Google компаниясынан Андрей Коновалов
Lockdown тамыр колдонуучунун ядрого кирүү мүмкүнчүлүгүн чектейт жана UEFI Secure Boot айланып өтүү жолдорун бөгөттөйт. Мисалы, кулпулоо режиминде, /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), кээ бир интерфейстер чектелген CPU ACPI жана MSR регистрлери, kexec_file жана kexec_load чалуулар бөгөттөлгөн, уйку режимине тыюу салынган, PCI түзмөктөрү үчүн DMA колдонуу чектелген, EFI өзгөрмөлөрүнөн ACPI кодун импорттоого тыюу салынган, I/O порттору менен манипуляцияларга тыюу салынган уруксат, анын ичинде үзгүлтүккө учуроо номерин жана сериялык порт үчүн киргизүү/чыгаруу портун өзгөртүү.
Lockdown механизми жакында негизги Linux ядросуна кошулду
Ubuntu жана Fedoraда, Alt+SysRq+X баскычтар айкалышы Lockdownду өчүрүү үчүн берилген. Alt+SysRq+X айкалышы түзмөккө физикалык жетүү менен гана колдонулушу мүмкүн, ал эми алыстан хакерлик кылуу жана тамыр мүмкүнчүлүгүнө ээ болгон учурда, чабуулчу Lockdown'ду өчүрө албайт жана, мисалы, жүктөй албайт. ядрого санарип кирбеген руткит менен модул.
Андрей Коновалов колдонуучунун физикалык катышуусун тастыктоо үчүн клавиатурага негизделген ыкмалар натыйжасыз экенин көрсөттү. Lockdown өчүрүүнүн эң жөнөкөй жолу программалык түрдө болмок
Биринчи ыкма “sysrq-trigger” интерфейсин колдонууну камтыйт – аны имитациялоо үчүн жөн гана /proc/sys/kernel/sysrq үчүн “1” жазуу менен бул интерфейсти иштетиңиз, андан кийин /proc/sysrq-triggerге “x” деп жазыңыз. Укуктук деди
Экинчи ыкма аркылуу клавиатура эмуляциясы кирет
Source: opennet.ru