The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.01.2018 09:11  Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux

Проект Openwall, известный своими инициативами по обеспечению безопасности, представил первый экспериментальный выпуск механизма LKRG (Linux Kernel Runtime Guard), предназначенного для контроля целостности ядра Linux и обнаружения попыток эксплуатации уязвимостей в ядре. Проект находится на стадии тестирования экспериментального прототипа. Лицензия на код модуля пока не выбрана, рассматривается GPLv2. Для финансирования разработки в будущем не исключается выпуск расширенной платной версии LKRG Pro.

LKRG оформлен в виде загружаемого модуля ядра, который пытается выявлять несанкционированное внесение изменений в работающее ядро (проверка целостности) или изменение полномочий пользовательских процессов (определение применения эксплоитов). Проверка целостности выполняется на основе сравнения хэшей, вычисляемых для наиболее важных областей памяти и структур данных ядра (IDT (Interrupt Descriptor Table), MSR, таблицы системных вызовов, все процедуры и функции, обработчики прерываний, списки загруженных модулей, содержимое секции .text модулей, атрибуты процессов и т.п.). Процедура проверки активируется как периодически по таймеру, так и при наступлении различных событий в ядре (например, при выполнении системных вызовов setuid, setreuid, fork, exit, execve, do_init_module и т.п.).

Определение возможного применения эксплоитов и блокирование атак производится на стадии до предоставления ядром доступа к ресурсам (например, до открытия файла), но после получения процессом несанкционированных полномочий (например, смена UID). При выявлении несанкционированного поведения процессов выполняется их принудительное завершение, чего достаточно для блокирования многих эксплоитов. Так как проект находится на стадии разработки, а оптимизации пока не проводились, накладные расходы от работы модуля составляют примерно 6.5%, но в будущем планируется существенно снизить данный показатель.

Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux, так и для противостояния эксплоитам для ещё неизвестных уязвимостей, если в них не применяется специальных мер для обхода LKRG. При тестировании LKRG успешно справился с определением попыток эксплуатации уязвимостей CVE-2014-9322 (BadIRET), CVE-2017-5123 (отсутствие проверки access_ok() в waitid()) и CVE-2017-6074 (use-after-free в DCCP), но не подходит для определения таких проблем, как CVE-2016-5195 (Dirty COW), поражающих компоненты пространства пользователя через ядро.

Авторы не исключают наличия ошибок в коде LKRG и возможных ложных срабатываний, поэтому пользователям предлагается сопоставить риски от возможных ошибок в LKRG c пользой от предлагаемого метода защиты. Из положительных свойств LKRG отмечается то, что механизм защиты выполнен в виде загружаемого модуля, а не патча к ядру, что позволяет использовать его со штатными ядрами дистрибутивов. В частности, модуль опробован с ядром RHEL7, OpenVZ/Virtuozzo 7 и Ubuntu 16.04. В дальнейшем возможно будет организован процесс формирования бинарных сборок для популярных дистрибутивов.

В будущем также ожидается поддержка отслеживания выхода за пределы изолированных контейнеров (смена namespace) и полноценные средства для блокирования атак - в текущей версии сведения о нарушениях целостности выводятся в виде информационных уведомлений, записываемых в лог ядра. Отдельно развивается расширенный вариант модуля, в котором предоставлены дополнительные опции для защиты процессов, файлов и логов (например, защищённый лог не может быть изменён и удалён, даже пользователем root, а только дополнен).

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Обновление сборки Openwall GNU/*/Linux 3.1-stable
  3. OpenNews: Проект Openwall представил web-интерфейс blists и новый список рассылки kernel-hardening
  4. OpenNews: Обновлены патчи ядра Linux от Openwall и подготовлены установочные образы дистрибутива Owl
  5. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
  6. OpenNews: Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: openwall, kernel, lkrg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, AnPoz, 10:32, 30/01/2018 [ответить] [смотреть все]
  • +/
    Лучшая защита это отсутствие возможности.
     
     
  • 2.2, наноним, 10:35, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +38 +/
    нет компьютера - нет уязвимостей!
     
     
  • 3.51, Шумер, 10:44, 31/01/2018 [^] [ответить] [смотреть все]
  • +5 +/
    "Нам эти ваши интернеты на... не нужны!" (с)
     
     
  • 4.66, Аноним, 17:34, 02/02/2018 [^] [ответить] [смотреть все]
  • –1 +/
    Увы, иранцам это не помогло, так что отсутствие компьютеров таки безопаснее.
     
  • 3.60, 123, 18:27, 31/01/2018 [^] [ответить] [смотреть все]
  • –1 +/
    RMS одобряет. Он таким образом решил для себя проблему с телефонами.
     
  • 1.6, Аноним, 11:32, 30/01/2018 [ответить] [смотреть все]  
  • +5 +/
    Ошибки не исключены на любой стадии ... весь текст скрыт [показать]
     
     
  • 2.17, Andrey Mitrofanov, 13:33, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На другой стадии они из будут исключать -- и ошибаться в этом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, solardiz, 15:49, 30/01/2018 [^] [ответить] [смотреть все]  
  • +8 +/
    Не будем исключать. Это ошибка при составлении новости на OpenNet (но всё равно большое спасибо модераторам что вникли в суть проекта и опубликовали здесь новость). В исходном английском тексте это два разных абзаца - один о том что ошибки и в том числе уязвимости в самом LKRG возможны (и это надо учитывать при принятии решения о его (не-)использовании в конкретном случае) и другой о том что проект на ранней стадии и мы ожидаем ложные срабатывания (из-за чего LKRG пока не принимает жестких мер при обнаружении нарушений).
     
  • 1.7, Аноним, 11:51, 30/01/2018 [ответить] [смотреть все]  
  • –2 +/
    Можно уменьшить потерю производительности ценой небольшого повышения потребления... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 11:52, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Хотя модулем такое сделать скорее всего не получится.
     
     
  • 3.9, Аноним, 12:21, 30/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ви таки хотите поломать нашу любимую машину Тьюринга И добавить туда блекджека ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 12:31, 30/01/2018 [ответить] [смотреть все]  
  • +/
    http openwall info wiki p_lkrg Protected_Features приятных им глюков с kretpro... весь текст скрыт [показать]
     
  • 1.13, X4asd, 13:07, 30/01/2018 [ответить] [смотреть все]  
  • –7 +/
    хренью занимаются..

    придумали какого-то касперского для Linux.

     
     
  • 2.30, Michael Shigorin jolla, 16:41, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы, как обычно, не обладаете даже квалификацией для понимания ее недостатка н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, pavlinux, 23:51, 30/01/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Всё нормально, мы для таких и работаем ... весь текст скрыт [показать]
     
  • 3.43, Аноним, 00:04, 31/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    недостаток очевиден медной проволокой прикрутили костылище вполне себе обыкно... весь текст скрыт [показать]
     
     
  • 4.44, Аноним, 00:04, 31/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    антипаттерн*
     
  • 1.14, Аноним, 13:07, 30/01/2018 [ответить] [смотреть все]  
  • +4 +/
    Ну то есть всё как обычно Если эта штука станет достаточно распространена, её б... весь текст скрыт [показать]
     
  • 1.16, Аноним, 13:32, 30/01/2018 [ответить] [смотреть все]  
  • –3 +/
    Неудачное название для такого класса проектов, 8212 открытая стена ... весь текст скрыт [показать]
     
     
  • 2.19, Andrey Mitrofanov, 13:44, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Окна tm R sm -- лучше ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, pavlinux, 15:18, 30/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Солнышко, Яблоко, Дурдом Ромашка, Конц лагерь Огонёк ... весь текст скрыт [показать]
     
  • 2.26, solardiz, 15:40, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    По-моему, наоборот очень удачное У нас motto - bringing security into open env... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Нанобот, 14:30, 30/01/2018 [ответить] [смотреть все]  
  • –7 +/
    жалкое подобие Windows PatchGuard первые версии которого появились более десяти... весь текст скрыт [показать]
     
