Линус Торвальдс раскритиковал меры по усилению защиты ядра Linux

Александр Панасенко 20 Ноября 2017 - 11:56

...

Линус Торвальдс раскритиковал меры по усилению защиты ядра Linux

Линус Торвальдс не стесняясь в выражениях отверг заявку Кеса Кука (Kees Cook), предложившего включить в состав ядра 4.15 механизм защиты, блокирующий использование вызова usercopy при проведении некоторых видов атак.

Суть предложенного метода в запрете применения usercopy для прямого копирования между пространством пользователя и некоторыми областями ядра с введением белого списка допустимых для использования областей памяти. Так как подобный подход потенциально может нарушить работу приложений, использующих usercopy, предусмотрен fallback-режим для kvm и sctp (ipv6).

Линус в целом не отказался принять патч, но заявил, что не станет это делать в рамках цикла разработки 4.15, так как у него есть сомнения, что предложенные патчи хорошо протестированы и учтены все нюансы их влияние на работу существующих приложений. Предложенное изменение затрагивает некоторые ключевые подсистемы ядра, а у него сейчас нет времени анализировать появление возможных регрессивных изменений. Также указывается, что неправильно пытаться переложить решение возможных несовместимостей на пользователей и уже по факту отлавливать всплывающие в приложениях проблемы, пишет opennet.ru.

После попыток уговорить Линуса изменить своё решение, он в очередной раз попытался довести до разработчиков, что сохранение совместимости является ключевым условием разработки ядра Linux и ограничительные меры требуют большого внимания и предварительной подготовки. Линус считает недопустимыми методы усиления безопасности, связанные с введением на ходу новых правил, нарушение которых приводит к блокировке выполнения ранее работающих приложений. Более четверти века ядро обходилось без подобных правил и нельзя внезапно пытаться что-то запретить и обрушить на пользователей изменения, после которых отдельные приложения перестанут работать.

Если такие изменения необходимы, то они должны внедряться постепенно с предварительным информированием пользователей и проведением подготовительной работы по выявлению возможных проблем и адаптации изменения для обхода этих проблем. Линус не отделяет уязвимости от других видов ошибок, и считает, что ради их устранения недопустимо вносить изменения, которые могут нарушитькорректную работу пользовательских приложений.

Предложения сразу ввести блокировку приложений или останавливать работу системы при выявлении опасного поведения отмечаются как в корне неверные - по мнению Линуса, перед началом блокировки достаточно долгое время ограничительные средства усиления безопасности должны работать в режиме информирования - например, около года только выводить в лог сведения о наличии проблемы, и лишь затем можно применять более радикальные меры.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Апреля 2026 - 17:26

Корпорации Защита конечных точек сети Системы обнаружения целевых атак на конечных точках сети (EDR) Security Vision

Security Vision вывела на рынок EDR-систему с корреляцией на агенте

Security Vision представила новый продукт для защиты конечных точек — Security Vision EDR. Решение относится к классу Endpoint Detection and Response и предназначено для выявления, анализа и пресечения угроз на рабочих станциях и серверах под управлением Windows и Linux.

Главная особенность новинки — корреляция событий прямо на уровне агента, то есть непосредственно на конечной точке.

Такой подход позволяет фиксировать подозрительную активность и реагировать на неё без постоянной зависимости от центральной инфраструктуры. Проще говоря, часть логики срабатывает на месте, а не после отправки данных куда-то наверх.

В продукт встроены механизмы автоматической блокировки вредоносной активности. При этом предусмотрены и инструменты ручного реагирования, чтобы оператор мог отдельно вмешаться в инцидент и выполнить точечные действия там, где автоматического сценария недостаточно.

В составе Security Vision EDR заявлено более 800 преднастроенных правил корреляции, охватывающих типовые техники атак. Для настройки и доработки правил предусмотрен No-Code редактор — он позволяет адаптировать логику детектирования под конкретную инфраструктуру без программирования.

Отдельно в решении сделан акцент на настройке сенсоров и собираемой телеметрии. Это должно помочь компаниям балансировать между глубиной мониторинга и нагрузкой на систему, что для EDR-сегмента вопрос вполне практический, а не декоративный.

Ещё один важный блок — управление агентской инфраструктурой. В системе есть функции централизованного развёртывания агентов, контроля их доступности и оценки стабильности работы. Эти данные выводятся на дашборды и в отчёты, чтобы было проще следить за покрытием и состоянием всей агентской сети.

Кроме того, в продукт встроен модуль управления активами. Он позволяет сканировать инфраструктуру, инвентаризировать хосты и сервисы, формировать группы активов и классифицировать их по ролям и критичности. Для аналитиков это даёт дополнительный контекст при расследовании: можно быстрее понять, насколько важен затронутый актив и какое место он занимает в инфраструктуре.

Компания также сообщила, что продукт внесён в реестр российского ПО и имеет ряд сертификатов и заключений, включая документы ФСТЭК, ФСБ, Минобороны России и ОАЦ при Президенте Республики Беларусь.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!