Выпуск модуля LKRG 0.8 для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ эксплуатации уязвимостСй Π² ядрС Linux

ΠŸΡ€ΠΎΠ΅ΠΊΡ‚ Openwall ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π» выпуск модуля ядра LKRG 0.8 (Linux Kernel Runtime Guard), ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΠΎΠ³ΠΎ для выявлСния ΠΈ блокирования Π°Ρ‚Π°ΠΊ ΠΈ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠΉ цСлостности структур ядра. НапримСр, ΠΌΠΎΠ΄ΡƒΠ»ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ ΠΎΡ‚ нСсанкционированного внСсСния ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰Π΅Π΅ ядро ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΎΠΊ измСнСния ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… процСссов (ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ примСнСния эксплоитов). ΠœΠΎΠ΄ΡƒΠ»ΡŒ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΈΡ‚ ΠΊΠ°ΠΊ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ ΡƒΠΆΠ΅ извСстных эксплоитов для ядра Linux (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² ситуациях ΠΊΠΎΠ³Π΄Π° Π² систСмС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°Ρ‚ΠΈΡ‡Π½ΠΎ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ ядро), Ρ‚Π°ΠΊ ΠΈ для противостояния эксплоитам для Π΅Ρ‰Ρ‘ нСизвСстных уязвимостСй. Код ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° распространяСтся ΠΏΠΎΠ΄ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠ΅ΠΉ GPLv2.

Π‘Ρ€Π΅Π΄ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Π½ΠΎΠ²ΠΎΠΉ вСрсии:

  • ИзмСнСно ΠΏΠΎΠ·ΠΈΡ†ΠΈΠΎΠ½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° LKRG, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Π½Π΅ раздСляСтся Π½Π° ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ подсистСмы для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ цСлостности ΠΈ опрСдСлСния примСнСния эксплоитов, Π° прСподносится ΠΊΠ°ΠΊ Ρ†Π΅Π»ΡŒΠ½Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ для выявлСния Π°Ρ‚Π°ΠΊ ΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠΉ цСлостности;
  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½Π° ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒ с ядрами Linux с 5.3 ΠΏΠΎ 5.7, Π° Ρ‚Π°ΠΊΠΆΠ΅ с ядрами, собранными с агрСссивными оптимизациями GCC, Π±Π΅Π· ΠΎΠΏΡ†ΠΈΠΉ CONFIG_USB ΠΈ CONFIG_STACKTRACE ΠΈΠ»ΠΈ с ΠΎΠΏΡ†ΠΈΠ΅ΠΉ CONFIG_UNWINDER_ORC, Π° Ρ‚Π°ΠΊΠΆΠ΅ с ядрами, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΡ‚ΡΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‚ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°Π΅ΠΌΡ‹Π΅ LKRG Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, Ссли Π±Π΅Π· Π½ΠΈΡ… ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠ±ΠΎΠΉΡ‚ΠΈΡΡŒ;
  • ΠŸΡ€ΠΈ сборкС обСспСчСна ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… настроСк ядра CONFIG_* для формирования осмыслСнных сообщСний ΠΎΠ± ΠΎΡˆΠΈΠ±ΠΊΠ°Ρ… вмСсто нСясных сбоСв;
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΆΠ΄ΡƒΡ‰Π΅Π³ΠΎ (ACPI S3, suspend to RAM) ΠΈ спящСго (S4, suspend to disk) Ρ€Π΅ΠΆΠΈΠΌΠΎΠ²;
  • Π’ Makefile Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° DKMS;
  • Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° 32-разрядных ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌ ARM (протСстировано Π½Π° Raspberry Pi 3 Model B). Π Π°Π½Π΅Π΅ доступная ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° AArch64 (ARM64) Π΄ΠΎΠΏΠΎΠ»Π½Π΅Π½Π° обСспСчСниСм совмСстимости с ΠΏΠ»Π°Ρ‚ΠΎΠΉ Raspberry Pi 4;
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ Π½ΠΎΠ²Ρ‹Π΅ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ (hook), Π² Ρ‚ΠΎΠΌ числС ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ Π²Ρ‹Π·ΠΎΠ²Π° capable() для Π»ΡƒΡ‡ΡˆΠ΅Π³ΠΎ опрСдСлСния эксплоитов, ΠΌΠ°Π½ΠΈΠΏΡƒΠ»ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… «capabilities«, Π° Π½Π΅ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€Π°ΠΌΠΈ процСссов (credentials);
  • ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π° новая Π»ΠΎΠ³ΠΈΠΊΠ° опрСдСлСния ΠΏΠΎΠΏΡ‹Ρ‚ΠΎΠΊ Π²Ρ‹Ρ…ΠΎΠ΄Π° ΠΈΠ· ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠΉ пространств ΠΈΠΌΡ‘Π½ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΈΠ· ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ² Docker);
  • На систСмах x86-64 обСспСчСна ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΈ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π±ΠΈΡ‚Π° SMAP (Supervisor Mode Access Prevention), ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΠΎΠ³ΠΎ для блокирования доступа ΠΊ Π΄Π°Π½Π½Ρ‹ΠΌ Π² пространствС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈΠ· ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π°, выполняСмого Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра. Π—Π°Ρ‰ΠΈΡ‚Π° SMEP (Supervisor Mode Execution Prevention) Π±Ρ‹Π»Π° Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Ρ€Π°Π½Π΅Π΅;
  • Π’ процСссС Ρ€Π°Π±ΠΎΡ‚Ρ‹ обСспСчСно Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ настроСк LKRG Π² страницС памяти, ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ доступной Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для чтСния;
  • Π’Ρ‹Π²ΠΎΠ΄ Π² Π»ΠΎΠ³ΠΈ свСдСний, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ»Π΅Π·Π½Ρ‹ для Π°Ρ‚Π°ΠΊ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, информация ΠΎΠ± адрСсах Π² ядрС), ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ ΠΎΡ‚Π»Π°Π΄ΠΎΡ‡Π½Ρ‹ΠΌ Ρ€Π΅ΠΆΠΈΠΌΠΎΠΌ (log_level=4 ΠΈ Π²Ρ‹ΡˆΠ΅), ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½Π½Ρ‹ΠΌ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ.
  • ΠŸΠΎΠ²Ρ‹ΡˆΠ΅Π½Π° ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒ Π‘Π” отслСТивания процСссов — вмСсто ΠΎΠ΄Π½ΠΎΠ³ΠΎ Π΄Π΅Ρ€Π΅Π²Π° RB, Π·Π°Ρ‰ΠΈΡ‰Π°Π΅ΠΌΠΎΠ³ΠΎ ΠΎΠ΄Π½ΠΈΠΌ spinlock, задСйствована Ρ…ΡΡˆ Ρ‚Π°Π±Π»ΠΈΡ†Π° ΠΈΠ· 512 Π΄Π΅Ρ€Π΅Π²ΡŒΠ΅Π² RB, Π·Π°Ρ‰ΠΈΡ‰Ρ‘Π½Π½Ρ‹Ρ… соотвСтствСнно 512 Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ°ΠΌΠΈ чтСния-записи;
  • Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ ΠΈ Π²ΠΊΠ»ΡŽΡ‡Ρ‘Π½ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Ρ€Π΅ΠΆΠΈΠΌ, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° цСлостности ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² процСсса часто выполняСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΉ Π·Π°Π΄Π°Ρ‡ΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΠΏΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎ для Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Ρ… (ΠΏΡ€ΠΎΡΡ‹ΠΏΠ°ΡŽΡ‰ΠΈΡ…ΡΡ) Π·Π°Π΄Π°Ρ‡. Для ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Ρ… Π·Π°Π΄Π°Ρ‡, находящихся Π² состоянии сна ΠΈΠ»ΠΈ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… Π±Π΅Π· обращСния ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΠΎΠΌΡƒ Π² LKRG API ядра, ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° выполняСтся Ρ€Π΅ΠΆΠ΅.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ Π½ΠΎΠ²Ρ‹Π΅ sysctl ΠΈ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ модуля для Ρ‚ΠΎΠ½ΠΊΠΎΠΉ настройки LKRG, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΄Π²Π° sysctl для ΡƒΠΏΡ€ΠΎΡ‰Π΅Π½Π½ΠΎΠΉ настройки ΠΏΡƒΡ‚Π΅ΠΌ Π²Ρ‹Π±ΠΎΡ€Π° ΠΈΠ· ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²Π»Π΅Π½Π½Ρ‹Ρ… Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌΠΈ Π½Π°Π±ΠΎΡ€ΠΎΠ² Ρ‚ΠΎΠ½ΠΊΠΈΡ… настроСк (profiles);
  • Настройки ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½Ρ‹ для достиТСния Π±ΠΎΠ»Π΅Π΅ взвСшСнного баланса ΠΌΠ΅ΠΆΠ΄Ρƒ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒΡŽ выявлСния Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΠΉ ΠΈ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒΡŽ Ρ€Π΅Π°ΠΊΡ†ΠΈΠΈ с ΠΎΠ΄Π½ΠΎΠΉ стороны, ΠΈ влияниСм Π½Π° ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ риском Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний с Π΄Ρ€ΡƒΠ³ΠΎΠΉ;
  • Unit-Ρ„Π°ΠΉΠ» systemd ΠΏΠ΅Ρ€Π΅Ρ€Π°Π±ΠΎΡ‚Π°Π½ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ модуля LKRG Π½Π° Ρ€Π°Π½Π½Π΅ΠΌ этапС Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ (для ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ модуля ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки ядра);

Π‘ ΡƒΡ‡Ρ‘Ρ‚ΠΎΠΌ ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Ρ… Π² Π½ΠΎΠ²ΠΎΠΌ выпускС ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΉ сниТСниС ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΏΡ€ΠΈ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠΈ LKRG 0.8 оцСниваСтся Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ 2.5% Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ («heavy») ΠΈ 2% Π² ΠΎΠ±Π»Π΅Π³Ρ‡Π΅Π½Π½ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅ («light»).

Π’ Π½Π΅Π΄Π°Π²Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½Π½ΠΎΠΌ исслСдовании эффСктивности ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² для выявлСния Ρ€ΡƒΡ‚ΠΊΠΈΡ‚ΠΎΠ² LKRG ΠΏΠΎΠΊΠ°Π·Π°Π» Π»ΡƒΡ‡ΡˆΠΈΠ΅ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹, Π±Π΅Π· Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΠ² 8 ΠΈΠ· 9 протСстированных Ρ€ΡƒΡ‚ΠΊΠΈΠΊΠΎΠ², Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра (Π±Ρ‹Π»ΠΈ выявлСны Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Ρ‹ Diamorphine, Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit ΠΈ Sutekh, Π½ΠΎ ΠΏΡ€ΠΎΠΏΡƒΡ‰Π΅Π½ Keysniffer, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ являСтся ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΌ ядра с ΠΊΠ΅ΠΉΠ»ΠΎΠ³Π³Π΅Ρ€ΠΎΠΌ, Π° Π½Π΅ Ρ€ΡƒΡ‚ΠΊΠΈΡ‚ΠΎΠΌ Π² прямом смыслС). Для сравнСния, ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ AIDE, OSSEC ΠΈ Rootkit Hunter выявили 2 Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Π° ΠΈΠ· 9, Π° Chkrootkit Π½Π΅ выявил Π½ΠΈ ΠΎΠ΄Π½ΠΎΠ³ΠΎ. ΠŸΡ€ΠΈ этом LKRG Π½Π΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ Ρ€ΡƒΡ‚ΠΊΠΈΡ‚ΠΎΠ², Ρ€Π°Π·ΠΌΠ΅Ρ‰Π°Π΅ΠΌΡ‹Ρ… Π² пространствС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, поэтому наибольшая ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ достигаСтся ΠΏΡ€ΠΈ использовании связки AIDE ΠΈ LKRG, позволившСй Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ 14 ΠΈΠ· 15 Ρ€ΡƒΡ‚ΠΊΠΈΡ‚ΠΎΠ² всСх Ρ‚ΠΈΠΏΠΎΠ².

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ Ρ‡Ρ‚ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ дистрибутива Whonix Π½Π°Ρ‡Π°Π» Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π³ΠΎΡ‚ΠΎΠ²Ρ‹Ρ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² с DKMS для Debian, Whonix, Qubes ΠΈ Kicksecure, Π° ΠΏΠ°ΠΊΠ΅Ρ‚ для Arch Linux ΡƒΠΆΠ΅ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ Π΄ΠΎ вСрсии 0.8. ΠŸΠ°ΠΊΠ΅Ρ‚Ρ‹ с LKRG Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΈΡΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‚ Π² российских ALT Linux ΠΈ Astra Linux.

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° цСлостности Π² LKRG выполняСтся Π½Π° основС сравнСния Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π° ΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ядра ΠΈ ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π²Π°ΠΆΠ½Ρ‹Ρ… структур Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ настроСк CPU с сохранСнными Ρ…ΡΡˆΠ°ΠΌΠΈ ΠΈΠ»ΠΈ копиями ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… областСй памяти, структур Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ»ΠΈ рСгистров. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΊΠ°ΠΊ пСриодичСски ΠΏΠΎ Ρ‚Π°ΠΉΠΌΠ΅Ρ€Ρƒ, Ρ‚Π°ΠΊ ΠΈ ΠΏΡ€ΠΈ наступлСнии Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… событий.

ΠžΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠ³ΠΎ примСнСния эксплоитов ΠΈ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π°Ρ‚Π°ΠΊ производится Π½Π° стадии Π΄ΠΎ прСдоставлСния ядром доступа ΠΊ рСсурсам (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π΄ΠΎ открытия Ρ„Π°ΠΉΠ»Π°), Π½ΠΎ послС получСния процСссом нСсанкционированных ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, смСна UID). ΠŸΡ€ΠΈ выявлСнии нСсанкционированного повСдСния процСссов ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ выполняСтся ΠΈΡ… ΠΏΡ€ΠΈΠ½ΡƒΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΠ΅, Ρ‡Π΅Π³ΠΎ достаточно для блокирования ΠΌΠ½ΠΎΠ³ΠΈΡ… эксплоитов.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru