Re: a proposito di LKM

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2002 ml@sikurezza.org
Soggetto: Re: a proposito di LKM
Mittente: Angelo Dell'Aera
Data: 27 May 2002 11:16:04 -0000

On Fri, 24 May 2002 16:15:09 +0200
"marco mascherpa (aka mush)" <mush@monrif.net> wrote:

> buongiorno a tutti, avrei intenzione, in ragione di un incremento di
> sicurezza,  di eliminare il  supporto per  i LKM  in linux,  come ho
> letto  consigliare da  qualche  parte.  ora  però  avrei bisogno  di
> utilizzare una periferica che  viene riconosciuta proprio tramite un
> modulo: mi chiedevo  se ci fosse un modo per  inserire il modulo nel
> kernel  monolitico  al  momento  della  compilazione  dello  stesso.
> qualcuno sa se e come si può fare?

Più che una risposta una personale opinione sull'argomento.

A mio modesto parere, rimuovere  il supporto per i moduli (soprattutto
se ne hai necessità) è inutile e adesso cercherò di spiegare il motivo
di  questa  mia affermazione.   Quando  per  la  prima volta  HalfLife
presentò su Phrack50  la possibilità di utilizzare gli  LKM, si limitò
(per modo  di dire)  a presentare la  possibilità di  compromettere un
kernel mediante redirezione delle chiamate di sistema.  Purtroppo (per
gli amministratori di sistema intendo) nel novembre 1998 Silvio Cesare
ha presentato  una tecnica  per patchare a  runtime un  kernel tramite
l'ausilio  di  /dev/kmem  anche  se  questo è  stato  compilato  senza
supporto per  i moduli  e dal 1998  acqua sotto  i ponti ne  è passata
davvero tanta!

Dove voglio arrivare?
Semplicemente  secondo   me  eliminare   il  supporto  dei   moduli  è
attualmente inutile  almeno se si pensa  che questo sia  la panacea di
tutti i mali. Molto più sensato è invece concentrare gli sforzi su una
corretta  amministrazione del  sistema.  A  poco serve  eliminare quel
supporto e  poi lasciare  un demone buggato  che in  dieci nanosecondi
regala accesso  root ad un  attacker. Non credere sia  molto difficile
senza  supporto  per  gli  LKM  occultare un  processo,  un  socket  o
quant'altro e queste tecniche sono ormai arcinote!

Per questo ribadisco meglio cercare di evitare che l'attacker arrivi a
uid  0  con  un'oculata  amministrazione piuttosto  che  vivere  nella
(falsa) illusione di avere un sistema più sicuro.

Tutto questo imho naturalmente.

Alla prossima,

Angelo Dell'Aera 'buffer' 
<buffer@users.sourceforge.net>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: a proposito di LKM - un link, lorenzo

In risposta a:
- a proposito di LKM, marco mascherpa (aka mush)

Data:
- precedente: Re: lettori di impronte digitali, Angelo Dell'Aera
- successivo: Re: a proposito di LKM, Raistlinmage
- indice

Argomento:
- precedente: a proposito di LKM, marco mascherpa (aka mush)
- successivo: Re: a proposito di LKM - un link, lorenzo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005