Häufig gestellte Fragen

Der Linux-Kernel hat jedes Jahr ungefähr 120 öffentliche Schwachstellen (mit CVE-Nummer). Die Verringerung der Speicherbeschädigung kann in 3 separaten Phasen erfolgen: Phase vor der Ausbeutung, Nutzungsphase und Phase nach der Ausbeutung. VED konzentriert sich stark auf die späteren beiden und kann nichts gegen die Pre-Exploitation-Phase tun. Wir haben viele Exploit-Techniken in einer großen Anzahl von Schwachstellen von MITREs CVE + Ubuntu Security Tracker + Public PoC bewertet. Unser Bewertungsverhältnis ist größer als das des öffentlichen PoC / Exploit, aber geringer als das von Ubuntu Security Tracker. Die aktuelle Mainline-Entwicklung und das Testen von VED basieren auf dem Linux-Kernel v4.19 und v5.15. Einige Benutzer führen VED immer noch auf CentOS 7.x (v3.10) aus.

Wir entwickeln weiterhin Schutzfunktionen gegen neue Angriffsmethoden.

Ja, wenn der Angreifer einen Container als Stützpunkt verwendet und versucht, die Kontrolle über den Host zu übernehmen, indem er den Angriff auf den Linux-Kernel startet, z.B.: CVE-2021-22555.

VED hat weniger als 1% der Auswirkungen auf die Leistung in kleinen PLT-Tests (CPU-intensiv), während die Auswirkungen im E/A-intensiven Szenario mehr als 30% betragen könnten.

Ja.

VED verwendet kprobe/ftrace, um den Hook-Mechanismus zu implementieren. Debian aktiviert AppArmor standardmäßig und CentOS aktiviert standardmäßig SELinux. VED funktioniert perfekt mit Debian und CentOS. VED bietet eine voll funktionsfähige LKM-Version und eine eBPF-Version für Cloud-native Auditing-Zwecke, von denen letztere nicht über einen Hook implementiert werden muss.

x86_64 und arm64. Arm64 wird nur auf AWS Gratiton2 (armv8.2) und Raspberry 4 (armv8.0) verwendet.

Aus Sicht der Risikobewertung 1) Die Container in einer Cloud-nativen Umgebung teilen sich den Linux-Kernel, in dem die Container-Flucht zur Kompromittierung des gesamten Clusters führt. 2) Linux-Kernel, die auf Infotainment und T-Box (AUTOSAR AP) laufen, sind großen Risiken durch den unabhängigen SoC ausgesetzt, z.B.: WiFi und Bluetooth. Es gibt einige Assets, die wichtiger sind als andere, z. B.: 1) SSO-basierte Zero-Trust-Lösung (Single Sign-On). 2) Steuern Sie Knoten in der Cloud-Umgebung wie Kubernetes-Master-Knoten, OpenStack Nova-Scheduler usw. 3) Schlüsselverwaltungsserver, z. B. Knoten, die AKs (Access Keys) generieren und verteilen, Identitätsdienstknoten (Keystone) in OpenStack-Clustern usw.

VED verwendet das gleiche Open-Source-Abonnementmodell wie SuSE, RedHat und PaX / GRsecurity, dh HardenedVault unterzeichnet eine Open-Source-Abonnementvereinbarung mit dem Kunden, von der einige Folgendes umfassen: 1) HardenedVault teilt den VED-Code mit Kunden 2) HardenedVault beendet den Dienst, wenn der Kunde gegen die Vereinbarung verstößt. Aber der Quellcode, den der Kunde erhalten hat, ist immer noch GPL.

Open-Source-Abonnementbedingungen sind ähnlich, aber nicht alle Produkte basieren auf der GPL, wie VaultFuzzer, das auf der Apache-Lizenz 2.0 basiert.