| 1.1, n00by (ok), 08:45, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –23 +/– |
 "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.
| | |
| |
| 2.4, Аноним (4), 08:50, 10/06/2022 [^] [^^] [^^^] [ответить]
| +19 +/– |
 ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек
| | |
| |
| 3.6, n00by (ok), 08:55, 10/06/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.
| | |
| |
| 4.56, Аноним (56), 12:41, 10/06/2022 [^] [^^] [^^^] [ответить]
| +7 +/– |
Я эксперт, только что вернулся из поисковика. При чём тут хоккей?!
| | |
| |
| |
| 6.102, Аноним (-), 18:38, 10/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> #include "ntddk.h"
Это что, для маздая? Очень тематично пля, мне очень интересно как гадить в NTшный кернел, аж два раза.
| | |
| |
| 7.103, Аноним (-), 18:39, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа...
| | |
| |
| 8.127, n00by (ok), 09:52, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Ответа кому Смысл вести с вами дискуссии На что вы, господа безымянные теорети... текст свёрнут, показать | | |
| |
| |
| 10.138, n00by (ok), 11:21, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Вы хотеть, пожалуйста, посетить эту ссылка https github com search q linux roo... большой текст свёрнут, показать | | |
|
| 9.168, Аноним (-), 19:46, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Понимаешь, человек, от ТЕБЯ много СПАМА Бесполезного и или офтопичного Ты спам... большой текст свёрнут, показать | | |
| |
| 10.187, n00by (ok), 11:55, 12/06/2022 [^] [^^] [^^^] [ответить] | –1 +/– | Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётс... большой текст свёрнут, показать | | |
| |
| |
| 12.225, n00by (ok), 07:54, 14/06/2022 [^] [^^] [^^^] [ответить] | +/– | Напоминаю Unix-way каждая программа хорошо делает своё дело 1 эксплоит - по... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 3.38, Аноним (38), 11:43, 10/06/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага.
| | |
| |
| 4.46, n00by (ok), 12:02, 10/06/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :)
| | |
| 4.109, Аноним (-), 21:21, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | Пакетный менеджер имеет свои плюсы Допустим в zlib нашли баг Я поставил патчен... большой текст свёрнут, показать | | |
| |
| 5.125, Аноним (-), 01:56, 11/06/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
Исправил, не благодари
| | |
| |
| 6.169, Аноним (-), 19:51, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
> Исправил, не благодари
Нехрен арчем и гентой в проде пользоваться. В нормальных дистрах майнтайнеры вот реально только вулн запалчат - и все! Чему там вообще отваливаться? Предпосылок нет. Заодно так наверное чуть понятнее почему у вменяемых дистров вместо гонки за свежаком специфичные полися по типу того что между релизами как максимум минорные версии подтягивают, но никаких крупных инноваций. Вот как раз чтобы прод не разваливался как у арчегент.
| | |
| |
| 7.220, Аноним (220), 20:24, 13/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон
| | |
|
|
| 5.128, Аноним (38), 09:55, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены.
Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или тем более пользователь. Не?
| | |
| |
| 6.141, Аноним (141), 12:03, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать.
| | |
| |
| 7.144, Аноним (38), 12:23, 11/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".
| | |
| |
| 8.152, n00by (ok), 16:14, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | В этом месте возникает конфликт интересов Есть специальный человек - майнтайнер... текст свёрнут, показать | | |
|
|
| 6.171, Аноним (-), 20:04, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Проблема в том что в результате 1 Все отдано на откуп легиону каких-то раздолб... большой текст свёрнут, показать | | |
| |
| 7.229, Аноним (-), 17:35, 14/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется.
| | |
|
|
|
|
| 3.104, Аноним (-), 18:42, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> а не в самом механизме динамических библиотек
А еще злодей может имя файла использовать левое, название процесса непаливное назначать, и только подумайте - скачать и запустить файлы.
Если динамические либы плохи, тогда надо и наглухо readonly filesystem, а лучше и запуск программ для надежности запретить. Вдруг гамнюки что-то в RW подмонтировать смогут?!
| | |
|
| 2.12, n00by (ok), 10:21, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | Жаль, что не получается составить список экспертов Стесняются отметиться явно ... большой текст свёрнут, показать | | |
| |
| |
| 4.26, n00by (ok), 11:27, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ход мыслей правилен, но уровень абстракции не тот. См. ldd 'which busybox'
| | |
| |
| 5.30, Аноним (-), 11:31, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*
| | |
| |
| |
| 7.36, Аноним (-), 11:41, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Да, это решение.
Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк
| | |
| |
| |
| |
| 10.53, n00by (ok), 12:22, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | В ветке, которая началась с моего сообщения 8470 1 Оно так понравилось экспер... текст свёрнут, показать | | |
| |
| |
| 12.62, n00by (ok), 13:02, 10/06/2022 [^] [^^] [^^^] [ответить] | –1 +/– | Противоречий в тезисе нет Цитата в кавычках верна, проблема с ошибками в библ... текст свёрнут, показать | | |
| |
| |
| 14.72, n00by (ok), 13:38, 10/06/2022 [^] [^^] [^^^] [ответить] | –1 +/– | Вот и не надо зафлуживать ветку, если сказать по сути нечего Затроллили его, бе... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
| 3.20, Аноним (20), 11:04, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?
| | |
| |
| |
| |
| 6.23, Аноним (-), 11:21, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> RHBM
Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| 19.74, n00by (ok), 13:41, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | Социальная инженерия не работает Не нашли ключи, не подписали, закрепиться пред... текст свёрнут, показать | | |
| |
| 25.151, n00by (ok), 15:57, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Теряешь контекст Требовал конкретику У меня она есть и давно в виде кода К да... большой текст свёрнут, показать | | |
| 29.163, n00by (ok), 19:15, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Успокойся уже Сделай 10 вдохов Сделал Теперь читай дальше В 8470 21 ты со... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 6.105, Аноним (-), 18:43, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Так подписи будет раздавать RHBM. ;)
Пока-что я сам себе подписи на кернельные модули раздаю. А в чем проблема так же с либами и бинарями сделать?
| | |
| |
| 7.129, n00by (ok), 10:16, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать.
| | |
|
| |
| 7.209, n00by (ok), 08:32, 13/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть.
| | |
|
|
| 5.28, Аноним (28), 11:28, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.
| | |
|
| 4.29, n00by (ok), 11:29, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)
| | |
| |
| |
| 6.107, Аноним (-), 21:02, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> А если прямо им и воспользоваться, не мудрствуя лукаво...
Полная версия идеи секурбута так то проверять ВСЕХ на цепочке
ROM->бут->кернел->программы/либы
ROM не меняемый (накристальный или в R/O флехе). Это делает его anchor'ом которому можно доверять, если он знает доверяемый ключ. Он проверяет загрузчик. А тот ядро. Для продолжения цепочки ядро может отказаться запускать неподписанные программы. А (подписаный) лоадер динамических либ мог бы проверять и подпись либы, не грузя ее если подписи нет.
Таки да, полная реализация сложновата и ВСЕ дырки законоаптить в системе где о таком СРАЗУ не думали все же не очень просто. Поэтому ИНОГДА секурбутчиков посещают приколы с обломами.
| | |
|
|
|
| 3.137, InuYasha (??), 10:51, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса?
(с сисколами и проганьем под линукс знаком не очень)
| | |
| |
| 4.139, n00by (ok), 11:41, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.)
| | |
| |
| |
| 6.160, n00by (ok), 19:02, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> Например, можно переименовать LD_PRELOAD
> Вот это уровень!
А то. Сджипиэлил из #30:
"не знает про всякие переменные окружения LD_*"
;)
| | |
| |
| 7.164, Аноним (-), 19:19, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> "переименовать" = "не знать"
"Научный подход" security by obscurity в действии!
| | |
|
|
|
|
|
| 2.60, Аристарх (??), 12:54, 10/06/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу.
Да, звучит как-то параноидально, но только так можно держать систему стабильной.
| | |
| |
| 3.66, n00by (ok), 13:11, 10/06/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса.
| | |
| |
| 4.73, Аноним (-), 13:40, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Здесь обсуждается механизм в пространстве пользователя.
Только в пространстве пользователя, любой пользователь полностью изолирован от внешнего мира. Даже для того чтобы вывести "привет, мир" нужно дергать сискол.
| | |
| |
| 5.75, n00by (ok), 13:47, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Даже для того чтобы вывести "привет, мир" нужно дергать сискол.
Самое удивительное, что руткит при этом не подгузится.
| | |
| |
| 6.78, Аноним (-), 14:16, 10/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Самое удивительное, что руткит при этом не подгузится.
Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на вредоносность выполненные команды (полных по Тьюрингу)?
| | |
| |
| 7.81, n00by (ok), 15:11, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> я смотрю в сообщение №12 и вижу фигу.
Бывает. Продолжайте собирать пакетики.
| | |
| |
| 8.83, Аноним (146), 15:30, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | И что там надо увидеть То что, если поменять логику glibc, то glibc ведет себ... текст свёрнут, показать | | |
| |
| 9.85, n00by (ok), 15:43, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ве... текст свёрнут, показать | | |
| |
| |
| 11.92, n00by (ok), 16:16, 10/06/2022 [^] [^^] [^^^] [ответить] | +/– | То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакуум... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 3.110, Michael Shigorin (ok), 21:23, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий
Может, ещё книжку для укладки на энтер услужливо подсовывающий?
Торвальдс не обидится, поскольку не прочёт -- а вот Даннинг с Крюгером где-то ехидно ухмыляются...
| | |
|
| 2.90, Аноним (90), 16:01, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Да, позволяют.
Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки.
| | |
| |
| 3.93, n00by (ok), 16:20, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Чего мне понимать - в новости подробно описана "разделяемая библиотека":
скрывают связанную с бэкдором активность
исключают отдельные элементы в списке процессов
блокируют доступ к определённым файлам в /proc
скрывают файлы в каталогах
исключают вредоносную разделяемую библиотеку в выводе ldd
не показывают связанные с вредоносной активностью сетевые сокеты.
Видите такого суслика у себя? Нет. А он есть.
| | |
|
| 2.101, Аноним (-), 18:35, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается как-то так.
p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так что руткит воображение не поражает.
| | |
| |
| 3.111, Michael Shigorin (ok), 21:24, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe"
Некоторые, кстати, троянят procps, но не psmisc...
| | |
| |
| 4.142, n00by (ok), 12:14, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS.
| | |
|
| 3.132, n00by (ok), 10:26, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
> А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных
> бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается
> как-то так.
Мсье, очевидно, теоретик. У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так
> что руткит воображение не поражает.
Воображение поражает - что LF_PRELOAD это уровень ЧаВо на хеккерном форуме, оно работает, а эксперты зарывают голову в землю, подобно страусам.
| | |
| |
| 4.156, Аноним (-), 17:09, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.
ldd покажешь?
| | |
| |
| |
| |
| 7.165, n00by (ok), 19:20, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> Она не понимает PE/COFF.
> В тему.
Ещё бы. Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляется штатным методом, будто бы так и надо, поэтому я клятый виндузятник. =) Ты думаешь, что я в Линуксе так не смогу сделать? Потому что сам не можешь.
| | |
| |
| |
| 9.189, n00by (ok), 12:12, 12/06/2022 [^] [^^] [^^^] [ответить] | +/– | Зачем я буду что-то тебе показывать У меня нет давно Венды как и того экзешника... текст свёрнут, показать | | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| 21.216, n00by (ok), 13:19, 13/06/2022 [^] [^^] [^^^] [ответить] | +/– | Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать Вот сейч... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 1.2, n00by (ok), 08:47, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Вот это в мире ненавистной Венды называется "нубкит" (поскольку там перехват системных вызовов в пространстве пользователя требует модификацию кода, что является источником ошибок). А в Linux - вполне грамотное решение, соответствующее архитектуре ОС.
| | |
| |
| 2.31, Аноним (28), 11:34, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>подменяет некоторые вызовы стандартной библиотеки
А не системные вызовы.
| | |
| |
| 3.40, n00by (ok), 11:49, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Надысь тут один специалист по Венде спрашивал, что такое "подсистема Win32". Так вот, там системный вызов "открытие файла" делается не командой int 2Eh, как могло бы показаться из лингвистической кальки с syscall или sysenter, а по условной цепочке kernel32.dll -> ntdll.dll -> SSDT в ntoskrnl.exe (это очень похоже на WinE, если не считать ядро).
И перехватываться может в любом её месте. Если кто-то пропатчил SSDT - это уже не нубкит.
При этом kernel32.dll и ntdll.dll - это стандартные библиотеки.
| | |
|
| 2.89, Аноним (90), 16:00, 10/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А кого интересует мир венды в котором ничерта толком не работает. А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть.
Про то что этим гауном зависающим всё при компиляции на всех ядрах вообще пользоваться нельзя.
| | |
| |
| 3.91, n00by (ok), 16:03, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скрыть заражение системы... а тут сразу красивый механизм, ОС для программистов же.
| | |
| |
| 4.116, Аноним (-), 23:06, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать,
> что бы скрыть заражение системы... а тут сразу красивый механизм, ОС
> для программистов же.
У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде. Хотя могу и прогнать, давно интересовался.
| | |
| |
| |
| 6.173, Аноним (-), 20:25, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на... большой текст свёрнут, показать | | |
| |
| 7.190, n00by (ok), 12:34, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Во всяком случае в свое время я смог в винде делать стелс-процессы
> которые тупо не видно в менеджере задач. Заметь, без руткитов -
> просто абибосом штатного лоадера странными извратами с форматом файлов и необычным
> запуском. Черт знает чем оно меня считало, вероятно или еще не
> запущенным или уже завершенным процессом, в то время как код по
> факту работает - только не приписан ни к чему, во всяком
> случае, в штатном таскменеджере его просто нет.
Вот именно, что чёрт знает. Тут стоит читать не Хоглунда, а начинать с Рихтера, или кто там объясняет, что процесс - это такой объект ядра. Со всеми вытекающими.
| | |
|
|
|
|
| 3.96, Аноним (96), 17:20, 10/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии.
| | |
| 3.122, Аноним (-), 00:58, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> А дизайн с дефолтной темой вообще взрыв мозга. Белые рамки окон на белом фоне других окон. Это звиздец больным надо быть
Поставь себе третьегном, не мучайся
| | |
|
|
| |
| 2.67, Адмирал Майкл Роджерс (?), 13:12, 10/06/2022 [^] [^^] [^^^] [ответить]
| +6 +/– |
Насколько я могу помнить, исходные коды подобного программного обеспечения, как правило, имеют гриф "Для служебного пользования" или более строгий.
| | |
|
| 1.8, Аноним (8), 09:41, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды
| | |
| |
| 2.34, Аноним (28), 11:38, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Но для пользования eDPF у нормальных пацанов нужен root. А если есть root, то и eBPF не особо нужен. Можно и свой собственный модуль ядра подгрузить, как и раньше делалось.
| | |
| |
| 3.106, Аноним (-), 18:45, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ага, только у приличных людей там ща подписи на модули навешены. И тебе еще ключ потребуется, мой или дистровский. Где ж ты его возьмешь, ксакеп?
| | |
| |
| 4.178, Аноним (178), 23:19, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.
| | |
| |
| 5.182, Аноним (-), 03:29, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Далеко у всех приличных людей? Подписывать модули это уже почти ракетная наука.
Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается совсем без напрягов с моей стороны. А сторонние модули подписывать так то довольно исключительная ситуация, хорошо что она очень явно и отдельно делается, гарантирует что случайно черти-что врядли пролезет. А какой смысл в подписях если их лепить на любой мутный трэш? Ну вон майковскими ключами подписана часть малвари, а отзывать ключи не будем дескать - у легитимных юзеров загрузка системы сломается!!!111 Оно мне в таком виде надо? Пусть майки такую безопасТность своим виндохомчкам впаривают :)
| | |
|
| 4.205, Neon (??), 03:48, 13/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
А кто будет проверять подписантам ? Или джентльменам принято верить на слово ?
| | |
|
|
|
| 1.11, Аноним (11), 10:20, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Для установки Simbiote в систему атакующий должен иметь root-доступ
Офигенный вирус. Реквестирую сырцы под копилефт лицензией.
| | |
| |
| 2.17, Аноним (38), 10:40, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
"... root-доступ, который может быть получен, например, в результате эксплуатации неисправленных уязвимостей или утечки учётных записей".
| | |
|
| 1.18, Аноним (18), 10:49, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Simbiote также позволяет обойти некоторые анализаторы активности в файловой системе, так как кража конфиденциальных данных может осуществляться не на уровне открытия файлов, а через перехват операций чтения из этих файлов в легитимных приложениях (например, подмена библиотечных функций позволяет перехватить ввод пользователем пароля или загружаемые из файла данные с ключом доступа).
Оригинально.
| | |
| 1.33, Аноним (33), 11:38, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Вредоносное ПО было выявлено на системах финансовых учреждений ряда стран Латинской Америки.
Интересно, кто бы мог это написать и для чего ещё оно используется? 🤔
| | |
| 1.57, Аристарх (??), 12:46, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
"...например, исключают отдельные элементы в списке процессов" - вот почему бараноЛинукс - не "нечаянная революция", а "чаянная безалаберность" троечника Трольвадса!
В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел, где системщик может со 100% уверенностью сказать, что именно и откуда загружено в системе.
| | |
| |
| |
| 3.121, Аноним (-), 00:40, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Да, как грамотный подход в BSD.
Он обычно оказывается не от мира сего. И единственная причина по которой джо неуловим - он всем похрен. А когда все же каким-то чудом не похрен, случается как в рассылке опенбсд с виртуалками.
| | |
|
| 2.97, Аноним (96), 17:23, 10/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик получает данные, но просто не все.
| | |
| 2.114, Michael Shigorin (ok), 21:31, 10/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> троечника Трольвадса!
Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол?
(нет, можете, конечно, представить опровержение в виде доказательства концепции хотя бы в псевдокоде для псевдожелеза -- не забыв указать, что именно должно уметь псевдожелезо -- но сдаётся мне, что, конечно, не можете)
| | |
| 2.118, Аноним (-), 23:13, 10/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В системе ВСЕГДА должен быть отдельный "нерушимый", незаменяемый API для таких дел,
> где системщик может со 100% уверенностью сказать, что именно и откуда
> загружено в системе.
И каждый первый хацкер будет пытаться это апи перехватить. Потому что нерушимый софт это прикольно конечно, но 100% уверенность в этом может испытывать только полный профан.
| | |
|
| |
| 2.59, Онаним (?), 12:49, 10/06/2022 [^] [^^] [^^^] [ответить]
| +6 +/– |
Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на всех ядрах, даже модуль собирать не надо :D
| | |
| |
| 3.95, solardiz (ok), 16:53, 10/06/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости здесь он описан ошибочно (отправил модераторам правку, но что-то она никак не появится). Этот бекдор лишь пассивно (то есть в ответ на событие) добавляет свой BPF-код в начало загружаемых анализаторами трафика BPF-программ (если кто-то такой анализатор запустит). Сам же бекдор активно (то есть как инициатор действия) (e)BPF не использует и никакой (e)BPF-программы по своей инициативе не загружает.
| | |
| |
| 4.108, Аноним (-), 21:06, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
То есть эта штука еще и патчер eBFP программ? А вот это уже креативно, LD_PRELOAD так то сам по себе баян.
| | |
| 4.115, Michael Shigorin (ok), 21:33, 10/06/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> (отправил модераторам правку, но что-то она никак не появится)
Спасибо!
"и подстановка дополнительного кода в загружаемые в ядро BPF-программы" -- это уже Ваш текст?
| | |
|
|
|
| 1.84, Аноним (84), 15:34, 10/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
почему никто ещё не задумался отчего такой путь обнаружен пока только в фин.учреждениях латинских стран? кто больше всех заинтересован в получении информации и контроля над системами в данном регионе?
| | |
| |
| 2.117, Аноним (-), 23:09, 10/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Как такую срань найти ?
Для начала зазырить переменные окружения любым известным вам способом и если там LD_PRELOAD, и это не вы прописали - у вас, скорее всего, какая-то пакость.
| | |
| |
| 3.135, n00by (ok), 10:47, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя.
| | |
| |
| 4.149, Andy (??), 15:03, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Дык при загрузке с флешки LD_Preload будет с флешки
А смотреть на всхаченной системе - так там и окружение можно подправить ;)
| | |
| |
| 5.150, n00by (ok), 15:52, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Дык при загрузке с флешки LD_Preload будет с флешки
В чистой системе?
| | |
| 5.154, швондер (?), 16:57, 11/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PRELOAD виден у запущенного процесса. Но опять же - возможна чистка только определенной вгружаемой библиотечки. Поэтому ваш LD_PRELOAD будет отображаться в /proc/pid/environ, искомый нет. Подключившись к процессу с gdb возможно чтение environ в первом фрейме. Но вообще переменная environ может быть недостоверна - её тоже вполне по силам чистить.
Далее, вгруженная библиотека должна быть видна в /proc/пид/maps - с теми же соображениями о степени доверия к результатам любого чтения.
Таким образом, надо убедиться в первую очередь в том, что чтение не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций цпу - время выполнения - на заведомо чистой и целевой системах. выполнять perf record/stat и опираться на счетчик выполненных инструкций.
| | |
| |
| 6.192, n00by (ok), 12:47, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Руткит фильтрует чтение из /proc/пид/maps
По поводу детекта замером времени исполнения - это может сработать в общем случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и сколько кода выполняться в ядре? Это к вопросу о погрешности измерений. Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.
| | |
| |
| 7.199, швондер (?), 16:40, 12/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Руткит фильтрует чтение из /proc/пид/maps
> По поводу детекта замером времени исполнения - это может сработать в общем
> случае с майнером. При чтении /proc/пид/maps будет два переключения контекста и
> сколько кода выполняться в ядре? Это к вопросу о погрешности измерений.
> Фильтация, насколько понимаю, это несколько машинных инструкций в цикле.
у вас неверное понимание.
| | |
| |
| 8.207, n00by (ok), 08:10, 13/06/2022 [^] [^^] [^^^] [ответить] | +1 +/– | Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявл... текст свёрнут, показать | | |
|
|
| 6.235, n00by (ok), 08:15, 16/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Таким образом, надо убедиться в первую очередь в том, что чтение
> не подменено. Это можно пробовать сделать через сравнение числа потраченных инструкций
> цпу - время выполнения - на заведомо чистой и целевой системах.
> выполнять perf record/stat и опираться на счетчик выполненных инструкций.
Поскольку не последовало внятного объяснения, как предполагается обеспечить достаточную точность измерений, внесу некоторую ясность. Выше предлагается вариант обнаружения по косвенным признакам. Обычно (RkU, Gmer, AVZ и т.п.) вместо этого производили сканирование памяти, искали факт подмены инструкций. Грубо говоря, реализовывался некий аналог системного загрузчика: читали исполняемые файлы с накопителя, но вместо копирования в ОЗУ производили сравнение. Такой метод помимо обнаружения позволял снять хуки (перехват). Однако, руткиты противодействовали - подменяли содержимое чистых файлов при чтении. Варианты с измерением времени обсуждались, но о рабочих реализациях мне не известно, если не считать вариантов с контролем указателя инструкций в планировщике.
| | |
|
|
|
|
| 2.134, n00by (ok), 10:44, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не детектируются.
| | |
| |
| 3.174, Аноним (-), 20:35, 11/06/2022 [^] [^^] [^^^] [ответить] | +/– | Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же Читае... большой текст свёрнут, показать | | |
| |
| 4.191, n00by (ok), 12:45, 12/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> печать не требует сисколов вообще
К каким ножкам процессора подпаиваем принтер?
| | |
|
|
| 2.232, Аноним (232), 15:15, 15/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
1. Подписываешь чистые бинари и библиотеки.
2. Запускаешь:
tail -f /var/log/....log
3. Делаешь:
echo 'appraise func=MMAP_CHECK mask=MAY_EXEC' >> '/proc/sys/kernel/security/ima/policy'
4. Ищешь в логах аудита.
А чтобы ее вообще не было надо / держать в режиме только для чтения.
| | |
| |
| 3.233, n00by (ok), 15:46, 15/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
> А чтобы ее вообще не было надо / держать в режиме только
> для чтения.
Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход драйвера ФС.
| | |
| |
| 4.236, Аноним (236), 19:28, 23/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
А мы не только ФС в режиме только для чтения держим, но и само блочное устройство:
blockdev --setro /dev/sda7
Не анекдот, а правда:
"Мне потеринг когдато говорил, что сыстемдЫ он пишет, чтобы всем удобно было корень держать в режиме только для чтения."
| | |
| |
| 5.237, n00by (ok), 06:48, 24/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
И запуск драйверов заблокировали. И изучили накопленный опыт атак на альтернативную ОС. И доказали корректность существующего кода ядра (а что понапишут на Rust - то компилятор "верифицирует").
Вот это тоже не анекдот, а правда: "сама концепция открытого кода подразумевает, что злоумышленник может иметь к нему доступ, и следовательно, сознательно искать и находить уязвимости в нем."
Это пишет к.т.н. в аннотации доклада на osdev. Зачем он пишет про открытый код и про доступ? Не знает про fuzzing и IDA Pro, или для чего?
| | |
|
|
|
|
| |
| 2.177, Аноним (71), 21:33, 11/06/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
рассказать способы, или сам загуглишь новости о многолетних дырах?
| | |
|
| 1.123, pavlinux (ok), 01:09, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > Для установки Symbiote в систему атакующий должен иметь root-доступ
Дальше не читал
| | |
| |
| 2.136, n00by (ok), 10:51, 11/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> как только атакующий получил root доступ, следует ̶р̶а̶з̶д̶в̶и̶н̶ перестать читать.
Зер гуд, Вольдемар!
| | |
| 2.176, Аноним (71), 21:32, 11/06/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> иметь root-доступ
да хоть через дыры в polkit! заиметь сейчас рут - вообще не проблема.
| | |
|
| 1.180, У меня вопрос (?), 23:59, 11/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Решил поизучать сети. Поставил в Ubuntu анализатор Wireshark.
При первом запуске он выдал сообщение:
> couldn't run /usr/bin/dumpcap in child process: permission denied
В инете посоветовали ввести в консоль:
> sudo chmod +x /usr/bin/dumpcap
Помогло. Но что такое dumpcap? Это что-то системное, или относится только к Wireshark? Почему при установке Wireshark оно автоматом не настраивается на пользователя? Почему надо дополнительно вводить такую команду? Не навредит ли это безопасности?
| | |
| |
| 2.183, Аноним (-), 03:39, 12/06/2022 [^] [^^] [^^^] [ответить] | +5 +/– | man dumpcap не пробовали Это прога из комплекта wireshark для захвата сетевог... большой текст свёрнут, показать | | |
| |
| |
| 4.218, Аноним (146), 14:11, 13/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Нет, ты - один из юзеров в системе, который думает, что он - Один или един.
| | |
|
|
|
|
