Projekt PaX. Łata na jądro systemu operacyjnego Linux Strona projektu: pax.grsecurity.net

Podobne dokumenty
BEZPIECZEŃSTWO SYSTEMU Z PAX

Autor: Tomasz Kurpios, nr indeksu

Technologia Automatyczne zapobieganie exploitom

Metody ataków sieciowych

Spis treści. Wskazówki prawne Art Art Art. 268a Art Art. 269a Art. 269b... 23

1 Moduł Konfigurowanie Modułu

Agenda. Quo vadis, security? Artur Maj, Prevenity

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Architektura komputerów

Najbardziej popularne metody włamań

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

Podstawy bezpieczeństwa

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

BEZPIECZEŃSTWO W SIECIACH

Najczęściej występujące problemy z instalacją i konfiguracją i ich rozwiązania.

Wykład 5. Cel wykładu. Korespondencja seryjna. WyŜsza Szkoła MenedŜerska w Legnicy. Informatyka w zarządzaniu Zarządzanie, zaoczne, sem.

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

UWAGA!!! Przed przystąpieniem do zamknięcia roku proszę zrobić kopie bezpieczeństwa

-Próba otworzenia pliku bezpośrednio z płyty CD także kończy się niepowodzeniem, pojawia się komunikat System Windows nie może otworzyć tego pliku.

Polityka prywatności serwisów internetowych Narodowego Instytutu Architektury i Urbanistyki (NIAiU) i plików cookies

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Produkty. ESET Produkty

Jadro monolityczne vs. mikrojadro. Mikrojadro. Olga Kowalczuk. 9 grudnia 2008

NARZĘDZIE KONFIGURACYJNE VNX SETUP TOOL MODUŁÓW RODZINY VNX ADVANCED

Steganografia w HTML. Łukasz Polak

Program RMUA. Instrukcja konfiguracji i pracy w programie. (Wersja 2)

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Dodanie strony aplikacji SAC do strefy intranetowej

Program szkolenia: Bezpieczny kod - podstawy

Hacking na żywo. Tomasz Węgrzanowski CoolKon III

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Podstawy Rejestru systemu. Poddrzewa

Oprogramowanie OpenVPN jest oprogramowaniem darmowym, które można pobrać ze strony:

Bezpieczny Linux przegląd projektów

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

WYPOŻYCZALNIA BY CTI INSTRUKCJA

Systemy Operacyjne Wirtualizacja

Instrukcja importu przesyłek. z Menedżera Sprzedaży do aplikacji Webklient

Kontakt z administratorem możliwy pod adresem 1 Definicje

S Z K O Ł A H A K E R Ó W

Data modyfikacji:

Procedura wygenerowania paczki instalacyjnej oprogramowania F-Secure

Warszawa, 22 marca Wstęp

ASQ: ZALETY SYSTEMU IPS W NETASQ

1.Komputer na co dzień jest wykorzystywany w księgowości małej firmy. 2.W chwili naprawy komputer jest odłączony od Internetu i od sieci lokalnej.

1. Aplikacja LOGO! App do LOGO! 8 i LOGO! 7

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Podręcznik administratora Systemu SWD ST Instrukcja instalacji systemu

System Comarch OPT!MA v. 17.8

Misja. O firmie. NOD32 Antivirus

POLITYKA PLIKÓW COOKIES

HELIOS pomoc społeczna

Systemy operacyjne i sieci komputerowe. 1 SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Etapy uruchamiania systemu

Robaki sieciowe. + systemy IDS/IPS

Mikroekonometria 5. Mikołaj Czajkowski Wiktor Budziński

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Instrukcja konfiguracji Comarch ERP Altum z komponentem Crystal Reports w wersji

Ochrona przed najnowszymi zagrożeniami dzięki funkcji Kontrola systemu firmy Kaspersky Lab

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Archiwum DG 2016 PL-SOFT

Dokumentacja programu. Zoz. Uzupełnianie kodów terytorialnych w danych osobowych związanych z deklaracjami POZ. Wersja

MODUŁ INTEGRUJĄCY ELEKTRONICZNEGO NADAWCĘ Z WF-MAG SPIS TREŚCI

Tworzenie bezpiecznego środowiska kont shellowych

UNIZETO TECHNOLOGIES SA. Instrukcja realizacji odnowienia przy wykorzystaniu ważnego certyfikatu kwalifikowanego. wersja dokumentacji 1.

Płace VULCAN. 2. W polu nad drzewem danych ustaw rok, za który chcesz utworzyć deklaracje.

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Systemy ochrony komputerów osobistych Opis programu Sygate Personal Firewall v.5.5.

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Niezwykłe tablice Poznane typy danych pozwalają przechowywać pojedyncze liczby. Dzięki tablicom zgromadzimy wiele wartości w jednym miejscu.

F-Secure Anti-Virus for Mac 2015

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Problemy z bezpieczeństwem w sieci lokalnej

Linux: Procesy. Systemy Operacyjne. Mateusz Hołenko. 26 marca 2013

WYKAZ ŚWIADCZEŃ GWARANTOWANYCH

- dyrektor firmy wezwał serwis w celu zdiagnozowania i usunięcia usterek gdyż zauważono nieprawidłowości w działaniu systemu komputerowego,

Nie śpię, bo łatam modemy!

Danych Osobowych oświadcza, że za wyjątkiem sytuacji uregulowanych w prawie polskim dane dotyczące IP oraz cookies nie będą przekazywane osobom

Polityka prywatności

Projektowanie bezpieczeństwa sieci i serwerów

Linux vs rootkits. - Adam 'pi3' Zabrocki

Regulamin usługi moje konto na portalu

Szkoła Hakerów Interaktywny zestaw edukacyjny

Marek Krauze

II. PRZETWARZANIE DANYCH OSOBOWYCH:

Outlook Instrukcja podpisywania i szyfrowania wiadomości certyfikatem niekwalifikowanym.

Data wydania: Projekt współfinansowany przez Unię Europejską ze środków Europejskiego Funduszu Społecznego

Windows Defender Centrum akcji

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Jak korzystać z kalendarza sprawdzianów i kartkówek?

Polityka prywatności

POLITYKA PLIKÓW COOKIE

TRX API opis funkcji interfejsu

Architektura komputerów

INSTRUKCJA INSTALACJI I OBSŁUGI PROGRAMU S-ENERGY REPORT DLA URZĄDZENIA:

Tworzenie pliku źródłowego w aplikacji POLTAX2B.

Transkrypt:

Projekt PaX Łata na jądro systemu operacyjnego Linux Strona projektu: pax.grsecurity.net

Główne rodzaje ataków związane z błędem przepełnienia bufora Niebezpieczeństwa mają źródło w błędach popełnianych przez programistę Główne rodzaje ataków polegają na: (1) wprowadzeniu i wykonaniu dowolnego kodu (2) wykonaniu kodu już istniejącego, ale w nieodpowiedniej kolejności (3) wykonaniu istniejącego kodu w oryginalnej kolejności, ale na podmienionych danych

PaX stara się chronić komputer przed tymi rodzajami ataków Jego działanie opiera się na: Uniemożliwieniu wykonania kodu, który znajduje się w obszarze pamięci przeznaczonym na dane Uniemożliwieniu zapisu do obszarów pamięci, które są przeznaczone na kod wykonywalny Losowym rozmieszczeniu obszarów pamięci w przestrzeni adresowej procesu

Ochrona kodu wykonywalnego (Executable Space Protection) Oznaczenie każdego obszaru pamięci jako obszar wykonywalny albo zapisywalny Wykorzystuje bit NX (Non-eXecutable) lub go emuluje

Linux a bit NX Domyślnie Linux wykorzystuje bit NX do odpowiedniej ochrony pamięci Proces może zmieniać ustawienia dotyczące swojej przestrzeni adresowej Zadanie PaX: uniemożliwienie takich zmian

Przestrzeń adresowa procesu bez ESP Każdy obszar pamięci w przestrzeni adresowej procesu jest sklasyfikowany jednocześnie jako Zapisywalny Wykonywalny

Przestrzeń adresowa procesu bez ESP Każdy obszar pamięci w przestrzeni adresowej procesu jest sklasyfikowany jednocześnie jako Zapisywalny Wykonywalny Niebezpieczeństwo: możliwość wykonania kodu, który znajduje sie w obszarze pamięci przeznaczonym na dane

Przestrzeń adresowa procesu z ESP Każdy obszar pamięci może być albo wykonywalny albo zapisywalny, ale nie wykonywalny i zapisywalny jednocześnie

Przestrzeń adresowa procesu z ESP Każdy obszar pamięci może być albo wykonywalny albo zapisywalny, ale nie wykonywalny i zapisywalny jednocześnie Brak możliwości zapisu do pamięci przeznaczonej na kod oraz wykonywania kodu z pamięci przeznaczonej na dane

Działanie ESP w PaX Zapisanie obszaru pamięci uniemożliwia wykonywanie kodu z tego obszaru Wykonanie kodu z pewnego obszaru pamięci uniemożliwia późniejsze modyfikowanie tego obszaru Zasada minimalnych uprawnień

Randomizacja przestrzeni adresowej procesu ASLR Adress Space Layout Randomization Chroni przed atakami, korzystającymi z pewnej wiedzy na temat układu przestrzeni adresowej procesu Polega na losowym rozmieszczeniu obszarów w przestrzeni adresowej procesu

Po zastosowaniu ASLR... Potencjalny intruz musi strzelać w adresy pamięci ASLR nie daje 100% pewności bezpieczeństwa utrudnia ataki i sprawia, że są łatwiej wykrywalne

PaX kontra błąd przepełnienia bufora PaX nie jest narzędziem do wykrywania samego błędu. Ma chronić przed skutkami jego wystąpienia Główne sposoby wykorzystania błędu przepełnienia bufora:

Podmiana kodu

Podmiana kodu Wymaga możliwości zapisu do obszarów pamięci, w których znajduje się kod programu

Podmiana kodu Wymaga możliwości zapisu do obszarów pamięci, w których znajduje się kod programu Ustawienia PaX gwarantują, że tych obszarów pamięci nie można modyfikować

Podmiana kodu Wymaga możliwości zapisu do obszarów pamięci, w których znajduje się kod programu Ustawienia PaX gwarantują, że tych obszarów pamięci nie można modyfikować Atak kończy się niepowodzeniem

Nadpisanie danych w pamięci, a następnie potraktowanie ich jako kod do wykonania

Nadpisanie danych w pamięci, a następnie potraktowanie ich jako kod do wykonania Intruz wpisuje spreparowany kod do odpowiedniego obszaru pamięci

Nadpisanie danych w pamięci, a następnie potraktowanie ich jako kod do wykonania Intruz wpisuje spreparowany kod do odpowiedniego obszaru pamięci PaX to wykrywa i oznacza ten obszar jako obszar z danymi

Nadpisanie danych w pamięci, a następnie potraktowanie ich jako kod do wykonania Intruz wpisuje spreparowany kod do odpowiedniego obszaru pamięci PaX to wykrywa i oznacza ten obszar jako obszar z danymi Intruz próbuje wykonać wporwadzony kod próba się nie udaje, atak kończy się niepowodzeniem

Jak dobrze chroni PaX 100% ochrona przed atakami polegającymi na wykonaniu podstawionego kodu Utrudnienie ataków opierających się na wiedzy na temat przestrzeni adresowej procesu

Jak dobrze chroni PaX 100% ochrona przed atakami polegającymi na wykonaniu podstawionego kodu Utrudnienie ataków opierających się na wiedzy na temat przestrzeni adresowej procesu atak jest w 100% skuteczny jeżeli intruz przypadkiem wstrzeli się w odpowiednie miejsce pamięci

Wady PaX Wykryta próba ataku kończu się crashem atakowanego procesu w niektórych systemach jest to niedopuszczalne Niektóre programy wymagają generowania kodu w trakcie działania

Wady PaX Wykryta próba ataku kończu się crashem atakowanego procesu w niektórych systemach jest to niedopuszczalne Niektóre programy wymagają generowania kodu w trakcie działania PaX umożliwia administratorowi wyłączenie omówionych wcześniej ograniczeń

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres