https://www.opennet.ru/openforum/vsluhforumID3/113428.html Проект Openwall, известный своими инициативами по обеспечению безопасности, представил (http://www.openwall.com/lists/announce/2018/01/29/1) первый экспериментальный выпуск механизма LKRG (http://www.openwall.com/lkrg/) (Linux Kernel Runtime Guard), предназначенного для контроля целостности ядра Linux и обнаружения попыток эксплуатации уязвимостей в ядре. Проект находится на стадии тестирования экспериментального прототипа. Лицензия на код модуля (https://bitbucket.org/Adam_pi3/lkrg-main) пока не выбрана, рассматривается (http://openwall.info/wiki/p_lkrg/Main) GPLv2 или GPLv3. Для финансирования разработки в будущем не исключается выпуск расширенной платной версии LKRG Pro. <br><br><br>LKRG оформлен в виде загружаемого модуля ядра, который пытается выявлять несанкционированное внесение изменений в работающее ядро (проверка целостности) или изменение полномочий пользовательских процессов (определение применения эксплоитов). Определение возможного применения эксплоитов и блокирование атак производится на стадии до пр https://www.opennet.ru/openforum/vsluhforumID3/113428.html#71 Fri, 31 Aug 2018 12:15:17 GMT RMS телефоном пользуется, но только не сотовым, а если приходится пользоваться сотовым, то он его включает когда очень нужно.<br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#69 Sun, 04 Feb 2018 10:19:43 GMT Достаточно только модуль.<br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#68 Sat, 03 Feb 2018 01:49:15 GMT Прежде, чем добавлять сигнатуры в Pro версию, надо убедиться, что те эксплойты обходят Free версию :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#67 Fri, 02 Feb 2018 15:41:45 GMT Звучит очень разумно. Это не абсолютная защита, но подложить атакующим пару мин - идея хороша. Жаль что как обычно будет куском проблем в использовании и опять какие-нибудь скандалы с майнлайном выйдут. Хотя с такой защитой по другому сложно.<br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#66 Fri, 02 Feb 2018 14:34:06 GMT Увы, иранцам это не помогло, так что отсутствие компьютеров таки безопаснее.<br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#65 Thu, 01 Feb 2018 11:00:19 GMT А вот и антивирус, в pro версии видимо добавят сигнатуры эксплоитов ;-) <br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#64 Thu, 01 Feb 2018 00:36:37 GMT Ясно, спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID3/113428.html#63 Wed, 31 Jan 2018 19:45:26 GMT Во-первых, мы сразу позиционируем LKRG как bypassable by design и как предоставляющий лишь спорную security through diversity. Именно об этом говорится в анонсе по ссылке из новости здесь.<br><br>Во-вторых, с другой стороны, не каждая уязвимость в ядре и не каждый ее exploit приводит именно/сразу к RCE. Возможны ситуации, когда атакующему доступна попытка записи от имени и в адресное пространство ядра с какими-либо ограничениями или доступны лишь отдельные bit flips (как в случае с Rowhammer). В этих случаях у LKRG есть шанс (но не гарантия) распознать проблему до того как атакующий выполнит следующие шаги атаки.<br><br>В-третьих, из-за LKRG exploit'ы могут усложняться, а их надежность снижаться. В приведенном примере с пересчетом хешей, потребуется сначала найти их и ключ для SipHash (который генерируется случайно при загрузке модуля). Думаю, сейчас это, уже имея RCE, сделать не сложно - мы пока не пытались скрыть расположение этих переменных. Также, думаю есть более простые и надежные способы обхода текущей версии https://www.opennet.ru/openforum/vsluhforumID3/113428.html#62 Wed, 31 Jan 2018 19:01:17 GMT Вообще-то я спрашивал solar designerа.<br><br>Имхо тут 2 варианта.<br>1 проверка происходит до того, как атакующий обошёл защиту памяти. Тогда структуры неповреждены и проверка ничего не выявляет.<br>2 проверка происходит после модификации памяти атакующим на уже скомпромитированной системе. Раз атакующий может модифицировать память, то он может пересчитать хеши записать их куда надо. Проверка опять ничего не выявляет.<br>