Grsecurity projekta izstrādātāji publiskoja informāciju par drošības jautājumiem kas tika atrasti ierosinātajā plāksterī, lai uzlabotu Huawei darbinieka Linux kodola drošību, trāpīgi izmantotas ievainojamības klātbūtne plāksteru komplektā HKSP (Huawei kodola pašaizsardzība).
Šos “HKSP” ielāpus Huawei darbinieks publicēja pirms 5 dienām, un tajos iekļauta Huawei pieminēšana GitHub profilā un projekta nosaukuma dekodēšanā tiek izmantots vārds Huawei (HKSP - Huawei Kernel Self Protection), kaut arī emplado pieminēts ka projektam nav nekāda sakara ar uzņēmumu un tas ir viņa paša.
Šis projekts ir veicis manu pētījumu brīvajā laikā, hksp nosaukums ir manis paša dots, tas nav saistīts ar Huawei uzņēmumu, nav neviena Huawei produkta, kas izmantotu šo kodu.
Šo ielāpu kodu izveidoju es, jo vienai personai nav pietiekami daudz enerģijas, lai visu aptvertu. Tāpēc trūkst kvalitātes nodrošināšanas, piemēram, pārskatīšanas un pārbaudes.
Par HKSP
HKSP ietver izmaiņas, piemēram, struktūras kompromisi, vārda vietas uzbrukuma aizsardzība User ID (pid nosaukumvieta), procesa kaudzes atdalīšana mmap apgabals, kfree funkcija dubultā zvana noteikšana, noplūdes bloķēšana, izmantojot pseido-FS / proc (/ proc / {moduļi, atslēgas, galvenie lietotāji}, / proc / sys / kodols / * un / proc / sys / vm / mmap_min_addr, / proc / kallsyms), uzlabota adrešu randomizēšana lietotāja telpā, Ptrace papildu aizsardzība, uzlabota smap un smep aizsardzība, spēja aizliegt datu sūtīšanu caur neapstrādātām ligzdām, adrešu bloķēšana Nederīga UDP ligzdās un pārbaudēs un darbojošos procesu integritāte.
Ietvarā ietilpst arī Ksguard kodola modulis, kas paredzēts, lai identificētu mēģinājumus ieviest tipiskus rootkit.
Plāksteri izraisīja interesi par Gregu Kroahu-Hartmanu, kas atbild par stabilas Linux kodola filiāles uzturēšanu, kurš to darīs lūdza autoru sadalīt monolīto plāksteri daļās, lai vienkāršotu pārskatu un paaugstināšana centrālajā sastāvā.
Aktīvās aizsardzības tehnoloģiju popularizēšanas projekta Linux kodolā vadītājs Kijs Kuks (Kees Kuks) arī pozitīvi runāja par ielāpiem, un jautājumi pievērsa uzmanību x86 arhitektūrai un daudzu režīmu paziņošanas būtībai, kas tikai reģistrē informāciju par problēmu, bet nemēģiniet to bloķēt
Plākstera pētījums, ko veica Grsecurity izstrādātāji atklāja daudzas kļūdas un vājās vietas kodā Tas arī parādīja, ka nav draudu modeļa, kas ļautu adekvāti novērtēt projekta iespējas.
Lai ilustrētu, ka kods ir rakstīts, neizmantojot drošas programmēšanas metodes, Niecīgas ievainojamības piemērs ir sniegts / proc / ksguard / state failu apstrādātājā, kas izveidots ar atļaujām 0777, kas nozīmē, ka ikvienam ir rakstīšanas piekļuve.
Funkcija ksg_state_write, ko izmanto, lai parsētu komandas / proc / ksguard / state rakstītās komandas, izveido buferi tmp [32], kurā dati tiek ierakstīti, pamatojoties uz nodotā operanda lielumu, neņemot vērā galamērķa bufera lielumu un nepārbaudot parametrs ar virknes lielumu. Citiem vārdiem sakot, lai pārrakstītu daļu kodola kaudzes, uzbrucējam ir nepieciešams tikai uzrakstīt speciāli izveidotu rindu mapē / proc / ksguard / state.
Saņemot atbildi, izstrādātājs komentēja projekta “HKSP” GitHub lapu Pēc ievainojamības atklāšanas ar atpakaļejošu datumu viņš arī pievienoja piezīmi, ka projekts progresē brīvajā laikā pētniecībai.
Paldies drošības komandai, kas atradusi daudzas kļūdas šajā ielāpā.
Ksg_guard ir parauga bits rootkit atklāšanai kodola līmenī, lietotāju un kodolu saziņa uzsāk proc saskarni, mans avota mērķis ir ātri pārbaudīt ideju, tāpēc es nepievienoju pietiekami daudz drošības pārbaužu.Faktiski pārbaudot rootkit kodola līmenī, jums joprojām ir jāapspriež ar kopienu, ja nepieciešams izstrādāt ARK (anti rootkit) rīku Linux sistēmai ...