forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проект Debian начал общее голосование по вопросу поставки пр..."
Отправлено Аноним, 30-Авг-22 23:05

> А большой нюанс в том, что безопасность - это не некая булева
> переменная, при случайном значении false требующая лечь на спинку и поднять лапки.
Не вижу большой разницы, 9000 способов у рута поиметь меня или аж целые 9001. Вот тут реально ничего не меняется особо. Зато привносит очень крутой бенефит: пакет ничего не знает как его потом реально могут применить, а админ/имплементер системы может основательно оверрайднуть дефолтное поведение. И флешануть вон тем довеском кернел вооооооооон туда. Само по себе это лишь продолжение запроса "установить кернел" уточненное для "вот именно этой системы и ее особенностей". Альтернативы какие были? Не апдейтить кернел? Так можно в 20 раз больше вулнов собрать. Общеизвестных. И вот там уже рут для их эксплуатации может и не требоваться. Значит безопасность от этого все же скорее выиграет чем проиграет. А юзер с рутом найдет более 9000 иных способов трахнуть систему. Без рута, разумеется, свой хук прописать не получится. Да и даже пакет поставить, для начала.
Кстати MSI тоже подобное умеет, как минимум всякие постинсталл хуки. Просто оно там криво, мучительно и глючно, да еще работает через раз, поэтому кодеры сетаперов в сколь-нибудь активном проекте самые "за@#$ные жизнью" на вид.
> Это такой процесс, то есть её требуется обеспечивать. Если эту
> задачу начать изучать, то на каком-то из начальных этапов окажется, что
> бит «исполняемый» появился не на пустом месте,
В случае файла кернела этот бит ... ни на что не влияет, от слова вообще. Даже если бутлоадер читает его как файло с ФС, он на права обычно кладет. А что, он должен на этой основе загрузку обламывать? Это тупо, если кто секурити хотел, для верификации кернела подписи есть, а не какие-то там битики. А если кернел в флешке железки по смещению 100500 лежит, чтобы он туда вообще попал надо его туда флешануть. Дебиан достаточно гибок чтобы апдейтить кернел даже в такой конфигурации.
> и возможность выполнить файл без такого бита - сразу требует сдаться кверху лапками,
> по вон той вышеприведённой «логике». :)
Применительно к кернелу это булшит какой-то имхо. Если origin кернела важен, это проверятется цифровыми подписями и обеспечением readonly допустим бутлоадера (или кого мы там за root of trust) взяли чтобы атакующие не могли сменить хэш ключа с которого все начинается, чтобы это всегда был именно мой ключ. А все эти телепания с битиками - ни о чем.
> на практике почему-то так мало кто делает, сего лишь вводят дополнительные
> проверки и запреты.
На практике для энфорса системной безопасности и origin'ов софта есть более эффективные способы чем абстрактное камлание на битики. А не давать админу хук повесить - всего лишь мелкое паскудство, которое обойти как два пальца об асфальт. В резуотате атакующему пофиг а легитимному админу - неудобства. А лучше бы ровно наоборот.

Исходное сообщение
"Проект Debian начал общее голосование по вопросу поставки пр..." Отправлено Аноним, 30-Авг-22 23:05
> А большой нюанс в том, что безопасность - это не некая булева > переменная, при случайном значении false требующая лечь на спинку и поднять лапки. Не вижу большой разницы, 9000 способов у рута поиметь меня или аж целые 9001. Вот тут реально ничего не меняется особо. Зато привносит очень крутой бенефит: пакет ничего не знает как его потом реально могут применить, а админ/имплементер системы может основательно оверрайднуть дефолтное поведение. И флешануть вон тем довеском кернел вооооооооон туда. Само по себе это лишь продолжение запроса "установить кернел" уточненное для "вот именно этой системы и ее особенностей". Альтернативы какие были? Не апдейтить кернел? Так можно в 20 раз больше вулнов собрать. Общеизвестных. И вот там уже рут для их эксплуатации может и не требоваться. Значит безопасность от этого все же скорее выиграет чем проиграет. А юзер с рутом найдет более 9000 иных способов трахнуть систему. Без рута, разумеется, свой хук прописать не получится. Да и даже пакет поставить, для начала. Кстати MSI тоже подобное умеет, как минимум всякие постинсталл хуки. Просто оно там криво, мучительно и глючно, да еще работает через раз, поэтому кодеры сетаперов в сколь-нибудь активном проекте самые "за@#$ные жизнью" на вид. > Это такой процесс, то есть её требуется обеспечивать. Если эту > задачу начать изучать, то на каком-то из начальных этапов окажется, что > бит «исполняемый» появился не на пустом месте, В случае файла кернела этот бит ... ни на что не влияет, от слова вообще. Даже если бутлоадер читает его как файло с ФС, он на права обычно кладет. А что, он должен на этой основе загрузку обламывать? Это тупо, если кто секурити хотел, для верификации кернела подписи есть, а не какие-то там битики. А если кернел в флешке железки по смещению 100500 лежит, чтобы он туда вообще попал надо его туда флешануть. Дебиан достаточно гибок чтобы апдейтить кернел даже в такой конфигурации. > и возможность выполнить файл без такого бита - сразу требует сдаться кверху лапками, > по вон той вышеприведённой «логике». :) Применительно к кернелу это булшит какой-то имхо. Если origin кернела важен, это проверятется цифровыми подписями и обеспечением readonly допустим бутлоадера (или кого мы там за root of trust) взяли чтобы атакующие не могли сменить хэш ключа с которого все начинается, чтобы это всегда был именно мой ключ. А все эти телепания с битиками - ни о чем. > на практике почему-то так мало кто делает, сего лишь вводят дополнительные > проверки и запреты. На практике для энфорса системной безопасности и origin'ов софта есть более эффективные способы чем абстрактное камлание на битики. А не давать админу хук повесить - всего лишь мелкое паскудство, которое обойти как два пальца об асфальт. В резуотате атакующему пофиг а легитимному админу - неудобства. А лучше бы ровно наоборот.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> А большой нюанс в том, что безопасность - это не некая булева >> переменная, при случайном значении false требующая лечь на спинку и поднять лапки. > Не вижу большой разницы, 9000 способов у рута поиметь меня или аж > целые 9001. Вот тут реально ничего не меняется особо. Зато привносит > очень крутой бенефит: пакет ничего не знает как его потом реально > могут применить, а админ/имплементер системы может основательно оверрайднуть дефолтное > поведение. И флешануть вон тем довеском кернел вооооооооон туда. Само по > себе это лишь продолжение запроса "установить кернел" уточненное для "вот именно > этой системы и ее особенностей". Альтернативы какие были? Не апдейтить кернел? > Так можно в 20 раз больше вулнов собрать. Общеизвестных. И вот > там уже рут для их эксплуатации может и не требоваться. Значит > безопасность от этого все же скорее выиграет чем проиграет. А юзер > с рутом найдет более 9000 иных способов трахнуть систему. Без рута, > разумеется, свой хук прописать не получится. Да и даже пакет поставить, > для начала. > Кстати MSI тоже подобное умеет, как минимум всякие постинсталл хуки. Просто оно > там криво, мучительно и глючно, да еще работает через раз, поэтому > кодеры сетаперов в сколь-нибудь активном проекте самые "за@#$ные жизнью" на вид. >> Это такой процесс, то есть её требуется обеспечивать. Если эту >> задачу начать изучать, то на каком-то из начальных этапов окажется, что >> бит «исполняемый» появился не на пустом месте, > В случае файла кернела этот бит ... ни на что не влияет, > от слова вообще. Даже если бутлоадер читает его как файло с > ФС, он на права обычно кладет. А что, он должен на > этой основе загрузку обламывать? Это тупо, если кто секурити хотел, для > верификации кернела подписи есть, а не какие-то там битики. А если > кернел в флешке железки по смещению 100500 лежит, чтобы он туда > вообще попал надо его туда флешануть. Дебиан достаточно гибок чтобы апдейтить > кернел даже в такой конфигурации. >> и возможность выполнить файл без такого бита - сразу требует сдаться кверху лапками, >> по вон той вышеприведённой «логике». :) > Применительно к кернелу это булшит какой-то имхо. Если origin кернела важен, это > проверятется цифровыми подписями и обеспечением readonly допустим бутлоадера (или кого > мы там за root of trust) взяли чтобы атакующие не могли > сменить хэш ключа с которого все начинается, чтобы это всегда был > именно мой ключ. А все эти телепания с битиками - ни > о чем. >> на практике почему-то так мало кто делает, сего лишь вводят дополнительные >> проверки и запреты. > На практике для энфорса системной безопасности и origin'ов софта есть более эффективные > способы чем абстрактное камлание на битики. А не давать админу хук > повесить - всего лишь мелкое паскудство, которое обойти как два пальца > об асфальт. В резуотате атакующему пофиг а легитимному админу - неудобства. > А лучше бы ровно наоборот.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру