Комментарии 7
А что такое:
стековые канарейки?
Механизм проверки повреждения стека
Технология предотвращения эксплуатации переполнения буферов на стеке (название такое из за канареек, которых использовали в шахтах как индикатор уровня CO).
Цитата из статьи «Как устроены дыры в безопасности: переполнение буфера»:
Цитата из статьи «Как устроены дыры в безопасности: переполнение буфера»:
Определяемое на этапе исполнения значение, называемое „канарейкой“ (canary) пишется в конец стека рядом с адресом возврата. В конце каждой функции, это значение проверяется перед выполнением инструкции возврата. Если значение канарейки изменилось (по причине перезаписи в ходе переполнения), программа немедленно рухнет вместо продолжения.
m1rko, спасибо за перевод.
Неудачный перевод очень интересного абзаца про анализ опций безопасности ядра.
Действительно, есть ряд опций ядра Linux, при включении которых поверхность атаки для ядра увеличивается. При этом данные опции могут использоваться для предоставления дополнительных средств безопасности для пользовательского пространства, а именно: CONFIG_USER_NS для контейнерной изоляции, ftrace для live patching, eBPF для фильтрации трафика и пр.
Рекомендация автора оригинальной статьи в том, что следует включать данный функционал, только если польза для общей безопасности системы превышает потенциальную угрозу эксплуатации уязвимостей в нем.
некоторые конфигурации ядра, которые увеличивают поверхность атаки, одновременно могут использоваться для безопасности. Такие примеры включают uprobes и kprobes, модули ядра и BPF/eBPF. Наша рекомендация состоит в том, чтобы использовать вышеуказанные механизмы для обеспечения реальной защиты, поскольку они нетривиальны для использования, а их эксплуатация предполагает, что вредоносные субъекты уже закрепились в системе. Но если эти параметры включены, системный администратор должен активно следить за злоупотреблениями.
Неудачный перевод очень интересного абзаца про анализ опций безопасности ядра.
Действительно, есть ряд опций ядра Linux, при включении которых поверхность атаки для ядра увеличивается. При этом данные опции могут использоваться для предоставления дополнительных средств безопасности для пользовательского пространства, а именно: CONFIG_USER_NS для контейнерной изоляции, ftrace для live patching, eBPF для фильтрации трафика и пр.
Рекомендация автора оригинальной статьи в том, что следует включать данный функционал, только если польза для общей безопасности системы превышает потенциальную угрозу эксплуатации уязвимостей в нем.
Интересно как обстоят дела с российскими дистрибутивами.
До тех пор пока для создания ПО будет использоватся негодный инструментарий, (т.е. языки типа Си, Си++ и т.д., принципиально не позволяющие написать надёжную программу), ситуация с надёжностью ПО будет только ухудшатся. И всевозможные костыли тут не помогут. Что говорить о ПО, производители процессоров к этой теме подключились. Скоро станет нормой ситуация, когда выезжаеш за ворота и отваливаются колёса. А тебе говорят: — «Ну ничего, бывает. Это же очень сложное устройство.» Автор, не воспринимай на свой счёт, статья хорошая.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Миллионы бинарников спустя. Как укреплялся Linux