TL; DR. Dina tulisan ieu, urang ngajalajah skéma hardening anu jalan kaluar tina kotak dina lima distribusi Linux populér. Pikeun masing-masing, kami nyandak konfigurasi kernel standar, ngamuat sadaya bungkusan, sareng nganalisis skéma kaamanan dina binari anu napel. Distribusi anu dianggap OpenSUSE 12.4, Debian 9, CentOS, RHEL 6.10 sareng 7, ogé Ubuntu 14.04, 12.04 sareng 18.04 LTS.
Hasilna mastikeun yén sanajan skéma dasar sapertos stacking canaries sareng kode posisi-bebas henteu acan diadopsi ku sadayana. Kaayaan éta langkung parah pikeun kompiler nalika ngajagaan tina kerentanan sapertos tumpukan tumpukan, anu janten sorotan dina Januari saatos publikasi. . Tapi teu sagalana jadi asa. Sajumlah signifikan tina binér nerapkeun métode panyalindungan dasar, sarta jumlah maranéhanana tumuwuh ti versi ka versi.
Tinjauan nunjukkeun yén jumlah panggedéna metode panyalindungan dilaksanakeun dina Ubuntu 18.04 dina tingkat OS sareng aplikasi, dituturkeun ku Debian 9. Di sisi anu sanés, OpenSUSE 12.4, CentOS 7 sareng RHEL 7 ogé ngalaksanakeun skéma panyalindungan dasar, sareng panyalindungan tabrakan tumpukan. dianggo langkung lega sareng set pakét standar anu langkung padet.
perkenalan
Hese pikeun mastikeun software kualitas luhur. Sanajan jumlah vast parabot canggih pikeun analisis kode statik jeung analisis runtime dinamis, kitu ogé kamajuan signifikan dina ngembangkeun compiler jeung basa program, software modern masih kakurangan tina kerentanan anu terus dieksploitasi ku panyerang. Kaayaan éta langkung parah dina ékosistem anu kalebet kode warisan. Dina kasus kawas, urang teu ngan Nyanghareupan masalah langgeng manggihan mungkin kasalahan exploitable, tapi urang ogé diwatesan ku kerangka kasaluyuan mundur ketat, nu mindeng merlukeun kami pikeun ngawétkeun kawates, atawa malah parah, kode rentan atawa Buggy.
Ieu dimana métode ngajaga atawa hardening program datang kana antrian. Kami henteu tiasa nyegah sababaraha jinis kasalahan, tapi urang tiasa ngajantenkeun kahirupan panyerang langkung hese sareng sawaréh ngarengsekeun masalah ku cara nyegah atanapi nyegah. garapan kasalahan ieu. Perlindungan sapertos kitu dianggo dina sadaya sistem operasi modéren, tapi metodena bénten pisan dina pajeulitna, efisiensi sareng kinerja: ti tumpukan kanari sareng pikeun panyalindungan pinuh и . Dina tulisan ieu, urang bakal ningali metode panyalindungan naon anu dianggo dina distribusi Linux anu paling populér dina konfigurasi standar, sareng ogé nalungtik sipat binari anu disebarkeun ngaliwatan sistem manajemén pakét unggal distribusi.
CVE sareng kaamanan
Urang sadaya parantos ningali tulisan anu judulna sapertos "Aplikasi Anu Paling Rentan Taun" atanapi "Sistem Operasi anu Paling Rentan." Biasana aranjeunna nyayogikeun statistik ngeunaan jumlah total rékaman ngeunaan kerentanan sapertos , dicandak ti от jeung sumber séjén. Salajengna, aplikasi atanapi OS ieu diurutkeun ku jumlah CVEs. Hanjakal, bari CVEs pohara kapaké pikeun nyukcruk masalah jeung informing ngical paralatan sarta pamaké, aranjeunna nyebutkeun saeutik ngeunaan kaamanan sabenerna software nu.
Salaku conto, anggap jumlah total CVE dina opat taun katukang pikeun kernel Linux sareng lima distribusi server anu paling populér, nyaéta Ubuntu, Debian, Red Hat Enterprise Linux sareng OpenSUSE.
Gbr. Xnumx
Naon grafik ieu ngabejaan urang? Naha jumlah CVE anu langkung ageung hartosna yén hiji distribusi langkung rentan tibatan anu sanés? Taya jawaban. Salaku conto, dina tulisan ieu anjeun bakal ningali yén Debian gaduh mékanisme kaamanan anu langkung kuat dibandingkeun, sebutkeun, OpenSUSE atanapi RedHat Linux, sareng Debian gaduh langkung seueur CVE. Nanging, aranjeunna henteu hartosna kaamanan anu lemah: bahkan ayana CVE henteu nunjukkeun naha kerentanan a. dieksploitasi. Skor severity nyadiakeun indikasi kumaha sigana mah eksploitasi kerentanan, tapi pamustunganana exploitability gumantung pisan kana panyalindungan anu aya dina sistem anu kapangaruhan sareng sumber daya sareng kamampuan panyerang. Sumawona, henteuna laporan CVE nyarios nanaon ngeunaan batur teu kadaptar atanapi teu dikenal vulnerabilities. Beda dina CVE bisa jadi alatan faktor lian ti kualitas software, kaasup sumberdaya disadiakeun pikeun nguji atawa ukuran basa pamaké. Dina conto urang, jumlah CVEs Debian anu langkung ageung tiasa nunjukkeun yén Debian ngirimkeun langkung seueur bungkusan parangkat lunak.
Tangtosna, sistem CVE nyayogikeun inpormasi anu mangpaat anu ngamungkinkeun anjeun nyiptakeun panyalindungan anu pas. Langkung saé urang ngartos alesan gagalna program, langkung gampang pikeun ngaidentipikasi metode eksploitasi anu mungkin sareng ngembangkeun mékanisme anu pas. deteksi jeung respon. Dina Gbr. 2 nunjukkeun kategori kerentanan pikeun sadaya distribusi salami opat taun ka pengker (). Ieu langsung jelas yén paling CVEs digolongkeun kana kategori di handap ieu: panolakan tina jasa (DoS), palaksanaan kode, ngabahekeun, korupsi memori, leakage informasi (exfiltration) jeung escalation hak husus. Sanaos seueur CVE diitung sababaraha kali dina kategori anu béda, sacara umum masalah anu sami tetep aya unggal taun. Dina bagian saterusna artikel, urang bakal evaluate pamakéan rupa schemes panyalindungan pikeun nyegah eksploitasi kerentanan ieu.
Gbr. Xnumx
pancén
Dina tulisan ieu kami badé ngajawab patarosan ieu:
- Naon kaamanan distribusi Linux anu béda? Mékanisme panyalindungan naon anu aya dina aplikasi kernel sareng rohangan pangguna?
- Kumaha panerapan mékanisme kaamanan parantos robih kana waktosna dina distribusi?
- Naon rata-rata kagumantungan bungkusan sareng perpustakaan pikeun tiap distribusi?
- Protéksi naon anu dilaksanakeun pikeun unggal binér?
Pamilihan distribusi
Tétéla éta hésé manggihan statistik akurat ngeunaan instalasi distribusi, sabab di hal nu ilahar, jumlah undeuran teu nunjukkeun jumlah instalasi sabenerna. Sanajan kitu, varian Unix nyieun mayoritas sistem server (dina server web 69,2%, ku W3techs sareng sumber sanésna), sareng pangsa na terus ningkat. Ku kituna, pikeun panalungtikan urang fokus kana sebaran sadia out of the box dina platform nu . Khususna, kami milih OS ieu:
Distribusi / Vérsi
Inti
Ngawangun
OpenSUSE 12.4
4.12.14-95.3-standar
#1 SMP Rebo 5 Des 06:00:48 UTC 2018 (63a8d29)
Debian 9 (stretch)
4.9.0-8-amd64
#1 SMP Debian 4.9.130-2 (2018-10-27)
CentOS 6.10
2.6.32-754.10.1.el6.x86_64
#1 SMP Salasa 15 Jan 17:07:28 UTC 2019
CentOS 7
3.10.0-957.5.1.el7.x86_64
#1 SMP Jum Feb 1 14:54:57 UTC 2019
Red Hat Enterprise Linux Server 6.10 (Santiago)
2.6.32-754.9.1.el6.x86_64
# 1 SMP Rebo 21 Nov 15:08:21 EST 2018
Red Hat Enterprise Linux Server 7.6 (Maipo)
3.10.0-957.1.3.el7.x86_64
#1 SMP Kam 15 Nov 17:36:42 UTC 2018
Ubuntu 14.04 (Trusty Tahr)
4.4.0–140-generik
#166~14.04.1-Ubuntu SMP Sab Nov 17 01:52:43 UTC 20…
Ubuntu 16.04 (Xenial Xerus)
4.15.0–1026-gcp
#27~16.04.1-Ubuntu SMP Jum 7 Des 09:59:47 UTC 2018
Ubuntu 18.04 (Bionic Beaver)
4.15.0–1026-gcp
#27-Ubuntu SMP Kam 6 Des 18:27:01 UTC 2018
méja 1
analisis
Hayu urang diajar konfigurasi kernel standar, kitu ogé sipat bungkusan sadia ngaliwatan manajer pakét unggal distribusi out of the box. Janten, urang ngan ukur nganggap bungkusan tina kaca spion standar masing-masing, teu malire bungkusan tina gudang anu teu stabil (sapertos kaca spion Debian 'nguji') sareng bungkusan pihak katilu (sapertos bungkusan Nvidia tina kaca spion standar). Salaku tambahan, kami henteu nganggap kompilasi kernel khusus atanapi konfigurasi anu dikeraskeun kaamanan.
Analisis Konfigurasi kernel
Urang nerapkeun naskah analisis dumasar kana . Hayu urang nempo parameter panyalindungan out-of-the-box tina distribusi ngaranna tur dibandingkeun jeung daptar ti (KSPP). Pikeun unggal pilihan konfigurasi, Tabel 2 ngajelaskeun setelan anu dipikahoyong: kotak centang kanggo distribusi anu saluyu sareng saran KSSP (tingali di handap pikeun panjelasan istilah). ; Dina tulisan anu bakal datang kami bakal ngajelaskeun sabaraha metode kaamanan ieu muncul sareng kumaha cara hack sistem dina henteuna).
Sacara umum, kernel anyar gaduh setélan anu langkung ketat tina kotak. Salaku conto, CentOS 6.10 sareng RHEL 6.10 dina kernel 2.6.32 kakurangan seueur fitur kritis anu dilaksanakeun dina kernel anu langkung énggal sapertos , idin RWX ketat, alamat randomization atawa panyalindungan copy2usr. Ieu kudu dicatet yén loba pilihan konfigurasi dina tabél teu sadia dina versi heubeul tina kernel na teu lumaku dina kanyataanana - ieu masih dituduhkeun dina tabél salaku kurangna panyalindungan ditangtoskeun. Kitu ogé, lamun pilihan konfigurasi teu hadir dina versi dibikeun, sarta kaamanan merlukeun pilihan nu ditumpurkeun, ieu dianggap konfigurasi lumrah.
Titik anu sanés anu kedah dipertimbangkeun nalika napsirkeun hasil: sababaraha konfigurasi kernel anu ningkatkeun permukaan serangan ogé tiasa dianggo pikeun kaamanan. Conto sapertos kalebet uprobes sareng kprobes, modul kernel, sareng BPF / eBPF. Rekomendasi kami nyaéta ngagunakeun mékanisme di luhur pikeun nyayogikeun panyalindungan anu nyata, sabab henteu sepele pikeun dianggo sareng eksploitasina nganggap yén aktor jahat parantos ngadegkeun tapak dina sistem. Tapi upami pilihan ieu diaktipkeun, administrator sistem kedah aktip ngawas nyiksa.
Ningali langkung jauh dina éntri dina Tabél 2, urang ningali yén kernel modern nyayogikeun sababaraha pilihan pikeun ngajagaan tina eksploitasi kerentanan sapertos bocor inpormasi sareng tumpukan / tumpukan overflows. Najan kitu, urang perhatikeun yén sanajan sebaran populér panganyarna teu acan ngalaksanakeun panyalindungan leuwih kompleks (contona, kalawan patch ) atawa panyalindungan modern ngalawan serangan kode ulang (misalna. ). Anu langkung parah, bahkan pertahanan anu langkung maju ieu henteu ngajagi tina sajumlah serangan. Ku sabab éta, penting pikeun pangurus sistem ngalengkepan konfigurasi pinter sareng solusi anu nawiskeun deteksi sareng pencegahan eksploitasi runtime.
Analisis Aplikasi
Henteu anéh, distribusi anu béda gaduh ciri pakét anu béda, pilihan kompilasi, kagumantungan perpustakaan, jsb. distribusi sareng pakét sareng sajumlah leutik kagumantungan (contona, coreutils dina Ubuntu atanapi Debian). Pikeun ngévaluasi bédana, urang unduh sadaya bungkusan anu sayogi, nimba eusina, sareng nganalisa binér sareng katergantungan. Pikeun unggal pakét, kami ngalacak bungkusan anu sanés gumantungna, sareng pikeun unggal binér, kami ngalacak dependensi na. Dina bagian ieu urang sakeudeung nyimpulkeun conclusions.
distribusi
Dina total, urang diundeur 361 bungkusan pikeun sakabéh sebaran, extracting ngan bungkusan tina kaca spion standar. Urang dipaliré bungkusan tanpa executable ELF, kayaning sumber, fon, jsb Saatos nyaring, 556 bungkusan tetep, ngandung jumlahna aya 129 binér. Distribusi bungkusan sareng file dina distribusi dipidangkeun dina Gbr. 569.
Gbr. Xnumx
Anjeun tiasa perhatikeun yén distribusi anu langkung modern, langkung seueur bungkusan sareng binari anu dikandungna, anu logis. Nanging, bungkusan Ubuntu sareng Debian kalebet langkung seueur binér (duanana executable sareng modul dinamis sareng perpustakaan) tibatan CentOS, SUSE sareng RHEL, anu berpotensi mangaruhan permukaan serangan Ubuntu sareng Debian (peryogi dicatet yén angka-angka ngagambarkeun sadaya binér sadaya vérsi. pakét, nyaéta, sababaraha file dianalisis sababaraha kali). Ieu hususna penting nalika anjeun nganggap katergantungan antara bungkusan. Ku kituna, kerentanan dina binér pakét tunggal tiasa mangaruhan seueur bagian ékosistem, sapertos perpustakaan anu rentan tiasa mangaruhan sadaya binér anu ngimpor éta. Salaku titik awal, hayu urang tingali sebaran jumlah kagumantungan diantara bungkusan dina sistem operasi anu béda:
Gbr. Xnumx
Dina ampir sadaya distribusi, 60% bungkusan ngagaduhan sahenteuna 10 katergantungan. Salaku tambahan, sababaraha pakét gaduh jumlah katergantungan anu langkung ageung (leuwih ti 100). Sami lumaku pikeun ngabalikeun dependensi pakét: saperti nu diharapkeun, sababaraha pakét dipaké ku loba pakét séjén dina distribusi, jadi kerentanan dina sababaraha pilih anu resiko tinggi. Salaku conto, tabél di handap ieu daptar 20 bungkusan kalayan jumlah maksimum gumantungna sabalikna dina SLES, Centos 7, Debian 9 sareng Ubuntu 18.04 (unggal sél nunjukkeun bungkusan sareng jumlah kagumantungan sabalikna).
méja 3
fakta metot. Sanaos sadaya OS anu dianalisis diwangun pikeun arsitektur x86_64, sareng kalolobaan bungkusan gaduh arsitéktur anu didefinisikeun salaku x86_64 sareng x86, bungkusan sering ngandung binér pikeun arsitéktur anu sanés, sapertos anu dipidangkeun dina Gambar 5. XNUMX.
Gbr. Xnumx
Dina bagian salajengna, urang bakal delve kana ciri tina binér dianalisis.
Statistik panyalindungan file binér
Dina minimum mutlak, anjeun kedah ngajalajah sakumpulan dasar pilihan kaamanan pikeun binari anjeun anu tos aya. Sababaraha distribusi Linux nganggo skrip anu ngalaksanakeun pamariksaan sapertos kitu. Salaku conto, Debian/Ubuntu gaduh skrip sapertos kitu. Ieu conto karyana:
$ hardening-check $(which docker)
/usr/bin/docker:
Position Independent Executable: yes
Stack protected: yes
Fortify Source functions: no, only unprotected functions found!
Read-only relocations: yes
Immediate binding: yesNaskah cék lima :
- Position Independent Executable (PIE): Nunjukkeun naha bagian téks program bisa dipindahkeun dina mémori pikeun ngahontal randomization lamun ASLR diaktipkeun dina kernel.
- Stack Protected: Naha canaries tumpukan diaktipkeun pikeun ngajagaan tina serangan tabrakan tumpukan.
- Fortify Sumber: naha fungsi unsafe (contona, strcpy) diganti ku counterparts maranéhanana leuwih aman, sarta panggero dipariksa di runtime diganti ku counterparts unchecked maranéhna (Contona, memcpy tinimbang __memcpy_chk).
- Relokasi wungkul baca (RELRO): Naha éntri tabel relokasi ditandaan ngan ukur dibaca upami dipicu sateuacan palaksanaan dimimitian.
- Beungkeutan langsung: Naha linker runtime ngamungkinkeun sadaya gerakan sateuacan palaksanaan program dimimitian (ieu sami sareng RELRO pinuh).
Naha mékanisme di luhur cekap? Hanjakal henteu. Aya cara anu dipikanyaho pikeun ngaliwat sadaya pertahanan di luhur, tapi anu langkung kuat pertahananna, bar anu langkung luhur pikeun panyerang. Salaku conto, langkung hese diterapkeun upami PIE sareng beungkeutan langsung aya dina pangaruh. Kitu ogé, ASLR pinuh merlukeun gawé tambahan pikeun nyieun mangpaat gawé. Tapi, panyerang canggih parantos siap pikeun nyumponan panyalindungan sapertos kitu: henteuna aranjeunna dasarna bakal nyepetkeun hack. Ku kituna penting pisan yén ukuran ieu dianggap perlu minimum.
Kami hoyong diajar sabaraha file binér dina distribusi anu ditaroskeun anu ditangtayungan ku ieu sareng tilu metode anu sanés:
- Bit teu tiasa dieksekusi () nyegah palaksanaan di daérah mana waé anu henteu kedah dieksekusi, sapertos tumpukan tumpukan, jsb.
- ngalambangkeun jalur palaksanaan dipaké ku loader dinamis pikeun manggihan perpustakaan cocog. Anu kahiji nyaéta wajib pikeun sistem modéren naon waé: henteuna éta ngamungkinkeun para panyerang sawenang-wenang nyerat muatan kana mémori sareng ngaéksekusi sakumaha anu aya. Pikeun anu kadua, konfigurasi jalur palaksanaan anu salah ngabantosan ngenalkeun kode anu teu dipercaya anu tiasa nyababkeun sababaraha masalah (contona. jeung ).
- Protéksi tabrakan tumpukan nyadiakeun panyalindungan ngalawan serangan nu ngabalukarkeun tumpukan tumpang tindih wewengkon séjén memori (saperti numpuk). Dibikeun exploits panganyarna abusing , urang ngarasa éta luyu pikeun ngawengku mékanisme ieu dina dataset urang.
Ku kituna, tanpa ado salajengna, hayu urang turun ka angka. Tabél 4 sareng 5 ngandung kasimpulan analisa file anu tiasa dieksekusi sareng perpustakaan tina rupa-rupa distribusi, masing-masing.
- Sakumaha anjeun tiasa tingali, panyalindungan NX dilaksanakeun di mana waé, kalayan pengecualian anu jarang. Khususna, urang tiasa nyatet pamakeanna anu rada handap dina distribusi Ubuntu sareng Debian dibandingkeun CentOS, RHEL sareng OpenSUSE.
- Canaries tumpukan leungit di loba tempat, utamana dina distribusi kalawan kernels heubeul. Sababaraha kamajuan katingal dina distribusi panganyarna tina Centos, RHEL, Debian sareng Ubuntu.
- Iwal Debian sareng Ubuntu 18.04, kalolobaan distribusi ngagaduhan dukungan PIE anu goréng.
- Perlindungan tabrakan tumpukan lemah dina OpenSUSE, Centos 7 sareng RHEL 7, sareng ampir teu aya di batur.
- Sadaya distribusi anu nganggo kernel modern ngagaduhan sababaraha dukungan pikeun RELRO, kalayan Ubuntu 18.04 nuju jalan sareng Debian anu kadua.
Sakumaha anu parantos disebatkeun, métrik dina tabel ieu mangrupikeun rata-rata pikeun sadaya vérsi file binér. Upami anjeun ngan ukur ningali versi file panganyarna, jumlahna bakal béda (contona, tingali ). Leuwih ti éta, lolobana sebaran ilaharna ukur nguji kaamanan sababaraha fungsi dina binér nalika ngitung statistik, tapi analisis kami nembongkeun persentase sabenerna fungsi nu hardened. Ku alatan éta, lamun 5 ti 50 fungsi ditangtayungan dina binér a, urang bakal masihan eta skor 0,1, nu pakait jeung 10% tina fungsi keur strengthened.
meja 4. Ciri kaamanan pikeun file laksana ditémbongkeun dina Gbr. 3 (palaksanaan fungsi relevan salaku persentase tina jumlah total file laksana)
meja 5. Ciri kaamanan pikeun perpustakaan ditémbongkeun dina Gbr. 3 (palaksanaan fungsi relevan salaku persentase tina total jumlah perpustakaan)
Janten aya kamajuan? Pasti aya: ieu tiasa ditingali tina statistik pikeun distribusi individu (contona, ), kitu ogé tina tabél di luhur. Salaku conto dina Gbr. Gambar 6 nunjukkeun palaksanaan mékanisme panyalindungan dina tilu distribusi berturut-turut Ubuntu LTS 5 (kami parantos ngaleungitkeun statistik panyalindungan tabrakan tumpukan). Urang perhatikeun yén ti versi ka versi beuki loba file ngarojong canaries tumpukan, sarta ogé beuki loba binaries shipped kalawan panyalindungan RELRO pinuh.
Gbr. Xnumx
Hanjakalna, sajumlah file anu tiasa dieksekusi dina distribusi anu béda-béda masih teu ngagaduhan panyalindungan di luhur. Salaku conto, ningali Ubuntu 18.04, anjeun bakal perhatikeun binér ngetty (panggantian getty), ogé cangkang mksh sareng lksh, juru picolisp, pakét nvidia-cuda-toolkit (pakét populér pikeun aplikasi gancangan GPU. sapertos kerangka pembelajaran mesin), sareng klibc -utils. Kitu ogé, binér mandos-klien (alat administratif anu ngamungkinkeun anjeun otomatis reboot mesin sareng sistem file énkripsi) ogé rsh-redone-klien (reimplementasi rsh sareng rlogin) dikirimkeun tanpa panyalindungan NX, sanaos aranjeunna gaduh hak SUID: (. Oge, Sababaraha binaries suid kakurangan panyalindungan dasar kayaning canaries tumpukan (Contona, binér Xorg.wrap tina pakét Xorg).
Ringkesan jeung Kacindekan
Dina tulisan ieu, kami parantos nyorot sababaraha fitur kaamanan distribusi Linux modern. Analisis némbongkeun yén sebaran Ubuntu LTS panganyarna (18.04) implements, rata-rata, pangkuatna OS na panyalindungan tingkat aplikasi diantara sebaran kalawan kernels kawilang anyar, kayaning Ubuntu 14.04, 12.04 jeung Debian 9. Tapi, sebaran nalungtik CentOS, RHEL jeung OpenSUSE dina set kami sacara standar aranjeunna ngahasilkeun sakumpulan pakét anu langkung padet, sareng dina vérsi pangénggalna (CentOS sareng RHEL) aranjeunna gaduh persentase panyalindungan tabrakan tumpukan anu langkung luhur dibandingkeun pesaing basis Debian (Debian sareng Ubuntu). Ngabandingkeun versi CentOS na RedHat, urang perhatikeun perbaikan badag dina palaksanaan stack canaries na RELRO ti versi 6 ka 7, tapi rata-rata CentOS boga leuwih fitur dilaksanakeun ti RHEL. Sacara umum, sadaya distribusi kedah nengetan khusus pikeun panyalindungan PIE, anu, iwal ti Debian 9 sareng Ubuntu 18.04, dilaksanakeun kirang ti 10% tina binari dina set data urang.
Tungtungna, éta kudu dicatet yén sanajan urang ngalakukeun panalungtikan sacara manual, aya loba parabot kaamanan sadia (misalna. , , ), anu ngalakukeun analisa sareng ngabantosan ngahindarkeun konfigurasi anu teu aman. Hanjakal, malah panyalindungan kuat dina konfigurasi lumrah teu ngajamin henteuna exploits. Éta sababna kami yakin yén éta penting pikeun mastikeun , fokus kana pola eksploitasi jeung nyegah eta.
sumber: www.habr.com