Разработчиците на проекта Grsecurity пусна информация по въпроси на сигурността които бяха намерени в предложена корекция за подобряване на защитата на ядрото на Linux от служител на Huawei, наличието на тривиално експлоатирана уязвимост в набора от корекции HKSP (Самозащита на ядрото на Huawei).
Тези кръпки „HKSP“ бяха публикувани от служител на Huawei преди 5 дни и включват споменаването на Huawei в профила на GitHub и използват думата Huawei при декодирането на името на проекта (HKSP - Huawei Kernel Self Protection), въпреки че в емблемата се споменава че проектът няма нищо общо с компанията и е негов собствен.
Този проект е направил моите изследвания в свободното ми време, името на hksp е дадено от мен, не е свързано с компанията Huawei, няма продукт на Huawei, който използва този код.
Този код за корекция е създаден от мен, тъй като един човек няма достатъчно енергия, за да покрие всичко. Следователно липсва осигуряване на качество като преглед и тест.
Относно HKSP
HKSP включва промени като рандомизиране на структура компромиси, защита от атаки в пространството от имена потребителски идентификатор (pid на пространство от имена), процесно разделяне на стека от mmap областта, функция за откриване на двойно повикване kfree, блокиране на течове чрез псевдо-FS / proc (/ proc / {модули, ключове, ключови потребители}, / proc / sys / kernel / * и / proc / sys / vm / mmap_min_addr, / proc / kallsyms), подобрена рандомизация на адреси в потребителското пространство, допълнителна защита на Ptrace, подобрена защита на smap и smep, възможност за забрана на изпращането на данни през необработени сокети, блокиране на адреси Невалидни в UDP сокети и проверки и целостта на изпълняваните процеси .
Рамката включва и модула на ядрото Ksguard, предназначен да идентифицира опитите за въвеждане на типични руткитове.
Кръпките предизвикаха интерес към Грег Кроах-Хартман, отговорен за поддържането на стабилен клон на ядрото на Linux, който ще помоли автора да раздели монолитния пластир на части, за да опрости рецензията и повишаване в централната композиция.
Кийс Кук (Kees Cook), ръководител на проекта за насърчаване на технологията за активна защита в ядрото на Linux, също се изказа положително за корекциите и проблемите обърнаха внимание на архитектурата x86 и естеството на уведомяването на много режими, които записват само информация за проблем, но не Опитайте се да го блокирате.
Проучване на кръпка от разработчиците на Grsecurity разкри много грешки и слабости в кода Той също така показа липсата на модел на заплаха, който позволява адекватна оценка на капацитета на проекта.
За да илюстрираме, че кодът е написан без използване на защитени методи за програмиране, Пример за тривиална уязвимост е предоставен в манипулатора на файл / proc / ksguard / state, който е създаден с разрешения 0777, което означава, че всеки има достъп за запис.
Функцията ksg_state_write, използвана за синтактичен анализ на командите, написани в / proc / ksguard / state, създава буфер tmp [32], в който данните се записват въз основа на размера на предадения операнд, независимо от размера на буфера на дестинация и без проверка параметърът с размера на низа. С други думи, за да презапише част от стека на ядрото, нападателят трябва само да напише специално създаден ред в / proc / ksguard / state.
След получаване на отговор, разработчикът коментира страницата на GitHub на проекта „HKSP“ със задна дата след откриването на уязвимостта той също добави бележка, че проектът напредва в свободното си време за изследвания.
Благодарим на екипа за сигурност, че намери много грешки в тази корекция.
Ksg_guard е примерен бит за откриване на руткитове на ниво ядро, комуникацията между потребители и ядро стартира интерфейса proc, моята цел на източника е да проверя идеята бързо, за да не добавя достатъчно проверки за сигурност.Всъщност проверявайки руткит на ниво ядро, все още трябва да обсъдите с общността, ако е необходимо да проектирате ARK (анти руткит) инструмент за Linux система ...