Velká bezpečnost

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 14. března 2021; kontroly vyžadují 16 úprav .
Velká bezpečnost
Typ Náplast
Zapsáno v C [1]
Operační systém linux
Licence GNU GPL 2 [2]
webová stránka grsecurity.net

Grsecurity  je proprietární sada úprav ( patch ) pro linuxové jádro , která zahrnuje několik vylepšení souvisejících se zabezpečením , včetně ochrany paměti jádra a uživatelských procesů, vynuceného řízení přístupu , randomizace umístění objektů v paměti , omezení přístupu k souborům v / proc, omezení přístupu k systémovým rozhraním uvnitř chroot () jail , omezení použití serverových a klientských síťových soketů, jakož i další možnosti pro auditování činnosti procesu a některé další funkce. Typickou oblastí použití jsou systémy, které mohou přijímat síťová připojení z potenciálně nebezpečných zdrojů: jako jsou servery pro různé síťové služby (například webové servery ) nebo servery, které svým uživatelům poskytují shellový přístup . Záplata grsecurity byla vydána pod licencí GPL verze 2 od roku 2001 a obsahuje sadu záplat PaX . Od 26. dubna 2017 již nejsou ke stažení zdrojové kódy grsecurity a související záplaty a jejich distribuce probíhá pouze na placené bázi [3] . Tvůrcem a hlavním vývojářem grsecurity je Brad Spengler, aka utrácet.

Licencování a soudní spory

Oprava grsecurity byla původně open source a svobodný software. V roce 2015 se po sporu o nesprávné použití ochranné známky grsecurity autor patche rozhodl zastavit bezplatnou (neomezenou) distribuci kódů stabilní verze patche všem [4] [5] . Veřejně dostupné zůstaly testovací verze grsecurity [5] ve formě jediného patche bez rozdělení na série.

Od 26. dubna 2017 byl uzavřen bezplatný přístup k testovacím verzím patche grsecurity (stejně jako PaX), pravděpodobně kvůli konfliktu s KSPP [6] nebo Wind River [7] . Posledním veřejným vydáním byl testovací patch pro linuxové jádro verze 4.9. Novější verze jsou dostupné pouze komerčním předplatitelům "Open Source Security Inc" (vývojář oprav od roku 2008, PA ) [3] [8] [6] , na základě samostatné servisní smlouvy [9] [10] [ 11] .

V objasnění OSSI uvedlo, že opravy jsou nadále licencovány pod licencí GPLv2 se všemi právy a povinnostmi . [12] Obchodní smlouva mezi uživatelem a korporací však obsahuje podmínku zbavit zákazníky přístupu k budoucím verzím opravy, pokud uživatel uplatní práva udělená mu GPL k používání (instalaci a distribuci) oprav grsecurity obcházení dohoda [13] .

V červnu 2017 Bruce Perens , známý svým zapojením do hnutí za svobodný software, veřejně vyjádřil svůj názor, že třetí strany by se měly vyhnout nákupu produktu „Grsecurity“ od grsecurity.net. Poukázal na to, že patch je derivátem kódu linuxového jádra a měl by být distribuován za podmínek GPL verze 2 nebo kompatibilní licence, jako tomu bylo u předchozích verzí. V tu chvíli se patch stal komerčním produktem distribuovaným pouze za poplatek a podle konvence byli uživatelé varováni, že pokud budou patch redistribuovat (právo, které jim uděluje GPLv2), bude jim odepřen přístup k dalším verzím patch, který podle Bruceova názoru údajně může porušovat oddíl 6 veřejné licence, s sebou údajně nese riziko ukončení licence, a tedy porušení autorských a jiných práv (pirátství). [14] [15] Perensovy komentáře byly publikovány na jeho osobním internetovém blogu, na mailing listu projektu Debian ( jehož Perens byl dříve vedoucím ) [16] a poté aktivně diskutovány na internetovém fóru Slashdot [17] .

Dne 17. července 2017 OSSI (oneman) zahájila soudní řízení proti Bruce Perensovi (jak připomněl Spangler [18] , z důvodu nedostatku jiných možností, protože ve svém prohlášení viděl pomluvu a potenciální významné poškození pověsti a obchodních zájmů společnosti jeho společnost [ 19] [20] [21] ). Společnost zpochybnila následující dvě prohlášení a považovala je za nepravdivá:

„Jsem pevně přesvědčen, že by se vaše společnost měla vyhýbat produktu Grsecurity prodávanému na grsecurity.net, protože představuje spoluúčast na porušení a riziko porušení smlouvy.“ „Jako zákazník se domnívám, že byste se při používání tohoto produktu ve spojení s linuxovým jádrem v souladu se zásadami neredistribuce, které v současnosti uplatňuje společnost Grsecurity, stali předmětem jak přispěvatelného porušení, tak porušení smlouvy.“

- [3]

V prosinci 2017 smírčí soudce Laurel Beeler (San Francisco) rozhodl, že Perens vyjadřoval názor povolený zákony USA, a zamítl žalobu na pomluvu [22] . Další soudní spory pokračovaly asi 3 roky a po několika odvoláních skončily v 9. schématu[ neznámý termín ] odvolacích soudů USA (případ „Open Source Security v. Perens“ [23] ) [17] .) Soud zamítl nároky proti Bruce a vymohl od Open Source Security a Brada Spanglera právní náklady ve výši zhruba 260-300 tisíc dolarů [24] [22] [25] . Otázky, zda jsou porušeny podmínky licence GPL, nebyly soudy projednány.

Soudní spor byl v roce 2017 označen za jeden z 10 nejlepších open source právních případů [26] .

PaX

Jednou z hlavních součástí grsecurity je PaX , který implementuje několik mechanismů na ochranu před zneužitím zranitelností (například prostřednictvím přetečení vyrovnávací paměti ), včetně randomizace umístění objektů v paměti (randomizace rozložení adresního prostoru, ASLR) a omezení na provádění libovolného strojového kódu ze stránek dostupných procesu v režimu zápisu (zejména zásobník ).

PaX je vyvíjen členem vývojového týmu grsecurity.

Samotný PaX je vyvíjen samostatným týmem programátorů z grsecurity.


Kritika

Jeden ze spoluautorů a správců projektu Kernel Linux se negativně vyjádřil k přístupům, které autoři patche grsecurity praktikují z hlediska programového kódu, a chválil samotný projekt [27] [28] .

Korporace grsecurity byla viděna při kontroverzním chování na sociálních sítích ohledně uživatele, který v roce 2016 nahlásil softwarovou chybu jako opravu [29] .

Poznámky

  1. Projekt grsecurity Open Source na Open Hub: Stránka jazyků - 2006.
  2. Grsecurity  _
  3. 1 2 grsecurity - Předávání štafety . grsecurity.net. Staženo 26. května 2020. Archivováno z originálu dne 19. května 2020.
  4. Zlato, Jon Grsecurity přestane vydávat záplaty uvádějící zneužití ochranné známky  . Svět sítě (28. srpna 2015). Získáno 28. května 2020. Archivováno z originálu dne 8. listopadu 2020.
  5. 1 2 Odolní linuxoví oddaní Grsecurity vytáhnou špendlík po právní  bitvě . thereregister.co.uk (27. srpna 2015). Staženo 28. května 2020. Archivováno z originálu dne 2. října 2018.
  6. 1 2 Grsecurity přestane distribuovat své patche zdarma . opennet.ru (26.04.2017). Staženo 25. května 2020. Archivováno z originálu dne 23. září 2020.
  7. Bezpečnostní guru linuxového jádra Grsecurity vyhnali freeloadery z  hradu . thereregister.co.uk (26. dubna 2017). Staženo 28. května 2020. Archivováno z originálu 10. července 2019.
  8. Jonathan Corbet. Grsecurity je soukromý [  LWN.net ] . lwn.net (4. května 2017). Staženo 26. května 2020. Archivováno z originálu dne 1. dubna 2020.
  9. grsecurity - FAQ o dohodě o přístupu . grsecurity.net. Staženo 26. května 2020. Archivováno z originálu 1. prosince 2020.
  10. Dodatečná dohoda podle B. Perense, verze jím zveřejněná v červnu 2017 Archivní kopie ze dne 24. dubna 2021 na Wayback Machine  (eng.)
  11. Zranitelnost v licencích open source softwaru, Andrey Savchenko, 2018: „Grsecurity patche... distribuce kódu a binárních sestav je omezena dodatečnou smlouvou o předplatném... jsou porušovány základní svobody distribuce a modifikace open source softwaru“ . Staženo 28. května 2020. Archivováno z originálu 1. září 2019.
  12. https://grsecurity.net/agree/agreement_faq Archivováno 1. prosince 2020 na Wayback Machine "Můžete používat, kopírovat, upravovat a distribuovat jakékoli linuxové jádro upravené v kombinaci s grsecurity záplatami za podmínek GPLv2."
  13. https://grsecurity.net/agree/agreement_faq Archivováno 1. prosince 2020 na Wayback Machine "Vyhrazujeme si právo kdykoli z jakéhokoli důvodu zrušit přístup k budoucím aktualizacím záplat grsecurity a changelogů. Naše důvody ukončení mohou zahrnovat : ... distribuce nebo instalace záplat grsecurity v rozporu s podmínkami smlouvy o přístupu“
  14. "   Smlouva o přístupu ke stabilním opravám Grsecurity přidává do GPL termín zakazující distribuci nebo vytváření
  15. Grsecurity možná porušuje GPL ve svých pokusech zastavit portování kódu do linuxového jádra . opennet.ru (10.07.2017). Získáno 28. května 2020. Archivováno z originálu dne 30. března 2020.
  16. debian-user: Re: Proč nikoho nezajímá, že Brad Spengler z GRSecurity nehorázně porušuje záměr držitelů práv k linuxovému jádru? Archivováno 26. dubna 2022 na Wayback Machine , 2017–07
  17. 1 2 Bruce Perens vyhrál vítězství za svobodu slova. 2020-02-25 . Získáno 26. května 2020. Archivováno z originálu dne 29. června 2020.
  18. Varghese, Sam iTWire – tvůrce patchů pro linuxové jádro říká, že soudní spor byl jediným  východiskem . itwire.com (10. února 2020). Staženo 28. května 2020. Archivováno z originálu dne 14. května 2020.
  19. Prodejce Grsecurity žaluje průkopníka open source Bruce Perense v rozporu s GPLv2. 25. srpna 2017 . Staženo 26. května 2020. Archivováno z originálu dne 5. srpna 2020.
  20. Thomas Claburn. Hardeners Linux kernel Grsecurity žaluje open source Bruce  Perense . www.theregister.co.uk (3. srpna 2017). Získáno 28. května 2020. Archivováno z originálu dne 30. března 2020.
  21. mlhovina. Vývojáři Grsecurity to úplně podělali . Autoritativní fórum o hnutí s otevřeným zdrojovým kódem „linux.org.ru“ (08/04/2017). Získáno 28. května 2020. Archivováno z originálu dne 30. ledna 2021.
  22. 1 2 Tvůrce Grsecurity se konečně vykašlal na 300 000 dolarů, aby mohl podstoupit právní účet průkopníka open source Bruce Perense kvůli GPL Archivováno 27. května 2020 na Wayback Machine / The Register  
  23. DC č. 3:17-cv-04002-LB Archivováno 11. května 2021 na Wayback Machine [1] [2]
  24. Soud vymáhal 259 tisíc dolarů od společnosti vyvíjející Grsecurity 6. 10. 2018 . Získáno 26. května 2020. Archivováno z originálu dne 30. března 2020.
  25. Soud nařídil OSS zaplatit 300 tisíc dolarů Bruce Perensovi na základě výsledků řízení s Grsecurity . opennet.ru (28.03.2020). Staženo 28. května 2020. Archivováno z originálu dne 3. dubna 2020.
  26. Richard Fontana (Red Hat). Top 10 open source právních příběhů, které otřásly rokem  2017 . opensource.com (27. února 2018). Staženo 28. května 2020. Archivováno z originálu dne 27. září 2020.
  27. ↑ Linus Torvalds na Grsecurity  praští 'čistý odpad' z 'klaunů ' . thereregister.co.uk (26. června 2017). Staženo 28. května 2020. Archivováno z originálu dne 17. února 2020.
  28. Re: Další zranitelnosti CONFIG_VMAP_STACK, refcount_t UAF a ignorovaná metoda Secure Boot bypass / rootkit . Získáno 28. května 2020. Archivováno z originálu dne 25. dubna 2021.
  29. Maria Nefyodová. Vývojáři Grsecurity zakázali výzkumníkovi, který našel chybu v nejnovějším patchi - "Hacker" . xakep.ru (28.04.2016). Staženo 28. května 2020. Archivováno z originálu dne 17. února 2020.

Viz také

Literatura

Odkazy