Re: [openbsd] Re: fwd: [nick@holland-consulting.net: Supporting OpenBSD]

[Pavel Labushev <p.labushev@gmail.com>]

Sergey Prysiazhnyi пишет:

> А к чему слова: я Вам даю входы на наши production сервера и Вы пробуете провести
> подобного рода аттаки, затем результаты мы публично опубликуем? Идёт?
> А то мы так долго будем говорить...

> Могу Вам, также, без проблем, для проведения подобных аттак предоставить свой
> десктоп.

Вы предлагаете мне провести бесплатный пентест машины, на которой нет
никакой действительно ценной информации. Предложите либо ценную
информацию, либо деньги, которые окупят работы по проникновению и
раскрытие уязвимостей нулевого дня.

Или давайте поступим иначе: вы на свою машину вешаете prefork-демон
уязвимой версии, в которой обнаружена публичная уязвимость и для
которой, в свою очередь, опубликован рабочий PoC-эксплойт, и надеетесь
на защиты рантайма, а я пытаюсь провести взлом.

Теперь представим, что это мне удалось. Сколько и с какими оговорками вы
готовы заплатить за успешное проведение такого, более простого пентеста?

>>> 2. Отсюда выводы:
>>> 	а. Если уж очень страшно, всегда есть выбор != i386.
>> Пусть эту проблему и её решение где-нибудь документируют - вопросов не
>> будет. А пока есть только пафосная презентация от 2004-го года, в
>> которой эти аспекты замалчиваются.
> 
> В спеках Intel Вы её точно найдёте, при чём здесь
> "пафосная презентация от 2004-го года" или представители OpenBSD пректа, которые
> пытаются в этом разобраться и устранить?

Механизмы защиты, подобные W^X, создаются для того, чтобы предотвращать
выполнение внедрённого кода. С момента создания W^X на x86 она со своей
задачей не справлялась в течение нескольких лет, даже в сочетании с ASLR
(т.к. не было PIE, чтобы рандомизировать адрес .text с retf внутри): в
области памяти, защищённые W^X от выполнения кода, можно было практично
внедрять код и передавать ему управление. Причём, без снятия защиты со
страниц с помощью mprotect(2).

Вы где-нибудь читали или слышали официальное мнение разработчиков
OpenBSD по поводу недостатков W^X? А как на счёт официальных сообщений
об устранении этих недостатков? Их как не было, так и нет.

Получается, что разработчики OpenBSD не поленились подготовить
презентацию на тему защиты рантайма, а когда в защитах обнаружились
уязвимости (retf, ret2libc-подобные атаки на .text по статическому
адресу, ret2libc-подобные атаки с возвратом на mprotect(2), уязвимость к
брутфорс-атакам на prefork-приложения), никакой документации и вообще
информации об этом сообщество пользователей OpenBSD не увидело.
Non-Disclosure, фактически. И это меня как пользователя OpenBSD огорчает
больше всего.

Во-вторых, интел здесь ни при чём. Разработчики OpenBSD заявляли о
реализации защит - им и ответ держать за состоятельность этих заявлений.

> Предложение по данному поводу поступило Вам выше: давайте пробовать/сравнивать/
> и смотреть. 

То есть, пока вам было, что сказать, вы говорили, а когда вскрылась
несостоятельность аргументов, вам сразу практику подавай. Причём, бесплатно.

> Пока всё, что Вы сказали - теория, местами неверная.

Кроме теории я привёл факты, мою оценку которых вы до сих пор в
частности не прокомментировали и уж точно не опровергли. И потрудитесь
обосновать утверждение в части "местами неверная": где неверная и почему.

>>> включены в основную поставку ядра Linux. OpenBSD use its W^X daily from 3.3..
>> Во-первых, какая разница, включены или нет? Есть реализация защит
>> рантайма от PaX, а есть от OpenBSD. Причём качество последней не зависит
>> от "качества" прочего говнокода в ядре линукса. Я сравниваю реализации,
>> чтобы на реальном примере показать: в опене может быть лучше, чем сейчас.
> 
> Может, нет предела...

Правильно ли я понимаю, что вас устроил ответ на вопрос, причём здесь
PaX, и корректность сравнения вы не оспариваете?

> Есть ли какие-либо программные продукты от которых Вы в восторге?

Есть. Например: Dovecot, nginx, Django, Scala для JVM.

> Степень новизны технологии совсем не означает стабильность и защищённость
> достаточного уровня, для мгновенного включения последней в основное дерево.

Коли так, уместно задать вопросы:

1. Какие недостатки разработчики OpenBSD видели в реализации PIE в
Hardened Gentoo?
2. Что мешало разработчикам OpenBSD реализовать PIE самостоятельно, в
рамках сложившегося подхода - OpenBSD-специфичных патчей на GCC?
3. Чем реализация PIE в OpenBSD сейчас отличается от реализации PIE в
Hardened Gentoo?
4. Что мешало и до сих пор мешает разработчикам OpenBSD документировать
или обозреть (в формате презентации, хотя бы) недостатки защит рантайма
в OpenBSD и возможные пути к их устранению в будущем?

Если сравнивать с PaX - там (почти) всё давно и реализовано, и
документировано. Занимается этим всего один человек. В связи с чем слабо
верится в причину в отсутствии человекоресурсов у проекта OpenBSD.

> Вы писали "Не троллинга ради", а складывается такое впечатление, что для...

Как человеку и как пользователю OpenBSD мне не нравится, когда
разработчики OpenBSD меня обманывают или недоговаривают что-то важное
(на гране обмана), и что эта ситуация в корне не меняется годами. В
частности:

1. В презентациях нахваливают достоинства защит рантайма в OpenBSD, а
недостатки замалчивают и не устраняют годами.
2. Говорят о качестве и полноте документации в OpenBSD, а на деле
отсутствует и годами не пишется документация по защитам рантайма.
3. Проект заявляет проактивный подход к обеспечению безопасности,
включая аудит кода, а фактический пример (с уязвимостью IPv6) говорит об
обратном.
4. Явно переоценивается роль аудита в обеспечении ИБ, но не говорится,
что он негоден в качестве системного решения для защиты от эксплуатации
целых классов уязвимостей. При этом защиты ядра от эксплуатации классов
уязвимостей не реализованы до сих пор и в планах не заявляются.

Было время, когда я доверял мнению команды OpenBSD, и только потом, с
огорчением для себя выяснил, что это мнение доверия не заслуживает. К
сожалению, с тех пор там практически ничего не изменилось в подходах.

А не хотите троллинга - не провоцируйте. Вы же взрослый человек и должны
понимать, чем чреваты голословные заявления о неправоте собеседника.

-- 
To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
For retrieval in messages archive http://www.uaoug.org.ua/archive