книги хакеры / журнал хакер / 079_Optimized

FERRUM

PC_ZONE

ИМПЛАНТ

ВЗЛОМ

СЦЕНА

UNIXOID

КОДИНГ

КРЕАТИФФ

FIREWALL IS

-INVISIBLE! -

[плюсы и минусы темной лошадки] Одна из программных систем, позволяющих справиться со всеми перечисленными задачами — связка pf(4) и bridge(4). Если с первым псевдоустройством все должно быть более-менее ясно, то на втором стоит остановиться подробнее.

Бридж представляет собой разновидность интеллектуального коммутатора, соединяющего различные сети между собой так, что компьютер из одной сети способен общаться с компьютером из другой без участия маршрутизатора. С помощью прозрачного моста можно:

1установить файрвол без изменения топологии существующей сети; 2 объединять не только проводные и беспроводные участки сети, но и сети разной архитектуры (скажем Ethernet и Token Ring); 3изолировать трафик между несколькими выбранными клиентами; 4 снизить общую нагрузку на сеть;

5вести таблицу соответствия MAC-адресов источников и адресатов; 6 обходить привязку IP к MAC, сделанную на провайдерском сервере (см. врезку);

7 экономить статические IP-адреса, предоставленные поставщиком услуг интернета.

Нельзя забывать и об аспекте безопасност и: такой хост будет невероятно сложно не то что взломать, но даже обнаружить. В доверше-

ЮНИТЫ

[смотрим информацию о бридже]

Хочу сразу рассказать и о минусах использования такой конструкции: 1 все сетевые интерфейсы, помещенные в бридж, будут автоматически переведены в режим приема всех пакетов (дело в том, что PROMISC в некоторых случаях не представляется возможным: не позволяет сетевая карта, например, TI ThunderLAN — на бридже используется слишком слабый процессор, вето провайдера); 2 для корректной работы по протоколу FTP придется установить специальную проксю ftpsesame;

3 с помощью правила pf "synproxy state" нельзя будет проксировать TCP-соединения и защищать бокс от SYN-флуда;

4 может возникнуть некоторая сложность в администрировании. Но обо всем по порядку.

[первоначальная установка] Тестирование прозрачного моста проводилось на Pentium 90/32 Mb/4 Gb/2 fxp (две PCI'ные сетевые карты Intel EtherExpress PRO/100+) под управлением OpenBSD 3.7. Будем считать, что на внешний сетевой интерфейс (fxp0) подходит кабель от провайдера, а внутренний интерфейс (fxp1) соединен кроссовером с внешним интерфейсом шлюза компании:

--[ ISP_LAN ]-----(fxp0)[ BRIDGE ](fxp1)-----[ GATEWAY ]--

Также (для чистоты эксперимента и остроты ощущений) приведу вариант с ADSL LAN-модемом и беспроводным клиентом:

Последовательно поднимаем сетевые интерфейсы:

#echo up > /etc/hostname.fxp0

#echo up > /etc/hostname.fxp1

Âслучае с Wi-Fi адаптером (здесь Gigabyte GN-WPKG 802.11 b/g выступает в качестве точки доступа) команда будет выглядеть так:

#echo 'up media autoselect mode 11g mediaopt hostap nwid wlan chan 11' > /etc/hostname.ral0

Создаем транспарентный бридж:

# echo 'add fxp0 add fxp1 up' > /etc/bridgename.bridge0

Для проверки работоспособности разрешаем прохождение всех пакетов без ограничений:

# echo 'pass quick on { lo0, fxp1, fxp0 } all' > /etc/pf.conf

Правим конфигурационный файл /etc/rc.conf, содержащий параметры загрузки демонов при старте системы:

# vi /etc/rc.conf

/* В сетевых службах нет надобности, мы просто не сможем ими воспользоваться */

sshd_flags=NO sendmail_flags=NO

Присутствует еще один интересный момент, о котором нельзя не упомянуть. С помощью прозрачного моста можно в некотором роде обойти привязку IP к MAC, сделанную на провайдерском сервере. Поясню на примере. Допустим, по некоторым причинам (это может быть кривой биллинг, отсутствие непосредственного доступа к компьютеру — из сейфа, ключи от которого неоднократно потеряны, торчит только шнурок и т.д.)

у нас нет возможности заменить на шлюзе, который выпускает в Сеть мириады клиентов, привязанную на сервере провайдера сетевую карту и/или модифицировать правила файрвола. Нужно в кратчайшие сроки заблокировать чрезвычайно настойчивых спаммеров, прикрыть несколько порносайтов и (не)привилегированных портов. Возможно, тебе знакома эта ситуация. Решение сводится к установке между сервером прова и шлюзом компании транспарентного бриджа, разруливающего пакетами в соответствии с поставленными задачами. Поскольку мост функционирует на канальном уровне, обеспечивая связь между сетевым ПО и сетевыми картами, его работа не зависит от протоколов, соответственно, привязка обходится с невероятной легкостью.

ка фрагментов производится только для IPv4-пакетов, и только если явно не указан параметр no-df в случае, когда необходимо пробросить NFS-трафик через файрвол). Правило вида «scrub on $ext_if all fragment reassemble» отбрасывает пакеты с недопустимыми комбинациями флагов (например, SYN и FIN или SYN и RST), тем самым вводя в заблуждение сканеры портов ala Nmap. Помимо «fragment reassemble», директива scrub обладает еще несколькими заслуживающими внимания опциями:

random-id — позволяет генерировать случайные идентификаторы в заголовке IP-пакета;

min-ttl значение — устанавливает минимальное значение времени жизни в заголовке IP-пакета;

max-mss значение — устанавливает максимальный размер сегмента в заголовке IP-пакета (например, правило «scrub out on pppoe0 max-mss 1440» идеально для ADSL);

reassemble tcp — усложняет выяснение аптайма хоста, расположенного за NAT'ом, а также запрещает понижать TTL как инициатору соединения, так и адресу назначения (мы же не хотим, чтобы наш бридж так просто обнаружили).

Для тестирования некоторых правил файрвола можно воспользоваться пассивным фингерпринтингом lcamtuf.coredump.cx/p0fhelp/. Приведу пример для обычного, непрозрачного бриджа под управлением OpenBSD 3.6-STABLE (pf с опциями scrub и nat):

my.real.ip.addr:52566 - OpenBSD 3.0-3.4 (up: 494 hrs) Signature: [16384:48:1:64:M1460,N,N,S,N,W0,N,N,T:.] -> 213.134.128.25:80 (distance 16, link: ethernet/modem)

Отчет онлайновой утилиты после включения "reassemble tcp":

my.real.ip.addr:60512 - OpenBSD 3.0-3.4 (up: 8850 hrs) Signature: [16384:48:1:64:M1460,N,N,S,N,W0,N,N,T:.] ->

213.134.128.25:80 (distance 16, link: ethernet/modem)

С конфигурированием закончили. Парсим файл с рулесетами на предмет возможных ошибок:

#pfctl -n -f /etc/pf.conf

Èактивируем новые правила:

#pfctl -f /etc/pf.conf

[прозрачность во всем] Невероятно, но факт: на одном хосте *можно* совместить транспарентный мост и транспарентную проксю. Сложность заключается вот в чем: ввиду специфики сетевой модели (разные уровни OSI) пакеты, которые форвардит с одного интерфейса на другой прозрачный мост, просто не доходят до IP-стека операционной системы. Соответственно, правила перенаправления (rdr) не будут работать для пакетов, не адресованных бриджу. Поэтому одного редиректа недостаточно: нужно роутить (route-to) входящие www-запросы на интерфейс обратной петли. Если перейти на язык конфигов, ларчик открывается следующим образом:

[# vi /etc/pf.conf]

