The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обход ограничений SELinux, связанных с загрузкой модулей ядра

05.06.2023 10:25

Продемонстрирована возможность обхода запрета загрузки модулей ядра, реализуемого в targeted-правилах SELinux на одном из изученных устройств (не уточняется, о каком именно устройстве речь и насколько проблема затрагивает правила SELinux в прошивках и дистрибутивах). Блокировка модулей в задействованных правилах SELinux основывалась на ограничении доступа к системному вызову finit_module, позволяющему загрузить модуль из файла и применяемому в таких утилитах, как insmod. При этом правила SELinux не рассматривали системный вызов init_module, который также может применяться для загрузки модулей ядра напрямую из буфера в памяти.

Для демонстрации метода подготовлен прототип эксплоита, позволяющий выполнить код на уровне ядра через загрузку своего модуля и полностью отключить защиту SELinux, при наличии ограниченного при помощи SELinux root-доступа к системе.

  1. Главная ссылка к новости (https://seanpesce.blogspot.com...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая обойти ограничения режима Lockdown
  3. OpenNews: В sudo устранена уязвимость, позволяющая переписать файл на системах с SELinux
  4. OpenNews: Уязвимость, позволяющая обойти режим sandbox-изоляции SELinux
  5. OpenNews: Методы отключения защиты Lockdown в Ubuntu для удалённого обхода UEFI Secure Boot
  6. OpenNews: В SELinux sandbox появилась поддержка изолированного запуска GUI-приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59248-selinux
Ключевые слова: selinux, lockdown
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (174) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:32, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    не понял, а нахрена это через селинукс запрещать? у ядра давно уже есть blacklist и install $module /bin/false. А также в том же самом ядре есть возможность сделать так, чтобы новые модули нельзя было загружать без перезагрузки.
     
     
  • 2.4, n00by (ok), 10:47, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Предлагаете все возможные имена занести в blacklist?
     
     
  • 3.6, Аноним (1), 10:57, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    зачем все возможные имена, если можно держать белый список разрешенных, а при изменении белого списка требовать рестарт?
     
     
  • 4.15, Аноним (15), 11:21, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем тогда нужны модули если всё можно вкомпилировать в ядро?
     
     
  • 5.17, Аноним (1), 11:35, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    потому что не у всех есть время/бюджет заниматься конфигурированием до компиляции и сопровождением всего этого при обновлении ядра.
     
     
  • 6.22, Аноним (15), 11:47, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На белые листы время есть, а на сборку нет. Как-то небезопасненько.
     
     
  • 7.26, Аноним (1), 11:54, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну давай, расскажи мне, как получить ядро, в котором есть только то, что нужно на этом конкретном железе и для таких-то конкретных задач, и как при этом потратить хотя бы (хотя бы!) в сто раз больше (больше!) времени, чем прописывание белого списка. Подсказываю: стартовым конфигом будет tinyconfig.
     
     
  • 8.40, Аноним (40), 12:46, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рассказываю по опыту генто бства полдня-день на систему на первую итерацию, при... текст свёрнут, показать
     
     
  • 9.45, Аноним (1), 13:08, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    если стартуешь с дефолтного конфига - может быть так и есть, при этом не решаетс... большой текст свёрнут, показать
     
     
  • 10.85, ivan_erohin (?), 20:17, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    выше - краткое содержание чьей-то будущей книги Как изнасиловать линукс и остат... текст свёрнут, показать
     
     
  • 11.102, n00by (ok), 06:38, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    После слов вооружаемся grep исследовать исходники ядра у меня появились со... текст свёрнут, показать
     
     
  • 12.126, ivan_erohin (?), 14:05, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    года 4 назад я подбирал какой-то инструмент не на go и не на rust для поиска п... текст свёрнут, показать
     
     
  • 13.130, n00by (ok), 16:49, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший инструмент сначала прогоняет исходник через препроцессор, что бы разверн... текст свёрнут, показать
     
     
  • 14.166, ivan_erohin (?), 19:53, 07/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 15.170, n00by (ok), 09:03, 08/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.41, Аноним (41), 12:47, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если у тебя нет времени на безопасность зачем ей заниматься ... текст свёрнут, показать
     
  • 5.50, Аноним (50), 13:42, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Внезапно, принели вам сетевушку. Было бы модулем, udev сам бы необхомый(е) модуль(ли) нашёл и загрузил. Но вам придётся самому копать, какой модуль для данного девайса нужон, и ядро из-за одного модуля пересобирать.
     
     
  • 6.86, Атон (?), 20:26, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Внезапно, принели вам сетевушку.

    Каким олигофреном нужно быть, что бы без раздумий пихать внезапно принесенное железо в доверенный комп обрабатываюший чувствительную конфиденциальную информацию.

     
     
  • 7.121, Аноним (121), 11:33, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Каким олигофреном нужно быть, что бы...

    Каким олигофреном нужно быть, чтобы так ответить на фразу "внезапно, принесли вам сетевушку". Вы, похоже, смогли представить только следующую картину: посреди тишины и благодати к Вам с улицы пришел какой-то неизвестный смурной мужик в шпионском плаще и протягивает вам со зловещей усмешкой какую-то непонятную железку непонятного производителя и непонятного назначения?

     
     
  • 8.123, Атон (?), 13:12, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Представьте нам свою картину мира, в которой будет объяснена внезапность появлен... текст свёрнут, показать
     
     
  • 9.127, BeLord (ok), 14:06, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чего там объяснять - диверсия- ... текст свёрнут, показать
     
     
  • 10.128, Атон (?), 14:54, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Главный диверсант - HR принявший на работу техником mentality disabled персону, ... текст свёрнут, показать
     
  • 4.28, n00by (ok), 12:02, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А буфер памяти куда вписать?
     
     
  • 5.51, Аноним (50), 13:45, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В пространство процесса, взявшего на себя обязанность загружать модули. Потом натравить системый вызов на этот буфер. Процес этот, конечно, должен соответствующими правами обладать.
     
     
  • 6.68, n00by (ok), 16:07, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В адресное пространство каждого процесса, взявшего на себя обязанность загружать модули? А кто будет внедрять данные в пространство произвольного процесса, и что дальше с этими данными делать?
     
     
  • 7.72, Аноним (50), 16:28, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Системный вызов в пространство ядра скопирует, оформит уже как структуры модуля.
     
     
  • 8.103, n00by (ok), 06:43, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Всё это сделает и загрузит драйвер Так задача прямо противоположная - не пускат... текст свёрнут, показать
     
  • 7.99, Аноним (-), 01:16, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нуб, ты чего Это работает так читаешь файл с диска, грузишь модуль в память, н... большой текст свёрнут, показать
     
     
  • 8.104, n00by (ok), 06:53, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так а как ещё ему объяснить, что по условию задачи модуль попадать в ядро не дол... большой текст свёрнут, показать
     
     
  • 9.145, Аноним (-), 04:01, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе и другие способы запрета этого есть, если оно реально надо А забавно... большой текст свёрнут, показать
     
  • 3.20, onanim (?), 11:44, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    скорее включить lsm=lockdown и установить https://github.com/lkrg-org/lkrg
     
     
     
    Часть нити удалена модератором

  • 5.52, Аноним (50), 13:47, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно, когда с кем-то по сети играешь, далеко-далеко так ;)
     
  • 4.161, onanim (?), 13:46, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Часть нити удалена модератором
    > В шахматах не подсказывают , !*! n00by (ok), 11:58 , 05-Июн-23 (27)
    > УДАЛЕНО.Отмодерировано: mc, Время: Mon Jun 5 15:48:11 2023

    на опеннете запрещено упоминание шахмат? лолшто?

     
     
  • 5.180, Аноним (180), 15:41, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    man оффтопик, вероятно... вот вы наглые стали, еще и возмущаетесь что совсем уж офтоп потерли
     
     
  • 6.183, n00by (ok), 05:43, 09/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это было как раз по теме исходного сообщения. Его автор несколько плавал в вопросе, я начал задавать наводящие, что бы тот подумал. А onanim взял и сразу написал правильный овтет. ;(
     
  • 2.83, Аноним (83), 19:46, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эпичный фейл однако.
    > blacklist

    Так загрузка идет помимо insmod

     
     
  • 3.112, пох. (?), 09:21, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры в РФ не наступил окончательно. Правда, каждый день где-то что-то горит, но это пока еще, по-моему, не оно.

     
     
  • 4.149, Аноним (149), 09:00, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > типичный опеннет, однако. Не пойму одного, почему еще тотальный кабздец инфраструктуры

    (голосом оптимиста из анекдота про хуже уже не будет) coming soon!

     

     ....большая нить свёрнута, показать (37)

  • 1.2, n00by (ok), 10:45, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > При этом правила SELinux не рассматривали системный вызов init_module,
    > который также может применяться для загрузки модулей ядра
    > напрямую из буфера в памяти.

    Ну правильно, драйвер руткита как раз из памяти удобнее стартовать. При сохранении на ФС его чего доброго обнаружит антивирус (который в Линукс вообще не нужен, но не все слушают экспертов).

     
     
  • 2.5, Аноним (5), 10:48, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Настоящий антивирус, а не тот которого нет. Оперативную память тоже сканирует. Но опять же в чьих интересах и что он сканирует это прям очень большой вопрос.
     
     
  • 3.16, n00by (ok), 11:32, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Файл с драйвером перед запуском придётся расшифровать. Плюс сам факт его появления уже звоночек для эвристика. А просканировать память... в какой момент антивирус это сделает?
     
     
  • 4.21, Аноним (15), 11:46, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если он не отловит момент загрузки модуля то по расписанию. И будет вирус пойманный в конечно счете.
     
     
  • 5.25, n00by (ok), 11:52, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Руткитом называют такую шутку, задача которой скрыть своё присутствие в системе. Для чего драйвер например перехватывает системные вызовы и фильтрует возвращаемые данные. Антивирус при активном рутките видит вместо вируса фигу. Если пропустил запуск модуля, уже поздно сканировать память.
     
     
  • 6.35, Аноним (35), 12:22, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    При условии, что руткит покроет 100% потенциальных путей обнаружения. Что не факт.
    Собственно, тут та же проблема, что и с защитой системы - все возможные пути обнаружить малореально.
     
     
  • 7.37, n00by (ok), 12:39, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чукча и геолог собирают камушки на берегу океана. Вдруг видят
    направляющегося к ним голодного белого медведя. Ружья нет.
    Чукча хватает лыжи и начинает их надевать. Геолог:
    - Бесполезно. Все равно ты не сможешь бежать быстрее медведя.
    - А мне и не надо бежать быстрее медведя. Мне надо бежать
    быстрее тебя!

    Мораль сей басни такова - автор протестирует своё творение совместно с антивирусами, а у другой стороны такой возможности нет, пока не поймают образец.

     
     
  • 8.191, Tester (??), 13:35, 15/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ты нам пытаешься объяснить что чукча умнее геолога ... текст свёрнут, показать
     
  • 7.42, n00by (ok), 12:55, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Микрософт решила вопрос с руткитами следующим образом:
    Придумали PatchGuard.
    Через некоторое время PatchGuard разобрали и обошли.
    Вышла следующая версия PatchGuard.
    Опять разобрали.
    И так далее.

    В такой схеме Микрософт заведомо оказывается на шаг впереди, следующую версию они могут подготовить заранее и обновиться оперативно. У атакующих этой возможности нет, пока будут разбирать новую версию, боты помрут. Держится всё это на закрытости кода и обфускации PG. Для остальных мы включаем балладу «Я свободен!»

     
     
  • 8.43, n00by (ok), 12:58, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https youtu be 7iez8N_6i4I ... текст свёрнут, показать
     
  • 8.100, Аноним (-), 01:22, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато они апдейты по вторникам грузят Как будто хакеры целый месяц ждать будут ... текст свёрнут, показать
     

  • 1.3, Аноним (5), 10:46, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    1) Заходим в википедию и смотрим кто изначальный разработчик SELinux
    2) Не удивляемся.
     
     
  • 2.7, Аноним (7), 11:01, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Покажи как нужно было сделать. Создай свой аналог и поделись им с нами. Посмотрим как с этим справишься)
     
     
  • 3.9, Аноним (9), 11:07, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    apparmor же
     
     
  • 4.10, Аноним (10), 11:17, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты задумывайся , когда копипастишь в ответы.
     
  • 3.14, Аноним (15), 11:20, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ну всё конечно пусть всех прослушивают раз они такие молодцы. Любители зондов типа тебя подтянутся ещё.
     
     
  • 4.36, Аноним (35), 12:25, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Для некоторых людей зонд, при условии достаточно глубокого введения, выполняет функцию внутреннего стержня.
     
     
  • 5.53, Аноним (50), 13:58, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    +стопиццот
     
  • 3.32, Аноним (35), 12:15, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Покажи как нужно было сделать.

    Разрабы Астры показали (PARSEC). Неплохо, по-моему.

     
     
  • 4.38, n00by (ok), 12:42, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вспоминается гениальный разработчик Росы Андрюша Григорьев, доказывающий техдиру Астры, что PARSEC фуфло, ему хватит и SELinux.
     
     
  • 5.192, Аноним (-), 23:44, 19/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.55, Аноним (50), 14:02, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А чем одна контора с названием из трёх букв лучше другой, с другим названием из трёх букв?
     
     
  • 5.57, anonymous (??), 14:52, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну да пили бы баварское, йа йа натюрлих. Крепитесь, заграница вам поможет. Надеюсь вас автоматом этот СОРМ в соответствующий список заносит после таких вбросов.
     
  • 5.74, oditynet (?), 16:47, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что одна сертифицирована, а другая нет. А в РФ реалиях сертификация дает право жизни одному дистру,а другой останется посредственным
     
     
  • 6.81, Аноним (81), 19:41, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это только в госсекторе и только для попила.
     
     
  • 7.129, пох. (?), 15:46, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И чо? Я тоже хочу из г-на на курорт!

    Тем более что в виду явного расцвета экономики - других шансов озолотиться кроме попилов и не предвидится.

     
     
  • 8.159, Аноним (149), 11:27, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Будьте осторожны в своих желаниях, однако ... текст свёрнут, показать
     
  • 6.82, Бывалый смузихлёб (?), 19:42, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    означает ли это, что в реалиях тех же сша или ведущих стран ес открыта возможность любому желающему поставить любое не сертифицированное хз что на ключевых объектах как ВПК, так и производства ?
     
  • 6.106, n00by (ok), 06:59, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось понять, почему Windows XP сертификация не спасла.
     
  • 2.47, Аноним (47), 13:13, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ид иотии и конспирологии у анонимов не занимать.

    * SeLinux успешно помог предотвратить взлом системы для тысяч уязвимостей различных программ.
    * Разрабы SeLinux - то же люди.
    * Это не похоже на back door ни одним местом.

    Тучу upvotes для этого - показатель уровня интеллекта посетителей opennet. Печальная картина.

     
     
  • 3.48, Аноним (47), 13:14, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ах, да, на Android ядро собирают без модулей - все built-in.

    Ужасная уязвимость что сказать.

     
  • 3.56, Аноним (50), 14:05, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А сколько помог взломать? Об этом вам не расскажут. Потому что, то взломы, кого надо взломы.
     
     
  • 4.62, Аноним (41), 15:15, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это глухо они не понимают простых вещей. У них есть только белое и черное. И все, действия белого по дефолту хорошие, а черного по дефолту плохие. Никакой анализ проводится не может это мыслепреступление.
     
     
  • 5.87, Dima (??), 21:08, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Иди хоть разок почитай что такое SELinux и как работает.
     
  • 3.61, Аноним (41), 15:14, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поэтому они имеют право сами взламывать кого захотят, когда захотят? Из тех кто использует SELinux, а это примерно все.
     
  • 3.69, n00by (ok), 16:12, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > * Это не похоже на back door ни одним местом.

    Пожалуй, поверю я вот этому Анониму, а не собственному опыту!!!111

     
  • 2.84, Аноним (83), 19:50, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > 2) Не удивляемся.

    Я бы пофиксил:
    2) Если удивляемся, смотри пункт 1.

     
  • 2.89, Адмирал Майкл Роджерс (?), 21:59, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Позволю себе обратить Ваше внимание, сэр, на тот факт, что SELinux был опубликован в виде исходных кодов и прошёл все необходимые проверки перед включением в состав ядра Linux.
     
     
  • 3.96, Иван Федорович Крузенштерн (?), 22:40, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прошел. Потом кривые targeted-правила подсунули.  
     
     
  • 4.108, n00by (ok), 07:07, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Формально эти правила подпадают под определение "исходный код".
     
  • 3.107, n00by (ok), 07:04, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не соблаговолит ли достопочтенный сэр охарактеризовать действия находящихся в РФ агентов по продажам вышеупомянутых исходных кодов?
     
     
  • 4.125, Адмирал Майкл Роджерс (?), 13:33, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В данном случае я предпочёл бы воздержаться от каких-либо оценок.
     
