The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Представлены патчи для рандомизации адресов стека ядра Linux при системных вызовах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлены патчи для рандомизации адресов стека ядра Linux при системных вызовах"  +/
Сообщение от opennews (??), 15-Апр-21, 09:43 
Кис Кук (Kees Cook), бывший главный сисадмин kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS,  опубликовал набор патчей с реализацией рандомизации смещений в стэке ядра при обработке системных вызовов. Патчи повышают безопасность ядра путём изменения размещения стека, что делает атаки на стек значительно более сложным и менее успешным занятием. Начальная реализация поддерживает процессоры ARM64 и x86/x86_64. Для включения режима  предложен параметр командной строки ядра "randomize_kstack_offset=on/off" и настройка CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54971

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +21 +/
Сообщение от Корец (?), 15-Апр-21, 10:16 
>Елена Решeтова, инженер из фирмы Intel

Фамилия-то прям в тему.

Ответить | Правка | Наверх | Cообщить модератору

3. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +2 +/
Сообщение от Гусар (?), 15-Апр-21, 10:37 
в женщине главное не фамилия
Ответить | Правка | Наверх | Cообщить модератору

5. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +5 +/
Сообщение от Ноним (?), 15-Апр-21, 10:46 
>в женщине главное не фамилия

А то, как она произносится

Ответить | Правка | Наверх | Cообщить модератору

4. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +15 +/
Сообщение от ilyafedin (ok), 15-Апр-21, 10:42 
Это же скольким событиям надо было совпасть, чтобы мы увидели эту строку на опеннете... Настоящее чудо.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +2 +/
Сообщение от Аноним (6), 15-Апр-21, 10:51 
Она реально крута. 👍
Позырь проекты на гитхабе.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +2 +/
Сообщение от Аноним (13), 15-Апр-21, 11:06 
Посмотрел
Сделано хорошо
Диссертация зачёт, это ей надо
Все остальное кому нибудь надо?
Ответить | Правка | Наверх | Cообщить модератору

42. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –2 +/
Сообщение от лютый жабби__ (?), 15-Апр-21, 20:21 
>Она реально крута. Позырь проекты на гитхабе.

если крута, почему недоделала, то что сделал Кук?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

58. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (-), 17-Апр-21, 09:14 
> Она реально крута. 👍

Урл?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

15. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +5 +/
Сообщение от Аноним (15), 15-Апр-21, 11:17 
Достойная конкурентка Янки Руткитской
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

18. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +1 +/
Сообщение от InuYasha (??), 15-Апр-21, 11:52 
ЧСХ, она (была?) в списке недопустимых слов на Опеннете? )
Как тебе удалось написать её в комментарии?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

19. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –3 +/
Сообщение от n00by (ok), 15-Апр-21, 11:55 
>>Елена Решeтова, инженер из фирмы Intel
> Фамилия-то прям в тему.

Значение слова Решетник по словарю Ушакова:
РЕШЕТНИК, решетника, м. (спец.).
1. только ед., собир. Материал для обрешотки крыш - тонкие длинные брусья, прибиваемые к стропилам для настила на них кровельного материала.
2. Человек, изготовляющий решета.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

32. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от РУСТофил (?), 15-Апр-21, 15:22 
>Человек, изготовляющий решета.

Всех погроммистов пишущих на "небезопасных" языках надо так назвать!

Ответить | Правка | Наверх | Cообщить модератору

46. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от n00by (ok), 16-Апр-21, 09:41 
>>Человек, изготовляющий решета.
> Всех погроммистов пишущих на "небезопасных" языках надо так назвать!

Ну да. Си это тот каркас, на котором всё держится.

Ответить | Правка | Наверх | Cообщить модератору

39. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Корец (?), 15-Апр-21, 18:53 
>Человек, изготовляющий решета.
>инженер из фирмы Intel

Всё сходится.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

45. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +1 +/
Сообщение от n00by (ok), 16-Апр-21, 09:36 
>>Человек, изготовляющий решета.
>>инженер из фирмы Intel
> Всё сходится.

Решата являются _укрепляющей_ конструкцией, на которой держится кровля. Вы путаете их с ситом и дуршлагом (которые, опять же, не о том -- они не пропускают лишнее, либо задерживают нужное). Если для Вас "сходится", значит Вы не прошли тест с полуполным стаканом, а это звоночек.

Ответить | Правка | Наверх | Cообщить модератору

7. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (7), 15-Апр-21, 10:52 
>>> набор патчей с реализацией рандомизации смещений в стэке ядра при обработке системных вызовов

вам не кажется что индустрия идёт не туда, коль приходится вытворять такие штуки(рэндомизировать)? (так это ещё и не решает проблему)

Ответить | Правка | Наверх | Cообщить модератору

11. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (13), 15-Апр-21, 11:00 
Туда-туда.
Это гуглозаход такой. Как с браузерами. Усложнение ради усложнения.
Кто сейчас сможет запилить свой браузер? Никто. Ресурсов не хватит.
С ядром линяги делают тоже самое.
Ответить | Правка | Наверх | Cообщить модератору

30. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним12345 (?), 15-Апр-21, 14:01 
Все, что растет из гугла, имеет прямо обратную цель
Корпорация зла
Ответить | Правка | Наверх | Cообщить модератору

33. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (33), 15-Апр-21, 16:09 
Так же в свое время ныли про ИЕ6.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

31. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +4 +/
Сообщение от анон (?), 15-Апр-21, 14:01 
Это аппаратный косяк, индустрия лишь следует туда, где рыночек порешал.
Тем временем в эльбрусах, которые тут так страстно обожают и активно хейтят, изначально заложены тегирование в аппаратуре, чтобы никто не мог вылезти из своего адресного загона.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

41. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от СеменСеменыч777 (?), 15-Апр-21, 20:16 
> индустрия идёт не туда

ru.wikipedia.org/wiki/Архитектура_фон_Неймана

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

59. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (-), 17-Апр-21, 09:16 
Гарвардцев, видите ли, оказалось очень уж неудобно программить. А нейманам приделали MMU/MPU с атрибутами доступа.
Ответить | Правка | Наверх | Cообщить модератору

8. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (13), 15-Апр-21, 10:54 
Наблюдая запихивание всего в ядро линукса, начинаем смотреть в сторону bsd.
Скоро придётся куда-то мигрировать.
Ответить | Правка | Наверх | Cообщить модератору

10. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –4 +/
Сообщение от Rev (?), 15-Апр-21, 10:59 
Да-да, лучше выбрать отстающее ядро, совсем без безопасности.
Ответить | Правка | Наверх | Cообщить модератору

12. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (13), 15-Апр-21, 11:02 
Чем такая "безопасность" может лучше не надо?
Ответить | Правка | Наверх | Cообщить модератору

60. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (-), 17-Апр-21, 09:17 
БезопасТность имени гангстера Масика с затыканием гонок delay-ями и ревью сам себя любимого - оно и правда лучше?
Ответить | Правка | Наверх | Cообщить модератору

14. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (14), 15-Апр-21, 11:15 
А разве в BSD не добавляли уже что-то схожее ранее?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

29. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от анон (?), 15-Апр-21, 13:51 
Есть хурд, катись туды.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

9. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Rev (?), 15-Апр-21, 10:58 
То есть, вместо того, чтобы проверять границы параметров, писать безопасно, либо писать на безопасном языке, мы будем стэк передвигать туда-сюда?

Затыкание пальцем дыры в трубе.

Ответить | Правка | Наверх | Cообщить модератору

16. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +2 +/
Сообщение от нежданчик (?), 15-Апр-21, 11:39 
>Затыкание пальцем дыры в трубе.

Это смещение дырки в трубе! Пальцем ткнул - а не попал!
Было

         🎣
--------- HOLE -------------------
       K E R N E L
----------------------------------
Стало
        🎣
---------------------- HOLE ------
       K E R N E L
----------------------------------
У кого уникод старый(нарисована картинка "удочка")

Ответить | Правка | Наверх | Cообщить модератору

22. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (22), 15-Апр-21, 12:41 
И все равно идея странная. Наверняка скоро появятся методы обхода таких защит перебором, поскольку защищают они не в 100% случаев. И процента производительности жалко, в общем-то ни на что.
Ответить | Правка | Наверх | Cообщить модератору

20. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +7 +/
Сообщение от Аноним (20), 15-Апр-21, 12:18 
Зачем ремни безопасности в машине. Нужно всего-то аккуратно и безаварийно ездить.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

23. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –4 +/
Сообщение от Аноним (22), 15-Апр-21, 12:43 
Плохое сравнение, ведь тогда хороший, современный ЯП сравним с безаварийной машиной (по работе с памятью)
Ответить | Правка | Наверх | Cообщить модератору

25. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +1 +/
Сообщение от Аноним (25), 15-Апр-21, 13:28 
В соседней новости написано, что Торвальдс думает об этом вашем "хорошем, современном ЯП"
Ответить | Правка | Наверх | Cообщить модератору

52. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от anonymous (??), 16-Апр-21, 12:18 
Нет, там было про его мысли о конкретном варианте интеграции.
Ответить | Правка | Наверх | Cообщить модератору

47. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (47), 16-Апр-21, 10:08 
Эти ваши рандомизации избавляют только от симптомов, а не от проблемы. Это и не хорошо и не плохо, это просто факт, что проблема есть.
Как пример можно сравнить с тем, что ssh для логина по ключам не требует шифровать приватный ключ юзера, и это, ИМХО, правильно, потому что ключ и так не должен быть доступен постороннему юзеру, а постоянный накопитель должен быть зашифрован/забетонирован
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

24. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (24), 15-Апр-21, 12:52 
Ну, можешь пока не пользоваться и немного подождать, пока начнуть делать более безопасный код.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

61. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (61), 17-Апр-21, 10:58 
GRKERNSEC_KSTACKOVERFLOW=y

https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

21. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (21), 15-Апр-21, 12:36 
Во фре уже давно, а потом скажут что в линухе первім "фича" появилась...
Ответить | Правка | Наверх | Cообщить модератору

27. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (27), 15-Апр-21, 13:40 
спасибо бздунам, что согласились побыть бетатестерами
Ответить | Правка | Наверх | Cообщить модератору

34. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +2 +/
Сообщение от Аноним (-), 15-Апр-21, 16:27 
>> отстающее ядро
> спасибо бздунам, что согласились побыть бетатестерами

Удобные двойные стандарты опеннетчиков. Ну хоть тут быстро сделали, а то те же process descriptors лет 8 или 9 тестировали для пингвинят (которые в это время не забывали активно нахваливать "решающую проблему PID-гонок" системду).


Ответить | Правка | Наверх | Cообщить модератору

37. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (27), 15-Апр-21, 18:13 
> > спасибо бздунам, что согласились побыть бетатестерами
> Удобные двойные стандарты опеннетчиков

А что, стрелка не поворачивается, да?

> Сообщение от Ivan_83 (ok), 13-Апр-21, 23:25
> Притом часто нам забрать - ничего не стоит по трудозатратам. Тестируйте для нас и дальше ))))))

https://www.opennet.dev/openforum/vsluhforumID3/123937.html#7

Ответить | Правка | Наверх | Cообщить модератору

44. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +1 +/
Сообщение от Аноним (-), 15-Апр-21, 22:27 
>>> Да-да, лучше выбрать отстающее ядро, совсем без безопасности.
>>> отстающее ядро
>>> спасибо бздунам, что согласились побыть бетатестерами
>> Удобные двойные стандарты опеннетчиков
> А что, стрелка не поворачивается, да?

