Linux Kernel Runtime Guard – ochrona przed (jeszcze) nieznanymi exploitami

BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y
Feb 14 20:36 [raw]

W dobie wszechobecnych exploitów warto zastanowić się nad zabezpieczeniami. Solar Designer, założyciel inicjatywy OpenWall niedawno poinformował o pojawieniu się nowego projektu do proaktywnej ochrony systemów opartych na Linuxie. LKRG, bo o nim mowa, to opracowany przez naszego rodaka, Adama „pi3” Zabrockiego, moduł jądra składający się z trzech różnych podsystemów proaktywnej ochrony. Kluczową kwestią jest to, że rozwiązanie zostało zaprojektowane z myślą o wykrywaniu wystąpienia pewnych scenariuszy ataków, a nie konkretnych, znanych podatności. Dzięki temu istnieje możliwość, że okaże się „ostatnim bastionem” w momencie, kiedy złośliwe oprogramowanie spróbuje skorzystać z technik exploitacji, które nie są jeszcze znane. Jak wygląda ochrona zapewniana przez LKRG? Podsystem integralności oferowany przez LKRG ochroni przed nieautoryzowanym nadpisywaniem pamięci jądra systemu. Jego działanie polega na okresowym wyliczaniu sum kontrolnych z newralgicznych miejsc jądra za pomocą algorymu SipHash, który został zaprojektowany do zastosowania w wydajnym uwierzytelnianiu informacji. Wspomniana procedura jest również uruchamiana po wykryciu aktywności modułów jądra lub po wystąpieniu określonych zdarzeń w systemie (np. zmiana interfejsu sieciowego). Analogiczną funkcję na Windowsie pełni PatchGuard. Drugim aspektem ochrony jest podsystem wykrywania exploitów, który monitoruje, czy w systemie nie występują nietypowe sytuacje, takie jak np. nadpisanie process credentials i uzyskanie zwiększonych uprawnień przez proces bez żadnej wiarygodnej przyczyny. Podejrzane procesy tego typu są natychmiast zabijane, zanim uda im się doprowadzić atak do końca. Eksperymentalna wersja modułu oferuje również trzecią funkcję pod nazwą „Protected Features”. Dzięki niej możliwe jest np. zablokowanie zapisu do logów systemowych w trybie innym niż append-only, nawet jeżeli operacja została zainicjowana przez administratora. Skutecznie uniemożliwia to „zacieranie śladów” przez potencjalnego atakującego. Zdjęcie blokady wymaga wydania polecenia kernelowi i uwierzytelnienia się specjalnym hasłem, które administrator powinien przechowywać poza systemem. Podobne funkcje silnej ochrony mają zastosowanie również w stosunku do zwykłych plików i procesów. Istnieje np. możliwość zabezpieczenia procesu ssh-agent przed debugowaniem, wykonaniem zrzutu pamięci i innymi tego typu interakcjami, które mogą prowadzić do „wyciągnięcia” kluczy prywatnych z pamięci procesu. Podobnie jak w przypadku logów, na zabezpieczony proces nie będzie mógł wpłynąć nawet root. Czy rzeczywiście ktoś może zaatakować mój kernel? Każde oprogramowanie zawiera błędy. Przez to, że Linux jest mniej popularny wśród użytkowników końcowych, odkryte podatności niekiedy odbijają się znacznie mniejszym echem, niż w analogicznych sytuacjach związanych z Windowsem. Przykładami prawdziwych exploitów na jądro Linux są choćby CVE-2014-9322, CVE-2017-5123, CVE-2017-6074, czy CVE-2017-1000112. Wszystkie z wymienionych potencjalnie mogą prowadzić do przejęcia uprawnień administracyjnych na zaatakowanym systemie. Obecność modułu LKRG rzeczywiście uniemożliwia wykorzystanie wymienionych wyżej podatności na niezałatanych systemach, pomimo że nie był projektowany pod kątem wykrywania tych konkretnych exploitów. Niestety, jak to zwykle bywa, bezpieczeństwo kosztuje. Okresowe sprawdzanie integralności jądra oraz działanie podsystemu detekcji exploitów, według oficjalnych benchmarków autora, wiąże się ze spadkiem wydajności sięgającym około 6.5%. Uważny czytelnik zauważy, że takie rozwiązanie nie chroni również przed popularnym atakiem Meltdown, który odbywa się na innej warstwie abstrakcji. Ataki wycelowane w podatności znajdujące się poza jądrem (w tym przypadku wręcz w samym procesorze) nie zostaną wykryte. Analogicznie z atakami, które są całkowicie pasywne i nie zostawiają zbyt wielu śladów, ale pozwalają np. na zrzucenie pamięci jądra. Autor deklaruje jednak możliwość pojawienia się specjalizowanej detekcji takich ataków w następnych wersjach modułu. Ponadto, gdyby w przyszłości pojawił się nieznany exploit umożliwiający nadpisywanie pamięci jądra (nawet na poziomie sprzętu!), obecność LKRG faktycznie mogłaby przeszkodzić w jego wykorzystaniu. Innym powiązanym aspektem jest to, że LKRG nie rozróżnia exploitów od „modyfikacji jądra w dobrej wierze”, co uniemożliwi uruchomienie rozwiązań polegających na łataniu jądra w sposób inny niż oficjalnie rekomendowane. Przykładem może być choćby KSplice, choć nadal da się go użyć, jeżeli LKRG zostanie załadowany dopiero po dokonaniu patchowania). Podsumowanie Autor omawianego modułu podchodzi do sprawy realistycznie i wyraźnie podkreśla to, że omawiany tutaj moduł nie jest „lekiem na wszystko”, tym bardziej że możliwość ominięcia zabezpieczeń wynika z samego sposobu jego działania. Moduł zaskakująco dobrze radzi sobie jednak z wykrywaniem ataków zero-day. W dobie wszechobecnych zagrożeń warto jednak rozważyć jego instalację, szczególnie na serwerach, jeżeli w danym zastosowaniu wyższy priorytet nad maksymalną wydajnością ma dla nas zwiększone bezpieczeństwo. Jeśli projekt Was interesuje, zajrzyjcie na jego stronę lub do dedykowanej Wiki, gdzie znajdziecie bardziej obszerne informacje i odpowiedzi na ewentualnie nurtujące Was pytania. Z autorem można porozmawiać na naszym kanale IRC (#z3s@IRCNET).

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
Rząd powinien zrezygnować z Huawei Jan 15 19:02 1
Pomysł na zabawe - zamach terorystyczny ? Jan 15 19:02 15
JEBAĆ KURWE - POLICJE Jan 15 19:02 20
Ponad połowa Rosjan chce dymisji rządu Jan 15 16:57 1
Lecha nie ma, ale został ten drugi Jan 15 16:57 1
Ty chamie, polski chamie! Jan 15 15:31 1
Paweł "Santo Subito" Adamowicz i jego brudne sprawki Jan 15 15:31 1
B.L.O.S. Jan 15 15:11 1
Remington 760 sprzedany Jan 15 13:27 1
Gangsterskie porachunki w Gdańsku: złodziej wsadził kosę złodziejowi Jan 15 13:20 5
JAK SKW - OBCIAGA KUTASA . :) Jan 15 13:08 67
Sprzątanie Polski z chińskich gówien z backdoorami Jan 14 19:32 1
Dobre wiadomości dla Polski i Gdańska! Jan 14 15:49 4
Tak naprawdę to PRL nigdy się nie skończył Jan 14 15:21 1
Czy tamte zastrzelone dziki były gorsze? Jan 14 15:16 1
Brudziński grozi internautom. Pokażmy mu kto jest silniejszy! Jan 14 12:35 1
Polski rząd rozważa rezygnację z urządzeń mobilnych chińskich marek Jan 14 12:35 1
Obecność w Polsce bazy wojsk USA wzmocni bezpieczeństwo w całym regionie Jan 14 12:20 1
Pijani piloci, brzoza i „Pierwszy Pasażer” Jan 13 18:53 1
Ludzie odchodzą, środowisko pozostaje. Jan 13 18:49 1
Zsowietyzowane Szwaby wzięte za mordy przez USA Jan 13 17:24 1
Huawei is a Chinese intelligence front Jan 13 14:47 1
Niemieckie służby atakują Michała Rachonia Jan 13 11:36 1
Sprzedam Remington 760 Jan 13 10:42 1
Za wszelką cenę chcą zablokować polską inwestycję Jan 13 10:37 1
spacer Jan 13 01:51 7
Firma Huawei powinna zostać wykluczona z polskiego rynku Jan 13 01:49 2
UWAGA: Wrogowie Polski próbują wymusić wprowadzenie euro! Jan 13 01:49 2
Brudasy gwałcą dziewczynki Jan 12 23:21 1
Ataki nożowników są w Niemczech coraz częstsze. Jan 12 23:21 1
Ruska dziwka Krzysztof Bosak chciałby szkody dla Polski Jan 12 20:57 1
PISowskie debile łatwe do manipulacji Jan 12 16:34 5
Komisja Burdenki i kłamstwo katyńskie Jan 12 09:28 1
W momencie zagrożenia życia należy zadzwonić Jan 11 21:39 3
Czym jest UE? Jan 11 21:39 1
Ruska agentura szczeka na Andruszkiewicza Jan 11 20:51 1
Monaro router kovri (i2p) Jan 11 19:46 1
Nowe materiały ws. zabójstwa ks. Jerzego Popiełuszki Jan 11 19:34 1
Zapraszamy na polskie forum wywrotowe Jan 11 19:10 4
Nie cierpię propagandy Jan 11 18:56 2
gowno p2p Jan 11 18:37 8
Uprawiałam seks z Murzynem Jan 11 17:35 1
Pijaczek Kukiz i dziadunio Korwin Jan 11 17:35 1
Kelebija-Tompa i Horgosz-Roeszke Jan 11 17:21 1
Ruskie zielone ludzki a Afryce Jan 10 18:50 1
Zboczeńcy zagrażają naszym dzieciom Jan 10 18:44 1
sprawdzony kod Jan 10 17:00 6
Elysium is back! Jan 10 12:19 3
UWAGA: Osłabienie Tora na życzenie służb dodane w najnowszej wersji! Jan 9 15:30 1
polityczne akty zgonu Jan 9 14:49 1
kto zawiadamia o przestępstwie, wiedząc, że przestępstwa nie popełniono, podlega karze od grzywny do dwóch lat więzienia Jan 9 14:49 1
Porywacze domagają się 9 mln euro w wirtualnej kryptowalucie monero Jan 9 14:43 1
Jak bezpiecznie publikować materiały? Jak zacząć sprzedawać materiały? Jan 9 11:50 4
JAK SKW OBCIAGA KUTASA :) Jan 9 11:44 80
Akasha Project Jan 9 11:44 1
JEBAC - KURWE POLICJE Jan 9 10:28 28
Jaki offshoreowy VPN polecacie ? Jan 9 00:40 1
sleep 2019 Jan 9 00:13 11
cisza na kanale Jan 9 00:13 3
Tak testowano na nich szczepionki Jan 9 00:10 2
Trwa na mnie nagonka Jan 8 23:47 2
Podwyżek cen prądu nie będzie Jan 7 17:02 1
brednie o „upaińcach” i „usraelu” Jan 7 16:59 1
Ocena relacji polsko-żydowskich Jan 7 15:46 1
JEŚLI NIE CHCECIE STRACIĆ OJCZYZNY NA ZAWSZE, WSPIERAJCIE DOBRĄ ZMIANĘ. DRUGIEJ SZANSY NIE BĘDZIE. Jan 7 15:28 1
JEBAĆ KURWE - POLICJE Jan 7 13:11 1
Posunął się zbyt daleko Jan 7 12:49 1
zabarykadowała się w pokoju, z którego nie wyjdzie Jan 7 12:48 1
Ostatni krok do niezależności Cerkwi na Ukrainie Jan 6 14:07 1
podniesienie wieku emerytalnego do 67 lat i zabranie z OFE ponad 150 mld zł Jan 6 11:48 1
zawładnąć ludźmi przez podcinanie ich korzeni Jan 6 11:47 1
Falanga - wielbiciele Putina Jan 5 20:54 1
Falanga - polskojęzyczne ruskie zielone kurewki prowokują na Ukrainie Jan 5 20:51 1
To wy wywindowaliście to bydlę na piedestał Jan 5 19:38 1
zagrożeniem dla Europy nie są populiści Jan 5 17:16 1
Rosja znowu dokonuje prestępstw w sieci Jan 5 17:14 1
Demontaż wplywów Rosji w kościele prawosławnym Jan 5 11:58 1
odpowiedź na agresję Rosji Jan 5 11:57 1
Skąd się wziął słynny antysemityzm Polaków? Jan 4 17:02 1
Rosysjki agent wpływu w Cytadeli Warszawskiej Jan 4 16:41 1
Portret bohaterskiego obrońcy konstytucji Jan 4 16:41 1
Ruskie marionetki Korwin i Bosak plują na Andruszkiewicza Jan 4 16:39 1
pozorność i ułomność polskiej suwerenności Jan 4 13:07 1
histeryczne reakcje islamofobiczne i rasistowskie Jan 4 13:02 1
ilu nas jest Jan 4 11:30 2
Brazylia zaszczepiona przeciwko Imperium Zła Jan 4 10:08 1
Nie Andruszkiewicza gnoją, ale Polskę Jan 4 10:07 1
I po co liżecie dupę Rosji, narodowcy? Jan 4 10:07 1
Rosyjski atak na narodowców Jan 4 10:06 1
Tusk reprezentuje w UE Niemcy Jan 4 10:04 1
czyli teraz w tym kraju sowieckim można iść do pierdla za konto na facebooku? Jan 3 23:24 2
O diabelskich źródłach komunizmu. Stalin był SATANISTĄ Jan 3 21:45 1
"Misiewicze" z PiS spowodowali wzrost wartości spółek Skarbu Państwa o 75 mld PLN Jan 3 10:48 1
Rosyjska agentka Magdalena Fitas-Dukaczewska ucieka od przesłuchania Jan 3 10:46 1
Agresja rosyjska jest niesłychana Jan 3 09:16 1
Sex! Jan 2 21:20 1
liczne zaczerwienia i siniaki na łokciu oraz na nogach Jan 2 18:04 1
Dezentrale Plattformen zur Förderung des Links- und Rechtsterrorismus Jan 2 15:03 1
SKW OBCIĄGA KUTASA Jan 2 13:14 1
w poszukiwaniu żydowskich uciekinierów Jan 2 09:55 1