Discussion :

[Idelways]

Un chercheur expose des failles du noyau de Linux
Pour l'améliorer, Red Hat et la NSA verraient ses efforts d'un mauvais œil




Expert reconnu du Kernel, le chercheur Brad Spengler a présenté hier sa vision de la sécurité de Linux durant la conférence LinuxCon qui se déroule cette semaine à Boston.

Spengler y a par exemple parlé de « Enlightenment », un exploit de son cru qui permet - ni plus ni moins - de désactiver la politique de sécurité de Linux, y compris SELinux et AppArmor.

« Enlightenment » qui prouve, selon lui, que les contrôles d'accès ne sont pas la protection ultime, mais doivent plus être considérés comme une dernière ligne de défense.

Spengler affirme avoir codé 11 autres exploits du Kernel durant les dernières années. Des efforts qui ont aidé à rendre Linux plus sûr.

Il explique son acharnement à produire autant d'exploits par la passivité des entreprises qui développent Linux, à commencer par Red Hat qui n'a réagi à aucun de ses 7 premiers exploits qui menaçaient la sécurité des utilisateurs de Red Hat Entreprise Linux.

Ce n'est qu'au bout du huitième que l'entreprise aurait finalement réagi en corrigeant toutes les failles. Pour lui, seules les failles rendues publiques semblent pouvoir produire un changement dans la perception de la sécurité (lire par ailleurs : Google veut réinventer les règles de divulgation des failles)

Si l'on se doute que Red Hat ne sera pas ravi par ces affirmations, d'autres sont aussi passablement énervés par les travaux de Spengler. La NSA (Agence de Sécurité Nationale), qui a participé au développement de SELinux, voit ses efforts d'un très mauvais œil.

Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.

Mais pour lui la fin justifie les moyens et SELinux serait à présent un bien meilleur produit.

Spengler présente aussi un ensemble de pistes pour améliorer la sécurité de Linux.

Il suggère en premier lieu l'usage de la « randomisation de l'espace d'adressage » (ASLR), une technique d'adressage aléatoire des objets partagés dans la mémoire. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur.

Il propose également de retirer du noyau ce qu'il appelle des « infoleaks » (fuites d'informations) comme que la fonction « slabinfo » qui rapporte la taille des blocks de mémoire et peut être potentiellement utilisée par les pirates.

D'autres éléments du Kernel mériteraient également d'être mieux sécurisés, comme « syscall », la table des appels système qui doit être selon lui passée en lecture-seule.

Mais selon Spengler, la sécurité ne concerne pas que les développeurs. Des mesures prises par les administrateurs et les utilisateurs peuvent aussi mener à des systèmes plus sûrs.

Pour mémoire, Brad Spengler est l'expert en sécurité à l'origine du projet « grsecurity », un patch permettant d'ajouter des fonctionnalités de sécurité au noyau Linux.



Source : Site de LinuxCon


Lire aussi :

Kernel 2.6.35 : amélioration de la gestion du multi-coeur et des performances réseaux, Google contribue activement au noyau de l'OS

Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?

Windows : nouvelle faille mineure dans le noyau, Travis Ormandy de Google l'utilise tout de même pour critiquer Microsoft

La sécurité d'Android remise en question, au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

Les rubriques (actu, forums, tutos) de Développez :

Linux Professionnel
Sécurité
Systèmes



Et vous ?

Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?



En collaboration avec Gordon Fowler

[Tetem]

Déja, un bon administrateur qui connait bien son boulot et le système qu'il administre, ce serai déja une révolution en termes de sécurité pour les entreprises !

[sevyc64]

Ben pour une fois que "Failles de sécurité" ne rime pas avec Windows et Microsoft, ça me rassure si besoin en était.

[dams78]

Du coup, doit on tout publier? Puisque apparemment dès qu'il s'agit d'une société elle en fait un peu qu'à sa tête, peut être qu'avec une assoc (genre Mozilla) c'est différent...?

[kain_tn]

Ben pour une fois que "Failles de sécurité" ne rime pas avec Windows et Microsoft, ça me rassure si besoin en était.

Enfin bon, au moins là, personne ne râle (mis à part Red Hat et la NSA) parce que les exploits ont été rendus publics

Du coup, doit-on tout publier? Puisque apparemment dès qu'il s'agit d'une société elle en fait un peu qu'à sa tête, peut-être qu'avec une assoc (genre Mozilla) c'est différent...?

Oui, tout publier a du bon. Je ne vois pas pourquoi ça devrait être différent selon l'OS ou la société.

[Hellwing]

Et un troll, un!

Enfin bon, au moins là, personne ne râle (mis à part Red Hat et la NSA) parce que les exploits ont été rendus publics



Oui, tout publier a du bon. Je ne vois pas pourquoi ça devrait être différent selon l'OS ou la société.

Tout publier, mais quand et à qui ?

[GanYoshi]

Tout publier, mais quand et à qui ?

Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.

[Marco46]

Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.

+1

Une société est une société. Qu'elle produise du libre n'y change rien.

Laisser quand même le temps de corriger c'est quand même mieux mais publier s'il y a une mauvaise volonté manifeste.

[McM]

Tout à fait d'accord avec Marco46.
Une faille de sécurité ne se corrige pas en 1 journée (ou alors sans tester toutes les fonctionnalités rattachées)

[stardeath]

ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?

parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose, il me semble que c'est linus torwald qui gère ça non? ou alors je comprends strictement rien à cet article?

[Shemsu-Hor]

Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.

Ils devraient plutôt le remercier et lui proposer un job...

Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?

Le must serait un pur projet collaboratif des grands noms et pas uniquement Red Hat. C'est pourtant vraiment pas dur à mettre en place...

Le plus juste selon AMA: Informer les personnes/entreprises concernées, et si aucune réponse après un certain laps de temps, full disclosure.

Mais laisser du temps est important quand même, par contre ne donner aucune réponse, ce n'est pas malin.

[manudwarf]

ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?

parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose, il me semble que c'est linus torwald qui gère ça non? ou alors je comprends strictement rien à cet article?

Ce qu'il veut dire, c'est que Red Hat aurait pu fournir un patch. Red Hat est tellement impliqué dans le développement du noyau qu'ils devraient être dans les premiers à réagir effectivement.

[SYL666]

D'un coté, je suis très d'accord avec lui ... il suffit de voir que coté Microsoft, l'ASLR est présent depuis pas mal de temps. Linux est assez à la traine. Un coup de pied dans la fourmilière est parfois nécessaire pour en refaire les fondations.

Mais d'un autre coté, il faut aussi prendre en compte le nombre de serveur qui tournent sur le Net dont les admins ne cherchent pas vraiment à protéger via des patchs.

Le problème, je pense, c'est justement qu'il y a une fausse idée sur laquelle Linux serait plus sécurisé que Windows. Alors il n'y a pas à s'en faire.
Pourtant, cette affirmation est bien entendu ridicule.

[masha]

Ce qu'il veut dire, c'est que Red Hat aurait pu fournir un patch. Red Hat est tellement impliqué dans le développement du noyau qu'ils devraient être dans les premiers à réagir effectivement.

Non Redhat n'est pas impliqué dans le développement du noyau. Aucune entreprise n'est impliqué dans cela par-contre des développeurs travaillant pour des entreprises collaborent au développement du noyau. C'est très subtil mais cela permet aux principaux développeurs du noyau une plus grande autonomie. Voir récemment le cas de google avec Android . Par contre redhat comme Novell ou Mandriva, utilisent le noyau linux commun mais ils ajoutent de nombreux patchs à eux. Et dans ce cas redhat modifie le noyau pour pouvoir utiliser SElinux qui est un module, au mieux. Et c'est dans ce module Selinux, qui fut développer par la NSA qu'il y aurait des failles.
Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.

[SYL666]

Non Redhat n'est pas impliqué dans le développement du noyau. Aucune entreprise n'est impliqué dans cela par-contre des développeurs travaillant pour des entreprises collaborent au développement du noyau. C'est très subtil mais cela permet aux principaux développeurs du noyau une plus grande autonomie. Voir récemment le cas de google avec Android . Par contre redhat comme Novell ou Mandriva, utilisent le noyau linux commun mais ils ajoutent de nombreux patchs à eux. Et dans ce cas redhat modifie le noyau pour pouvoir utiliser SElinux qui est un module, au mieux. Et c'est dans ce module Selinux, qui fut développer par la NSA qu'il y aurait des failles.

Je ne suis pas d'accord sur ces points :
- Si une entreprise paie ses développeurs pour être impliqués dans le noyau Linux, c'est que l'entreprise elle même y est impliquée.
Ces entreprises ont un assez gros pouvoir de décision. Il suffit de lire la Kernel Mailing List et de regarder les domaines des adresses e-mails.

- La majeur partie des patchs upstreams sont à la base des patchs fournis par Red Hat & Co. Exemple => Un utilisateur rapporte un bug sur Suse (RHEL, Mandriva) => Les ingénieurs Suse patchent et fournissent le patch upstream aussi.

- Beaucoup de (tous les ?) modules, tels que XFS, SELinux, drivers Intel, etc. ont été commencés par des entreprises (ici SGI, NSA et Intel eux mêmes), qui ont ensuite poussé pour que ceux-ci soient intégrés upstream.

[bioinfornatics]

J'aime bien tout le monde dit ubuntu (canonical youpi) et quand il y a des failles de sécurité il vont voir Red Hat
D'ailleurs les équipes de canonical ils viennent poster leur bug sur le bugzilla de Fedora.
Juste pour dire que Red Hat fait beaucoup d'effort il y pas que le noyau mais des centaines d'outils en plus qu'ils doivent gérer. Ça serait bient que des boites comme canonical mettent la main à la patte.

[sevyc64]

Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.

Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de failles connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans

[shaoling]

Ben chaque entreprise qui développe sa distribution linux gère son noyau comme elle l'entend.
Enfin moi je vois les choses comme ça en tout cas ^^.

[alexrtz]

ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?

C'est ce que semble indiquer l'article.

parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose

Red Hat contribue au noyau, il est donc possible que les bugs viennent des ces contributions.
Quand on veut qu'un bug soit corrigé, on s'adresse en général au(x) développeur(s) qui a (ont) écrit le code impacté.

linus torwald

Linus Torvalds

Sinon complètement d'accord avec le principe de divulgation des failles : il n'y a que comme ça que certaines sociétés vont se bouger les fesses (avec le délai de prévenance kivabien pour leur laisser le temps de montrer leur bonne volonté pour corriger le bazar).

[galien]

C'est vraiment très très étrange que la NSA ne veuille pas divulguer ses backdoors dans SE Linux.