forum.opennet.ru - "Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов" (38)

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"	+/–
Сообщение от opennews (??), 24-Апр-25, 22:25
Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63136
Ответить \| Правка \| Cообщить модератору

Оглавление

Хостовая система не видит, что происходит в контейнере Или эти инструменты в т, Аноним (1), 22:25 , 24-Апр-25, (1) –1

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация , Аноним (2), 22:26 , 24-Апр-25, (2) +1

https ru wikipedia org wiki D0 9A D0 BE D0 BD D1 82 D0 B5 D0 B9 D0 BD D0 B5 D, Аноним (1), 22:39 , 24-Апр-25, (3) +3

Просто не читайте до обеда википедию , АнонимЯ (?), 02:07 , 25-Апр-25, (13) +4
Ничего странного, как всегда надо начинать с определений - они могут сильно отли, Аноним (18), 07:58 , 25-Апр-25, (18) +1

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая п, ИмяХ (ok), 22:50 , 24-Апр-25, (4) +4

Кому это нам Линусу и Ко Так им пофиг на мнение каких-то там анонимов с опенне, Аноним (5), 23:09 , 24-Апр-25, (5) +1

И набегут новые мейнтейнеры , чтобы предложить io_uring переписывать на Rust , Аноним (6), 23:29 , 24-Апр-25, (6) +5

мне не говорили Я думал что это улучшайкерство само по себе вредонос неотключа, нах. (?), 23:32 , 24-Апр-25, (9)
Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики, n00by (ok), 10:14 , 25-Апр-25, (24) +1
Скрыто модератором, vitalif (ok), 13:44 , 25-Апр-25, (37) +1

Ураааа Наконец-то хоть какая-то польза простым смертым от этой иоурины, поперел, нах. (?), 23:31 , 24-Апр-25, (7) +1
Предлагается детектить активность одного руткита с помощью другого , Аноним (6), 23:32 , 24-Апр-25, (8) +8

Ради вашей безопасности, из за того что у них там в разработке т е он не работа, Аноним (20), 08:44 , 25-Апр-25, (20) –1

так все равно происходит чтение, все равно происходит подключение к сети я дал, мяв (?), 01:05 , 25-Апр-25, (12) +1

А надо было читать дальше вместо перехвата системных вызовов рекомендовано испо, n00by (ok), 10:22 , 25-Апр-25, (25)

Скажи, в какой, если ты читал дальше, Anonimous (?), 12:33 , 25-Апр-25, (34)

Скажу, что ты слишком поторопился с троллингом Ответ дан в самом первом по вре, n00by (ok), 14:02 , 25-Апр-25, (39)

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя , Аноним (14), 02:09 , 25-Апр-25, (14) +4

Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписа, n00by (ok), 10:24 , 25-Апр-25, (26) +2

Надо взять ядро 2 6, залатать все дыры и уязвимости в нем, и не трогать Писать , Аноним (15), 02:26 , 25-Апр-25, (15) +1

Скрыто модератором, 1 (??), 09:18 , 25-Апр-25, (22)
Это не про дыры, а про отсутствие защитного механизма в ядре Так что надо внедр, n00by (ok), 10:35 , 25-Апр-25, (28)
Ок, делай, Герострат (?), 11:41 , 25-Апр-25, (31)
Но контейнеризация, всё-таки, нужна Поэтому всё, что касается пространств имён , Аноним (32), 12:22 , 25-Апр-25, (32)

Следующая новость -- опасность руткитов из-заBPF руткиты облепили LSM своими лип, Аноним (16), 02:51 , 25-Апр-25, (16)

Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код И хватит тут постоянно поминать, Жироватт (ok), 08:03 , 25-Апр-25, (19)
В каждой шутке есть доля шутки Примерно так оно и развивалось в другой ОС С че, n00by (ok), 10:31 , 25-Апр-25, (27)

Не могут 10 лет родить асинхронный API , Шарп (ok), 09:12 , 25-Апр-25, (21)

Чем epoll не асинхронный Давно рождён , Аноним (32), 12:31 , 25-Апр-25, (33)
Так как раз родили Но теперь секукакурщики завыли что распарсить его не могут , vitalif (ok), 13:45 , 25-Апр-25, (38) +1

Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со сво, n00by (ok), 10:12 , 25-Апр-25, (23) +1
Ого, вот тебе и безопасный линукс для которого нет вирусов как в отсталой винде, Аноним (-), 10:50 , 25-Апр-25, (29) –1
Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют рутк, Аноним (30), 11:13 , 25-Апр-25, (30) +1

Где выявлять и зачем Верный способ остановить этот парад мракобесия специально, n00by (ok), 14:19 , 25-Апр-25, (40)

