|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от opennews (ok) on 27-Апр-16, 09:45 | ||
В списке рассылки разработчиков OpenBSD опубликован (https://marc.info/?l=openbsd-tech&m=146159002802803&w=2) набор патчей с реализацией новой техники защиты anti-ROP, основанной на случайном перестроении порядка расположения экспортируемых символов в системной библиотеке libc.so, выполняемом при каждой загрузке системы. Перестроение приводит к увеличению времени загрузки примерно на секунду. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | –9 +/– | |
Сообщение от A.Stahl (ok) on 27-Апр-16, 09:45 | ||
>основанной на случайном перестроении порядка расположения экспортируемых символов в системной библиотеке | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 10:09 | ||
Шнайера забыли спросить | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
5. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от u on 27-Апр-16, 10:11 | ||
Вы бы предложили ещё с фоннеймановской архитектуры переползти на что-нибудь другое ("гарвард" etc). Безопасно, чо! | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
28. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от dq0s4y71 (??) on 27-Апр-16, 14:07 | ||
Вы будете удивлены, но большинство современных процессоров построено как раз на Гарвардской архитектуре, правда "модифицированной". Например, ARM или x86 выполняют инструкции в кэше чисто "по-гарвардски", а манипулируют данными "по-фоннеймановски". | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
44. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от u on 28-Апр-16, 15:48 | ||
proof or GTFO. И как эти "модификации под гарварда" делают их "ближе к гарварду"? | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
46. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от dq0s4y71 (??) on 28-Апр-16, 17:19 | ||
"A modified Harvard architecture machine is very much like a Harvard architecture machine, but it relaxes the strict separation between instruction and data while still letting the CPU concurrently access two (or more) memory buses. The most common modification includes separate instruction and data caches backed by a common address space. While the CPU executes from cache, it acts as a pure Harvard machine. When accessing backing memory, it acts like a von Neumann machine (where code can be moved around like data, which is a powerful technique). This modification is widespread in modern processors, such as the ARM architecture and x86 processors. It is sometimes loosely called a Harvard architecture, overlooking the fact that it is actually "modified"." (https://en.wikipedia.org/wiki/Harvard_architecture) | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
49. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от u on 28-Апр-16, 18:44 | ||
NX-bit и название "Modified Harvard architecture". Однако ж принцип остался тот же - процу абсолютно наплевать что вы ему суёте, код или данные, он в любом случае их попытается выполнить (за исключением областей, помеченных NX). | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
54. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от dq0s4y71 (??) on 29-Апр-16, 15:16 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
20. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | –1 +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 11:52 | ||
"мелкие подлости" в опёнке называются хаки, запишинезабудь | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
31. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Коля on 27-Апр-16, 15:08 | ||
Это как? Провести аудит всего софта запускаемого на опенбзд? Ооок | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
38. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | –3 +/– | |
Сообщение от Вареник on 28-Апр-16, 04:51 | ||
Силами полутора разработчиков OpenBSD, которых в этом мире реально беспокоит безопасность :) | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
57. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 30-Апр-16, 03:20 | ||
> Это как? Провести аудит всего софта запускаемого на опенбзд? Ооок | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
35. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Анинимим on 27-Апр-16, 21:10 | ||
defense in depth | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
36. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +2 +/– | |
Сообщение от Ordu (ok) on 27-Апр-16, 21:21 | ||
Если у вас есть способ позволяющий побороть возможность злоумышленника играться со стеком вызовов, и если этот ваш способ работает на 100%, то есть он реально позволяет избавится от этих проблем, то я не понимаю, почему этот способ до сих пор существует только в вашем воображении, и почему ROP-атаки до сих пор актуальны. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
37. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от maximnik0 on 27-Апр-16, 23:05 | ||
> Звучит нелепо. Нужно бороться с возможностью злоумышленника играться со стеком вызовов, | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
47. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 28-Апр-16, 17:53 | ||
>> Звучит нелепо. Нужно бороться с возможностью злоумышленника играться со стеком вызовов, | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
4. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +14 +/– | |
Сообщение от зщуфр on 27-Апр-16, 10:10 | ||
Полиморфные операционные системы, дожили. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
13. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +9 +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 11:29 | ||
Ждем стеганографию, когда ОС будет прятаться среди прона пользователя. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
19. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Andrey Mitrofanov on 27-Апр-16, 11:50 | ||
> Ждем стеганографию, когда ОС будет прятаться среди прона пользователя. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
25. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 13:33 | ||
Ежели паспорта, то подписанное при помощи домен-к и никак иначе. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
39. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Вареник on 28-Апр-16, 04:55 | ||
> Ежели паспорта, то подписанное при помощи домен-к и никак иначе. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
59. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 30-Апр-16, 15:23 | ||
>> Ежели паспорта, то подписанное при помощи домен-к и никак иначе. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
18. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Andrey Mitrofanov on 27-Апр-16, 11:46 | ||
> Полиморфные операционные системы, дожили. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
48. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | –2 +/– | |
Сообщение от Аноним (??) on 28-Апр-16, 17:56 | ||
>> Полиморфные операционные системы, дожили. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
6. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +3 +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 10:19 | ||
Эволюция на планете зародилась в следствии многократного сталкивания и перестраивания случайных элементов... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
7. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 10:46 | ||
Судя по коментам, теоретики и практики - вещи не совместимые. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
40. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Вареник on 28-Апр-16, 04:57 | ||
> Судя по коментам, теоретики и практики - вещи не совместимые. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
8. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от IZh. on 27-Апр-16, 10:47 | ||
Интересно, это потом на отладке никак не скажется? Типа, приложение упало в корку. Что оно вызвало из glibc на предыдущей загрузке системы? А фиг его знает... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
10. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 11:14 | ||
glibc != libc. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
14. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от омномномнимус on 27-Апр-16, 11:29 | ||
а что, бздешная либси не поддается отладке? | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
33. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 16:33 | ||
бздешная либси не вызывает ничего из glibc | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
41. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Вареник on 28-Апр-16, 04:59 | ||
> Интересно, это потом на отладке никак не скажется? Типа, приложение упало в | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
9. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 11:08 | ||
Если сервер перегружали 1 раз за 10 лет не каких там трудностей. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +4 +/– | |
Сообщение от имя on 27-Апр-16, 11:14 | ||
Только ты забываешь о массовом эксплуатировании, которое становится труднее потому, что рандомизация на всех машинах разная. Многолетние аптаймы какой-то погоды тут не делают. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
17. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Ivan_83 (ok) on 27-Апр-16, 11:35 | ||
И все 10 лет придётся отгадывать где искать нужные функции в этой конкретной libc. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
27. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от burik666 on 27-Апр-16, 13:40 | ||
Ну тогда можно это делать 1 раз при установке ОС. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
32. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Ivan_83 (ok) on 27-Апр-16, 16:28 | ||
После загрузки - это минимально доступное время между рандомизациями в BSD. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
58. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 30-Апр-16, 03:24 | ||
> После загрузки - это минимально доступное время между рандомизациями в BSD. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
43. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от ig0r (??) on 28-Апр-16, 15:36 | ||
1 раз предполагает хранение стейта между загрузками на диске | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
21. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от chinarulezzz (ok) on 27-Апр-16, 12:30 | ||
Даже на дэсктопах, где опёнок не распространён, ось перегружают всё меньше и меньше. А на серверах тем более. Странная фича. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
22. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | –2 +/– | |
Сообщение от бедный буратино (ok) on 27-Апр-16, 12:48 | ||
йоу! кто ты, что ты сделал для антиропа в свои годы! йоу-йоу. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
24. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от gresolio (ok) on 27-Апр-16, 13:01 | ||
Sony очень обрадуется таким наработкам, сразу утащат в свой Orbis OS не глядя :) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
26. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 27-Апр-16, 13:35 | ||
>Перестроение приводит к увеличению времени загрузки примерно на секунду. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
42. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Вареник on 28-Апр-16, 05:01 | ||
>>Перестроение приводит к увеличению времени загрузки примерно на секунду. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
45. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 28-Апр-16, 16:02 | ||
> Им это неактуально - проприетарный блоб для проца и видюхи обнулит все | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
29. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Нанобот (ok) on 27-Апр-16, 14:08 | ||
по-моему ASLR будет проще и быстрее. при где-то таком-же уровне защиты там не нужно ничего писать на диск при каждой загрузке | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
34. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +1 +/– | |
Сообщение от Нимано_ on 27-Апр-16, 16:52 | ||
> по-моему ASLR будет проще и быстрее. при где-то таком-же уровне защиты там | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
50. "RAP: RIP ROP" | –1 +/– | |
Сообщение от Аноним (??) on 29-Апр-16, 12:50 | ||
https://grsecurity.net/rap_announce.php - тихо и незаметно... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
51. "RAP: RIP ROP" | +1 +/– | |
Сообщение от Аноним (??) on 29-Апр-16, 13:11 | ||
> https://grsecurity.net/rap_announce.php - тихо и незаметно... | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
52. "RAP: RIP ROP" | +/– | |
Сообщение от Andrey Mitrofanov on 29-Апр-16, 13:25 | ||
> https://grsecurity.net/rap_announce.php | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
53. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Аноним (??) on 29-Апр-16, 14:11 | ||
https://pax.grsecurity.net/docs/PaXTeam-H2HC15-RAP-RIP-ROP.pdf - для ознакомления. Также помогает при высоких уровнях ЧСВ головного мозга. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
55. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | +/– | |
Сообщение от Andrey Mitrofanov on 29-Апр-16, 15:59 | ||
>/PaXTeam-H2HC15-RAP-RIP-ROP.pdf - для ознакомления. | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
56. "Разработчики OpenBSD подготовили для libc механизм защиты an..." | –1 +/– | |
Сообщение от Аноним (??) on 29-Апр-16, 16:44 | ||
Просто у меня сложилось впечатление, что вы, господин специалист по безопасности, в первый раз по диагонали прочли, пропустив все незнакомые слова. Тут не грех и дважды повторить. Ведь защита адресов возврата - лишь один из механизмов (не самый сложный и не самый сильный), который в текущую общедоступную версию grsec-патча даже и не включен из коммерческих соображений. | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |