Új (utolsó?) grsecurity kiadás és fontos bejelentés

Titkosítás, biztonság, privát szféra

Megjelent a grsecurity biztonsági patch 2.1.12-es verziója a 2.4.37-es és 2.6.27.10-es kernelekhez. A 2.1.11-es kiadás óta számos hibajavítás mutatkozott be mind a grsecurity-hez, mind a PaX-hoz. Egyebek mellett a 2.6-os kernelhez használható patch-ben bemutatkozik egy új PaX szolgáltatás, a PAX_REFCOUNT. A bejelentés szerint ez az új szolgáltatás képes megelőzni a kernelben levő "reference count overflow" sebezhetőségek legtöbbjét.

A rosszabb hír az, hogy a nehéz gazdasági helyzet miatt a grsecurity elvesztette szponzorát. Mostantól fogva két út áll a projekt előtt: a) vagy sikerül Brad-nek újabb szponzort szereznie és akkor a megszokott módon folytatódhat a grsecurity fejlesztése b) vagy nem sikerül és akkor 2009. március 31-gyel befejeződik a fejlesztés. Utóbbi esetben a PaX további nyilvános fejlesztése is bizonytalanná válik.

Részletek a bejelentésben.

(A linkért köszönet insight olvasónknak!)

( Oscon | 2008. 12. 28., v – 17:59 )

:-(

----------

r=1 vagyok, de ugatok...

( bervi | 2008. 12. 28., v – 19:05 )

hmm. hát ez nem jó hír, főleg, hogy mostanában kezdem el megint használni. de ha jól emlékszem, egyszer már volt hasonló bejelentés, thuglife kárörvendett is világgá

szerk: http://hup.hu/node/6168, de az ominózus postot nem találom, csak utalásokat rá :)

az viszon más kérdés, hogy miért nem kerül be mainlineba, és miért kell mindent újra implementálni (pl nx-disable by RH), a másik érdekes dolog, hogy a windowsba több dolgot vettek át a grsec/pax párosból, mint linuxba, vajon miért?
de akár vehetjük az {Net,Open}BSD-t is. de itt a grsec-es ábra, hogy melyik OS-be mit vettek át..
___
info

Talan nem volt eleg lassu a rendszer, roszabbak lettek volna hardware eladasok?

Ahogy en latom a csoda png -det, valami hasonlo mindig bekerult a kernelbe.

Tessek hardened gentoot hasznalni, ha ez a ket legfontosabb dolog ami a rendszeredbe kell.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Azért a -pax már van 2000 óta kb. Még anno a virtualeave n volt a PaXTeam honlapja ha jól emléxem, és a grsec is volt már 2.4hez is. Azért ez már szerintem mondható "hosszú táv"nak, vagy ott a lirc az is már elég régóta megvan, bár talán soha nem volt ennyire bonyás beleverni a kernelbe, mint mostanság.

Csak néhány hangadó, és véleményformáló ellenző miatt nem kerülnek bele ezek a jóságok a kernelbe, akik mint a pinyó által linkelt fotón is látszik a kódok alapján egy alternatív "megoldást" csinálnak, ami lehet hogy csak fele olyan jól működik.

Sőt nekem néha innen kívülről még úgy is tűnik, hogy az állandó memóriakezelési, eszközkezelési "rework" okkal pluszban igencsak megnehezítik a 3d patchek készítőinek munkáját.

---------

r=1 vagyok, de ugatok...

"Azért ez már szerintem mondható "hosszú táv"nak"

mondható ja. és érződik is. többedjére akarják beszüntetni a fejlesztést, késnek a test patch-ek (release meg félévente van), bugosak, nem fordulnak, stb. most meg épp csak már pénz sincs...

"Csak néhány hangadó, és véleményformáló ellenző miatt nem kerülnek bele ezek a jóságok a kernelbe"

egy is elég, ha meg tudja akadályozni

a test patch-ek

Teszt kernelhez, teszt patch való.

Most bootoltam be a 2.6.27.10 vanilla kernelt, ami elvileg hosszú karbantartású és stabil.

Ha bent van egy dvd-ram az íróban, mikor az udev indul, mindjárt két kernel WARNING arch/x86/pci/nommujelenik meg. Most akkor miről beszélünk, hol a stabil kernel, amit egyáltalán patchelni lehetne ?

Meg kell várni, mig udev kényelmesen elindul, aztán betenni a dvd-t. tökjó.

És ez a "hosszú karbantartású kernel". grat.

Akkor ott egy másik warning, ami abból fakad, hogy az usbcore random töltögeti be az ehci_hcd és az ohci_hcd-t , ha az ohci sikerül elsőre, mindjárt jönnek a jótanácsok, hogy akkor máskor az ehci t töltsem be előszőr. Tökjó, initramfsből töltődik, shell szkriptben bizony előbb van az ehci egy hangyányival, mégis az ohcit tölti be előszőr. nosza ohci t kivágtam initramfs i imageből, majd initram után "rendszer-udev" betölti. És ez a stabil, hosszú karbantartású kernel. Tökjó. Gányoljunk ezerrel, mint állat.

Beleforgatom a kernelbe a PCI-E ASPM támogatást, csak azért is pcie_aspm disabled el bootol, adjak neki pcie_aspm=force boot paramétert. Na ezt azért megnézem közelebbről. usr-src-linux-Documentation-kernelparameters.txt, persze nincsen, nagyonjó. Mindenesetre a tipp jó volt, ugyanis tényleg van ilyen paraméter +3-4% 3D teljesítmény növekedés.

Amikor azt mondod hogy bugosak, akkor vajon a kernel eszköz & memóriakezelése már eleve ilyen rettentes bugos, vagy a grsec patch...

De hogy jót is mondjak a 2.6.27es kernelről, íme egy remekbe szabott átdolgozás, melynek egyik eleme következtében a layer7 egyébként nem fordul.

-----------------------

r=1 vagyok, de ugatok...

Mennyiben is "fikázás" a fenti hsz ? Egyszerű eseményleírás. A fenti "események" grsec nélküli vanilla kernelnél jelentkeztek.

Ha valami nem megy

Csak bervi jelzésére reagáltam, miszerint "késnek a test patchek, release félévente van" . / pax test patch már van 2.6.28hoz is - 25?én jelentette be télapó Thorvalds ha jól emléxem / Ez miért is jelenti azt, hogy nem megy ?

Ha a kernel L.T féle kihirdetésének időpontjában nincs stabil release az éppen megjelent kernelhez, akkor mindjárt "nem megy", vagy ez hogy van ?? Lehet szólni kellene az nvidia nak is, hogy ne legyen 3d binary driver, ha egyszer "nem megy".

---------

r=1 vagyok, de ugatok...

Jahogy a szponzorra gondoltál.

Akkor félreértettelek.: 

állandóan a kernel állapotának, fejlesztési modelljének fikázásában merülnek ki. Ha valami nem megy - akármilyen okkal - abba kell hagyni a vérbe'

Mindenesetre én optimista vagyok, szerintem ha más nem lesz, mi userek összedobjuk a lóvét.
A cuccos túl jó, hogy elvesszen.

--------------

r=1 vagyok, de ugatok...

Én azt mondom - bármilyen kegyetlennek is hangzik -, hogy az a projekt ami nem tudja magát eltartani, az szűnjön meg. Ki kell próbálni több lehetőséget. Ha valamelyik beválik, akkor azt a vonalat továbbvinni.

Van valami kimutatás arra nézve, hogy hányan használják a grsec-et? Mert egy szponzornak az lesz az első kérdése, hogy hányan használják, hányan látogatják havonta a weboldalt (ahova ő logót kívánna esetleg tenni), hányan töltik le a csomagot, amibe bele lehetne tenni egy SPONSOR.txt-t, stb. Sajnos ezek a támogatások általában nincsenek "ingyen".

Én ezt tudom, hiszen ezeket a dolgokat végigcsináltam. A közösségi támogatás - bármilyen szépen hangzik - még itt a HUP-on sem működött, ahol 3rd party auditor szerint is van napi 20-25K uniq visitor. Ha mindegyik csak 50 forintot szánt volna havonta, már bőven jó lett volna. Sajnos ez a vonal nem igazán megy. Hosszú távon semmiképpen sem. De ne legyen igazam.

Szerintem a szponzor lenne a megoldás. Ha van akkora felhasználói bázis, ami miatt valaki úgy gondolná, hogy érdemes lenne támogatni. De szerintem nincs ekkora felhasználói bázis.

Én szurkolok és ettől függetlenül továbbra is tartom, hogy a reklámozásban be tudok segíteni.

--
trey @ gépház

az a projekt ami nem tudja magát eltartani, az szűnjön meg

Szerintem teljesen jo a szponzor dolog - ha van. Ez ugy tunik, mukodott is, csak a cikk szerint eltavozott a fo szponzor, ezert van most gond. En nagyon szeretnem, ha lenne helyette masik, es jelentkezem, hogy en hasznalom a grsec-t.

A mindenki dobjon be egy 50-est - mint otlet - nem rossz, csak messze nem az un. kb. kiszamithato bevetel, amire alapozni mernem a szamlak kifizeteset. A grsec szponzor imho azt mondta, itt van x ezer USD egy evre, aztan fejlessz. Marciusban ez a periodus jarhat le.

Gondolkoztam en is azon, hogy a clapf projektre felteszek egy donate gombot, de ha neked sem jott be, akkor nem faradok az xpaint-tel....

SPAMtelenul - POP3 spamszuro szolgaltatas

> a clapf projektre felteszek egy donate gombot, de ha neked sem jott be,

A projekt támogatás témaköre szerintem egy önálló szervezetet kíván, ami különböző projektek támogatását végezné. Ezért nem is nagyon csodálkozom, hogy egy donate gomb-bal nem lehet komoly támogatáshoz jutni.

"Csak bervi jelzésére reagáltam, miszerint "késnek a test patchek, release félévente van" . / pax test patch már van 2.6.28hoz is - 25?én jelentette be télapó Thorvalds ha jól emléxem / Ez miért is jelenti azt, hogy nem megy ? "

ho-ho. tudod Oscon amellett az apró tény mellett szó nélkül elsuhantál, hogy a test patch-et nem véletlenül hívják test patch-nek, a release-t meg release-nek. legalábbis jobb helyeken. én meg a rendszert többnyire inkább használni szeretném, mint tesztelni, bár ritkán valósul meg ez az álom :)

Ja, azt hittem arra, hogy a PaX rejtélyesen kipatcheli a VMware és VirtualBox futtatás láehetőségét a kernelből és egy hibalehetőséggel kevesebb :D

"PaX, even when completely disabled, is incompatible with a VirtualBox/VMWare host (it can still be used on a guest OS). The source of the incompatibility is not yet known."

--
trey @ gépház

Aham. Ha jól értem a szavaid, akkor a disztró kernelekben alapértelmezetten ki lenne kapcsolva és aki használni akarná, annak kernelt kellene fordítania. Ettől jól megtáltosodna a felhasználtsága és a fejlesztés is?

Esetleg akkor tudnám elképzelni, hogy szállítanának olyan kernelcsomagokat is a disztrók, hogy 2.6.27-9-generic-grsec. Ebben az esetben talán lenne értelme a mainline kernelbe kerülésnek.

--
trey @ gépház

szerinted mikor van nagyobb esélye valami kernel-related cuccnak elterjedni:

- benne van a vanillában
- nincs benne a vanillában

többen nézik meg, többen csapkodják az asztalt ha nem jó, többen beszélnek róla, többek olvasnak utána, többen kezdik el hekkelni, többen jelentenek bugokat, többen küldenek be patch-et, többen fejlesztik ........

Értem én, hogy akkor _lenne_ nagyobb esélye, csak az nem világos nekem, hogy mitől néznék meg többen, ha benne lenne. Akit érdekel, azt most is tud róla, használja. Mennyivel lennének többen, ha benne lenne? Ez a kérdés.

Én sokkal fontosabbnak tartanám a disztrók meggyőzését. Azok is bele tudnák tenni. Ha azok szállítanák, akkor több emberhez jutna el.

--
trey @ gépház

pl. lehet hogy x potenciális egyszeri user nem is tud róla, míg ha ott van a kernelben, meglátja, és nolám, próbáljuk ki

vagy az is lehet, hogy a test patch nem megy rá a vanillára (ahogy velem is történt nem egyszer), míg ha alapból benne van, akkor nyilván lehet vele játszani

vagy nincs kedve patch-ekkel szarakodnia

vagy a vezetés nem engedélyezi holmi külsős patch-ek ráreszelését (függetlenül attól, hogy az ilyen hozzáállásnak semmi értelme), míg ha benne lenne, elgondolkozna rajta

ez egyébként hasonlít arra a módszerre, hogy nem használok semmiből beta verziót, csak véglegest. ha benne van alapból, a user feltételezi, hogy jó eséllyel használható is a dolog, míg egy y oldalról lehalászva elbizonytalanodhat, főleg ha megnézi a fórumot is, ami azzal van tele, hogy ez nem megy, az nem megy

stb.

------------

a disztrós témára csak annyit tudok mondani, hogy a disztrók célja az, hogy minél több usernek működjön a deszkája. a grsec pont a használhatóságot csökkeni a biztonság emelése mellett, szóval ezt nem lenne túl egyszerű rögtön véghezvinni, ehhez valószínűleg sokat kéne még dolgozni a grsec-en, bár sok dolgot tényleg be lehetne emelni kompromisszum nélkül, vagy kis ráfordítással.

Ja, csak ez nem olyan szerintem, mint hogy az egyszeri user megörül az Audio-Video menüben egy új CD lejátszó programnak és kipróbálja. Ehhez minimum új kernelt kellene telepítenie. Nem hiszem, hogy olyan fokú inkompatibilitásokkal, hogy nem mennek a virtualizációk, bárki is alapértelmezetten engedélyezett kernellel szállítaná. Ezzel már a nagy tömeg el is veszett. A maradékból egy része - mint említettem - most is használja. Mennyi ember maradt? Ez a kérdés.

--
trey @ gépház

felszabadított memória kipucolása (ez asszem a pax része, de ez részletkérdés) illetve randomization sok más területen is, binárisok futtatása csak megadott helyről, chroot hardening ami most hirtelen eszembe jut, de perpill nincs nálam kéznél grsec-es kernel konfig

ezek fogják a rendszert. ez olyannyira számottevő, hogy én semmi különbséget nem vettem észre :)

valóban, kicsit félreolvastam

pl. van olyan feature, ami letiltja a modulok ki-betöltését egy változó függvényében, a változót sysctl-en keresztül lehet buzerálni root-ként. ez nyilván nem túl nyerő, ha bedugsz egy pendrive-ot, mert nem fog történni semmi :)

másik pl. hálózati forgalom engedélyezése csak bizonyos user-eknek, stb. ezekre vagy használsz vmi policy-t (a usert beteszed a megadott gid-ű csoportba, a gidet te adod meg forgatáskor), vagy nem használod, mint én se

a feature-ok ésszerű használata mellett nem nagyon érezhető mellékhatás szerintem. persze megy a 3d is, a java vm is. wine emlékeim szerint megy, de most nem vagyok benne biztos, hogy akkor grsec-es kernel volt, mikor legutoljára használtam. virtualizációról meg nem tudok nyilatkozni, nem érint.

Lehet grsec el desktopon 3D t használni.

A bináris driverek (Ati, nvidia) nélkül elvileg nincs gond. Más kérdés, hogy akkor milyen a 3D...

nvidia nal a libGL t használó binárisokról fel kell engedni a restrict_mprotect() et, Xorg esetén az Xről is, kde nél pl. célszerű a kdeinit ről is.

Ez rendkívül bonyolult egy paxctl -m parancs adott esetben. Esetleg előtte egy paxctl -C.
De ha disztróról beszélünk akkor pl. az adott csomagba csupán a postinst szkriptbe kell beírni, mikor a csomagot legyártják. Usernek még csak észre sem kell hogy feltétlenül vegye.

Suspend to ramnál <=2.6.26 nál ha bent volt az nvidia bináris driver akkor nem ment le szundiba ha volt PAX_KERNEXEC. Bináris driver nélkül lemegy.

27el nem néztem kernexec el.

ATI bináris drivernél ahogy a "known issues" ben írják uderef nem megy.

-------------

r=1 vagyok, de ugatok...

restrict_mprotect
Enabling this option will prevent programs from
- changing the executable status of memory pages that were
not originally created as executable,
- making read-only executable pages writable again,
- creating executable pages from anonymous memory.

Nyílván ha felengeded, akkor program ezeket megteheti.
Ha kiváncsi vagy rá, hogy ezek közül téged mi érint, akkor a proc/[pid]/maps okban megnézed mi az ahol rwx együtt szerepel , azokról le kell venni a restrict_mprotect et, mert a működőképességéhez szükséges.

Pl. ilyen java adott esetben, itt egy minta:
jdictionary t indítottam el. pidof szám 13708:

00000000-00000000 rwxp 00000000 00:00 0

------------

r=1 vagyok, de ugatok...

Hát ez gyakorlati példán keresztül derülne ki a leginkább, addig mindenféle elméletet lehet gyártani...

Mert SEGMEXEC ettől még megmarad.Szóval az alkalmazás ettől nemmarad úgymond védtelen.

Ennek teszteléséhez kellene egy jóféle java_vm exploit, PoC valami :-))

Hiba van több is az biztos, mert debsecan állandóan jelent java_vm ről :))). Én viszont nem vagyok hacker, cracker hogy exploitokat gyűjtögessek, készítgessek, elemezgessek, meg hasonló. Amit védelem terén elérhetek, azt megteszem, aztán ennyi. SEGMEXEC fogott már meg egypár firefox exploitot(?) különféle honlapokról. Mint utólag kiderült az egyik jóindulatú honlap egy képkezeléssel kapcsolatos firefox hibát "használt ki", mégcsak nemis plugin os téma. Bár időnként "megbízható honlapokat is fertőznek". jóég tudja. paranoia mód bekapcs :))

De vannak még furcsa alkalmazások melyek érintettek lehetnek, pl. az acroread, aminek nem ld-linux.so a "program interpreter"je, hanem ld-lsb.so valami érthetetlen módon, ezért acroread részére egy symlinket kell csinálni ld-linux.so ról ld-lsb.so ra (is). Mert különben restrict_mprotect() en fennakad.

----------

r=1 vagyok, de ugatok...

1. restrict_mprotect nem hasznalando akkor olyan helyeken ehol futas idoben allitunk elo nativ kodot, a nagyobb teljesitmeny erdekeben. Es nem basztatjuk rendeszert folyamatos mprotect() hivasokkal lepten nyomon, mert sokkal lassabb lenne. Itt ugye kizarva restrict_mprotect. En az ilyen kodokat nem neveznem rosszul megirtnak.

2. Ha van egy "jo" kodunk ami nem csinal ilyet akkor minek kapcsolnam be a restrict_mprotect -et ? Ha meg igy is exploitolhato a kod, az exploit be tudja tartani a restrict_mprotect() szabalyait, ha neten ujabb kodot akarna behozni.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Igen, meg olyan is volt, hogy magában a "megoldásban" volt kaka. (részletek)

Szóval a mérlegnek két serpenyője van. Egyik oldalon kérdés, hogy mi a garancia arra, hogy nincs benne kihasználható hiba (azaz nem mutatkozik be újabb bug azzal, hogy megpatcheled vele a kernelt), kérdés hogy a használhatóság érdekében csökkentett funkcionalitással mit ér (nem speciálisan bizonyos esetekben, hanem széles körben).
A másik oldalon pedig ott van az, hogy fogott már meg dolgokat. Valaki segítsen eldönteni, hogy melyik oldal a nehezebb, mert én nem értek hozzá.

--
trey @ gépház

Oké, leegyszerűsítve:

mérlegnek van két serpenyője:

Egyikben van a grsec, PaX SEGMEXEC el mondjuk desktop téren. Fogott már meg dolgokat, Jó esélyed van monjuk egy 0-day firefox flash, java_vm, mplayer, konqueror, imagemagick, xine vulnerabilityvel szemben. :-) / nézem még mik vannak a debsecanban / szép hosszú a lista, pedig csak a vulnerability without updatest nézem, mondjuk ez a disztróról sem ad túl jó képet valószínűleg :(. Többség innét van.

Ha jól emléxem te is linkeltél be anno pár hónapja egy 2.6 kernel exploitot amit asszem segmexec+uderef pl. megfogott. vm_splice, vagy melyik volt ?

Akinek volt TPE annál el sem indult fordítás után. ;-)

Mérleg másik oldalán nincsen semmi. Érintve vagy és pont, így jártál. Vagy eltalál egy dög, vagy nem. Linuxot használsz, esélyeidet ezzel csökkentetted, dögök jórésze win specifikus. De azért maradt a serpenyőben.

Ez az egyik rész.

Grsec compatibilitás: Milyen 3rd binary modulokat használsz, amik rendelkeznek "program" komponensel is. Pl. nvidia binary driver + nvidia Xorg modul, stb , amikor fennál az esélye, hogy a kernelmodul olyan módon kommunikálna a programjával amit mondjuk az egyik grsec/PaX opció lecsap, és emiatt vagy funkcióvesztés, esetleg kernelpanic következhet be. wireless driverek, ati-bináris driver (?), vmware (?),virtualbox(?) ???

nem speciálisan bizonyos esetekben, hanem széles körben

Hát azért ha ilyen restrict_mprotect() -el inkompatibilis cuccból van több nálad desktopon azért az érdekes (én azért benéznék a proc/id/maps ba hogy tényleg ígyvane) , ha pedig ezért a néhány darabért ami talán nincs egy tucat sem, lemondasz a funkcióról azt mondjuk te tudod.

Szerintem egy parancs (paxctl) kiadása nem olyan mértékű és idejű probléma, hogy érdemes lenne általánosságban is lemondani egy ficsőrről. Más lenne ha mondjuk újra kellene emiatt a programot fordítani minden alkalommal mikor új verzió van, az már mondjuk szvsz is gáz :))

------------

Olyan hibák amelyek grsec el érkeztek a kernelbe, amúgy nem lennél érintve.
Ismertté vált hibák listája, és súlyossági besorolása az 2003-2008
+ pax

Most a linux-2.6 ot nem szeretném inkább belinkelni az elmult évekből. :))

Egyik kedvencem ez, ahol előszőr részleteket szivárogtattak ki, aztán közölték hogy 50.000 dolcsiért részletek+exploit (?) / meg publikussá csak fél év után adják az exploitot, ez asszem másfél éve volt, exploit azóta sincs / ha jól emléxem, aztán grsec "ez kamu" hírlevelélre kiadtak egy PoC kódot, ami asszem local DoS-ra volt alkalmas és ennyi.

Ebből, ha desktopon vagy vondd le a rbac ot amit valószínűleg nem fogsz bekapcsolni. (gradm -E) ;-)

-------------------

r=1 vagyok, de ugatok...

x86_64re PAGEEXEC, ha jól tudom. 64biten hw ből megy nincs teljesítmény vesztés, 32bittel szemben (32biten ezért jobb a segmexec), és 64biten értelemszerűen hatékonyabb az ASLR is.
memory_sanitize és refcount van x64re is, uderef viszont nincs ha jól látom (depends on X86_32, !COMPAT_VDSO, !UML_X86).

-------------

r=1 vagyok, de ugatok...

Remelem erzekeled a mondandod baromsag faktorat. Ugyanis a default deny elve miatt ha nem az exception list-ben szereplo alkalmazast tamadod, vagy olyan koddal akarsz jatszani, ami at akarja hagni eme korlatot, de nem szerepel a kivetelek kozott, akkor igencsak megfogja azt a cuccot ami gonoszkodni akar. Es ez nem csak erre a dologra igaz, hanem altalaban veve is. Valamint ezen exception list mar eleve arra osztonzi a fejlesztoket, h probaljak meg kikuszobolni ezt a nyugot. Persze ez is baromsag Linus szerint.

---
pontscho / fresh!mindworkz

Abbol indulunk ki, hogy jo kod nem csinal ilyet. (?wx paget)

Azt feltetelezzuk, hogy ez segit abban , hogy a gonosz kod ne futhasson le. (Ez igaz, megfogja legtobb * overflow exploitot, ha betartjuk ezt a szabalyt)

"jol megirt" program akor szegheti mar meg ezt a szabalyt, ha mar az exploit bejutott es meg hiv egy mmap(), mrtotect() -ot PROT_WRITE|PROT_EXEC hozzaferst kerve , ekkor mar ugye gonosz kod fut, mert progink magatol nem tesz ilyet.
Gonosz kod miert nem tarthatja be restric_mprotect szabalyait ?, Hogy elobb csak write -ra ker jogot, aztan csak exec/read re.
De, ha mar fut/bejututt az exploit minek baszkodna ilyesmivel?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Látod ezért írtam, hogy jobb lenne, ha utánaolvasnál...

A logikai bukfenc a mondandódban ott van, hogy a "gonosz kód" már eleve nem fut, nem futhat, hisz a PaX PAGEEXEC/SEGMEXEC megvalósítás pont arra hivatott, hogy a kód szegmens csak olvasható és futtatható, de nem írható, az adat szegmens pedig csak írható és olvasható, de nem futtatható (W^X). Tehát egy overflow esetén (amely ugye csak az adat szegmensen történhet) a hagyományos kódvégrehajtás (buffer-be "gonosz kód" kerül és a túlcsordulás által a visszatérési érték vagy függvény pointer átíródik úgy, hogy a "gonosz kód" hajtódjon végre) nem működhet, mert ott az adatszegmensen _alapból_ nem futhat a kód. Mit lehet azonban továbbra is csinálni? Azt, hogy a túlcsorduláskor a visszatérési érték nem úgy kerül felülírásra, hogy a shellcode-ra mutasson kapásból, hanem az mprotect() függvényre és annak felparaméterezésével először futtathatóra mappeli a shellcode memóriaterületét, amely utána így már lefuthat. A PaX mprotect resztrikció pont ezt akadályozza meg, azaz nem enged egy már írhatóra mappelt memóriaterületet átírni futtathatóvá, a futtathatót pedig írhatóvá. Az ilyen jellegű átmeneteket korlátozza. Tehát nem teheti meg azt, hogy "elobb csak write -ra ker jogot, aztan csak exec re".

x86_64 -rol beszelek. IA-32 van haszna, PaX-nak ilyen szempontbol.
x86_64 vanilla eseten is csak olvashato futathato a kod resz, az adat/stack meg nem futathato.

mprotect:
Aha, kapisgalom. ASRL mellett honan tudja az exploit, hogy milyen cimeket kell megadnia ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

x86_64 vanilla eseten is csak olvashato futathato a kod resz, az adat/stack meg nem futathato.

Ezesetben érdekes, hogy az előbb még azt írtad az "overflow exploit" után, hogy "ekkor mar ugye gonosz kod fut". Tehát akkor most mégse fut? Hogy is van ez? Kicsit össze vagy zavarodva, nem? ;)

ASRL mellett honan tudja az exploit, hogy milyen cimeket kell megadnia ?

Pl. infoleakből.

Adott hibától függ. Lehet, hogy csak egy pointer értékét, lehet hogy egy nagyobb memóriaterület tartalmát, lehet, hogy csak fix helyről, de lehet akár hogy támadó által kontrollálható címről. Infoleak segítségével megszerezhető könnyedén a Propolice (Stack-Smashing Protector) canary értéke is, így annak védelme is kijátszható a lineáris stack túlcsordulás esetén (nem-lineáris overflow ellen meg egyébként se véd, ahol heap overflow esetén sem).

xorg-os radeon driverral semmit nem kell levenni, megy alapból, mindenféle mágia nélkül, pedig szinte minden sec megszorítás be van forgatva a kernelbe, ami egyedül problémás az a java, de azt el lehet intézni az Oscon által leírt módszerrel. A flash megy szintúgy mágia nélkül, kivéve egy-két oldalt, ahol valamilyen érdekes módon, anan-map-el a libflash....
___
info

Memorait mar most is nullazza a kernel.
Randomozal mar most is a kernel nehezitve a debuggolast, mit akarsz meg randomozni ?
No exec bitet mountkor magadom, chmod -x is nagy talalmany.
chroot helyett openvz (En azt varom a kernelbe).

Akkor most mi van ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Ha nem érdekel a security, akkor nem kell neked a PaX, ilyen egyszerű. Csak ha nem tudod milyen biztonsági megoldásai vannak és azok hogyan működnek, akkor ne nyilatkozz róla ilyeneket, hogy azt csinálja a kernel alapból is. Gondolhatod, hogy nem véletlenül vannak benne ezek a funkciók a PaX-ban...

én szerveren használom, nem állítottam be agyament korlátozásokat, csak amolyan alap védelemnek van.
És 0 mellékhatás.

Valahol olvastam, hogy valamelyik védelem (talán az, hogy menet közben módosítja a kódot, vagy heap-ről ne engedjen kód futtatást), az pár program, köztük az X működését is megakasztja, ezeknél a programoknál ki kell kapcsolni ezt a védelmet, és utána védtelenül ugyan, de kiválóan futnak. (Ez mondjuk pár éve volt, hogy olvastam, és én nem használok X-et ott ahol van PaX, lehet, hogy a szoftvereket (pl. X-et) kijavították már azóta)

G

mire gondolsz többi hasonló alatt?

AppArmor, meg ExecShield, meg SELinux, ilyesmik?

Most fejből nem tudom, AppArmorról pl. semmit nem tudok, ExecShieldről azt olvastam, kevesebbet tud (sokkal), SELinuxról meg az RSBAC oldalán (és a grsec oldalán) elég rossz dolgokat írtak. Lehet, hogy védeni jól véd, de ez nem tetszett. (azt hiszem, ez volt: http://www.grsecurity.net/lsm.php,
http://www.rsbac.org/documentation/why_rsbac_does_not_use_lsm)

Egyébként persze simán lehet, hogy van más, ami legalább ennyire jó. Én nem ismerek más olyan megoldást, ami PaX-szal felér.

Gondoltam kicsit utánanézek, google-ön ez az első találat:
http://www.cs.virginia.edu/~jcg8f/GrsecuritySELinuxCaseStudy.pdf

Még nem olvastam el, de majd mindjárt :-)

G

pl. buffer overflow exploitok nem futnak. Ilyesmi. Ez jó, és nem akadályoz meg szerveren semmiben.

Nekem nincsen szükségem pl. mindenféle jogosultság szétválasztásokra, hogy melyik processz mit forgalmazhat, melyik user, stb. Userek nincsenek, a processz dolgokon biztos lehetne még finomítgatni, de erre már sajnáltam az időt.

G

Ha én disztrót állítanék össze, inkább az alap kernelben lenne a grsec, és lenne alternatív kernel, virtualizációs host-nak.

Nem tudom, mennyire gyakori, hogy az emberek virtualizációt használjanak. Van haverom, aki olyan helyen dolgozik, ahol vmware-re alapozva dolgoznak nagy infrastruktúrával... gondolom nekik nem lenne gond telepítéskor feltenni egy másik kernelt, hisz az egész infrastruktúrát jól megtervezték.

Desktopon vajon hányan használnak virtualizációt, és milyen gyakran? Én 98-ban rendszeresen futtattam linux hoston windowst vmware-rel, aztán évekig nem. Épp a napokban tettem fel egyet, mert meguntam, hogy az XP-t nehéz telepíteni (SATA driver miatt, nLite akármi valahogy félresikerült, mindegy).
Baromi ritkán használom, van egy banki szoftver, amihez szoktam, meg abev, meg nyenyi, meg office (ritkán), még egy valami, ami most nem jut eszembe...
Mondjuk elindítom két hetente egyszer? Vagy havonta egyszer?

Inkább grsec-et választanék állandóra, legfeljebb ha bevallani akarnék, vagy utalni a bankban, akkor reggel a másik kernelt indítanám (ahogy korábban a külön partícióra tett windows-t indítottam, ritkán).

A szervereimen (most 3 darab van) virtualizációt nem használok, viszont grsec-et igen.

Tudom, ez én vagyok, lehet, hogy másnak tök mások az igényei, de én úgy gondolom, hogy azok a gépek, amik virtualizációt használnak folyamatosan (vagy gyakran), kevesebben lehetnek, mint azok, amik nem.

+1: ha benne lenne a vanilla kernelben, talán a virtualizációs technológiák gyártói is ráállnának, hogy megkeressék az inkompatibilitás okát, és elhárítsák az akadályt a grsec alatt futtatott vmware, vagy akármi más elől.

G

szerk: ja, és azt még kihagytam, hogy egy fejlesztőt is sokkal jobban motiválja, ha látja, hogy volt eredménye a munkájának, bekerült a vanillába a patchset-em (ellenpélda lásd -ck), illetve van rajta egy jó értelemben vett nyomás, hogy jobban figyeljen a munkájára a továbbiakban, mert ha valamit szarul csinál, azt jóval többen fogják megérezni, és az nem jó :)

Akkor lenne nagyobb eselye ha nem riasztana el embereket a VMware/VirtualBox/KVM support letiltasa. Igy nem lehet disztrokernelbe beengedni, hiszen csak kulon forditott modulkent lehet szallitani.

Megertem amit mondasz, de vannak bizonyos feltetelei annak, hogy valami patch bekeruljon egy stabilnak mondott stuffba, peldaul hogy ne rontsa annak a felhasznalhatosagat. Itt nem csak a kernelfejlesztok a ludasak szvsz.

Ezenfelul a grsec-nek nem artananak jo userland cuccok. A RSBAC-nak is az a baja, hogy nagyon nehezkes a kezelese, ACL modul bekapcsolasahoz peldaul hatalmas batorsag kell.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Annyi hülyeséget összehordtok, hogy most már muszáj valahova válaszolnom...

Akkor lenne nagyobb eselye ha nem riasztana el embereket a VMware/VirtualBox/KVM support letiltasa.

Nincs olyan, hogy VMware/VirtualBox/KVM support letiltása.
Olyan van, hogy nem megfelelően implementált kernel modul a VMware/VirtualBox részéről (KVM-ről nem tudom, hogy ne működne), amellyel érthető módon nem kíván a PaX Team foglalkozni, mert rengeteg idejét venné el.

Ezen is pl. segítene a mainline-ba való bekerülés, mert egyből nem neki kellene mindenféle third-party kernel modulokat támogatnia, hanem a többinek lenne érdeke alkalmazkodni egy biztonságosabb és robosztusabb kernel memória kezeléshez, amely nem csak kernel sebezhetőségek kihasználását védi meg, hanem a megbízhatóságot is növeli azzal, hogy nem enged szabálytalanul írni a kernel memória területére.

Igy nem lehet disztrokernelbe beengedni, hiszen csak kulon forditott modulkent lehet szallitani.

Grsecurity/PaX sose működött külön modulként, mert annyira mély dolgokat szabályoz a kernelben, amely lehetetlenné teszi ezt... Ez mondjuk megkérdőjelezi, hogy mennyire ismered, ha nem tudtad.

valami patch bekeruljon egy stabilnak mondott stuffba, peldaul hogy ne rontsa annak a felhasznalhatosagat.

Most ha eltekintünk attól, hogy sokan kacagásban törnek ki, ha a Linux kernel és a stabil szó egy mondatba kerül, vedd észre azt, hogy megannyi funkció van már jelenleg is a kernelben, amely egy másik funkció felhasználhatóságát rontja. Hogy mást ne mondjak, a PAX_UDEREF nagyon gyenge utánzata az mmap_min_addr pont ilyen. Előbbi gond nélkül engedi a 0x0 címre történő mappelést, miközben tökéletesen védi a teljes userland címteret a kernel -> userland hibás derefenciáktól, míg a RedHat-féle egyszerű tákolmány nem engedi az mmap(0)-t és nem is védi a teljes címteret, ellenben jópár program nem működik vele.

És mégis melyik került be a kernelbe? (Költői kérdés volt, nem kell rá válaszolni...)

Ezenfelul a grsec-nek nem artananak jo userland cuccok. A RSBAC-nak is az a baja, hogy nagyon nehezkes a kezelese, ACL modul bekapcsolasahoz peldaul hatalmas batorsag kell.

Grsecurity-nek sose volt része az RSBAC, így ismét megkérdőjelezhető, hogy mennyire ismered. Ha esetleg az RBAC-ra gondolsz, akkor annak beállítása viszont messze könyebb, mint a többinek. Learning-mode-ban gyakorlatilag teljesen jól beállítja a szabályokat, maximum apró finomításokra lehet szükség utána. Az összes többi hozzáférés szabályozó megoldás tanulhatna belőle.

Kéretik akkor írni/ítélkezni a grsec/pax-ról nagy "hanggal", ha egyáltalán ismeri a hozzászóló. Akár magát a security megoldást, akár ha gond van vele, akkor a probléma hátterét.

Azert tudod neked is van par ertelmezesi problemad.

Grsecurity-nek sose volt része az RSBAC"

Ki a fene mondta?! Ez osszehasonlitas volt, tudod, amikor ket kulonbozo dolog kozott elmondjuk, hogy mik a hasonlosagok vagy kulonbsegek.

A PAX_UDEREF eleg hulye pelda, hiszen az userland-en belul fejti ki hatasat, nem pedig a kernelterben, es a modulok kozt, mint azt a grsec teszi.

Valo igaz, felreertheto volt a megfogalmazasom. Arra gondoltam, hogy mivel a grsec jelenleg a kernelen belul is inkompatibilitasokat okoz bizonyos nepszeru 3rdparty modulok hasznalatanak ellehetetlenitese miatt, igy az a disztrokban nem terjesztheto default disztrokernelkent, csak mint kulon csomagolt kernel.

Learning-mode: azt el is hiszem. Csak ha uj szolgaltatas kerul fel, akkor ujra learning mod? Mennyire egyszeru benne olyasmit beallitani amit a learning mod esetlegesen nem megfeleloen ismert fel, vagy picit bonyolultabb a beallitasa?

Mellesleg ugy erzem, jogom van akkor es arrol irni, amikor es amirol szeretnek, es ebbe a forumgazdan kivul masnak beleszolasi joga nincsen. Marpedig amennyire tudom, nem te lennel itt a forumgazda, de fixme.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Ez osszehasonlitas volt, tudod, amikor ket kulonbozo dolog kozott elmondjuk, hogy mik a hasonlosagok vagy kulonbsegek

Ezesetben is él és továbbra is igaz a válaszom, miszerint sokkal könyebb a beállítása a grsec/RBAC-nak, mint az RSBAC-nak, amelyet ezekszerint összehasonlítás céljából hoztál fel.

Az más kérdés, hogy RSBAC nyilván nagyon sok plusz dolgot is támogat, amelyet az RBAC nem. (Ha valakinek sikerült már megvalósítani vele egy 100%-osan megfelelő La Padula modellt, amelyet gyakran emlegetnek érvként, az szóljon...)

A PAX_UDEREF eleg hulye pelda, hiszen az userland-en belul fejti ki hatasat, nem pedig a kernelterben, es a modulok kozt, mint azt a grsec teszi.

Huh. Nem. UDEREF a kernel->userland hivatkozásnál fejti ki hatását. A grsec pedig nem csinál semmit a modulok közt. :) Mind1. Mondandóm lényege az volt, hogy rengeteg olyan funkció került már be a kernelbe, amelyik egy másikat befolyásol.

Arra gondoltam, hogy mivel a grsec jelenleg a kernelen belul is inkompatibilitasokat okoz bizonyos nepszeru 3rdparty modulok hasznalatanak ellehetetlenitese miatt, igy az a disztrokban nem terjesztheto default disztrokernelkent, csak mint kulon csomagolt kernel.

Mmm. Megint csak azt tudom mondani, hogy rengeteg olyan dolog van a mainline kernelben, amelyet a disztrokernelek nem használnak, be sem fordítanak a saját kerneleikbe. Ezt sem lenne kötelező bekapcsolni/használni alapból, így továbbra sem érv ez a bekerülése ellen.

Csak ha uj szolgaltatas kerul fel, akkor ujra learning mod?

Nyilván úgy érdemes csinálni, hogy egy teszt rendszeren a bevezetésre kerülő szolgáltatásról csinálsz learning-mode segítségével egy hozzá tartozó policy filet és azt átemeled az éles rendszerbe a bevezetés során.

Mennyire egyszeru benne olyasmit beallitani amit a learning mod esetlegesen nem megfeleloen ismert fel, vagy picit bonyolultabb a beallitasa?

A grsec audit funkcióival elég gyorsan kideríthetők az esetleges problémák, amelyeket egy túl szigorú policy idéz elő. Ez learning-mode esetén ritkábban fordul elő, akkor valószínűbb, ha valaki kézzel módosítja utólag a policy filet vagy valamit változtat a szolgáltatáson.

Mellesleg ugy erzem, jogom van akkor es arrol irni, amikor es amirol szeretnek

Ez így van, csak egyrészről magadat járatod le vele, ha olyan témában nyilatkozol komolyan, amelyhez nem értesz, másrészről hiteltelenné válhatsz és utána más témák esetén sem vesz majd senki komolyan.

Mondandóm lényege az volt, hogy rengeteg olyan funkció került már be a kernelbe, amelyik egy másikat befolyásol.

Nem kell körülírni, mondd ki nyíltan. A kernel egymással inkompatibilis beállítási lehetőségeket is tartalmaz.

Pl. IDE-n belül generic_IDE vs IDE_chipset driver (pl. ide-generic - atiixp)

IDE-chipset driver vs hozzávaló libata PATA driver. És a configban ha jól tudom (hacsak 2.6.28ban nem változott) nem vették a fáradtságot hogy a KConfigot úgy írják meg, hogy a "két dudás egy csárdában" esete ne lépjen fel.

Ha grsec bekerül, egyes 3rd cucc készítőknek lenne extra munkájuk az biztos, különösen at ATI nak, de középtávon is mindannyian jobban járnánk vele szvsz.

----------

r=1 vagyok, de ugatok...

Elnézést. Kérdezni szabad? Vagy akkora sztár ez a biztonsági megoldás, hogy be kell jelentkezni audienciára.

Ne ferdíts, nem kérdések hangzottak el, nem azokkal voltak problémák.

Az a kicsit sem lekezelő, kicsit sem flegma, kicsit sem arrogáns stílus, amely körülveszi ezt az egészet teszi olyan kedvessé számomra ezt a projektet.

2 napja van kinn a cikk és eddig nem szóltam hozzá, de ennyi összehordott badarságra úgy éreztem valakinek reagálni kell, függetlenül attól, hogy nekem nem tisztem a projekt megvédése.

(Persze nyilván tudom, hogy neked csak azért szálka a szemedben ez a biztonsági megoldás, mert az egyik fejlesztőjével való szakmai vitádban súlyos módon besültél... Mások azért ezt képesek ám intelligensebben is lekezelni. ;)

"Ne ferdíts, nem kérdések hangzottak el, nem azokkal voltak problémák."

Hanem mik?

"függetlenül attól, hogy nekem nem tisztem a projekt megvédése."

Mégis neked van a legnagyobb hangod ezeknél a cikkeknél.

"(Persze nyilván tudom, hogy neked csak azért szálka a szemedben ez a biztonsági megoldás, mert az egyik fejlesztőjével való szakmai vitádban súlyos módon besültél... Mások azért ezt képesek ám intelligensebben is lekezelni. ;)"

Hát hogyne. Ezért van az, hogy a HUP-on személyesen __én__ többet számoltam be erről a projektről, mint az összes írt és nyomtatott média világszerte. Már akkor - sok évvel ezelőtt - amikor a legtöbb ember azt sem tudta hogy létezik. Továbbá ezért ajánlottam most is segítséget oly formában, hogy megjelenítek egy hirdetést a HUP főoldalán a projekt megsegítésére.

Ez a cinizmus az, amire céloztam. Te pedig - ha nincs közöd a projekthez és csak fogadatlan prókátor vag - véleményem szerint ezzel a hozzáállással csak kárt okozol a projektnek. Ha van hozzá közöd, akkor meg pláne. Konkrétan rád gondoltam amikor arroganciáról, flegmaságról és lekezelő hozzáállásról írtam.

Akkor is így gondolom, ha ;) jeleket teszel. Kíváncsi voltam, hogy meddig bírod egyébként. Abban is biztos voltam, hogy ha nem bírod tovább akkor ez a stílus fog kiütközni a hozzászólásodon. Nem csalódtam.

--
trey @ gépház

Hanem mik?

Mik is, mik is... Áh, megvan. Valótlan kijelentések? :D

Persze nem a te általad feltett ál-kérdésekre gondolok, hanem a többiek kijelentésére. ;)

Mégis neked van a legnagyobb hangod ezeknél a cikkeknél.

Bár nem tudom mi a definíciója _ezeknek_ a cikkeknek, de ilyesmivel foglalkozom és ezért _ezeknél_ a cikkeknél bátrabban nyilatkozom. :)

Hát hogyne. Ezért van az, hogy a HUP-on személyesen __én__ többet számoltam be erről a projektről, mint az összes írt és nyomtatott média világszerte.

Már csak az összefüggést kell megtalálni a hozzászólásommal. ;P

Persze nyilván kemény ez az újságíró szakma... Sokszor kell olyanról írni, amelyhez nem fűlik az ember foga. ;D

Továbbá ezért ajánlottam most is segítséget oly formában, hogy megjelenítek egy hirdetést a HUP főoldalán a projekt megsegítésére.

Szerintem ezt a lehetőséget megköszöni majd a PaX Team vagy Spender, ha élni kívánnak vele és személyes véleményem valóban az, hogy nemes felajánlás ez, csak a pártatlan állásfoglalás hiányzik mellette.

Ez a cinizmus az, amire céloztam.

Valakinek cinizmus, valakinek évek hosszú tapasztalata. ;)
Sajnos nem mindenki média szakember, hogy megfelelően tudja lekezelni ezeket a támadásokat... :P

Te pedig - ha nincs közöd a projekthez és csak fogadatlan prókátor vag - véleményem szerint ezzel a hozzáállással csak kárt okozol a projektnek. Ha van hozzá közöd, akkor meg pláne. Konkrétan rád gondoltam amikor arroganciáról, flegmaságról és lekezelő hozzáállásról írtam.

Majd rám szólnak, ha ők is így gondolják. Én viszont nem fogok rajta megsértődni... ;)

Akkor is így gondolom, ha ;) jeleket teszel.

Pedig szeretek ilyen ;) jeleket tenni. ;)

Kíváncsi voltam, hogy meddig bírod egyébként. Abban is biztos voltam, hogy ha nem bírod tovább akkor ez a stílus fog kiütközni a hozzászólásodon. Nem csalódtam.

Ez már csak egy nem túl elegáns befejezés a részedről, de azért elhisszük, hogy te _tudtad_, te _vártad_, te _nem_csalódtál_. ;DD

Hát hogyne. Ezért van az, hogy a HUP-on személyesen __én__ többet számoltam be erről a projektről, mint az összes írt és nyomtatott média világszerte.

Már csak az összefüggést kell megtalálni a hozzászólásommal. ;P

Ize...

Persze nyilván tudom, hogy neked csak azért szálka a szemedben ez a biztonsági megoldás, mert az egyik fejlesztőjével való szakmai vitádban súlyos módon besültél...

Ez ugye csak nekem szurta ki a szememet? Legyszives legalabb a sajat hozzaszolasaidra emlekezni, hamar visszaolvasni lusta vagy.

Es attol mert reszese vagy hasznaloja vagy egy biztonsagi megoldasnak, nem kell, hogy nagy arcod legyen. Lehet intelligensebben is vitazni, csak idot kellene ra aldozni, hogy megtanuld, hogyan kell. Persze kerdes, emlekeznel-e a tanultakra ilyen felfokozott izgalmi allapotokban.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Oke, biztos en nem ertek valamit. Emlexem erre a tortenetre, de ebben a kontextusban Hunger azon ertetlenkedik, hogy hogy jon az az o kommentjehez, hogy trey eleg sokat publikal a HUP hasabjain a GrSec-rol. En roviden megprobaltam ramutatni, hogy trey arra reagalt, hogy H. szerint neki szurja a szemet a PaX projekt lete a fent linkelt cikk alapjan. Erzesem szerint meg raadasul jogosan is haborodott fel, hiszen amiota a HUP-ot olvasom, azon hir kategoriaju cikkek, melyeket o kuldott be mindig is igyekeztek tenyszeruek es objektivek lenni, ha valami bantotta ot a hirrel kapcsolatban, azt kesobb egy kommentben mondta el. Nem gondolnam, hogy helyes H. megalllapitasa.

Raadasul a linkelt cikk alapjan en nem erzem, hogy trey alulmaradt volna barmiben is, tehat meg a referencia is kerdeses. Amennyire szamomra a cikkekbol kiderult, o a projektnek (es a projekt tamogato emberkeinek) a kommunikaciojat kifogasolta, szerintem jogosan, mint az kiderult. Attol mert valaki grsec-et hasznal, sem kisebb sem nagyobb ember nem lesz a masiknal, mert neki is ugyanugy lehet olyan dolgot mondani, amirol halvany lila goze nincsen, mint barki masnak. Nem ertem, hogy miert nem lehet normalisabb hangon kommunikalni, plane egy olyan projekt eseteben, mely nepszerusegi gondokkal kuzd.

Programolok en is, bar hobbiszinten, es ha valaki azt mondja, hogy hat lehet hogy errefele van valami bugszeruseg, akkor inkabb atnezem azt a kodot, ha van idom, mert nem adom meg az eselyt sem, hogy esetleg igaza legyen. Oke, hogy nem az volt a bug, amit bejelentett, hanem egy picit mas, de (csak a mondat kedveert) teszemfel tenyleg az lett volna, jo dolognak tartotta volna a grsec tarsadalom letojni magasrol a dolgot? Azert egy local root exploit olyan dolog, aminek jobb utanaszagolni, mielott barmit is kialtok. Az, hogy UTANA mi tortent, mar egy masik tortenet.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

hat lehet hogy errefele van valami bugszeruseg, akkor inkabb atnezem azt a kodot, ha van idom, mert nem adom meg az eselyt sem, hogy esetleg igaza legyen.

Hát amennyire én emléxem, PaXTeam átnézte a kódját, de az első "bejelentésben megszellőztetésben szereplő információ számára nem volt elegendő a bug felfedezéséhez (amiről később kiderült hogy nem is ott volt a bug ahol megszellőztették, és nem is local root amit megszellőztettek). Hamis, félrevezető információk alapján azért nyomozni...hááát...

A grsec nem tojta le a problémát, azzal hogy kacsának kiáltotta ki, gyakorlatilag provokálta a bejelentőt hogy mutasson fel konkrét adatokat hitelesség megőrzése érdekében (~ 80 K? USD -ért vagy mennyiért kínálta), ekkor derült egy második bejelentésből hogy kvázi szó sincs local root exploit szintű dologról. Lehet hogy ez így nem volt igazán etikus eljárás a grsec részéről, de aki adott helyzetben ennél tudott volna jobb megoldást, az vesse rájuk az első követ.

Én így emléxem.

--------------

En roviden megprobaltam ramutatni, hogy trey arra reagalt, hogy H. szerint neki szurja a szemet a PaX projekt lete a fent linkelt cikk alapjan.

Hunger leírta a véleményét. ennyi, kár ezt túlragozni. Én nem mondanám, hogy trey nek szúrja a szemét a PaX /grsec projekt, pusztán vannak ellenérzései a projekttel szemben. Ő ugyan azt írta, hogy az "arrogáns stílus" miatt.

Amire azért szerintem rá is játszott, Hungernek - mint a trolloknak :D általában - ilyen az alaptermészete, ha provokálják kihozza belőle a "barátságos verziót" :-))...

Szóval én szerintem itt azért többről van szó mint hogy az arrogáns hsz ek miatt ellenérzései vannak, de ez megint csak magánvélemény.

Azért akár itt, akár a régebbi linkelt témában azt látom, hogy trey lehozza a cikket, de a hozzászólásaiban egyértelmű negatív hozzáállást érzek a projekthez. És ezt nem csak e topik alapján mondom.

Ezzel nincs is semmi baj, nem kell mindenkit szeretni, ez nem szeretetotthon, csak az lehet a probléma esetleg, ahogy PaXTeam is mondta anno, trey kommentjei bizonyos tekintben úgymond véleményformálóak.

Itt is jó hosszú szálban taglaltuk desktop használat terén a "teendőket" az esetleges inkompatibilitások terén és egy egy hozzászólásában nekem úgy tűnt turullal karöltve szándékosan értetlenkedik - ez megint magánvélemény, - server használat esetén én nem nagyon emléxem problémára amikor úgymond a "sorompót" egy egy adott alkalmazás érdekében fel kellett engedni, de én már jó pár éve kiszálltam úm. a "bizniszből", még 2.4es "korszakban" foglalkoztam linux serverekkel, így ezt a szálat inkább kihagytam. Linux terén azért a server jellegű használat a gyakoribb. Kár, hogy a többiek ezt a részt nem forszírozták.

Ennél többet nem tudok és nem fogok mondani, kérem kapcsoljanak ki :-)

----------------------

r=1 vagyok, de ugatok...

Az egész kommentedből egy sorra érdemes reagálni:

"Persze nem a te általad feltett ál-kérdésekre gondolok, hanem a többiek kijelentésére. ;)"

Majd alkalomadtán - ha gondolod - válaszold meg őket. Érdekelnek a válaszok. Érdekes módon azokra nagyon - Oscon próbélkozásain kívül - érdemi válasz nem jött.

--
trey @ gépház

Egyet kell ertsek trey-jel. Nem fikaztam a projektet, csak tettem bizonyos kommenteket. Erdekes, maskor sokkal nagyobb okorsegeket szolnak be emberek forumokon, megis vannak olyan emberek, akik sokkal finomabban tudjak a problemat elkezelni. A szabad velemenynyilvanitashoz jogom van, es nem szeretem, ha barki illetektelen ebben korlatozni szandekozik. Foleg nem vastag betuvel.

Valo igazad van, nem ismerem a grsec-et, meg regebben volt egy sikertelen probalkozasom vele, azota nem kovettem rendszeresen a projekt allasat. De ettol eltekintve nem vagyok teljesen inkompetens, RSBAC alapokon nyugvo szervereket uzemeltetek, es ugy gondolom van neminemu ralatasom a dologra. Kulonben az RSBAC is hasznalja a PaX-ot, csak a GrSec-et nem.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

másik, ha bekerülne, akkor gyoesabb ütemben tudna fejlődni, és egy stable->rc->stable ciklus alatt szerintem meg is oldanák ezt a problémát, mint ahogy más problémákat is megoldanak, de a linux-nak n+1 fs kell a biztonsági megoldások helyett, és ha már fs, akkor azok alapból mennek? nem, menet közben fejlesztik azokat is, pl ext4 egy jó példa erre, de a btrfs is az lesz valamilyen szinten
___
info

Az, hogy masok is belenyulhatnanak teljesen intakt attol, hogy bekerul-e a mainline kernelbe avagy sem. Ez egy opensource stuff nem? Ha fejleszto kell, keressenek, van eleg raero ember, csak talalnanak valakit szeles e vilagon aki foglalkozna vele.

Az ismertsegert pedig meg kell dolgozni. Az onpromotalason tul ra kell menni a kezelofeluletre, csillivilli grafikus/ncurses beallitofeluletkeket gyartani hozza, akkor lehet remenykedni valamiben is.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Lehet (tuti), hogy nem jól fogalmaztam, de é a "célközönség"-et azokra értettem itt, akik a grsec-et állítgatni/finomhangolni/hackelni/whatever akarják -- mert itt a(z) (G)UI-ról van szó --, nem pedig a potenciális felhasználói táborról (értve ezalatt azokat is, akiknek ott figyel a kernelben, de nem tudnak róla, vagy egyszerűen nem interferál a mindennapi munkájukkal).
Ez persze csak játék a gondolattal, hogy bekerül a mainline kernelbe.
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

Van egy sanda erzesem, hogy SELinuxek nem veletlen baszakodnak annyit a GUI-ba valo beepulessel, hanem azert, hogy kozelebb hozzak a muszajbol valo beallitasok megtetelere szolgalo modszereket a felhasznalok szamara. Ez tudod prevencio. "Tudjuk, hogy ez a beallitas az emberek 99.9%-anak jo, am ha megiscsak te lennel a 0.1% akkor ezt itt es itt, igy es igy tudod megtenni, a konzol megnyitasa nelkul." Ez peldaul egesz jo strategianak tunik, akar tetszik neked, akar nem.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

a rendszert többnyire inkább használni szeretném, mint tesztelni

Ezzel én is így vagyok az utóbbi időben.

a test patch-et nem véletlenül hívják test patch-nek, a release-t meg release-nek.

2.6.27 úgy néz ki jó lesz, bár igen ronda regresszió van benne még a 10. után is, bár ezzel még együtt tudok élni.

Őszintén szólva most erre lehet azt mondani, hogy ez "release" kiadás, de ez inkább csúfolása a valóságnak. És még ez az, ami számomra úgy néz ki, hogy a leginkább megfelelő.

--------------

r=1 vagyok, de ugatok...

Én nem olvasok lwn et általában. Én most már jópár éve használom a lirc et.

Én csak a tapasztalatokat tudom megosztani:

2.6.23-/2.6.24? (?) óta elő kell patch elni a kernelt az eltávolított bttv_* defek visszahelyezésével.

Meg lirc kódjában külön kcompat is van, ami gyakorlatilag abból áll, hogy tele van kernel verzió vizsgálattal, hogy aszerint mit hogyan csináljon. Az egyik gyöngyszem az eszköz létrehozáshoz a defíníciók.: 


#if LINUX_VERSION_CODE < KERNEL_VERSION(2, 6, 26)

#define lirc_device_create(cs, parent, dev, drvdata, fmt, args...) \
        class_device_create(cs, NULL, dev, parent, fmt, ## args)

#else /* >= 2.6.26 */

#if LINUX_VERSION_CODE < KERNEL_VERSION(2, 6, 27)

#define lirc_device_create(cs, parent, dev, drvdata, fmt, args...) \
        device_create(cs, parent, dev, fmt, ## args)

#else /* >= 2.6.27 */

.... A lirc kódja ilyenekkel van tele...Kész kernel fejlesztési történelem.

Egyszer majd olvasgass bele... Aztán ha erre csodálkoznak, hogy a kódja egy horror, hát vajon miért...

Én nem olvasom az LWN-t, de nekem nagyon az az érzésem használat alapján, hogy egyre messzebb kerül a lirc a kernelbe olvasztástól.

Amúgy te látsz itt lirc támogatást ?

Vagy itt van ez , idevágó rész:

ir-kbd-gpio and ir-kbd-i2c don't support all cards lirc supports
(yet)

Igen, így jártam... Most el lehet mondani minden rosszat a lirc kódjáról is, de ha egyszer ez működik, a csodavanilla kernelben levő szépkódú fromscratch meg megserezdül. Kipróbáltam, felismerte mint input devicet, csak éppen meg se nyikkant.

A legproblémásabb rész a lirc_gpio ami 1/1ben függ a bttv alrendszertől. Van olyan disztribúció ami eljutott oda, hogy olyan lirc_modules_source csomagot használ, amiből egyszerűen kivágták a lirc_gpio t, mert már valszeg unják hogy kernel revízióról revízióra képtelenség gányolás nélkül leforgatnia, normális alternatívája viszont nincs.

Pl. a debian.

-------------

r=1 vagyok, de ugatok...

( Pontscho | 2008. 12. 28., v – 20:55 )

Kar lenne erte.

---
pontscho / fresh!mindworkz

( bra | 2008. 12. 28., v – 21:43 )

Azt lehet tudni (publikus?), hogy miben állt az eddigi szponzoráció?

A logikus lépés az lenne, ha valamelyik Linux vendor beolvasztaná a dolgot, ezzel is piaci előnyre szert téve.

( Dwokfur v | 2008. 12. 28., v – 22:40 )

Szerintem be kéne szállni Spender és PaXTeam havi apanázsába. Hajlandó lennék mondjuk havi ezer forintot arra szánni, hogy továbbra is használhassam ezt a remek patch-et. Ha mindenki így tenne, aki használja - beleértve a cégeket is, akkor szerintem a magyar közösség tagjai figyelemre méltó hozzájárulást tudnának tenni. Nem tudom elképzelni jelenleg nélküle...

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Ezt mondtam én is. A grsec használók nyúljanak szépen zsebbe, aztán támogassák a fejlesztést. Nem sírni-ríni kell. Kell egy PayPal account oszt el lehet kezdeni a gyűjtést. Ha kell, annyival tudok segíteni, hogy kiemelt hírként kiteszem egy ideig, ha van valami elképzelés. Ezzel együtt angolul tudó valaki megfogalmazhatja a szöveget (segítsd te is a grsec fejlesztését) és már mehet is a Slashdot-ra, Digg-re, Reddit-re.

Spender-től meg kell kérdezni, hogy mennyi takarná be az 1 évi fejlesztést, mennyinek kéne összejönnie. Kell egy folyamatjelző, ami mutatja mennyi van meg. Mehet a grsec honlapjára.

De hát én fogjam a kezeteket?

--
trey @ gépház

Én is benne vagyok, csak én neten nem tudok utalni. Bankkártyám sincs, nemhogy netes utalás, különféle okok miatt (nagyrészt bizalmatlanság a bankok, kártyaelfogadó helyek rendszereivel szemben), egyrészt hagyományos és kölcsönös ellenszenv az automatákkal (legyen ital-, bank-, egyéb), mint ellenséges szílícium alapú életformákkal szemben, meg egyéb ok.

Mielött letámadnátok: :) 

csak a legutóbbi 4 autómatás eset: két különböző italautomata elnyelte a pénzemet, egy bécsben, egy meg itthon, egy bécsi jegykiadó gép közölte hogy az általam kiválasztott menüpontot deaktiválták, majd eurót váltottam egy OTP autómatánál, és miután adott ki pénzt, kiírta kapásból hogy "Out of order" és ennyi volt, pánikszerűen számoltam meg a pénzt, szerencsére éppen megvolt, és azonnal pucoltam a környékről, de én tanultam ezekből (4 különböző autómata, mindegyiknél malfunction végülis), úgyhogy maradok a hagyományos és megbízható készpénznél

Itt van 5-10 percre a bank és a posta is. Ha valami átlag 5 perc sorbanállás (vagy annyi sem), és úgyis havonta be kell menni a bankba itthon is meg Ausztriában is, akko' meg olyan mindegy. Bemondok, papíron beadok egy számlaszámot, utalás arra, és már kész is van, vagy postai rózsaszín/sárga csekk.

Anno a Netért nek - ha még emléxik rá valaki - is így utaltam, de. Netes utalás az sajnos nálam kizárva.

1000-2000 forint valóban igazán nemsok, és azért vagyunk egy páran mint Mo-i felhasználói bázis. 1000 forint valamivel több mint 1 pizza :-), 2000 forint meg 3 gyenge tippmix ára :).

-------------

r=1 vagyok, de ugatok...

( kisg v | 2008. 12. 31., sze – 20:21 )

Szerintem nem a mainline-ba kerülés segítené a leginkább a grsec elterjedését, hanem az, hogy valamelyik nagy disztribúció (RedHat, Suse vagy Ubuntu/Debian) az alapértelmezett kerneleiben ezt szállítsa.

Ennek reális esélyét egyelőre kizárólag az Ubuntu / Debian vonalon látom. Suse / RedHat vonalon érzésem szerint magasabb belépési költség van: több pénzes céget kell felmutatni, hogy komolyan vegyenek.
Ubuntu esetén is jelentős költséggel jár a rendes integráció: Legalább a main és restricted repositoryk összes programját támogatni kell, akár csak az exception listek folyamatos töltögetésével. Ez szerintem legalább 2 ember full time munkája folyamatosan, tekintve, hogy mind a programok, mind maga a disztribúció folyamatosan fejlődik. Ezen felül jön még magának a grsecuritynek és a PaXnak a fejlesztése: ez ismét minimum 2 ember.

Az integrátor embereknek jelentős idejét elviszi a kommunikáció: upstream fejlesztőkkel, többi csomagoló emberrel... stb, kizárólag kötélidegekkel rendelkező, jól kommunikáló, "kedves" emberek alkalmasak erre a munkára. Ők azok, akik megvédik a core grsecurity fejlesztőket ezektől az unalmas, repetitív feladatoktól.

Ez ha jól számolom jelenti, hogy hosszú távon 4 embernek kell a munkáját finanszírozni. Ez éves szinten, ha az ohloh alapértelmezett 55.000 USD-s emberköltségével számolok: 220.000 USD

Tehát kb. 1 millió USD kell a következő 5 évben, hogy fizetett fejlesztésként bekerüljön az alapértelmezett Ubuntuba, egy jól karbantartott, jól használható, integrált grsecurity megoldás.

Ezen persze lehet csökkenteni önkéntes / diákmunkával, de a kritikus részt, az integrátorok munkáját mindenképpen meg kell fizetni.

A kérdés, hogy meg lehet-e szerezni ezt a pénzt?

Üdv,
Gergely

( Oscon | 2009. 01. 01., cs – 13:05 )

Összevont hsz:

Előszóban kissé ? még fáj a fejem, lehet hogy néha összefüggéstelen leszek. 

------------------

turul16

No exec bitet mountkor magadom

Ez a téma már volt, PaXTeam anno leírta itt a hupon (is) régebben miképpen lehet megkerülni akár 2.4, akár 2.6 esetén.

van ahol security kvazi nem szempont a teljesitmeny meg nagyon is

Nyílván vannak pl. pince mélyén futtattott buildserverek hálózati kapcsolat nélkül, spéci beágyazott rendszerek, ahol a security nem szempont.

De nagy általánosságban ez a vélemény szembemegy az OS ek terén úm. "uralkodó tendenciával". Más OS ek ( pl. Windows, NetBSD) a PaX különféle részeinek folyamatos implementálásával foglalkoznak - nyílván nem ok nélkül -, csak a pingvinnek nemjó az istenneksem.

Gondolom akkor ahonnan most netezel, ott is netfiltermentes a kerneled, és a rendszeredet is root ként használod, nincs is más felhasználód.

Akkor most mi van ?

Hát én azt javaslom futtass a vanilla x86_64 kerneleden egy paxtest nevű cuccost - történelmi hűség kedvéért nem PaXTeam készítette, hanem Peter Brusser nevű jómunkásember, aki a néhai Adamantix ot vitte. 

-----------------

trey

És mit fogunk látni? Hogy X-szer nagyobb kódbázisban több a hiba? Vagy hogy egy security keretrendszer rendesebben meg van írva? Egyik sem meglepő.

Na látod. Kis kiegészítés: az említett security keretrendszer az Xszer nagyobb kódbázis jónéhány biztonsági hiábájának kihasználását gátolja, gátolhatja meg, ahol a security keretrendszer "rendesebben meg van írva".

Ha nagyon tartasz a biztonsági cuccok , keretrendszerek hibáitól akkor

Gondolom akkor ahonnan most netezel, ott is netfiltermentes a kerneled, és a rendszeredet is root ként használod, nincs is más felhasználód, így mindjárt a privilégiumemeléses bugok sem érdekesek... :-)

-------------

r=1 vagyok, de ugatok...

( turul16 v | 2009. 01. 01., cs – 22:34 )

CONFIG_PAX_ASLR

Normal esetben a vanilla kernel randmozilaja, az nmapokat es igy a dinamikusan linkelt librarykat (igy az mprotect fuggveny cimet is),valamit stack randomizacio is tortenik.
Ha jol latom PAX fele ASLR kepes randomizalni a code segmenst is, szukseg van -e ehez mas CFLAGS,LDFLAGS -re a userspace program forditasakor?, milyen buntetessel jar ez teljesitmeny tekinteteben ?

szerk:
http://www.linuxfromscratch.org/hlfs/view/unstable/uclibc-2.6/chapter02…

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Azt mondjak nepek 64 biten boven nagy.

PAX_MEMORY_SANITIZE:
Vanilla kiosztaskor purglja ki azt ami nem tartozik a userre, Ott ahol ervenyes adattal tolti ki ott purgalas lepes felesleges (Bar gyakron ott is nullaz :( ), PAX_MEMORY_SANITIZE rogton felszabaditaskor teszi ezt, ami igy dragabb (foleg mivel patch a normal zerozasokat is benne hagyja)

Ha mar az emberek mindienkeppen nullazgatni szeretneneke, nem lehetne ezt I/O -ra varakozas kozben intezni, vagy idle alapot helyett ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

"Ha mar az emberek mindienkeppen nullazgatni szeretneneke, nem lehetne ezt I/O -ra varakozas kozben intezni, vagy idle alapot helyett ?"

ezzel szerintem csak az a gond, ha megterheled a rendszert, akkor a nullázás nem mindjárt következik be, ez miatt secuity szermpontból nem jó, de ha felszabadításkor teszed, akkor az végre fog hajtódni, és nem majd "valamikor" lesz kinullázva.

___
info

Azt mondjak nepek 64 biten boven nagy.

Kik azok a népek és mihez képest bőven nagy szerintük? Mellesleg kérdezd meg tőlük akkor már azt is, hogy van-e a vanillában bármiféle védelem az ellen, hogy ne lehessen bruteforceolni a helyes értékeket egy sérülékeny program esetén? Mert önmagában az ASLR kevés, ha észre se veszed, hogy az apache-ra fut egy bruteforce exploit és annak ha nem is sikerül elsőre betalálnia, de úgyis újraforkol a daemon és próbálkozhat tovább, anélkül hogy feltűnne neked.

Ha mar az emberek mindienkeppen nullazgatni szeretneneke, nem lehetne ezt I/O -ra varakozas kozben intezni, vagy idle alapot helyett ?

Szóval a támadónak nem is kellene mást csinálnia, mint egy kis terhelést előidézni, hogy ne legyen idle állapot, amíg leakeli a szenzitív adatokat a memóriából... Jó ötlet! ;)

hup.hu -n mondta valaki.
Valami szamszeru adat errol esetleg?
Mellesleg bruteforcolas ellen nem az entropia ami ved, minel nagyobb tartomanybol kell valasztani mondjuk libc cimet, valamint random algoritmusnak egyenletes szorasunak kell lennie. Linearis szoras eseten mindig ugyan azt a cimet probalhatja az ember, nem egyenletes esetben pedig parszor gyakoribbat. (Vagy tudsz jobb "bruteforce" technikat ?)

Nem, termesztesen blokkol, ha nem tud eleget nullazni idoben (elfogy a free tiszta lap).

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

IA-32 -n nem kerdeses dolog, x86_64-hez esetleg hasonlo iras ?
x86_64 azert nem olyan egyszeru, ra kell venni a rendszert, hogy meg 3 registernek megfelo erteke legyen amikor mondjuk az mprotect -et hivja(returnol oda), ilyen lehetosege meg ritkan adodik az overflow melle.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Egyrészről gondoltam, hogy leszel olyan intelligens, hogy felfogod ez nem csak i386 only, másrészről, hogy egyáltalán elolvasod az egész leírást, ha már linkeltem és nem csak a címét nézed meg... Ha elolvastad volna, akkor láttad volna, hogy x86-64 is ugyanez a helyzet és hivatkozásként is szerepel a doksiban, ahogy Nergal Phrack leírása is.

Arról már nem is beszélve, hogy i386-on is regiszterekben kell syscall paramétereket átadni, úgyhogy eleve hülyeségeket beszélsz.

Kosz.
libc -mben benne vannak a szukseges mintak.

Tehat teteszoleges kodfutatashoz vanilla eseten ismernem kell a hasznalt libc -t (distro fuggo), tudnom kell az aktualis (rnd)stack cimet es libc (rnd)cimet. (Ha code reszben vanak megfelelo mintak es jo helyen egy mprotect/syscall hivas akkor talan nem kell ismernem libc cimet, ilyenkor PaX code segmens randomizacio utan, ujra 2 random erteket kene kitalalnom )

Egyszerre ismernem kell egy info leak hibat (ami segit meghatarozni azt a ket cimet es talan libc valtozatot is), es ismernem kell egy stack/buffer overflow hibat. Milyen gyakran ill. mikor volt, egy idoben ket ilyen folotozatlan hiba ismert egy programnal?

Egyebkent system() hivas az tetszoleges kod futatasnak szamit ?
Az exploit irok nem elegszenek meg a system()-el ? Szokas mprotect-et hasznalni ? (Egy alap Linux distronal boven jo a system is barmire szerintem)

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

A TPE nem a PaX-ban van, hanem grsec-ben. system() meg mehet /bin/sh-ra is, azt egyébként se fogja meg a TPE. Amiért komolyabb arcok mégse használják azt ész nélkül már shellcodeból az az, hogy eléggé "zajos", könnyen nyomot hagyhat, hardened rendszereken pedig egyébként sem futtatható bináris egy szervíz nevében.

Nem sikerult ilyen tavoli info leak hibat talalnom.
Olvastam, hogy "formatstring" hibakra erdemes razizzeni, de azokat manapsag gcc automatice javitja. (pl. printf(var)-bol -> puts(var) -t csinal)
Ezek meg stack overflow hibaknal is ritkabak lenenek ?

Gondolotam keresek valami opensource servert aminek egy adott verziojan kiprobalnam a tanultakat, de nem talalok :(

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Kicsit mozgasd meg a fantáziádat, mert elég mereven gondolkodsz (nem ilyen az igazi hacker mentalítás ;).

Egyébként meg szegény ember vízzel főz, ha nem talál infoleak/formatstring hibát, akkor csinál... akár pont egy overflow segítségével. A már lefordított és éppen futó binárisnál pedig nem jön képbe a gcc optimalizációja, igaz? ;)

De ne akarj 0day tippek-trükkök rovatot csinálni a HUP-ból, nem fogok itt előadást tartani ezekből a technikákból.