А когда ожидать местного блаженного Он тут недавно мне рассказывал как это заме, Аноним (35), 12:39 , 25-Апр-25, (35)
как обычно мой дебиан в пролёте на 4 19 ведре даже руткит не заработает , Аноним (36), 13:30 , 25-Апр-25, (36)
Чтоб не ждать 6 6io_uring_setup SELinux AppArmor seccomp для фильтрации io_, OpenEcho (?), 15:25 , 25-Апр-25, (41)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 24-Апр-25, 22:25 –1 +/–

> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах
Хостовая система не видит, что происходит в контейнере?
Или эти "инструменты" в тех же ns работают?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (2), 24-Апр-25, 22:26 +1 +/–

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Аноним (1), 24-Апр-25, 22:39 +3 +/–

> это вам не виртуализация.
https://ru.wikipedia.org/wiki/%D0%9A%D0%...
Вообще контейнеризация относится к виртуализации (что как по мне странно).

> Конечно видит, ядро же общее для всех контейнеров,
Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра.
А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13, #18

4. Сообщение от ИмяХ (ok), 24-Апр-25, 22:50 +4 +/–

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #9, #24, #37

5. Сообщение от Аноним (5), 24-Апр-25, 23:09 +1 +/–

Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Аноним (6), 24-Апр-25, 23:29 +5 +/–

И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от нах. (?), 24-Апр-25, 23:31 +1 +/–

Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (6), 24-Апр-25, 23:32 +8 +/–

>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам
Предлагается детектить активность одного руткита с помощью другого.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

9. Сообщение от нах. (?), 24-Апр-25, 23:32 +/–

мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от мяв (?), 25-Апр-25, 01:05 +1 +/–

так.. все равно происходит чтение, все равно происходит подключение к сети.
я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра.
MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

13. Сообщение от АнонимЯ (?), 25-Апр-25, 02:07 +4 +/–

> Вообще контейнеризация относится к виртуализации (что как по мне странно).
Просто не читайте до обеда википедию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

14. Сообщение от Аноним (14), 25-Апр-25, 02:09 +4 +/–

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain.
Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

15. Сообщение от Аноним (15), 25-Апр-25, 02:26 +1 +/–

Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить.
Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #28, #31, #32

16. Сообщение от Аноним (16), 25-Апр-25, 02:51 +/–

Следующая новость -- опасность руткитов из-за
>> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам.
BPF руткиты облепили LSM своими липкими хуками!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #27

18. Сообщение от Аноним (18), 25-Апр-25, 07:58 +1 +/–

Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например, виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

19. Сообщение от Жироватт (ok), 25-Апр-25, 08:03 +/–

Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код.
И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 25-Апр-25, 08:44 –1 +/–

Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается :
разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам.
Ну прям классический развод про дыры ради безопасности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

21. Сообщение от Шарп (ok), 25-Апр-25, 09:12 +/–

Не могут 10 лет родить асинхронный API.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #38

22. Сообщение от 1 (??), 25-Апр-25, 09:18 Скрыто ботом-модератором +/–

Чё 2.6 то ? 2.4 - самое православное ядро !

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от n00by (ok), 25-Апр-25, 10:12 +1 +/–

Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда.
"Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."

Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от n00by (ok), 25-Апр-25, 10:14 +1 +/–

Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

25. Сообщение от n00by (ok), 25-Апр-25, 10:22 +/–

А надо было читать дальше:
"вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring."
Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #34

26. Сообщение от n00by (ok), 25-Апр-25, 10:24 +2 +/–

Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

27. Сообщение от n00by (ok), 25-Апр-25, 10:31 +/–

В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

28. Сообщение от n00by (ok), 25-Апр-25, 10:35 +/–

Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

29. Сообщение от Аноним (-), 25-Апр-25, 10:50 –1 +/–

Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде")
А ведь не первый раз. Bvp47 десять лет жил.

Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним (30), 25-Апр-25, 11:13 +1 +/–

Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

31. Сообщение от Герострат (?), 25-Апр-25, 11:41 +/–

Ок, делай

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

32. Сообщение от Аноним (32), 25-Апр-25, 12:22 +/–

Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

33. Сообщение от Аноним (32), 25-Апр-25, 12:31 +/–

Чем epoll не асинхронный? Давно рождён.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Anonimous (?), 25-Апр-25, 12:33 +/–

> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
Скажи, в какой, если ты читал дальше

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #39

35. Сообщение от Аноним (35), 25-Апр-25, 12:39 +/–

А когда ожидать местного блаженного? Он тут недавно мне рассказывал как это замечательно и быстро, не то что у мс.

Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (36), 25-Апр-25, 13:30 +/–

как обычно мой дебиан в пролёте... на 4.19 ведре даже руткит не заработает...

Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от vitalif (ok), 25-Апр-25, 13:44 Скрыто ботом-модератором +1 +/–

io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок
как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

38. Сообщение от vitalif (ok), 25-Апр-25, 13:45 +1 +/–

Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

39. Сообщение от n00by (ok), 25-Апр-25, 14:02 +/–

>> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
> Скажи, в какой, если ты читал дальше
Скажу, что ты слишком поторопился с троллингом. Ответ дан в самом первом (по времени) моём сообщении в этой теме. Попробуй его найти -- так ты покажешь, что есть хоть какой-то смысл с тобой говорить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

40. Сообщение от n00by (ok), 25-Апр-25, 14:19 +/–

Где выявлять и зачем? Верный способ остановить этот парад мракобесия: специально обученные люди обнаруживают в специально отведённом месте, а следом применяют административные меры к главарям секты "Вирусовнет", объявляя их соучастниками в утечках персданных и прочего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

41. Сообщение от OpenEcho (?), 25-Апр-25, 15:25 +/–

Чтоб не ждать 6.6
io_uring_setup => SELinux/AppArmor
+ seccomp для фильтрации io_uring syscalls

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 24-Апр-25, 22:25	–1 +/–
> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах Хостовая система не видит, что происходит в контейнере? Или эти "инструменты" в тех же ns работают?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (2), 24-Апр-25, 22:26	+1 +/–
Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Аноним (1), 24-Апр-25, 22:39	+3 +/–
> это вам не виртуализация. https://ru.wikipedia.org/wiki/%D0%9A%D0%... Вообще контейнеризация относится к виртуализации (что как по мне странно). > Конечно видит, ядро же общее для всех контейнеров, Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра. А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #13, #18

4. Сообщение от ИмяХ (ok), 24-Апр-25, 22:50	+4 +/–
Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #9, #24, #37

5. Сообщение от Аноним (5), 24-Апр-25, 23:09	+1 +/–
Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Аноним (6), 24-Апр-25, 23:29	+5 +/–
И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от нах. (?), 24-Апр-25, 23:31	+1 +/–
Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (6), 24-Апр-25, 23:32	+8 +/–
>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Предлагается детектить активность одного руткита с помощью другого.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20

9. Сообщение от нах. (?), 24-Апр-25, 23:32	+/–
мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

12. Сообщение от мяв (?), 25-Апр-25, 01:05	+1 +/–
так.. все равно происходит чтение, все равно происходит подключение к сети. я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра. MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25

13. Сообщение от АнонимЯ (?), 25-Апр-25, 02:07	+4 +/–
> Вообще контейнеризация относится к виртуализации (что как по мне странно). Просто не читайте до обеда википедию.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

14. Сообщение от Аноним (14), 25-Апр-25, 02:09	+4 +/–
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain. Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

15. Сообщение от Аноним (15), 25-Апр-25, 02:26	+1 +/–
Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить. Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22, #28, #31, #32

16. Сообщение от Аноним (16), 25-Апр-25, 02:51	+/–
Следующая новость -- опасность руткитов из-за >> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам. BPF руткиты облепили LSM своими липкими хуками!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #19, #27

18. Сообщение от Аноним (18), 25-Апр-25, 07:58	+1 +/–
Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например, виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

19. Сообщение от Жироватт (ok), 25-Апр-25, 08:03	+/–
Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код. И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 25-Апр-25, 08:44	–1 +/–
Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается : разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам. Ну прям классический развод про дыры ради безопасности.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

21. Сообщение от Шарп (ok), 25-Апр-25, 09:12	+/–
Не могут 10 лет родить асинхронный API.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33, #38

22. Сообщение от 1 (??), 25-Апр-25, 09:18 Скрыто ботом-модератором	+/–
Чё 2.6 то ? 2.4 - самое православное ядро !
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

23. Сообщение от n00by (ok), 25-Апр-25, 10:12	+1 +/–
Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда. "Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."
Ответить \| Правка \| Наверх \| Cообщить модератору

24. Сообщение от n00by (ok), 25-Апр-25, 10:14	+1 +/–
Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

25. Сообщение от n00by (ok), 25-Апр-25, 10:22	+/–
А надо было читать дальше: "вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring." Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #34

26. Сообщение от n00by (ok), 25-Апр-25, 10:24	+2 +/–
Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

27. Сообщение от n00by (ok), 25-Апр-25, 10:31	+/–
В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

28. Сообщение от n00by (ok), 25-Апр-25, 10:35	+/–
Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

29. Сообщение от Аноним (-), 25-Апр-25, 10:50	–1 +/–
Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде") А ведь не первый раз. Bvp47 десять лет жил.
Ответить \| Правка \| Наверх \| Cообщить модератору

30. Сообщение от Аноним (30), 25-Апр-25, 11:13	+1 +/–
Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #40

31. Сообщение от Герострат (?), 25-Апр-25, 11:41	+/–
Ок, делай
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

32. Сообщение от Аноним (32), 25-Апр-25, 12:22	+/–
Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

33. Сообщение от Аноним (32), 25-Апр-25, 12:31	+/–
Чем epoll не асинхронный? Давно рождён.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21