Кис Кук (Kees Cook), бывший главный сисадмин kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS,  опубликовал набор патчей с реализацией рандомизации смещений в стэке ядра при обработке системных вызовов. Патчи повышают безопасность ядра путём изменения размещения стека, что делает атаки на стек значительно более сложным и менее успешным занятием. Начальная реализация поддерживает процессоры ARM64 и x86/x86_64. Для включения режима  предложен параметр командной строки ядра "randomize_kstack_offset=on/off" и настройка CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54971

• Представлены патчи для рандомизации адресов стека ядра Linux...,Корец, 10:16 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Гусар, 10:37 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Ноним, 10:46 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,ilyafedin, 10:42 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 10:51 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:06 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,лютый жабби__, 20:21 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 09:14 , 17-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:17 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,InuYasha, 11:52 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,n00by, 11:55 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,РУСТофил, 15:22 , 15-Апр-21
      • Представлены патчи для рандомизации адресов стека ядра Linux...,n00by, 09:41 , 16-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Корец, 18:53 , 15-Апр-21
      • Представлены патчи для рандомизации адресов стека ядра Linux...,n00by, 09:36 , 16-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 10:52 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:00 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним12345, 14:01 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 16:09 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,анон, 14:01 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,СеменСеменыч777, 20:16 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 09:16 , 17-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 10:54 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Rev, 10:59 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:02 , 15-Апр-21
      • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 09:17 , 17-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:15 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,анон, 13:51 , 15-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,Rev, 10:58 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,нежданчик, 11:39 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 12:41 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 12:18 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 12:43 , 15-Апр-21
      • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 13:28 , 15-Апр-21
        • Представлены патчи для рандомизации адресов стека ядра Linux...,anonymous, 12:18 , 16-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 10:08 , 16-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 12:52 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 10:58 , 17-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 12:36 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 13:40 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 16:27 , 15-Апр-21
      • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 18:13 , 15-Апр-21
        • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 22:27 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:01 , 17-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,Crazy Alex, 16:47 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 17:00 , 15-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 18:16 , 15-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,СеменСеменыч777, 20:24 , 15-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 12:16 , 16-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 17:43 , 16-Апр-21
    • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 02:41 , 17-Апр-21
      • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 01:55 , 22-Апр-21
  • Представлены патчи для рандомизации адресов стека ядра Linux...,Аноним, 11:11 , 19-Апр-21
• Представлены патчи для рандомизации адресов стека ядра Linux...,pavlinux, 18:29 , 30-Июн-21

>Елена Решeтова, инженер из фирмы Intel

Фамилия-то прям в тему.

в женщине главное не фамилия

>в женщине главное не фамилия

А то, как она произносится

Это же скольким событиям надо было совпасть, чтобы мы увидели эту строку на опеннете... Настоящее чудо.

Она реально крута. 👍
Позырь проекты на гитхабе.

Посмотрел
Сделано хорошо
Диссертация зачёт, это ей надо
Все остальное кому нибудь надо?

>Она реально крута. Позырь проекты на гитхабе.

если крута, почему недоделала, то что сделал Кук?

> Она реально крута. 👍

Урл?

Достойная конкурентка Янки Руткитской

ЧСХ, она (была?) в списке недопустимых слов на Опеннете? )
Как тебе удалось написать её в комментарии?

>>Елена Решeтова, инженер из фирмы Intel
> Фамилия-то прям в тему.

Значение слова Решетник по словарю Ушакова:
РЕШЕТНИК, решетника, м. (спец.).
1. только ед., собир. Материал для обрешотки крыш - тонкие длинные брусья, прибиваемые к стропилам для настила на них кровельного материала.
2. Человек, изготовляющий решета.

>Человек, изготовляющий решета.

Всех погроммистов пишущих на "небезопасных" языках надо так назвать!

>>Человек, изготовляющий решета.
> Всех погроммистов пишущих на "небезопасных" языках надо так назвать!

Ну да. Си это тот каркас, на котором всё держится.

>Человек, изготовляющий решета.
>инженер из фирмы Intel

Всё сходится.

>>Человек, изготовляющий решета.
>>инженер из фирмы Intel
> Всё сходится.

Решата являются _укрепляющей_ конструкцией, на которой держится кровля. Вы путаете их с ситом и дуршлагом (которые, опять же, не о том -- они не пропускают лишнее, либо задерживают нужное). Если для Вас "сходится", значит Вы не прошли тест с полуполным стаканом, а это звоночек.

>>> набор патчей с реализацией рандомизации смещений в стэке ядра при обработке системных вызовов

вам не кажется что индустрия идёт не туда, коль приходится вытворять такие штуки(рэндомизировать)? (так это ещё и не решает проблему)

Туда-туда.
Это гуглозаход такой. Как с браузерами. Усложнение ради усложнения.
Кто сейчас сможет запилить свой браузер? Никто. Ресурсов не хватит.
С ядром линяги делают тоже самое.

Все, что растет из гугла, имеет прямо обратную цель
Корпорация зла

Так же в свое время ныли про ИЕ6.

Это аппаратный косяк, индустрия лишь следует туда, где рыночек порешал.
Тем временем в эльбрусах, которые тут так страстно обожают и активно хейтят, изначально заложены тегирование в аппаратуре, чтобы никто не мог вылезти из своего адресного загона.

> индустрия идёт не туда

ru.wikipedia.org/wiki/Архитектура_фон_Неймана

Гарвардцев, видите ли, оказалось очень уж неудобно программить. А нейманам приделали MMU/MPU с атрибутами доступа.

Наблюдая запихивание всего в ядро линукса, начинаем смотреть в сторону bsd.
Скоро придётся куда-то мигрировать.

Да-да, лучше выбрать отстающее ядро, совсем без безопасности.

Чем такая "безопасность" может лучше не надо?

БезопасТность имени гангстера Масика с затыканием гонок delay-ями и ревью сам себя любимого - оно и правда лучше?

А разве в BSD не добавляли уже что-то схожее ранее?

Есть хурд, катись туды.

То есть, вместо того, чтобы проверять границы параметров, писать безопасно, либо писать на безопасном языке, мы будем стэк передвигать туда-сюда?

Затыкание пальцем дыры в трубе.

>Затыкание пальцем дыры в трубе.

Это смещение дырки в трубе! Пальцем ткнул - а не попал!
Было

         🎣
--------- HOLE -------------------
       K E R N E L
----------------------------------
Стало
        🎣
---------------------- HOLE ------
       K E R N E L
----------------------------------
У кого уникод старый(нарисована картинка "удочка")

И все равно идея странная. Наверняка скоро появятся методы обхода таких защит перебором, поскольку защищают они не в 100% случаев. И процента производительности жалко, в общем-то ни на что.

Зачем ремни безопасности в машине. Нужно всего-то аккуратно и безаварийно ездить.

Плохое сравнение, ведь тогда хороший, современный ЯП сравним с безаварийной машиной (по работе с памятью)

В соседней новости написано, что Торвальдс думает об этом вашем "хорошем, современном ЯП"

Нет, там было про его мысли о конкретном варианте интеграции.

Эти ваши рандомизации избавляют только от симптомов, а не от проблемы. Это и не хорошо и не плохо, это просто факт, что проблема есть.
Как пример можно сравнить с тем, что ssh для логина по ключам не требует шифровать приватный ключ юзера, и это, ИМХО, правильно, потому что ключ и так не должен быть доступен постороннему юзеру, а постоянный накопитель должен быть зашифрован/забетонирован

Ну, можешь пока не пользоваться и немного подождать, пока начнуть делать более безопасный код.

GRKERNSEC_KSTACKOVERFLOW=y

https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...

Во фре уже давно, а потом скажут что в линухе первім "фича" появилась...

спасибо бздунам, что согласились побыть бетатестерами

>> отстающее ядро
> спасибо бздунам, что согласились побыть бетатестерами

Удобные двойные стандарты опеннетчиков. Ну хоть тут быстро сделали, а то те же process descriptors лет 8 или 9 тестировали для пингвинят (которые в это время не забывали активно нахваливать "решающую проблему PID-гонок" системду).

> > спасибо бздунам, что согласились побыть бетатестерами
> Удобные двойные стандарты опеннетчиков

А что, стрелка не поворачивается, да?

> Сообщение от Ivan_83 (ok), 13-Апр-21, 23:25
> Притом часто нам забрать - ничего не стоит по трудозатратам. Тестируйте для нас и дальше ))))))

https://www.opennet.me/openforum/vsluhforumID3/123937.html#7

>>> Да-да, лучше выбрать отстающее ядро, совсем без безопасности.
>>> отстающее ядро
>>> спасибо бздунам, что согласились побыть бетатестерами
>> Удобные двойные стандарты опеннетчиков
> А что, стрелка не поворачивается, да?

Попробуй перед написанием ответа читать не отдельными словами или строками, а целиком - и желательно глазками.

https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...

В Linux давно реализация есть. Просто в основную ветвь патчей безопасности не добавляют.

Главное - что оно опцией, а не гвоздями прибито. 1% отдать ни за что, и так пара десятков "улучшений"... переживу как-нибудь без такого счастья.

Неужто так важен этот самый 1% ? Может просто перекомпилить ядро под конкретную архитектуру, а не юзать generic? тогда и того самого 1% возможно и не потеряется на фоне оптимизации производительности системы.

Дело скорее в этом:

"This is a continuation and refactoring of Elena's earlier effort to add
kernel stack base offset randomization"

https://lore.kernel.org/kernel-hardening/20190329081358.3049.../

Это ж надо было себе все присвоить. А там какая-то девка в авторах на самом то деле.

> 1% отдать ни за что

1) на безопасность не жалко (если это действительно повышает безопасность).

2) если выкинуть SElinux, AppArmor и чег там еще в ядро понапихали, то можно отыграть эти 1% взад и еще остаться в плюсе.

> Кис Кук (Kees Cook),

Провакационное имя и фамилие. Какой то хрен чтоли :-)

> Патчи повышают безопасность ядра путём изменения размещения стека, что делает атаки на стек значительно более сложным и менее успешным занятием.

Да конечно. Ну просто вот прям сразу так. В регистрах прям таки нигде ен будет видно где стек спрятан.
Какие то странные люди пытаются сделать странные вещи, хотя остальным это кажется даже не танцем с бубном. Это эксперемент направленный на усложнение системы, а не усложнение/усиление защиты.

> Провакационное имя и фамилие

Ну знает мужик как кисок готовить

чувство юмора типичного иксперта опеннет

самокритично

> Да конечно. Ну просто вот прям сразу так. В регистрах прям таки
> нигде ен будет видно где стек спрятан.

Свой то касающийся вызова смотри наздоровье. А за попытки слазить вне оного - получишь в тыкву, по линии MMU и проверок red zone.

Ну они гепер мозги, пилять :D

/* Copyрайт ... где-то 2003-2004 (с) */
...
 current->mm->start_stack =  bprm->p +/- get_random_long() % 8192; /* Фсё */
...
/* +/- зависит от CONFIG_STACK_GROWSUP */

Хотя вру, с bprm позже переделал.