Linux Kernel Runtime Guard – ochrona przed (jeszcze) nieznanymi exploitami

[chan] po_polsku
Feb 14 20:36

W dobie wszechobecnych exploitów warto zastanowić się nad zabezpieczeniami. Solar Designer, założyciel inicjatywy OpenWall niedawno poinformował o pojawieniu się nowego projektu do proaktywnej ochrony systemów opartych na Linuxie. LKRG, bo o nim mowa, to opracowany przez naszego rodaka, Adama „pi3” Zabrockiego, moduł jądra składający się z trzech różnych podsystemów proaktywnej ochrony. Kluczową kwestią jest to, że rozwiązanie zostało zaprojektowane z myślą o wykrywaniu wystąpienia pewnych scenariuszy ataków, a nie konkretnych, znanych podatności. Dzięki temu istnieje możliwość, że okaże się „ostatnim bastionem” w momencie, kiedy złośliwe oprogramowanie spróbuje skorzystać z technik exploitacji, które nie są jeszcze znane. Jak wygląda ochrona zapewniana przez LKRG? Podsystem integralności oferowany przez LKRG ochroni przed nieautoryzowanym nadpisywaniem pamięci jądra systemu. Jego działanie polega na okresowym wyliczaniu sum kontrolnych z newralgicznych miejsc jądra za pomocą algorymu SipHash, który został zaprojektowany do zastosowania w wydajnym uwierzytelnianiu informacji. Wspomniana procedura jest również uruchamiana po wykryciu aktywności modułów jądra lub po wystąpieniu określonych zdarzeń w systemie (np. zmiana interfejsu sieciowego). Analogiczną funkcję na Windowsie pełni PatchGuard. Drugim aspektem ochrony jest podsystem wykrywania exploitów, który monitoruje, czy w systemie nie występują nietypowe sytuacje, takie jak np. nadpisanie process credentials i uzyskanie zwiększonych uprawnień przez proces bez żadnej wiarygodnej przyczyny. Podejrzane procesy tego typu są natychmiast zabijane, zanim uda im się doprowadzić atak do końca. Eksperymentalna wersja modułu oferuje również trzecią funkcję pod nazwą „Protected Features”. Dzięki niej możliwe jest np. zablokowanie zapisu do logów systemowych w trybie innym niż append-only, nawet jeżeli operacja została zainicjowana przez administratora. Skutecznie uniemożliwia to „zacieranie śladów” przez potencjalnego atakującego. Zdjęcie blokady wymaga wydania polecenia kernelowi i uwierzytelnienia się specjalnym hasłem, które administrator powinien przechowywać poza systemem. Podobne funkcje silnej ochrony mają zastosowanie również w stosunku do zwykłych plików i procesów. Istnieje np. możliwość zabezpieczenia procesu ssh-agent przed debugowaniem, wykonaniem zrzutu pamięci i innymi tego typu interakcjami, które mogą prowadzić do „wyciągnięcia” kluczy prywatnych z pamięci procesu. Podobnie jak w przypadku logów, na zabezpieczony proces nie będzie mógł wpłynąć nawet root. Czy rzeczywiście ktoś może zaatakować mój kernel? Każde oprogramowanie zawiera błędy. Przez to, że Linux jest mniej popularny wśród użytkowników końcowych, odkryte podatności niekiedy odbijają się znacznie mniejszym echem, niż w analogicznych sytuacjach związanych z Windowsem. Przykładami prawdziwych exploitów na jądro Linux są choćby CVE-2014-9322, CVE-2017-5123, CVE-2017-6074, czy CVE-2017-1000112. Wszystkie z wymienionych potencjalnie mogą prowadzić do przejęcia uprawnień administracyjnych na zaatakowanym systemie. Obecność modułu LKRG rzeczywiście uniemożliwia wykorzystanie wymienionych wyżej podatności na niezałatanych systemach, pomimo że nie był projektowany pod kątem wykrywania tych konkretnych exploitów. Niestety, jak to zwykle bywa, bezpieczeństwo kosztuje. Okresowe sprawdzanie integralności jądra oraz działanie podsystemu detekcji exploitów, według oficjalnych benchmarków autora, wiąże się ze spadkiem wydajności sięgającym około 6.5%. Uważny czytelnik zauważy, że takie rozwiązanie nie chroni również przed popularnym atakiem Meltdown, który odbywa się na innej warstwie abstrakcji. Ataki wycelowane w podatności znajdujące się poza jądrem (w tym przypadku wręcz w samym procesorze) nie zostaną wykryte. Analogicznie z atakami, które są całkowicie pasywne i nie zostawiają zbyt wielu śladów, ale pozwalają np. na zrzucenie pamięci jądra. Autor deklaruje jednak możliwość pojawienia się specjalizowanej detekcji takich ataków w następnych wersjach modułu. Ponadto, gdyby w przyszłości pojawił się nieznany exploit umożliwiający nadpisywanie pamięci jądra (nawet na poziomie sprzętu!), obecność LKRG faktycznie mogłaby przeszkodzić w jego wykorzystaniu. Innym powiązanym aspektem jest to, że LKRG nie rozróżnia exploitów od „modyfikacji jądra w dobrej wierze”, co uniemożliwi uruchomienie rozwiązań polegających na łataniu jądra w sposób inny niż oficjalnie rekomendowane. Przykładem może być choćby KSplice, choć nadal da się go użyć, jeżeli LKRG zostanie załadowany dopiero po dokonaniu patchowania). Podsumowanie Autor omawianego modułu podchodzi do sprawy realistycznie i wyraźnie podkreśla to, że omawiany tutaj moduł nie jest „lekiem na wszystko”, tym bardziej że możliwość ominięcia zabezpieczeń wynika z samego sposobu jego działania. Moduł zaskakująco dobrze radzi sobie jednak z wykrywaniem ataków zero-day. W dobie wszechobecnych zagrożeń warto jednak rozważyć jego instalację, szczególnie na serwerach, jeżeli w danym zastosowaniu wyższy priorytet nad maksymalną wydajnością ma dla nas zwiększone bezpieczeństwo. Jeśli projekt Was interesuje, zajrzyjcie na jego stronę lub do dedykowanej Wiki, gdzie znajdziecie bardziej obszerne informacje i odpowiedzi na ewentualnie nurtujące Was pytania. Z autorem można porozmawiać na naszym kanale IRC (#z3s@IRCNET).