Попробуй перед написанием ответа читать не отдельными словами или строками, а целиком - и желательно глазками.

Ответить | Правка | Наверх | Cообщить модератору

62. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (61), 17-Апр-21, 11:01 
https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...

В Linux давно реализация есть. Просто в основную ветвь патчей безопасности не добавляют.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

35. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –2 +/
Сообщение от Crazy Alex (ok), 15-Апр-21, 16:47 
Главное - что оно опцией, а не гвоздями прибито. 1% отдать ни за что, и так пара десятков "улучшений"... переживу как-нибудь без такого счастья.
Ответить | Правка | Наверх | Cообщить модератору

36. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (36), 15-Апр-21, 17:00 
Неужто так важен этот самый 1% ? Может просто перекомпилить ядро под конкретную архитектуру, а не юзать generic? тогда и того самого 1% возможно и не потеряется на фоне оптимизации производительности системы.
Ответить | Правка | Наверх | Cообщить модератору

38. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (38), 15-Апр-21, 18:16 
Дело скорее в этом:

"This is a continuation and refactoring of Elena's earlier effort to add
kernel stack base offset randomization"

https://lore.kernel.org/kernel-hardening/20190329081358.3049.../

Это ж надо было себе все присвоить. А там какая-то девка в авторах на самом то деле.

Ответить | Правка | Наверх | Cообщить модератору

43. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от СеменСеменыч777 (?), 15-Апр-21, 20:24 
> 1% отдать ни за что

1) на безопасность не жалко (если это действительно повышает безопасность).

2) если выкинуть SElinux, AppArmor и чег там еще в ядро понапихали, то можно отыграть эти 1% взад и еще остаться в плюсе.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

51. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (-), 16-Апр-21, 12:16 
> Кис Кук (Kees Cook),

Провакационное имя и фамилие. Какой то хрен чтоли :-)

> Патчи повышают безопасность ядра путём изменения размещения стека, что делает атаки на стек значительно более сложным и менее успешным занятием.

Да конечно. Ну просто вот прям сразу так. В регистрах прям таки нигде ен будет видно где стек спрятан.
Какие то странные люди пытаются сделать странные вещи, хотя остальным это кажется даже не танцем с бубном. Это эксперемент направленный на усложнение системы, а не усложнение/усиление защиты.

Ответить | Правка | Наверх | Cообщить модератору

54. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (54), 16-Апр-21, 17:43 
> Провакационное имя и фамилие

Ну знает мужик как кисок готовить

Ответить | Правка | Наверх | Cообщить модератору

57. "Представлены патчи для рандомизации адресов стека ядра Linux..."  –1 +/
Сообщение от Аноним (57), 17-Апр-21, 02:41 
чувство юмора типичного иксперта опеннет
Ответить | Правка | Наверх | Cообщить модератору

67. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (67), 22-Апр-21, 01:55 
самокритично
Ответить | Правка | Наверх | Cообщить модератору

64. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от Аноним (-), 19-Апр-21, 11:11 
> Да конечно. Ну просто вот прям сразу так. В регистрах прям таки
> нигде ен будет видно где стек спрятан.

Свой то касающийся вызова смотри наздоровье. А за попытки слазить вне оного - получишь в тыкву, по линии MMU и проверок red zone.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

68. "Представлены патчи для рандомизации адресов стека ядра Linux..."  +/
Сообщение от pavlinux (ok), 30-Июн-21, 18:29 
Ну они гепер мозги, пилять :D


/* Copyрайт ... где-то 2003-2004 (с) */
...
current->mm->start_stack =  bprm->p +/- get_random_long() % 8192; /* Фсё */
...

/* +/- зависит от CONFIG_STACK_GROWSUP */


Хотя вру, с bprm позже переделал.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру