Ohumudel ja haavatavuste hindamise omadused kernelis Linux

Linus Torvalds kiitis heaks kerneli dokumendi, mis kirjeldab turvalisusega seotud vigade käsitlemise protsessi, määratleb ohumudeli, selgitab, milliseid kerneli vigu käsitletakse haavatavustena, ja arutab, kuidas käsitleda tehisintellekti abil tuvastatud vigu. Dokumendi koostas Willy Tarreau, HAProxy autor ja pikaajaline kerneli arendaja. Linux, mis vastutab mitme stabiilse kerneli haru säilitamise eest. Raamistik põhines kokkulepetel, mis saavutati hiljuti tuvastatud kriitiliste kerneli haavatavuste (1, 2, 3, 4) arutelude käigus, mis avalikustati enne paranduste avaldamist ja millele tänu tehisintellektile loodi kohe toimivad ärakasutamised.

Enamik turvalisusega seotud vigu tuleb avalikult käsitleda, et jõuda võimalikult laia publikuni ja leida optimaalne lahendus. Eraldi privaatset meililisti kasutatakse ainult kiireloomuliste teadete saatmiseks haavatavuste kohta, mida on lihtne ära kasutada, mis kujutavad endast ohtu paljudele kasutajatele ja võimaldavad laiendatud privileegide või võimaluste saamist.

Tehisintellekti abiliste abil avastatud haavatavusi soovitatakse alati avalikult arutada, kuna selliseid probleeme avastavad sageli samaaegselt mitu uurijat. Siiski ei tohiks aruandes avaldada ärakasutamist ennast; piisab lihtsalt selle kättesaadavuse mainimisest ja hooldaja palvel privaatselt jagamisest.

Tehisintellekti assistentide loodud aruannete esitamise reegleid kirjeldatakse eraldi. Selliseid aruandeid esitatakse suurel hulgal ja need aitavad aeg-ajalt tuvastada vigu halvasti läbi vaadatud koodiosades, kuid hooldajad ignoreerivad neid sageli madala kvaliteedi ja ebatäpsuste tõttu. Tehisintellekti loodud aruannete peamised nõuded on järgmised:

• Lühike, ilma liigse jututa ning põhiolemus ja olulised detailid kohe alguses välja öeldud.
• Lihtsalt tekst ilma Markdowni siltide või kaunistusteta.
• Ohumudeli mõistmine ja kontrollitavate faktide esitamine (nt "viga võimaldab igal kasutajal saada CAP_NET_ADMIN"), mitte teoreetiliste spekulatsioonide ja oletuste tegemine haavatavuse tagajärgede kohta.
• Enne aruande esitamist testige kindlasti tehisintellekti loodud ärakasutamise funktsionaalsust ja veenduge, et probleemi on võimalik taasesitada.
• Tehisintellekti kaasamine tuvastatud probleemi lahenduse väljatöötamiseks ja testimiseks.

Hooldajate statistika kohaselt ei ole enamik haavatavuste paranduste varjus esitatud veateateid tegelikult haavatavused ja neid tuleks käsitleda tavaliste vigadena. Haavatavuste ja tavaliste vigade eristamiseks on välja töötatud kerneli ohumudel. LinuxVõimaluste ja garantiide hulgas, mille rikkumist võib pidada haavatavuseks:

• Kasutajatasandi isolatsioon: failidele juurdepääs on piiratud omanikuga, protsessimälule ei pääse teised kasutajad ligi, ptrace on teiste protsesside jaoks keelatud, IPC ja võrgusuhtluse isolatsioon.
• Võimekutel põhinev kaitse: ilma CAP_SYS_ADMIN-ita ei saa muuta kerneli konfiguratsiooni, mälu ega süsteemi olekut; ilma CAP_NET_ADMIN-ita ei saa muuta võrgusätteid ega liiklust pealt kuulata; ilma CAP_SYS_PTRACE-ita ei saa jälgida teiste kasutajate protsesse.
• Kasutaja ID nimeruum (CONFIG_USER_NS) võimaldab privilegeerimata kasutajatel luua oma isoleeritud keskkondi, kust nad ei saa globaalset nimeruumi mõjutada, näiteks aega muuta, mooduleid laadida või plokk-seadmeid ühendada.
• Silumisliidesed (/proc/kmsg, perf, debugfs), mille kaudu pääseb ligi konfidentsiaalsele teabele, on ligipääsetavad alles pärast seda, kui administraator on neile selgesõnalise juurdepääsu andnud.

Funktsioonid, mida ei peeta haavatavusteks:

• Kasutades vananenud kerneli harusid.
• Loo arendaja valikute või turvalisust vähendavate valikutega (nt CONFIG_NOMMU).
• Ebaturvaliste sysctl-sätete, käsurea valikute, failisüsteemi juurdepääsuõiguste või -võimaluste määramine või privilegeerimata kasutajatele privilegeeritud liidestele juurdepääsu lubamine (näiteks kirjutamisõigus procfs- ja debugfs-failidele).
• Probleemid funktsioonides, mis on mõeldud ainult kerneli arendamiseks ja silumiseks, näiteks LOCKDEP, KASAN ja FAULT_INJECTION, mis ei ole mõeldud tootmiskonfiguratsioonides lubamiseks.
• Probleemid draiverites, moodulites ja alamsüsteemides, mis asuvad STAGING jaotises või on märgitud eksperimentaalseks, ohtlikuks või katkiseks.
• Kolmandate osapoolte kerneli moodulite või mitteametlike kerneli kahvlite kasutamine.
• Liigsete õiguste nõudmine, näiteks toimingute sooritamine root'ina või kasutaja poolt, kellel on CAP_SYS_ADMIN, CAP_NET_ADMIN, CAP_SYS_RAWIO ja CAP_SYS_MODULE õigused.
• Teoreetilised rünnakud, mis nõuavad laboritingimusi, miljardeid katseid, riistvara emuleerimist või modifitseerimist, ebaproportsionaalselt suuri kulusid ja ebareaalseid konfiguratsioone (nt süsteemid kümnete tuhandete protsessorituumadega).
• Turvamehhanismide (nt ASLR) möödahiilimine ilma ärakasutamise demonstreerimiseta. Argumentide valideerimise puudumine ja veakoodid, millel pole ilmseid tagajärgi.
• Juhuslikud infolekked, mis on ründaja kontrolli alt väljas, näiteks veateadetes olevad jääkandmed ja kerneli mäluaadressi/-pointeri lekked ilma otsese ärakasutatavuseta.
• Vead kahjustatud kettakujutiste paigaldamisel, kui draiverit ei ole deklareeritud sobilikuks ebausaldusväärsete andmekandjatega kasutamiseks. Kettakujutistega seotud probleeme saab tuvastada ja parandada fsck utiliidi käivitamisega.
• Rünnakud, mis nõuavad füüsilist juurdepääsu riistvarale, riistvara modifitseerimist või riistvaraseadmete, näiteks DMA rünnakuplaatide ja loogikaanalüsaatorite ühendamist, välja arvatud juhul, kui süsteem on spetsiaalselt konfigureeritud selliste rünnakute eest kaitsmiseks (IOMMU).
• Funktsionaalsuse ja jõudluse regressioonid lahendati õiguste ja piirangute kohandamise teel.

Allikas: opennet.ru