[chan] po_polsku
BM-2cX9uTshtCbunGLKok9MiFMhXmLhS4D47Y

Subject Last Count
http://33xtkivab2nthghe.onion/7uim34gdxs5z6b5l72nbji7ste Feb 25 09:22 3
JEBAC KURWE POLICJE Feb 25 09:20 59
324JEBAĆ KURWE POLICJE Feb 25 09:14 1
Haker poszukiwany przez FBI wpadł w ręce CBŚP! Feb 25 02:49 6
ZAKAZANY OWOC Feb 25 02:49 2
323JEBAC KURWE POLICJE Feb 24 18:01 1
Młody ksiądz z Podlasia trzykrotnie zgwałcił dziewczynkę. Podstępem... Feb 24 17:21 9
Max O'Connor Feb 24 17:00 1
Hollywood to zinstytucjonalizowana pedofilia Feb 24 04:28 6
322JEBAC KURWE POLICJE Feb 23 18:08 1
Wałbrzych: areszt dla dziadka za gwałt na wnuczce Feb 23 17:34 1
Czemu Linux jest lepszy? Feb 23 16:07 12
321JEBAĆ KURWE POLICJE Feb 23 15:57 1
320JEBAC KURWE POLICJE Feb 23 14:41 1
Dość kłamstw! Feb 23 14:27 1
Podobno PiS nie rozlicza komuchów... Feb 23 14:26 1
Tezy rosyjskiej agentury Feb 23 14:26 1
Bitmessage: 7 na 8 podłączonych klientów ciągle używa wersji 0.6.2. Feb 23 13:15 8
Wikariusz z Wielączy miał na komputerze nagrania z nagimi nastolatkami. Feb 23 13:10 6
319JEBAC KURWE POLICJE Feb 23 09:47 1
U księdza znaleziono pedofilskie zdjęcia i filmy. Z ukrycia nagrywał dzieci w przebieralniach Feb 23 09:03 5
BTC Feb 23 05:51 9
318JEBAĆ KURWE POLICJE Feb 22 18:28 1
Kondolencje, dzieciaki... Feb 22 17:22 45
Przepowiednia dla Polski Feb 22 17:17 3
Mity globalnego Internetu Feb 22 16:23 1
14-letnia siostra ogląda filmy porno! Feb 22 16:10 17
Masakra zielonych ludzików Feb 22 15:50 13
Odpowiedź na kłamliwe zarzuty pod adresem Polski Feb 22 12:42 1
Wiadomo, kto stoi za antyamerykańskimi haslami "narodowców" Feb 22 12:41 1
316JEBAC KURWE POLICJE Feb 22 11:10 1
Zamach terorystyczny - czy pomysł na zabawe ? Feb 22 10:58 4
NSA wydał zgodę by Sanepid terroryzował rodziców Feb 21 20:00 1
Ukazał się raport o przystępności języka tekstów urzędowych w internecie Feb 21 19:55 1
Agent Dudaczewski przekazał armię polską w ręce Rosji Feb 21 16:19 1
Lepiej dłużej nie drażnić Trumpa Feb 21 16:17 1
Dokładnie widać spotkanie kpt. Arkadiusza Protasiuka z gen. Andrzejem Błasikiem Feb 21 16:15 1
Zróbcie coś dobrego Feb 21 16:14 1
315JEBAĆ KURWE POLICJE Feb 21 14:45 1
Co wybitni specjaliści z USA zrobią z wirtualnym modelem Tu-154 Feb 21 12:13 1
Izrael powinien wiedzieć, że nie jest właścicielem pamięci o Zagładzie Feb 21 12:12 1
Żydzi i ich niechlubna rola w Holocauście własnego narodu Feb 21 12:12 1
Rosyjskie kłamstwa w sporze o Holocaust Feb 21 12:07 1
"Nie ma Dudy, rządzi Dudaczewski" Feb 21 12:06 1
Bergman opowiedział historię swojej matki. Internauci wytykają mu kłamstwo. Feb 21 12:04 1
Hurra, Tor jest "bezpieczniejszy" dzięki przejściu na ECC! Feb 21 08:01 6
Ukryta usługa w Torze Feb 20 23:58 5
314JEBAC KURWE POLICJE Feb 20 17:22 1
Bat na podatkowych złodziei Feb 20 15:25 1
Chcą zastraszyć specjalistów z USA Feb 20 13:27 1
Narodowcy tradycyjnie realizują plany Kremla Feb 20 13:26 1
Żeście komunistów pokonali? Feb 20 13:18 1
Mentalność niepodległościowa wyparła postkolonialną Feb 20 13:09 1
313JEBAC KURWE POLICJE Feb 20 11:19 1
Podatki to kradzież Feb 20 08:24 31
Windows Feb 19 21:10 3
312JEBAC KURWE POLICJE Feb 19 19:17 1
Czy Bitmessage może się zatkać? Feb 19 18:14 46
311JEBAĆ KURWE POLICJE Feb 19 10:09 1
Bitmessage Android Feb 19 01:12 4
Policja znów zabiera komputery za udostępnianie "Drogówki". Feb 19 01:07 2
Pozytywna pedofilia - czyli polscy pedofile kontratakuja Feb 19 01:06 2
Opowiem kawał: Dlaczego na Bitcoin nie ma jeszcze bańki? Feb 19 00:49 10
Oblał kota ropą i podpalił. Kotek żyje i trafił do centrum adopcyjnego Feb 18 18:43 3
310JEBAC KURWE POLICJE Feb 18 18:19 1
Biskupi ukrywają liczbę księży pedofilów. "Boją się wypłaty odszkodowań". Feb 18 09:09 5
309JEBAĆ KURWE POLICJE Feb 18 07:59 1
PiS daje nowe uprawnienia kolejnej służbie Feb 17 22:44 34
konstytucja Feb 17 21:12 1
Zautomatyzowane uliczne piractwo bez płyt: w Afryce wystarczy pendrive Feb 17 18:29 1
Komisja EU zleciła raport o skutkach piractwa... Wyniki skrzętnie ukryła. Feb 17 18:23 1
308JEBAC KURWE POLICJE Feb 17 15:15 1
Pirackie oprogramowanie w urzędach. Jaka jest skala procederu? Feb 17 14:20 137
Ulepszone wersje ataków na procesory zignorują sprzętowe zabezpieczenia Feb 17 11:09 5
307JEBAC KURWE POLICJE Feb 17 10:19 1
Nasz wróg - państwo Feb 17 08:37 2
HIRE A HACKER/DELETE BAD CREDIT Feb 17 08:12 1
Waluta wirtualna to nie pieniądz Feb 16 20:17 2
[chan] polkowice Feb 16 19:29 7
Kwietniowe Ubuntu w wersji minimalistycznej: desktop i przeglądarka Feb 16 19:20 1
NBP wydał prawie 100tys złotych na youtuberów krytykujących kryptowaluty! Feb 16 19:12 3
PIS zakaże Bitcoin w Polsce - LOL - Ciekawe JAK? Feb 16 18:21 17
306JEBAĆ KURWE POLICJE Feb 16 09:49 1
"Tak" dla prywatności, "nie" dla legalnego policyjnego podglądactwa Feb 16 06:59 4
Ofiara aktualizacji pozwała Microsoft: płać i płacz, albo daj zainstalować Windows 7 Feb 15 20:54 9
Pieniądze za nadgodziny nie trafią do ręki pracownika, a na konta pracownicze? Dostęp do nich będzie ograniczony… Feb 15 20:29 2
Seks z nieletnimi prostytutkami, kłamstwa i pieniądze – a to wszystko pod płaszczykiem pomocy charytatywnej na Haiti Feb 15 19:33 7
Broda,Klepuch i inni Feb 15 19:17 43
Kto obroni nas przed policją? Feb 15 17:49 1
305JEBAĆ KURWE POLICJE Feb 15 11:27 1
304JEBAĆ KURWE POLICJE Feb 15 10:39 1
Linux Kernel Runtime Guard – ochrona przed (jeszcze) nieznanymi exploitami Feb 14 20:36 1
najtrudniejsza do zrozumienia wojna w historii świata Feb 14 18:08 1
Masowe szpiegowanie społeczeństw Feb 14 17:40 1
Zakaz dorabiania do etatu – kolejne propozycje z nowego kodeksu pracy... Feb 14 17:39 4
bitmessage launches cmd and then powershell Feb 14 15:25 11
303JEBAC KURWE POLICJE Feb 14 11:53 1
302JEBAĆ KURWE POLICJE Feb 14 09:43 1
301JEBAĆ KURWE POLICJE Feb 14 09:32 1
Rosjanie przyłapani na kopaniu Bitcoina na superkomputerze ośrodka... Feb 13 21:30 2