forum.opennet.ru - "OpenNews: Защита программ и скриптов от модификации в FreeBS..." (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Защита программ и скриптов от модификации в FreeBS..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Защита программ и скриптов от модификации в FreeBS..."
Сообщение от opennews on 27-Мрт-05, 17:18
Christian S.J. Peron предложил (http://groups-beta.google.com/group/mailing.freebsd.hackers/msg/074eec7def84c52b) провести тестирование mac_chkexec патча для FreeBSD -CURRENT и RELENG_5, дающего возможность защититься от подмены или модификации запускных файлов в системе. В случае если для запущенной программы, библиотеки, скрипта или модуля ядра не совпадает контрольная сумма, приложение завершается с ошибкой. mac_chkexec может работать в режиме самообучения (автогенерация хеша для ранее не запускавшихся программ) и режим выполнения только авторизированных запускных файлов. URL: http://groups-beta.google.com/group/mailing.freebsd.hackers/msg/074eec7def84c52b Новость: https://www.opennet.ru/opennews/art.shtml?num=5230
Cообщить модератору \| Наверх \| ^

Оглавление

Защита программ и скриптов от модификации в FreeBSD, SunTech, 17:18 , 27-Мрт-05, (1)

Защита программ и скриптов от модификации в FreeBSD, scorp21, 21:51 , 27-Мрт-05, (2)

Э-э-э... Предыдущий оратор имел ввиду:, Банзай, 22:27 , 27-Мрт-05, (3)

Защита программ и скриптов от модификации в FreeBSD, Kappa, 15:01 , 28-Мрт-05, (7)

Защита программ и скриптов от модификации в FreeBSD, Dmitry U. Karpov, 01:10 , 28-Мрт-05, (4)

Защита программ и скриптов от модификации в FreeBSD, chip, 12:04 , 28-Мрт-05, (6)

Защита программ и скриптов от модификации в FreeBSD, Anze, 23:37 , 30-Мрт-05, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Защита программ и скриптов от модификации в FreeBSD"

Сообщение от SunTech on 27-Мрт-05, 17:18

что мешает модифицировать злостным программам мд5 суммы?

Cообщить модератору | Наверх | ^

2. "Защита программ и скриптов от модификации в FreeBSD"

Сообщение от scorp21 (??) on 27-Мрт-05, 21:51

А кто говорит про использование md5?
Кэш-алгоритмов не хватает что-ли?

Cообщить модератору | Наверх | ^

3. "Э-э-э... Предыдущий оратор имел ввиду:"

Сообщение от Банзай (??) on 27-Мрт-05, 22:27

"Что мешает злоумышленнику нарисовать ЛЮБОЙ мыслимый хэш?"
:)

Cообщить модератору | Наверх | ^

7. "Защита программ и скриптов от модификации в FreeBSD"

Сообщение от Kappa on 28-Мрт-05, 15:01

EPERM, а что, сложно догадаться?

Cообщить модератору | Наверх | ^

4. "Защита программ и скриптов от модификации в FreeBSD"

Сообщение от Dmitry U. Karpov on 28-Мрт-05, 01:10

Интересная мысль, но нуждается в доработке. А то такая система будет работать только до тех пор, пока гады и сволочи не просекут, что для изменённого файла надо просто пересчитать контрольную сумму и запихнуть её куда-то там.
Для начала надо хранить контрольные суммы там, где их нельзя подменить. Для этого годится файл, защищённый chflags при условии повышенного уровня секурности (впрочем, этот же метод может защитить сами файлы). Динамические обновления, вычисляемые по мере запуска новых программ, пишутся в новый файл, который потом тоже защищается флагами.
Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического обновления сумм ждать не призодится.
Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления не нужно, то закрытая часть ключа на машине может не присутствовать. А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е. д.б. подписан производителем.
В конечном счёте можно встроить такие контрольные суммы прямо в формат исполняемого файла (со скриптами сложнее).

Cообщить модератору | Наверх | ^

6. "Защита программ и скриптов от модификации в FreeBSD"

Сообщение от chip (??) on 28-Мрт-05, 12:04

>Интересная мысль, но нуждается в доработке.
замени контрольные суммы и сделай пакость админу :)
>Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического
>обновления сумм ждать не призодится.
а не проще ли хранить тогда сами бинарники на ro системе?! Для обновления mount -u -o rw, останавливаем систему и вновь откатываемся на ro ?!
>Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления
>не нужно, то закрытая часть ключа на машине может не присутствовать.
>А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е.
>д.б. подписан производителем.
>
>В конечном счёте можно встроить такие контрольные суммы прямо в формат исполняемого
>файла (со скриптами сложнее).
Напридумывать можно все что угодно, лучше бы разобрались с тем буреломом, который уже нарубили (это я про БЗДишников)

Cообщить модератору | Наверх | ^

8. "Защита программ и скриптов от модификации в FreeBSD"

Сообщение от Anze (??) on 30-Мрт-05, 23:37

А что делать если перекомпиливать одну программу с внесением больших измений? каждые 5 минут перемонтировать фс? или обновлять таблицу? неоченьто уж удобно это будет для разработки, вот.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Защита программ и скриптов от модификации в FreeBSD"
Сообщение от SunTech on 27-Мрт-05, 17:18
что мешает модифицировать злостным программам мд5 суммы?
Cообщить модератору \| Наверх \| ^


	2. "Защита программ и скриптов от модификации в FreeBSD"
	Сообщение от scorp21 (??) on 27-Мрт-05, 21:51
	А кто говорит про использование md5? Кэш-алгоритмов не хватает что-ли?
	Cообщить модератору \| Наверх \| ^


	3. "Э-э-э... Предыдущий оратор имел ввиду:"
	Сообщение от Банзай (??) on 27-Мрт-05, 22:27
	"Что мешает злоумышленнику нарисовать ЛЮБОЙ мыслимый хэш?" :)
	Cообщить модератору \| Наверх \| ^


	7. "Защита программ и скриптов от модификации в FreeBSD"
	Сообщение от Kappa on 28-Мрт-05, 15:01
	EPERM, а что, сложно догадаться?
	Cообщить модератору \| Наверх \| ^

4. "Защита программ и скриптов от модификации в FreeBSD"
Сообщение от Dmitry U. Karpov on 28-Мрт-05, 01:10
Интересная мысль, но нуждается в доработке. А то такая система будет работать только до тех пор, пока гады и сволочи не просекут, что для изменённого файла надо просто пересчитать контрольную сумму и запихнуть её куда-то там. Для начала надо хранить контрольные суммы там, где их нельзя подменить. Для этого годится файл, защищённый chflags при условии повышенного уровня секурности (впрочем, этот же метод может защитить сами файлы). Динамические обновления, вычисляемые по мере запуска новых программ, пишутся в новый файл, который потом тоже защищается флагами. Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического обновления сумм ждать не призодится. Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления не нужно, то закрытая часть ключа на машине может не присутствовать. А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е. д.б. подписан производителем. В конечном счёте можно встроить такие контрольные суммы прямо в формат исполняемого файла (со скриптами сложнее).
Cообщить модератору \| Наверх \| ^


	6. "Защита программ и скриптов от модификации в FreeBSD"
	Сообщение от chip (??) on 28-Мрт-05, 12:04
	>Интересная мысль, но нуждается в доработке. замени контрольные суммы и сделай пакость админу :) >Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического >обновления сумм ждать не призодится. а не проще ли хранить тогда сами бинарники на ro системе?! Для обновления mount -u -o rw, останавливаем систему и вновь откатываемся на ro ?! >Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления >не нужно, то закрытая часть ключа на машине может не присутствовать. >А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е. >д.б. подписан производителем. > >В конечном счёте можно встроить такие контрольные суммы прямо в формат исполняемого >файла (со скриптами сложнее). Напридумывать можно все что угодно, лучше бы разобрались с тем буреломом, который уже нарубили (это я про БЗДишников)
	Cообщить модератору \| Наверх \| ^

8. "Защита программ и скриптов от модификации в FreeBSD"
Сообщение от Anze (??) on 30-Мрт-05, 23:37
А что делать если перекомпиливать одну программу с внесением больших измений? каждые 5 минут перемонтировать фс? или обновлять таблицу? неоченьто уж удобно это будет для разработки, вот.
Cообщить модератору \| Наверх \| ^