/* Пользователи (например, 192.168.1.2/32, 192.168.1.5/32) прописаны в специальном файле */

table <users> persist file "/etc/pfusers.conf"

/* Содержимое www-серверов этих подсетей не кэшируем */ table <no_cache> { 192.168.1.0/24, 192.168.7.0/24 }

/* Запросы от пользователей, поступающие на внутренний сетевой интерфейс, перенаправляем на проксю */

rdr on $int_if from <users> to ! <no_cache> port { 80, 8080, 8101 } -> 127.0.0.1 port 3128

/* Роутим нужные пакетики на loopback-интерфейс */

pass in on $int_if route-to lo0 from <users> to 127.0.0.1 port 3128

[чудеса мостостроения] У данной конструкции есть еще одна изюминка: бридж можно подстраивать и пересобирать что назы-

ременных, полностью или частично очищать таблицу MAC-адре- сов. И все это без перезагрузки: успевай только корреспондировать имена сетевых интерфейсов в бридже и правилах файрвола.

Âкачестве примера заменим fxp1 на беспроводной ral0:

#brconfig bridge0 down

#ifconfig fxp1 down

#ifconfig bridge0 destroy

#ifconfig bridge0 create

#brconfig bridge0 add fxp0 ral0 up

Теперь в /etc/pf.conf остается лишь исправить значение макроса $int_if на ral0 и перечитать конфиг. Сказка.

[% brconfig bridge0]

bridge0: flags=41<UP,RUNNING> Configuration:

priority 32768 hellotime 2 fwddelay 15 maxage 20 Interfaces:

ral0 flags=7<LEARNING,DISCOVER,BLOCKNONIP> port 1 ifpriority 128 ifcost 55

fxp0 flags=7<LEARNING,DISCOVER,BLOCKNONIP> port 3 ifpriority 128 ifcost 55

Addresses (max cache: 100, timeout: 240): 00:0f:ea:91:43:f6 ral0 1 flags=0<> 00:0f:3d:f4:d6:63 fxp0 1 flags=0<>

[приятные тяготы администрирования] Так как наш хост не имеет ни одного IP-адреса, нам не удастся использовать его сетевые службы, а значит, и удаленно админить. Изменять конфигурацию можно будет только сидя непосредственно за компьютером (console) либо с помощью нуль-модемного кабеля (serial console). Конечно, доставив еще один сетевой адаптер и присвоив ему глобально (не)маршрутизируемый IP-адрес, мы решим проблему, но, согласись, с этим ухищрением пропадет вся красота прозрачности брандмауэра. Поэтому

âкачестве терминала предпочтительнее использовать старенький ноут класса 486/DX2-66 ;-). Рассмотрим этот вариант поподробнее. В отличие от DOS и Windows, нумерация последовательных портов

âOpenBSD начинается не с единицы, а с нуля. Виндовому COM1 соответствует com0 (/dev/tty00), а COM2 — com1 (/dev/tty01). На самом раннем этапе загрузки OpenBSD убедись, что оба порта верно распознаются загрузчиком: «probing: pc0 com0 com1 apm mem[636K 510M a20=on]». Если ты являешься счастливым обладателем управляемого источника бесперебойного питания, повесь интерфейсный кабель на com1, так как «serial console» умеет работать только с com0. Настройка сводится к приведению файла терминальных сессий /etc/ttys и конфига загрузчика /etc/boot.conf (по умолчанию не существует) к следующему виду:

[# vi /etc/ttys]

/* Включаем коммуникационный терминал */ console "/usr/libexec/getty std.9600" vt220 on secure

[# vi /etc/boot.conf]

/* Устанавливаем скорость порта равной 9600 bps */ stty com0 9600

/* Нуль-модемный кабель подключен к первому последовательному порту */

set tty com0

/* Игнорируем пятисекундную задержку при загрузке ОС */ boot

Можно на свой страх и риск установить скорость порта равной 19200 bps, но только после перекомпиляции ядра с опциями:

option PCCOMCONSOLE option CONSPEED=19200

Теперь перезагружай мост, а на ноуте (или на обычном компьютере, играющем роль терминала) открывай SecureCRT, создавай

этого момента весь консольный вывод будет идти на терминал по нуль-модемному кабелю:

>> OpenBSD/i386 BOOT 2.08 com0: 9600 baud

switching console to com0

[пользовательские радости] Но вернемся к нашим бриджам. С помощью системных вызовов ioctl(2) утилита brconfig(8) позволяет не только запрашивать у ядра состояние помещенных в мост сетевых интерфейсов, но и производить их конфигурирование. Перечислю некоторые интересные опции brconfig:

maxaddr размер — количество записей в кэше моста.

timeout время — таймаут, в течение которого записи будут истекать. static ифейс адрес — занесение клиентского MAC-адреса в кэш. deladdr адрес — удаление клиентского MAC-адреса из кэша blocknonip ифейс — блокировка трафика, отличного от IP, например, соединения по протоколам IPX или NETBEUI (постарайся использовать эту опцию при первой возможности).

rule запись — добавить правило фильтрации.

Пример предоставления доступа беспроводному клиенту с привязкой IP к MAC:

[# vi /etc/bridgename.bridge0]

static ral0 00:0f:ea:91:43:f6 up

rule pass in on ral0 src 00:0f:ea:91:43:f6 tag andrushock rule block in on ral0

# echo 'block in quick on ral0 from ! 192.168.1.21/32 to any tagged andrushock' >> /etc/pf.conf

В итоге, собрав по кусочкам необходимые переменные вместе, получим конфиг для транспарентного бриджа, работающего в параноидальном режиме. Будь осторожен: это достаточно агрессивная конфигурация, которая может не заработать в твоем случае.

[kernel hacking] Есть способ, позволяющий сделать невидимый файрвол еще более невидимым :). Заключается он в том, чтобы на- учить ядро операционной системы возвращать ICMP-сообщения так, будто они отправлены с клиентского хоста, а не с файрвола. Экспериментальный патч для OpenBSD 3.5 можно взять здесь: marc.theaimsgroup.com/?l=openbsd-pf&m=108858252615179&w=2. Попробуй адаптировать его к своей версии операционки, если, конечно, ты действительно заинтересован в этой фиче

FERRUM

PC_ZONE

ИМПЛАНТ

ВЗЛОМ

СЦЕНА

UNIXOID

КОДИНГ

КРЕАТИФФ

ЮНИТЫ

104

Захват нулевого кольца

НУЛЕВОЕ КОЛЬЦО ДАЕТ ПОЛНУЮ ВЛАСТЬ НАД ПРОЦЕССОРОМ, ПОЗВОЛЯЯ ДЕЛАТЬ С НИМ ВСЕ, ЧТО УГОДНО. НА ЭТОМ УРОВНЕ

ИСПОЛНЯЕТСЯ КОД ОПЕРАЦИОННОЙ СИСТЕМЫ, ЗАГРУЖАЮТСЯ МОДУЛИ ЯДРА И ПРО- ЧИЕ НИЗКРОУРОВНЕВЫЕ КОМПОНЕНТЫ. СЧИТАЕТСЯ, ЧТО LINUX НАДЕЖНО ОБЕРЕГАЕТ НУЛЕВОЕ КОЛЬЦО ОТ ХАКЕРСКОГО ВТОРЖЕНИЯ, НО ЭТО НЕ ТАК. ЗА ПОСЛЕДНИЕ ГОДЫ ОБНАРУЖЕНО МНОЖЕСТВО ДЫР, НЕКОТОРЫЕ ИЗ КОТОРЫХ ОСТАЮТСЯ НЕЗАЛАТАННЫМИ ДО СИХ ПОР |

Покоряем ring0 в Linux

[введение] Что можно сделать с прикладного уровня? Выполнить непривилегированную команду процессора, обратиться к пользовательской ячейке памяти, дернуть системным вызовом. Запись в порты ввода/вывода, перепрограммирование BIOS, маскировка процессов и сетевых со-

единений возможны только с уровня ядра. Все хакеры стремятся в этот священный Грааль, но не все его находят. Много дорог ведет туда, поэтому я расскажу только о самых интересных из них.

[относительно честные способы взлома] С правами root'а проникнуть в ядро не проблема. Можно, например, написать свой LKM (Loadable Kernel Module — загружаемый модуль ядра) и загрузить его командой insmod. LKM-модули пишутся очень просто (это не Windows-драйвера!). Примеры готовых модулей можно найти в статье "Поиграем с туксом в прятки", там же рассказывается, как их замаскировать от взора бдительного администратора.

Другой вариант. Ядро монтирует два псевдоустройства: /dev/mem (физическая память до виртуальной трансляции) и /dev/kmem (физическая память после виртуальной трансляции). Из-под root'а мы можем манипулировать с кодом и данными ядра. Весь вопрос в том, как этого самого root'а заполучить. Легальным образом этого нельзя сделать никак! Linux обладает целым комплексом мер безопасности (только охранников в бронежилетах и машин с мигалками не хватает), однако, в системе защиты имеется множество дыр, делающих ее похожей на дуршлаг. Вот этими дырами мы и воспользуемся.

[дырка в голубом зубе] Крошечный чип Bluetooth использует навороченный протокол связи, поддержка которого проходит довольно болезненно. Практически ни одному коллективу разработчи- ков не удалось предотвратить появление новых дыр, в которые и слон пролезет, но если не слон, то червь — точно. Не стала исключением и Linux. В апреле 2005 года появилось сообщение о дыре, а следом за этим был написан Kernel Bluetooth Local Root Exploit, работающий на ядрах 2.6.4-52, 2.6.11 и некоторых других. Ошибка разработчиков состояла в том, что эти редиски разместили структуры сокета Голубого Зуба в пользовательской области памяти, тем самым открыв полный доступ к модификации всех полей. Одним из таких полей оказался указатель на код, вызываемый с уровня ядра. При нормальном развитии событий он указывает на библиотеку поддержки Голубого Зуба, но нам ничего не стоит перенаправить его на shell-код!

Ключевой фрагмент эксплойта, дающего права root'а из-под

[ELF ôàéë è åãî äàìï]

[плакат, перечисляющий основные уязвимости под Linux]

юзера, приведен ниже. Оригинальный исходный текст лежит на home.paf.net/qobaiashi/ong_bak.c, а здесь копия: www.securiteam.com/exploits/5KP0F0AFFO.html.

[ключевой фрагмент эксплойта, дающий root'а из-под юзера]

if ((tmp = klogctl(0x3, buf, 1700)) > -1)

{

check = strstr(buf, "ecx: "); printf("|- [%0.14s]\n", check);

if (*(check+5) == 0x30 && *(check+6) == 0x38)

{

check += 5;

printf("|- suitable value found! using 0x%0.9s\n", check); *(check+9) = 0x00; *(--check) = 'x'; *(--check) = '0'; mod = (unsigned int *)strtoul(check, 0, 0);

for (sock = 0; sock <= 200; sock++) *(mod++) = (int)ong_code;

if ((sock = socket(AF_BLUETOOTH, SOCK_RAW, arg)) < 0) printf("|- invalid value\n");

exit(1);

}

}

}

[эльфы падают в дамп] Самой свежей дырой, которая была найдена на момент написания этих строк, оказалась уязвимость в ELFзагрузчике, обнаруженная 11 мая 2005 года и поражающая целую серию ядер: 2.2.27-rc2, 2.4, 2.4.31-pr1, 2.6, 2.6.12-rc4 и т.д. Ошибка сидит в функции elf_core_dump(), расположенной в файле binfmt_elf.c. Ключевой фрагмент уязвимого листинга выглядит так:

[ключевой фрагмент функции elf_core_dump(), подверженной переполнению]

static int elf_core_dump(long signr, struct pt_regs *regs, struct file *file)

{

struct elf_prpsinfo psinfo;

memset(&psinfo, 0, sizeof(psinfo));

{

int i, len; /* 1 */

len = current->mm->arg_end - current->mm->arg_start; if (len >= ELF_PRARGSZ) /* 2 */

len = ELF_PRARGSZ - 1; copy_from_user(&psinfo.pr_psargs,

(const char *)current->mm->arg_start, len);

}

}

Типичное переполнение буфера! Программист объявляет знаковую переменную len (см. /* 1 */) и спустя некоторое время передает ее функции copy_form_user(), копирующей данные из пользовательской памяти в область ядра. Проверка на отрицательное значение не выполняется (см. /* 2 */). Что это значит для нас в практическом плане? А вот что! Если current->mm->arg_start будет больше, чем current->mm->arg_end, в ядро скопируется

current->mm->arg_start и current->mm->arg_end инициализируются в функции create_elf_tables(), причем если функция strnlen_user() возвратит ошибку, то будет инициализирована лишь переменная current->mm->arg_start, а current->mm->arg_end сохранит свое значение, унаследованное от предыдущего файла.

if (bss > len)

do_brk(len, bss - len); // warn

...

}

if (address + 32 < regs->esp) // warn goto bad_area;

}

if (expand_stack(vma, address)) goto bad_area;

UNIXOID 106]

[XÀÊÅÐ 07 [79] 05 >

Как мы видим, семафор mmap_sem освобождается до вызова функции do_brk(), порождая тем самым проблему синхронизации потоков. В тоже время, анализ функции sys_brk() убеждает нас в том, что функция do_brk() должна вызываться с взведенным семафором. Рассмотрим фрагмент исходного кода, позаимствованный из файла mm/mmap.c:

[ключевой фрагмент функции sys_brk(), страдающей нарушением когерентности служебных структур данных]

vma = kmem_cache_alloc(vm_area_cachep, SLAB_KERNEL); // warn if (!vma)

return -ENOMEM;

vma->vm_mm = mm; vma->vm_start = addr; vma->vm_end = addr + len; vma->vm_flags = flags;

vma->vm_page_prot = protection_map[flags & 0x0f]; vma->vm_ops = NULL;

vma->vm_pgoff = 0; vma->vm_file = NULL; vma->vm_private_data = NULL;

vma_link(mm, vma, prev, rb_link, rb_parent);

В отсутствии семафора состояние виртуальной памяти может быть изменено между вызовами функций kmem_cache_alloc() и vma_link(), и тогда вновь созданный VMA-дескриптор будет размещен совсем не в том месте, на которое рассчитывали разработчики! Для захвата root'а этого более чем достаточно.

К сожалению, даже простейший эксплоит занимает слишком много места, и поэтому не может быть здесь приведен, однако, его исходный код легко найти в Интернете. Оригинальная версия с подробным описанием техники взлома лежит на: www.is- ec.pl/vulnerabilities/isec-0021-uselib.txt.

[получаем root'а на многопроцессорных машинах] А вот другая интересная уязвимость, затрагивающая большое количество ядер с версиями 2.4/2.6 и поражающая многопроцессорные машины. Обнаруженная в самом начале 2005 года, она все еще остается актуальной, поскольку далеко не все администраторы установили соответствующие заплатки, а многопроцессорные машины (включая микропроцессоры с поддержкой Hyper-Threa- ding) в наши дни скорее правило, чем редкость.

Во всем виноват обработчик ошибок доступа к страницам (page fault handler), который вызывается всякий раз, когда приложение обращается к невыделенной или защищенной странице памяти. Не все ошибки одинаково фатальны. В частности, Linux (как и большинство других систем) выделяет стековую память не сразу, а по частям. На вершине выделенной памяти находится станица, доступ к которой умышленно запрещен. Она называется "сторожевой" (GUARD_PAGE). Стек постепенно растет и в какой-то момент "врезается" в сторожевую страницу, возбуждая исключение. Его перехватывает page fault handler, и операционная система выделяет стеку некоторое количество памяти, перемещая сторожевую страницу наверх. На однопроцессорных машинах эта схема работает как часы, а вот на многопроцессорных...

[ключевой фрагмент файла /mm/fault.c, содержащий ошибку синхронизации]

down_read(&mm->mmap_sem); /* warn */ vma = find_vma(mm, address);

if (!vma)

goto bad_area;

if (vma->vm_start <= address) goto good_area;

if (!(vma->vm_flags & VM_GROWSDOWN)) goto bad_area;

if (error_code & 4) {

Поскольку page fault handler выполняется с семафором, доступным только на чтение, несколько конкурирующих потоков могут одновременно войти в обработчик за строкой /* warn */. Рассмотрим, что произойдет, если два потока, разделяющих одну и туже виртуальную память, одновременно вызовут page fault handler. Приблизительный сценарий атаки выглядит так: поток 1 обращается к сторожевой странице и вызывает исключение fault_1. Поток 2 обращается к странице GUARD_PAGE + PAGE_SIZEивызываетисключениеfault_2.Состояниевиртуальнойпамятина момент вызова page fault handler'а двумя потоками:

Если поток 2 опередит поток 1 и первым выделит свою страницу PAGE1, поток 1 вызовет серьезное нарушение в работе менеджера виртуальной памяти, поскольку нижняя граница стека теперь находится выше fault_2, и потому страница PAGE2 реально не выделяется, но становится доступной на чтение/запись обоим потокам, при- чем после завершения процесса она не будет удалена! Состояние виртуальной памяти на момент выхода из page fault handler'а:

Что находится в PAGE2? Зависит от состояния каталога страниц (page table). Поскольку в Linux физическая память представляет собой своеобразный кэш виртуального адресного пространства, одна и та же страница в разное время может использоваться как ядром, так и пользовательскими приложениями (в том чи- сле и привилегированными процессами).

Дождавшись, когда в PAGE2 попадает код ядра или какого-ни- будь привилегированного процесса (это легко определить по его сигнатуре), хакер может внедрить сюда shell-код, или просто устроить грандиозный DoS, забросав PAGE2 бессмысленным мусором. Несмотря на довольно почтенный возраст этой уязвимости, готового эксплоита найти так и не удалось, однако, его нетрудно написать самостоятельно. Как именно это сделать, написано здесь: www.isec.pl/vulnerabilities/isec- 0022-pagefault.txt.

[заключение] Долгое время Linux считалась "правильной" операционной системой, надежно защищенной от вирусов и хакерских атак. Но это оказалось не так. Дыр в Linux'е даже больше чем в Windows, и многие из них носят критический характер. Загрузчик ELF-файлов — это настоящее гнездо. Баги отсюда так и прут. Еще больше ошибок порождается поддержкой многопоточности. Если в Windows потоки существовали изначально и проблемы синхронизации решались на фундаментальном уровне, то «чужеродная» для Linux'а многопоточность была синхронизована впопыхах.

Ошибки гнездятся вокруг семафоров. Ищи семафоры и найдешь ошибки. Какой смысл использовать готовые эксплоиты, для которых уже существуют заплатки? Хакерский код получается слишком хлипким и нежизнеспособным. Активность администраторов растет с каждым днем, сервера оснащаются системами автоматического обновления, и выживать в этом мире становится все труднее и труднее. Поэтому необходимо вести самостоятельные исследования, уметь анализировать исходный и машинный код, обнаруживая еще никому неизвестные ошибки, противоядия против которых еще не существует.

На заре истории че- ловек с винтовкой мог завоевать мир. Так чем же мы хуже? Следующая статья этого цикла расскажет, какие инструменты используются для анализа ядра Li-