  • 3.113, Аноним (81), 09:30, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Новость ты прочитать не смог в силу того что не умеешь читать?
     
     
  • 4.124, Адмирал Майкл Роджерс (?), 13:17, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Считаю уместным заметить, что я отвечал на комментарий мистера Анонима #1.3.
     

     ....большая нить свёрнута, показать (32)

  • 1.11, пох. (?), 11:17, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Уровень опеннета, как всегда пробил очередное днище.

    То есть проблема не в конкретном правиле конкретного набора, а якобы в selinux?

    Уровень самого "исследователя" судя по его копипастам примерно тот же.

     
     
  • 2.13, Аноним (15), 11:18, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так это ты не него зашел вот он и пробил. Не заходи сюда больше.
     
  • 2.23, n00by (ok), 11:48, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Although the policy wasn't nearly as strict as the standard policy that you might find on a typical Android device, it was strict enough to prevent me from doing a lot of useful things (e.g., mounting filesystems and accessing files in /etc/).
     
     
  • 3.24, Аноним (15), 11:50, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не этому бесполезно что-то доказывать. Все всегда будет жить в мире розовых пони.
     
     
  • 4.34, Аноним (35), 12:20, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поправочка, коричневых пони. Он из failed state.
     
  • 3.29, пох. (?), 12:03, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну очевидно что речь о стандартной targeted. Которая действительно костыль, и прикрывает только от большинства тривиальных (но от этого не менее реальных) проблем, а не  всего что можно придумать.


    Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.

     
     
  • 4.30, n00by (ok), 12:09, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это как бы самый очевидный вектор атаки, и оставлен открытым. Похоже, Андроид хотел рутануть, вот и нашёл случайно. А куда смотрел Тысячеглаз?
     
     
  • 5.49, пох. (?), 13:36, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это как бы самый очевидный вектор атаки, и оставлен открытым.

    как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и приехали.
    Можно уже никакие модули никуда не грузить.

    > А куда смотрел Тысячеглаз?

    targeted policy - это _набор_затычек_. Бесконечный. Вот он посмотрел и еще одну добавил - в комплект к предыдущим статыщам. Еще одну странную ситуацию (которая вообще-то вряд ли возникнет в реальности) закрыли.

     
     
  • 6.65, Аноним (81), 15:45, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И что из этого следуют? Пусть оставляют уязвимость? Или может хорошо что они специально сделали такой дизайн программного продукта, чтобы было удобнее подсаживают троянов это типа хорошо? У тебя давно с головой не лады, но твоё состояния явно ухудшается.
     
     
  • 7.66, пох. (?), 15:53, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И что из этого следуют? Пусть оставляют уязвимость?

    ничего не следует кроме того что ты не умеешь ни кодить ни хотя бы правила selinux читать.

    Тот кто умел - исправил то что ему показалось важным.

    > Или может хорошо что они специально сделали

    иди голову лечи.

     
     
  • 8.114, Аноним (81), 09:31, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Состояние поха быстра деградирует ... текст свёрнут, показать
     
  • 6.70, n00by (ok), 16:20, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Это как бы самый очевидный вектор атаки, и оставлен открытым.
    > как бы не самый очевидный. Во-первых нужен рут. Во вторых, собственно, и
    > приехали.

    Когда рут нужен - его покупают у специально обученных людей. Это уже следующий шаг, закрепление в системе.

     
  • 6.94, Аноним (94), 22:19, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > как бы не самый очевидный. Во-первых нужен рут.

    Рут бывает разный. Скажем lockdown ядра пытаются ограничивать в уроне для системы и его. И возможность грузить ядерный код там может быть и не в тему.

     
  • 4.39, Аноним (41), 12:44, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничего существенного, ничего существенного, Карл!

    пох ты неисправим.

     
  • 4.71, Аноним (50), 16:25, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Т.е. правильный заголовок новости - "недостаточный фильтр системных вызов selinux-targeted" и более ничего существенного.

    Yes, sir Major!

     

  • 1.46, Аноним (47), 13:10, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уже исправлено.

    Касается всех 1 человек, которые нашли это.

     
     
  • 2.60, Аноним (41), 15:10, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Всех сотрудников, которые использовали по назначению.
     

  • 1.63, Kuromi (ok), 15:22, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?
     
     
  • 2.64, Аноним (41), 15:29, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они оставили для себя незакрепленную дощечку, про которую никто не знает, через которую, если что, можно просунуть руку и открыть замок.
     
  • 2.67, пох. (?), 15:55, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > То есть закрыв дверь на замок они тупо забыли закрыть окно которое
    > тут же рядом?

    там нет двери. Там лес с миллионом тропинок. На некоторых стоит шлагбаум. В надежде что т-пые упрутся в него и дальше не пройдут.

    В принципе - помогает.
    Потому что вы именно такие и есть.

    Знать о том что targeted policy не единственно возможная вам незачем.

     
     
  • 3.75, Аноним (81), 16:49, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Типа что исполнитель оставил для себя окошко в виде тропинок, это его как-то оправдывает? Зачем ты эту чушь пишешь, объясни?
     
     
  • 4.77, 1 (??), 17:58, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Госсподи именно такие и оставляют "пароль по умолчанию", или запуск БД без пароля вообще.

    А виноват в этом да, разработчик.

     
     
  • 5.115, Аноним (81), 09:33, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароля по умолчанию быть вообще не может. Посмотри как сделаны нормальные продукт ты или его или сам создаёшь или никакой возможности войти у тебя нет.
     
  • 2.92, Аноним (94), 22:11, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > То есть закрыв дверь на замок они тупо забыли закрыть окно которое тут же рядом?

    Они с церемониями повесили золоченый замок на парадную дверь. Про еще пять дверей в этом же доме они благополучно забыли, увлекшись церемонией и расписыванием свойств шикарного замка. Пришел хаксор, почесал репу глядя на замок, рещил что за болторезом ему бегать и то лениво - просто зашел в боковую дверь. В которой вообще никакого замка не было. Ну вот не предусматривали его при строительстве дома там. Этим хаксор от церемониалов с протоколами из анб и отличался.

     
     
  • 3.97, Kuromi (ok), 22:46, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Напомнило мне забавный момент из Двух сорванных башен в переводие Гоблина , ког... большой текст свёрнут, показать
     

  • 1.78, Аноним (78), 18:35, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мне одному кажется, что SELinux - лютое ненужно.
     
     
  • 2.80, Аноним (81), 19:39, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты от начала и до конца полностью прав.
     
  • 2.88, Dima (??), 21:13, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ты ни чего не знаешь про него, ни чего с ним не можешь настроить?
     
     
  • 3.93, Аноним (94), 22:13, 05/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Возни с его настройкой - во, а потом атакующий вот так парой сисколов грузит код в ядро. Ну и зачем такие соотношения надо?! Сложно должно быть атакующим а не админам, имхо.
     
  • 2.189, Пряник (?), 16:15, 09/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Всё нужно. Просто не всегда.
     

  • 1.98, Аноним (98), 23:43, 05/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Опять нужен рут, чтобы систему скомпрометировать. Ну что ж ты будешь делать!

    Комментаторы, не раздупляющие ни что такое targeted набор правил, ни принципы работы SELinux, но в голос верещащие про бэкдоры особенно смешат. Опеннет — мой любимый комедийный ресурс.

     
     
  • 2.109, n00by (ok), 07:14, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тебе бы самому "раздуплить" отличия  finit_module от init_module, а потом попробовать подумать, зачем одно закрыли, а другое нет.
     
     
  • 3.131, Аноним (98), 17:10, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну естественно для того, чтобы взломать хосты опеннетных анонимов. А нет, погодите, опеннетные анонимы про SELinux знают только setenforce 0 и echo "SELINUX=disabled" > /etc/sysconfig/selinux. Значит чтобы взломать злобные корпорации. А нет, погодите, злобыне корпорации и сами всё сливают в NSA, потому что они злобные. Стало быть чтобы взломать самих себя. Да. NSA — они такие, сами себе уши отморозят назло всем, чтобы все боялись. Мысль о том, что писавшие targeted полиси проморгали этот и ещё массу других способов нагнуть ядро мы думать не будем. Слишком просто и нет заговора. Нам такое на опеннете не подходит.
     
     
  • 4.133, n00by (ok), 17:25, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раздупляю за тебя: сискола два, а вектор атаки один. Пиши не мне, а авторам правил, пусть откроют закрытый правилами шлюз - ты так хорошо объясняешь, почему это лишнее.
     
     
  • 5.135, Аноним (98), 17:40, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот один в strace засветился и был включён в полиси, а про другой писавший не знал. Какая печаль, подай на него в суд.
     
     
  • 6.147, n00by (ok), 06:31, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > подай на него в суд.

    А, так ты юрист, консультирующий забесплатно по вопросам безопасности. С этого и начинал бы свою проекцию о спосбностях "раздуплять".

     
  • 2.110, пох. (?), 09:16, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это было смешно, пока их таких были десятки процентов на общем сравнительно прил... большой текст свёрнут, показать
     
     
  • 3.116, Аноним (81), 09:36, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты ни программировать не умеешь ни думать. Поэтому ты и находишься там где находишься, а не в нормальном месте. Собственно так тебе и надо.
     
  • 3.134, Аноним (98), 17:29, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С твоей нелюбовью к е6анариуму я нахожу весьма странным, что ты не уплыл из него... большой текст свёрнут, показать
     
     
  • 4.139, пох. (?), 22:41, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И не надо опять заливать про собак, я лично знаком с людьми вывезшими на другой континент весь
    > свой персональный зоопарк — собак, кошек, хомяков и канареек

    я тоже. Обычно эти люди вовремя голосовали за кого надо, неплохо отхватили жирных кусков, своевременно их вывели куда подальше и теперь намерены не скучать и кстати "к сожалению в настоящее время мы не можем принимать оплату от российских пользователей" (и ведь этот был еще из лучших, действительно одна из самых светлых голов в бывшероссийском IT...)

    А у меня, увы, престарелых родителей не осталось, самому пенсия не положена, а собак надо кормить и лечить, поэтому я остаюсь там где мне платят зарплату.

    > Долго тебе до пенсии осталось-то?

    в моей семье до нее ни один мужчина не дожил. По инвалидности не в счет.

     
     
  • 5.141, Аноним (98), 23:21, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > неплохо отхватили жирных кусков

    Инженер с одной фабрики по производству телевизоров и медсестра. Его родители на стройке познакомились, где оба работали после войны. Её родители из деревни. Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата. Такие дела. Да и сам я когда-то с 900$ в кармане приехал, чего уж там.

    > в моей семье до нее ни один мужчина не дожил

    Стань первым.

     
     
  • 6.142, пох. (?), 23:37, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Отхватил жирный кусок с продажи трёшки в городе-миллионнике и подержаного пассата.

    тоже неплохо- сейчас бы уже не получилось. К сожалению, у меня никогда не было трешки в миллионнике, а то бы и правда хрен бы меня там больше видели.
    А что планирует жрать когда эти кончатся? Фабрик по производству телевизоров кроме как в китае не осталось, медсестре подтверждать диплом или вообще учиться с нуля.

    > Да и сам я когда-то с 900$ в кармане приехал, чего уж там.

    так ты был один и, полагаю, сравнительно молодой. Плюс была дикая недостача грамотных айтишников.
    А сейчас... "если в магазине продается специальная бумага для резюме - значит работы в этой стране на самом деле - нет" (с)

     
     
  • 7.146, Аноним (-), 05:14, 07/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.151, пох. (?), 09:07, 07/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.156, Аноним (149), 10:42, 07/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.167, пох. (?), 20:26, 07/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 11.179, Аноним (180), 15:22, 08/06/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (16)

  • 1.101, Quad Romb (ok), 02:12, 06/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У автора RSBAC когда-то была статья, что все механизмы которые используют ядерный механизм хуков LSM - принципиально не могут хоть какую-то консистентность применения правил этой самой безопасности обеспечить.
    А механизм этого самого ядерного LSM изначально затачивался именно на SELinux.
    Хотя потом его начали использовать и Smack, и Tomoyo, и прочие немногие.

    Если у кого-то из комментаторов есть ссылка на эту статью, или нечто подобное-подробное - буду признателен такому комментатору, если он эту ссылку здесь приведёт.

     
     
  • 2.111, пох. (?), 09:19, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тем не менее - частенько оно - работает. Потому что очень маловероятно что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким же как местные комментаторы - запросто обломится, потому что автор "всегда отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие же. В целом не очень и ошибается, конечно.

     
     
  • 3.117, Аноним (81), 09:37, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Частенько работает. Карл!
     
     
  • 4.119, пох. (?), 09:53, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мне пару раз вполне себе помогло. Причем первый раз оно вообще добыло рута в долю секунды (скачав какой-то зеродей прямо с метасплойта) и... сфейлилось, попытавшись спрятаться под видом dhcpcd. Ой, ну надо же так неудачно - а ему запрещен доступ к почти всей фс и сеть тоже жестко порезана - в результате полный лог ошибок, которые естственно заметили сразу же, и облом с попытками перейти к следующему этапу распространения.

    А не было бы selinux - оно на этом всеми забытом хосте резвилось бы может месяцами.

     
  • 3.122, Quad Romb (ok), 12:51, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > тем не менее - частенько оно - работает. Потому что очень маловероятно
    > что проклятая nsa озаботилась персонально тобой, а вот троянец написанный таким
    > же как местные комментаторы - запросто обломится, потому что автор "всегда
    > отключаю этот selinux, там бэкдооооры!" и думает что все кругом такие
    > же. В целом не очень и ошибается, конечно.

    Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
    А внедряемые таким образом бэкдоры никогда не занимаются персонально кем-то.
    Это всегда стрельба по площадям.
    Спасибо за содержательно неприведённую ссылку на нечто подробное-толковое по данной теме.

     
     
  • 4.136, Аноним (98), 18:11, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А стопроцентную безопасность никто не может гарантировать. ИБ оно всё про менеджмент рисков, а не про какое-то мифическое состояние безопасности, которое можно достичь и там наслаждаться. И запасной парашют именно что «частенько работает», так как имеет большие риски, чем основной хотя бы потому, что используется значительно реже.
     
     
  • 5.137, Quad Romb (ok), 18:32, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Никто Надо бежать от того кто её гарантирует Но использовать систему безопасно... большой текст свёрнут, показать
     
  • 4.143, пох. (?), 23:39, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.

    он еще и погасить основной может, если не успеть его заблокировать, и в его стропы запутаться. Тем не менее, желающих прыгать без запасок почему-то мало.

     
     
  • 5.144, Quad Romb (ok), 23:54, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Запасной парашют, который частенько работает - крайне сомнительный по качеству товар.
    > он еще и погасить основной может, если не успеть его заблокировать, и
    > в его стропы запутаться. Тем не менее, желающих прыгать без запасок
    > почему-то мало.

    Не так.
    Желающих прыгать без надёжных запасок - мало.
    Но, поскольку большинство не прыгает, а просто подпрыгивает на земле - это не так заметно.

    SELinux Вас устраивает, и ссылок Вы на что-либо содержательное давать не желаете.
    И на то, и на другое - имеете полное право.
    Ну, тогда и приподнимем шляпы - ибо содержательная часть разговора, похоже, себя исчерпала.

     
     
  • 6.152, пох. (?), 09:16, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    еще раз - парашутные запаски - ненадежны и могут вообще убить при совершенно нор... большой текст свёрнут, показать
     
     
  • 7.158, Аноним (149), 10:53, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Не все устраивает, главный минус - фееричная бесполезность чего-либо отличного
    > от targeted в реальном применении, но лучшего нет.

    Да вообще-то есть, виртуалки и контейнеры называется. Эффект даже лучше - а долботни с настройкой и менеджментом сильно меньше. Так что если над тобой нет регламента что трава должна быть зеленой а акцесконтроль мандатным - то и хрен с ним с SELinux'ом!

     
     
  • 8.164, пох. (?), 16:54, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    это где s in docker stands for security Ага, есть Жаль что придумано соверше... текст свёрнут, показать
     
     
  • 9.176, Аноним (180), 11:39, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Совершенно не обязательно использовать самое хайпожорское решение, есть и другие... большой текст свёрнут, показать
     
     
  • 10.178, Аноним (178), 12:32, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Встретились два знатока У одного - мильен мест проверок CODE grep -Rc pr... большой текст свёрнут, показать
     
     
  • 11.181, Аноним (180), 15:51, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да, в теории бзды как бы неплохая штука На практике - гимора кусок и ... текст свёрнут, показать
     
     
  • 12.182, Аноним (178), 15:57, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как же ты любишь пафосную и пустопорожнюю болтовню и спрыги с темы Отличный ... текст свёрнут, показать
     
     
  • 13.184, Аноним (149), 10:16, 09/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Рассказы фанов бсд про ОС мне напоминают посты с али про китайские ватты всегда... большой текст свёрнут, показать
     
     
  • 14.185, Аноним (178), 10:56, 09/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сам опять что-то придумал, сам оспорил Как тетерев на току, ей-ей Умный и уве... большой текст свёрнут, показать
     
     
  • 15.186, Аноним (149), 13:05, 09/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А таки, пох деятельно иллюстрировал фу каким именно быть и почему Да и бсдюки з... большой текст свёрнут, показать
     
  • 7.160, Quad Romb (ok), 11:56, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В рукож..пие соотечественников вот верю вполне, поэтому что там у атcpы и
    > насколько оно лучше механизма хуков - мне неинтересно совсем - оно
    > сдохнет вместе со страной и будет всеми забыто, никаких шансов у
    > этого проекта нет ни внутри ни снаружи, незачем тратить время.

    Вы предпочли не приподнять свою шляпу, а наложить в неё?
    Ну, оно, конечно негигиенично - но, дело хозяйское.

     

     ....большая нить свёрнута, показать (19)

  • 1.118, Аноним (118), 09:46, 06/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На большинстве систем можно сделать проще и эксплоит не нужен:
    setenforce 0 && modprobe blabla
    Eстественно модуль работает в контексе ядра и может там практически что угодно перезаписать, на то он модуль ядра, эксплоит на 3ку. Таким же макаром можно написать драйвер в Windows, который может там наворотить. Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.
     
     
  • 2.120, пох. (?), 10:00, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > На большинстве систем можно сделать проще и эксплоит не нужен:
    > setenforce 0

    вот ты хакер, блин!

    (обрати внимание - автор суперэксплойта и про getenforce-то не в курсе ;-)


    > Таким же макаром можно написать драйвер в Windows, который может там наворотить.

    а вот хрен тебе, таким же. Драйвер должен быть подписан, иначе ничегошеньки не получится.

    Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему и денег никому не платить.
    (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые додумались внутри драйвера подгружать внешние бинарники.)

    > Новость на 2ку, сделали сенсацию, будь-то все сервера в интернете будут взломаны.

    а контингент опеннета воспринял на ура. Так что ачивка получена.

     
     
  • 3.132, n00by (ok), 17:17, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Посмотри на какие мучения пришлось пойти авторам conti, чтобы обойти эту проблему
    > и денег никому не платить.
    > (Они таскают за собой легальный подписанный драйвер, написанный какими-то м-ками, которые
    > додумались внутри драйвера подгружать внешние бинарники.)

    Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость? Просто такой прокси-драйвер уже был сразу после ввода подписей, его достаточно быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас подписывает.

     
     
  • 4.140, пох. (?), 22:50, 06/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?

    точно. То есть он подписанный и (по крайней мере в каком там... прошлом, видимо, году) - ни разу не был в блэклистах.

    Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому драйверописателями наняли особо работящую стаю макак прямо с ветки.

    > быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
    > подписывает.

    она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается, видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом обращались с осторожностью, потому что забанить его действительно могут влегкую и новый хрен дадут (это по сути EV).

    Но всегда находятся особо одаренные (в основном как раз из сферы промышленных процессов и тому подобных) которые сделают вот так потому шта могут.

     
     
  • 5.148, n00by (ok), 06:50, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Этот драйвер точно по дизайну грузит, или же эксплуатируют в нём уязвимость?
    > точно. То есть он подписанный и (по крайней мере в каком там...
    > прошлом, видимо, году) - ни разу не был в блэклистах.
    > Какое-то г-но типа rs432 портов или что-то столь же распространенное - поэтому
    > драйверописателями наняли особо работящую стаю макак прямо с ветки.

    Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с драйверми и анализировали импортируемые драйвером функции в наивной надежде? Там небось и нет этого драйвера.

    >> быстро занесли в ЧС. Странно, если Микрософт всё подряд и сейчас
    >> подписывает.
    > она сама ничего не подписывает, она подписывает серты разработчиков. За деньги. Считается,
    > видимо (и правильно) что большинству это достаточная мера чтобы с сертификатом
    > обращались с осторожностью, потому что забанить его действительно могут влегкую и
    > новый хрен дадут (это по сути EV).

    Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается ряд требований. Насколько помню, надо было показывать, что не просто какие-то левые васяны, у которых есть 500 долларов, а вот имеются вполне конкретные программные продукты. Если какая-то компания из старых клиентов МС такое допустила, не знаю, что и думать. :) Может conti не стали им шифровать архивы и просить "оплатить пентест", а просто вставили в исходники нужное?)

     
     
  • 6.153, пох. (?), 09:26, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с

    может фича была в определенных кругах (например пользователей того странного оборудования) известна, может сами имели косвенное отношение к производителю, а может случайно наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов, совершенно не требующих конспирологии.

    > Там небось и нет этого драйвера.

    конечно нет, те проходят отдельную сертификацию (проходили, тут я застрял на уровне 95й, да, были когда-то и мы рысаками...давнооо - но вряд ли поменялось в сторону упрощения, скорее наоборот) и вряд ли туда такое допустят.

    Это какое-то лютое 3d party причем совсем не для юзеров. Поэтому и сделано тяп-ляп - кто бы мог подумать что его могут использовать не только там, и было ли этим мартышкам, чем?

    > Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается

    можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый раздел). Но да, EV - то есть ни разу не автоматически и не левому васяну с улицы.

    > допустила, не знаю, что и думать. :) Может conti не стали
    > им шифровать архивы и просить "оплатить пентест", а просто вставили в
    > исходники нужное?)

    заодно и поправили чтоб работал и по прямому назначению, а те и рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.

     
     
  • 7.155, n00by (ok), 09:59, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как conti нашли это драйвер? Качали скриптом всё подряд с сайта-файлопомойки с
    > может фича была в определенных кругах (например пользователей того странного оборудования)
    > известна, может сами имели косвенное отношение к производителю, а может случайно
    > наткнулись хакнув заводишко где оно применялось - мильен с тыщами вариантов,
    > совершенно не требующих конспирологии.

    Заводики точно шифровали, а о мелких информация не расходится.

    >> Под разработчиком надо понимать не частное лицо, а компанию. К которой выдвигается
    > можно и частное. dokany подписан. Пользуйся (прикольно ж пошифровать дуалбутчику его линoopsовый
    > раздел). Но да, EV - то есть ни разу не автоматически
    > и не левому васяну с улицы.

    Не самоподписан? Вот что у них сходу нашёл.

    if ($securebootUEFI)
    {
    write-Host "Secureboot is enabled. This needs to be disabled so that the driver signed with a self signed certificate can be loaded." -ForegroundColor Red
    write-host "See https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/disablin for instructions to disable it" -ForegroundColor Red
    return;
    }

    >> допустила, не знаю, что и думать. :) Может conti не стали
    >> им шифровать архивы и просить "оплатить пентест", а просто вставили в
    >> исходники нужное?)
    > заодно и поправили чтоб работал и по прямому назначению, а те и
    > рады - неработающий драйвер сам починился? ;-)Но нет, вряд ли, не
    > те ребята, им не нужны такие лишние сложности, они деньгов зарабатывают.

    Ну ключи для подписи драйверов могли оказаться в слитых перед шифрованием дампах. Вот как раз это наверняка целенаправленно ищут, и не одни conti. Я только сейчас начал подозревать о масштабах проблемы... :)

     
     
  • 8.162, onanim (?), 13:54, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    на широко известном в узких кругах форуме один криптовымогатель написал, что взл... текст свёрнут, показать
     
     
  • 9.163, n00by (ok), 15:27, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С паролями и без этих ваших иксэксэсэв понятно, хотя данная формулировка скорее ... текст свёрнут, показать
     
     
  • 10.171, onanim (?), 09:09, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    что тут такого удивительного мировая практика ... текст свёрнут, показать
     
     
  • 11.175, n00by (ok), 10:46, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В первой части - ничего Вторая ИМХО не входила в их планы, когда они подминали ... текст свёрнут, показать
     
  • 9.168, пох. (?), 20:34, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот ко мне лет двадцать назад такое запорхнуло Причем, с-ка, ни разу не test... текст свёрнут, показать
     
     
  • 10.187, Аноним (149), 15:40, 09/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ко мне тоже что-то недавно залетало, только пароли оно совсем не крякало Трахну... текст свёрнут, показать
     
  • 8.165, пох. (?), 16:59, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не Просто качай бинарник это чтоб ты мог из исходников сам собрать Но релизны... текст свёрнут, показать
     
     
  • 9.172, n00by (ok), 09:17, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Подписать могли бы, но зачем раскрывать сразу все карты Да и если моя версия ве... текст свёрнут, показать
     
  • 9.173, n00by (ok), 09:22, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если там по уму сделано, модуль выполняется в пространстве пользователя без каки... текст свёрнут, показать
     
  • 3.150, Аноним (149), 09:07, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Драйвер должен быть подписан, иначе ничегошеньки не получится.

    Ога, и как оказалось на своей мине можно самому же и - того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-surface-pro-x-massovo

     
     
  • 4.154, пох. (?), 09:28, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Драйвер должен быть подписан, иначе ничегошеньки не получится.
    > Ога, и как оказалось на своей мине можно самому же и -
    > того, вот прям так: https://3dnews.ru/1087288/vladeltsi-planshetov-microsoft-surface-pro-x-massovo

    а то бы ты быстро-быстро попатчил чужой драйвер сам?

    Что-то вот сомневаюсь...

     
     
  • 5.157, Аноним (149), 10:44, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > а то бы ты быстро-быстро попатчил чужой драйвер сам?
    > Что-то вот сомневаюсь...

    (поглядывая на абсолютно аморальный патч ath9k, который я тебе не дам) а напрасно, иногда и такое вот случается :-)

     
     
  • 6.169, пох. (?), 20:37, 07/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> а то бы ты быстро-быстро попатчил чужой драйвер сам?
    >> Что-то вот сомневаюсь...

    напоминаю - там драйвер виндовый, исходников тебе не дали (были б у тебя исходники - ты бы мог своим ключом подписать). Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.

     
     
  • 7.174, n00by (ok), 09:25, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ныне в драйверах могут и отладочный вывод оставить, сразу с именами функций.
     
  • 7.177, Аноним (180), 11:50, 08/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > напоминаю - там драйвер виндовый, исходников тебе не дали
    > (были б у тебя исходники - ты бы мог своим ключом подписать).

    Ты так хорошо расписал почему я маздаем не пользуюсь, спасибо. Как раз в том числе и потому что там поразвлекаться с системщиной жуткий гимор, и баги мешающие жить - не чинябельны. А сказки про мир розовых пони где дрова и софт без багов ты кому-нибудь другому, имхо, оставь. Потому что виндой я пользовался и как оно там "без багов", "лучше" и "обгоняет линукс" я на своей шкурке прямо и убедился.

    > Найти переполняющийся счетчик наверное можно и так, но это ни разу не ath9k.

    Ну да, поэтому и линукс, вот. И копание в его внутренностях. Это проще, эффективнее и кайфовее. А винды - как там грится? "Contact your support", во.

     

     ....большая нить свёрнута, показать (21)

  • 1.188, Пряник (?), 16:14, 09/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ага, ограничивать root - ловить муху в поле. Удачки!
     
     
  • 2.190, Аноним (149), 18:24, 10/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, ограничивать root - ловить муху в поле. Удачки!

    Вообще lockdown что-то такое попытается. И на каждую муху найдется свой дрон^W ласточка, или что там.

     

  • 1.193, Аноним (-), 23:50, 19/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру