[openbsd] Re: fwd: [nick@holland-consulting.net: Supporting OpenBSD]

[Sergey Prysiazhnyi <apelsin@atmnis.com>]

On Thu, Sep 10, 2009 at 09:29:08AM +0800, Pavel Labushev wrote:
> > 0. Данная "уязвимость" архитектуро-зависима.
> > 1. Вы вероятно об этом: http://www.openbsd.org/papers/auug04/mgp00014.html
> >    Здесь хотелось бы напомнить о том, что для подобного рода атаки на retf Вам
> >    необходим _правильно_ подготовленный стек! + не забываем об SSP, как минимум,
> >    + random как на стеке, так и о 'библиотечном' random-ме.
> 
> Вы сейчас начали объяснять, почему проблема с retf якобы не так страшна.
> Но суть-то не в том, что не так страшна, а в том, что _замалчивается_ и
> не решается уже чёрте с какого года.
> 
> Вы увлеклись рандомом, но забыли (?), что он выеденного яйца не стоит в
> случае с атаками на prefork-приложения, а также в случае уязвимостей к
> раскрытию данных на стеке. И SSP здесь не всегда помощник. Вот вам и
> уязвимые серверы.

А к чему слова: я Вам даю входы на наши production сервера и Вы пробуете провести
подобного рода аттаки, затем результаты мы публично опубликуем? Идёт?
А то мы так долго будем говорить...

> Далее. SSP бывает не включён при сборке некоторых приложений. Как
> правило это особенно сложные и глючные (читай: более уязвимые) поделия,
> вроде OpenOffice. Вот вам и уязвимые десктопы (менее, но всё-таки).

Могу Вам, также, без проблем, для проведения подобных аттак предоставить свой
десктоп.

> > 2. Отсюда выводы:
> > 	а. Если уж очень страшно, всегда есть выбор != i386.
> 
> Пусть эту проблему и её решение где-нибудь документируют - вопросов не
> будет. А пока есть только пафосная презентация от 2004-го года, в
> которой эти аспекты замалчиваются.

В спеках Intel Вы её точно найдёте, при чём здесь
"пафосная презентация от 2004-го года" или представители OpenBSD пректа, которые
пытаются в этом разобраться и устранить?

> > 	б. Максимальный системный урон, при выполнении всех пунктов выше
> > 	   == userspace атака _локального_ характера (не уровня ядра).
> > 	   Смысл? Для меня является мало понятным...
> 
> Ну, во-первых, не всех пунктов, а лишь некоторых, а иногда и того не
> надо - _гарантированно_ сработает простой брутфорс.
> 
> Во-вторых, если атака локального характера, это как минимум значит:
> 1. Компрометация/потеря/повреждение данных, доступных
> скомпрометированному процессу. А это может быть почта, базы данных,
> ключи, сертификаты. Особенно сертификаты! Стоит один раз прошляпить
> компрометацию - в большинстве случаев можете забыть о защите от MitM
> даже после отзыва, т.к. с CRL клиенты чаще всего не работают или
> работают "чисто символически" (не обновляют).
> 2. Присутствие атакующего на системе с потенциальной реализацией
> незакрытых (в т.ч. неопубликованных) уязвимостей в других компонентах.
> 3. Опасность эксплуатации неопубликованных или незакрытых уязвимостей в
> ядре,  которое не защищено по аналогии с линукс-ядром в PaX/x86,
> незвирая на ваши надежды.
> 4. Проведение атаки на другие узлы, недоступные напрямую из внешних
> сегментов сети. Со всеми вытекающими.

Предложение по данному поводу поступило Вам выше: давайте пробовать/сравнивать/
и смотреть. Пока всё, что Вы сказали - теория, местами неверная.
 
> А знаете, почему нет буфера? Потому что systrace давно лёг в систему и
> лежит там мёртвым грузом. Допиливать его никто не хочет, потому что
> никто им не пользуется, а выкинуть, видимо, религия не позволяет.

True here.

> > включены в основную поставку ядра Linux. OpenBSD use its W^X daily from 3.3..
> 
> Во-первых, какая разница, включены или нет? Есть реализация защит
> рантайма от PaX, а есть от OpenBSD. Причём качество последней не зависит
> от "качества" прочего говнокода в ядре линукса. Я сравниваю реализации,
> чтобы на реальном примере показать: в опене может быть лучше, чем сейчас.

Может, нет предела...

> Grsecurity и PaX я, кстати, использую, и мне всё равно, что и у кого не
> включено по умолчанию. Торвальдс вообще дятел дубовый в вопросах
> безопасности, и если говорить о холиварах, то от линукса в целом я
> далеко не в восторге.

Есть ли какие-либо программные продукты от которых Вы в восторге?

> А Gentoo здесь при том, что там PIE появились года 3 назад, если не
> больше. И это всего лишь доработка защиты рантайма, которой опенщики, с
> их претензиями на великое качество всего и вся, должны (should) были
> озаботиться, как минимум, не сильно позже той же генты.

Степень новизны технологии совсем не означает стабильность и защищённость
достаточного уровня, для мгновенного включения последней в основное дерево.

[ skipped ]
 
> > Здесь без комментариев. 
> > http://www.openbsd.org/images/hackathons/c2k9.gif
> 
> Да ладно вам... "Без комментариев"... Ваш "shut up and code" был бы
> уместен в случае, когда юзер чем-то не доволен и жалуется сугубо по
> этому поводу. Но в данном-то случае имеет место введение пользователя в
> заблуждение - совсем другой разговор! Опенщики делают акцент на
> проактивные подходы в безопасности, на аудит кода, а на деле... Я уже
> сказал.

Вы писали "Не троллинга ради", а складывается такое впечатление, что для...

-- 
To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
For retrieval in messages archive http://www.uaoug.org.ua/archive