     
  • 2.25, solardiz, 15:27, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Аналогия уместна, но по-моему она ограничивается тем что мы в анонсе LKRG называ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Michael Shigorin jolla, 16:47, 30/01/2018 [^] [ответить] [смотреть все]  
  • +/
    это именно что жалкий виндовбросчик, не стоит внимания... весь текст скрыт [показать]
     
  • 3.42, pavlinux, 23:54, 30/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Нельзя защищать то от того , чего еще нет ... весь текст скрыт [показать]
     
  • 1.21, Ананас, 14:52, 30/01/2018 [ответить] [смотреть все]  
  • –2 +/
    Лет 10-12 назад проблема достойно решалась использованием LIDS.
    Теперь вариант с LKRG...
    Все вращается по кругу.
     
     
  • 2.24, solardiz, 15:19, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    По-моему, общее с LIDS здесь только то, что в новости в последней фразе последне... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, ПавелС, 14:28, 31/01/2018 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален BSD securelevel результат тяжёлой паранойи поверьте мн... весь текст скрыт [показать]
     
  • 1.34, VINRARUS, 21:01, 30/01/2018 [ответить] [смотреть все]  
  • –3 +/
    А я сказал: "Вот и на Linux появился антивирус"!
    Шо за цензура на ресурсе?
     
     
  • 2.38, Michael Shigorin, 23:09, 30/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Похоже, кто-то из коллег-модераторов или даже скрипт-автомодератор счёл, что эта... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, VINRARUS, 04:20, 31/01/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    В чом истерика то Обычная констатация факта А аргументы в новости написаны М... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 11:19, 31/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну наверное тем, что как раз вирусы-то он и не ловит ... весь текст скрыт [показать]
     
     
  • 5.61, VINRARUS, 20:40, 31/01/2018 [^] [ответить] [смотреть все]  
  • –4 +/
    Как будто антивирус их ловит D... весь текст скрыт [показать]
     
  • 1.35, worldmind, 21:51, 30/01/2018 [ответить] [смотреть все]  
  • +2 +/
    Так теперь хакеры будут сначала модифицировать этот модуль, а потом уже ядро?
     
     
  • 2.69, Аноним, 13:19, 04/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Достаточно только модуль.
     
  • 1.48, Аноним, 04:56, 31/01/2018 [ответить] [смотреть все]  
  • +2 +/
    Лол и чем же это отличается от Кошперговского Не удивлюсь появлению полностью... весь текст скрыт [показать]
     
  • 1.50, Аноним, 09:02, 31/01/2018 [ответить] [смотреть все]  
  • +/
    solardiz, если кто-то добьётся rce в режиме ядра, то что ему помешает найти вашу... весь текст скрыт [показать]
     
     
  • 2.54, Аноним, 12:15, 31/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если кто-то добьётся RCE на уровне ядра, то зачем ему что-то менять, когда RCE у... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Аноним, 22:01, 31/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то я спрашивал solar designerа Имхо тут 2 варианта 1 проверка происходи... весь текст скрыт [показать]
     
     
  • 4.63, solardiz, 22:45, 31/01/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Во-первых, мы сразу позиционируем LKRG как bypassable by design и как предоставл... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 03:36, 01/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Ясно, спасибо.
     
  • 5.67, Аноним, 18:41, 02/02/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Звучит очень разумно Это не абсолютная защита, но подложить атакующим пару мин ... весь текст скрыт [показать]
     
  • 1.65, Аноним, 14:00, 01/02/2018 [ответить] [смотреть все]  
  • –1 +/
    А вот и антивирус, в pro версии видимо добавят сигнатуры эксплоитов ;-)
     
     
  • 2.68, Аноним, 04:49, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Прежде, чем добавлять сигнатуры в Pro версию, надо убедиться, что те эксплойты о... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor