パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

signed_execで実行時にプログラムの身元確認」記事へのコメント

  • リンク先の資料をざっと読みました。
    署名、と言う話だけど、コマンド自身のチェックサム結果を内部に埋め込むか、
    システム側に上記のコマンドのチェックサム結果のデータベースを持っていて、
    それを起動直前にチェックして、結果が合致すればコマンドが起動できる、って
    ものみたいですね。

    #コマンド単体だと、トロイの木馬が正直にチェックサムつけてたら
    #置き
    --
    ---- redbrick
    • reference implementationでは,署名DBはcd9660 fs上に,またはread-onlyなffs上でimmutableフラグをセットしたファイルに置くと書いてありますね.

      PPT資料でも

      Only as secure as the security of the signature database.
      と言ってますし,その辺はちゃんと分かってるみたいです.
      • しかし、読み書き不可能なメディアに置いたとしても
        そのディレクトリの参照そのものが、トロイのバイナリの
        チェックサムを置いているディレクトリを参照するように
        書き換えられたら駄目になると思います。

        root権限に何
        • root権限に何らかの方法で昇格し、仮想デバイスを作成、
          マウントし、そこに偽造DBをロードして
          CDROMへの参照をそこに参照するように書き換えたら後は何で出来るようになるのでは?
          これを使うくらいにセキュリティを強化するマシンなら,必要とは思えない仮想デバイスの機能などkernelには組み込まないかと.
          あとはsecurelevelを上げておけば,raw deviceを叩いてfs直接書き換えとか,immutable flagを落とすとかいった攻撃方法も回避できますね.この実装でもsecurelevelによって署名のチェックをするかどうか決めているようですし.
          親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...