 2.92, Аноним (-), 16:52, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хакеры найдут ту же возможность это использовать Вы ещё смс по телефону предлож... большой текст свёрнут, показать
     

  • 1.59, Геймер (?), 10:49, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На моём подкроватном сервачке на Orange Pi LTS нет никакого Secure Boot и EFI. Bootkitty мимо кассы. Сплю на своей кровати спокойно.

    Das ist U-Boot с декларативным DTS - простой юниксвейный загрузчик. EFI secure boot - пример решения безопасТности за счёт хитроумно выделанной  гайки, на которую всё равно найдётся такой же хитроумно выделанный Bootkitty. То, что Secure Boot - корпоративная шняга в интересах одной корпорации, было ясно ещё с началом свистоплясок с подписыванием и переподписованием ключами Microsoft.

     
     
  • 2.64, нах. (?), 11:12, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    конечно спишь спокойно - играешься-то ты на венде. А это у тебя - для примерно ничего.

    Что помешает в "простом юниксвейном загрузчике" подменить строчку с путем к vmlinux - науке неизвестно.

     
     
  • 3.71, Геймер (?), 11:23, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Плаустатион для игорей альтернатива виндовс. Во многом даже плаустатион тоже юниксвей - делает только игры, но делает это хорошо.
     
  • 2.66, name (??), 11:14, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не говорите ему про TrustZone.
     
     
  • 3.68, нах. (?), 11:18, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это аналог tpm, а не secure boot.

    Без uefi не работает, а тем на orange и не пахнет.

     
     
  • 4.109, Аноним (108), 23:29, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это аналог tpm, а не secure boot.

    Ни того ни другого на самом деле.

    > Без uefi не работает, а тем на orange и не пахнет.

    Вообще-то без ARM Trusted Firmware залитого в него. Как ни странно - для оранжей на allwinner и rockchip оно не только есть в сорцах, u-boot'ом не только можно его загрузить, но - и - черт побери, фирма ARM взяла реализации ATF для этой парочки в официальную репу.

    Ну что, TianoCore и прочее uefi, вот как надо то было на самом деле... и вот так это МОЙ "secure monitor" который вполне можно пропатчить при желании.

     
  • 3.103, Геймер (?), 17:53, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Таки да. Windows 11 похожа на Windows 3.11, которая крутилась поверх системной DOS, предоставляя прикладной оконный интерфейс. Windows 11 крутится поверх системной Trust OS, предоставляя прикладной оконный интерфейс. Можно сказать, вощвращение к своим истокам.

    А мы на Риск 5 перейдём.

     
  • 2.74, мяв (?), 13:35, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "хитроумно выделенный Botkitty" нашелся на платформы с ключами от MS.
    у всех, кто на серьезе SB использует, они свои.
     
  • 2.76, Аноним (29), 13:38, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на Orange Pi LTS нет никакого Secure Boot

    есть, просто отключен по умолчнию а инфу как пользоваться производитель не дает бесплатно

    > Das ist U-Boot с декларативным DTS - простой юниксвейный загрузчик.

    и в чём сложность подменить его вредоносом ?

     
     
  • 3.115, Аноним (-), 03:43, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При желании это зарубить можно его в readonly флеху или карту памяти загнать Но... большой текст свёрнут, показать
     
  • 2.172, Аноним (172), 10:44, 08/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > На моём подкроватном сервачке на Orange Pi LTS нет никакого Secure Boot и EFI.

    https://docs.u-boot.org/en/latest/develop/uefi/uefi.html
    > (UEFI) [1] has become the default for booting on AArch64 and x86 systems.

    Ну как бы он есть, но у тебя конкретно может и отключён. Тут хз уже... По дефолту, кстати, включён на AllWinner (если в menuconfig для u-boot сильно не ковыряться).

     

  • 1.70, devl547 (ok), 11:21, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну всё, ждём зашития вендорлокнутых ядер прямо в материнку производителем, чтоб никто не смог ничего стороннего установить.
    Всё ради вашей безопасности и фоток с котиками!
     
     
  • 2.100, Мечтаю о маке но я нищий и безработный (?), 17:12, 01/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Материнки производятся исключительно под одну конкретную.ос, имя которой всем известно. Ровно как и их драйверы и таблицы acpi. Ну а то что оно работает хоть как-то под этими вашими ядрами, то это заслуга тех, кто написал гору костылей, чтобы оно заработало.
     

  • 1.72, Аноним (72), 11:44, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как и ожидалось, создавать ос, которая будет запускать тебе ос - плохая идея.
     
  • 1.82, xsignal (ok), 14:32, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так UEFI для этого и создавался...
     
  • 1.114, Ivan_83 (ok), 02:00, 02/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять нытьё обделённых что они в опасносте.
    Ну таки да. Раз денег на ещё одну-две флешки жалко и на аппаратный переключатель защиты записи, то так и будет фигня творится.

    Всмысле индустрия сама выбрала вот этот путь экономии, а потом жалуется.
    Попутно напомню что интел свой ME вполне себе подписывает и чекает тем что в железе где то прошито в RO, они для себя проблему решили, за счёт потребителей естессно, а что там у юзеров грузится и насколько это совпадает с тем что реально хотел загрузить юзер их очевидно не интересует.

    Ну и просто по приколу скажу что считать/записать биос не проблема при наличии программатора и доступа к железу.

     
     
  • 2.141, Аноним (140), 15:15, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Теми же словами: программатор-то и был на месте аппаратного переключателя защиты, когда "денег на ещё одну-две флешки жалко и на аппаратный переключатель защиты записи".

    Но и менеджерские и разрабовские карьеры зависят от возможности писать ошибки быстро. А тогда нужно уметь ставить свои обновления в чужих системах, чтобы исправлять собственную халтуру.

    И именно они приносят инновации в реальность.

    А экономика решает в их пользу.

    Занятно: и для проприетарности и для опенсорса нужен высокий уровень образования. Вероятно, это две неотъемлемые части одного. Опенсорс даёт обмен знаниями между исследователями, рождая инновации, проприетарные поднимают эти знания, доводят инновацию до хомячков. И уже только после этого - выйгрышь.

    Опенсорсу нужно своё железо.

     
     
  • 3.144, Аноним (-), 18:04, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сложный вопрос - с одной стороны у нас есть куча веб-камак 700 курсы JS за две... большой текст свёрнут, показать
     
  • 3.145, Аноним (-), 18:08, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Опенсорс даёт обмен знаниями между исследователями, рождая инновации

    Ахаха, пощади, человек-анекдот!
    Опенсорс рождает неюзабельные вырвиглазные поделия, на которые ни один нормальный человек тратить время не будет. Хотя может это были не роды, а выкидышь, тогда это многое объсняет.

    Ну и еще копирует нормальную проприетарь.
    Изредка получается, но чаще всего результат - жалкая пародия на оригинал.
    Гимп, Гном и либрофис передают привет.

    > проприетарные поднимают эти знания, доводят инновацию до хомячков.

    Угу, именно поэтому уже 30 лет пытаются сделать юзабельный десктопный линукс, и всё никак)))

    > И уже только после этого - выйгрышь.

    Выйгрышь в войне с андройдами?

     
  • 2.153, Аноним (154), 02:07, 03/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не безопасно Не практично Поработает данный подход некоторое время, потом флеш... большой текст свёрнут, показать
     

  • 1.123, Соль земли (?), 09:50, 02/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-то изучил загрузку Linux.
     
  • 1.124, Аноним (124), 10:03, 02/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот блин. Я как раз пытаюсь избавиться от EFI, но Grub-coreboot на прошитый chromebook устанавливаться не хочет. sudo grub-install --target=i386-coreboot не работает. Может есть у кого опыт подобного? В интернете информации ноль.
     
     
  • 2.136, Аноним (134), 14:04, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сhromebook, i386 : нестыковочка?
     

  • 1.132, Аноним (134), 13:48, 02/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    В бутките обнаружен буткит. Ничего удивительного.
     
     
  • 2.149, Аноним (-), 19:12, 02/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В бутките обнаружен буткит. Ничего удивительного.

    И главное какой честный буткит
    /opt/rootkit
    /opt/rootkit_loader.ko
    /opt/injector.so
    /opt/dropper.ko

    Красиво так по полочкам разложили, честно написали - "я руткит, не какая-то чукотская фигня".

     

  • 1.152, Кирилл (??), 21:35, 02/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    UEFI Secure Boot решит все проблемы с буткитами говорили они...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру