Vlákno názorů k článku Kernel lockdown: nová vlastnost ochrání jádro i před rootem od kneziX - Moc to nechápu. K čemu je mi integrita...

Moc to nechápu. K čemu je mi integrita jádra, když stejně root (a tedy libovolný rootkit) může všechno (manipulovat s uživatelskými daty, keylogger...)?

22. 10. 2019, 08:49 editováno autorem komentáře

Doma je pouzitelnost narocnejsia. Vo firme v buducnosti dovolite len podpisane binarky. Ale to je nanic, ked v binarke mate buffer overflow, cez ktory moze utocnik ziskat vykonanie lubovolneho kodu. Toto je jedna vrstva ochrany, ktora utocnikovi vyrazne obmedzi manevrovaci priestor.

Ked si mozete dovolit mat zariadenie na audit logy, tak tam moze zapisovat kernel co sa deje bez velkeho rizika prepisu.

Cílem je právě, aby nemohl. Kontrola podpisu jaderných modulů se už běžně používá a představuje obrovský kus cesty za ochranou proti rootkitům. Tohle je další důležitý krok.

Rootkitu staci userspace pristup, dokonca aj iba uzivatelsky ucet.

Ovladanie LD_PRELOAD pre lokalneho uzivatela je dost na eskalaciu na roota pri najblizsom sudo, skrytie rootkitu a komplet monitorovanie stroja.

Ano, tak jsem to myslel. Pokud útočník dokáže z běžného uživatele povýšit na roota (což musí i bez změny jádra, protože tam se dostane jen root), pak už dokážu uživateli ukrást data i bez změny jádra. A nedovedu si představit, co jiného by útočník chtěl, než se dostat k uživatelům.

Třeba si tam nainstalovat vlastní backdoor, aby do něj mohli přistupovat po delší dobu.