Elindult a Kernel Self Protection Project

 ( trey | 2015. november 6., péntek - 10:20 )

Kees Cook - korábban Ubuntu Security Engineer a Canonical alkalmazásában, jelenleg a Google ChromeOS biztonságán dolgozik - nemrég beszédet mondott a Kernel Summit rendezvényen arról, hogy nem elég csak bugokat keresni és javítani, a komolyabb biztonság érdekében önvédelmi (self-protection) és biztonságfokozó (hardening) megoldásokat kellene a mainline Linux kernelbe építeni. Ezek a megoldások évek óta léteznek a PaX-ban, a Grsecurity-ben, illetve egy rakás tudományos dolgozatban, munkában. Ezen megoldások különböző okok miatt nem kerültek be eddig az upstream kernelbe.

Ezen változtatna a most bejelentett Kernel Self Protection Project. A The Linux Foundation Core Infrastructure Initiative kezdeményezése örömmel támogatná a projekt munkáját. Kees közreműködők jelentkezését is várja.

Részletek a projekt weboldalán.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Linus mit szol hozza?

A Linux Foundationtől kapja a fizetését, valahogy majdcsak megbékül a dologgal :).

--

aztán elfelejti...

Nem olvasztja be :)

--
http://pyftpadmin.earthquake.hu

A szokásos faszságait.

Security people are often the black-and-white kind of people that I can’t stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.
(Linus Torvalds)

http://i.imgur.com/A9gvLz6.jpg

koszi! erre gondoltam

megakadalyozza, o az NSA zsebeben van

Na erre kíváncsi leszek. :)

+1

Közreműködők jelentkezését várja?!

Mi lenne, ha Spender és Pipacs (& co.) évtizedes munkáját olvasztanák inkább végre be? Az már bizonyított és hozzáértő emberek rakták össze.

Ez az egész rohadt módon a "Not Invented Here"-szindrómától bűzlik.

--
„Spiró ótvar, Konrád átok, Nádastól meg mindjárt hányok!”

Ilyen szindrómáról még nem hallottam, de találó. Néhány emberre a politikában is illik ez..

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Pedig nagyon gyakori jelenség különösen műszaki területen, beleértve az informatikát is. Ennek egyenes következménye a melegvíz rendszeres újra-feltalálása.

Az oka pedig az, hogy máshol nagyobb az élvezeti faktor. Egyszerű pszichológia. A nagyobb kényelem és élvezet felé mozdul minden. Más bonyolult munkájának beolvasztása nem annyira ilyen. Főleg ha még a dics sincs ott.

Linux kernelt nem hobbi kóderek fejlesztik, akik az élvezeti faktor alapján választanak területet, hanem nagy cégek fizetett programozói, akiknek kiadják a vezetők, hogy mivel kell foglalkozniuk...

Természetesen nem akartam bagatelizálni. Ott hiszem hogy így megy ez, ahol szabad a választás lehetősége.

A kóderek totál nem úgy működnek. Ha valamit nem akarnak úgy megcsinálni, akkor bebizonyítják, hogy az úgy nem fog működni (és tényleg nem fog, hiszen nem akarják :-). A managert meg nem a hogyan érdekli, hanem a végeredmény. A megvalósítás részleteit a programozók maguk döntik el. Én legalábbis ezt látom sok helyen, és nehezen hiszem, hogy a kernelnél másképp lenne.

FYI:

"2. beolvasztas

ez mar nem tudom, kinek az agyabol pattant ki, de ugy hianyzott nekunk most, mint uveges totnak a hanyatteses.

eloszor is, *mi* soha semmilyen formaban nem kuldtunk be semmit se a pax-bol se a grsec-bol (nem szamolva altalanos bugfixeket persze). es most tessek figyelni nagyon: *SZANDEKOSAN*."

A móka itt kezdődik. Előzmények innen.

--
trey @ gépház

" 5. "In particular, the few developers who are working in this area have never made a serious attempt to get that work integrated upstream."

you don't need to be shy about naming us, after all you did so elsewhere already. and we also explained the reasons why we have not pursued upstreaming our code: https://lwn.net/Articles/538600/ . since i don't expect you and your readers to read any of it, here's the tl;dr: if you want us to spend thousands of hours of our time to upstream our code, you will have to pay for it. no ifs no buts, that's how the world works, that's how >90% of linux code gets in too. i personally find it pretty hypocritic that well paid kernel developers are bitching about our unwillingness and inability to serve them our code on a silver platter for free. and before someone brings up the CII, go check their mail archives, after some initial exploratory discussions i explicitly asked them about supporting this long drawn out upstreaming work and got no answers."

https://lwn.net/SubscriberLink/663474/2ca9fd209d143d57/

Szerk: végigolvastam a kommenteket. Szórakoztató volt. Az pedig elgondolkodtató, hogy az elmúlt több mint fél évtizedben a dolgok semmit sem változtak.

--
trey @ gépház

http://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/

Egyebkent en csak azon csodalkozok, hogy miert csak most tettek subscribe-only-va a stable patch-eket grsecurity-nel.
Konkretan egy aranytojast tojo tyuk folott ulnek, es nem tudjak monetizalni.

De befejeztem a partvonalrol dirigalast. Eszt osztani mindig konnyu:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nem biztos, hogy egy dologra gondolunk.

--
trey @ gépház