¿Hay alguna razón por la que / proc / interrupts se pueda leer en todo el mundo?

5

Leyendo este documento de investigación reciente sobre cómo utilizar la información de /proc/interrupts a atacando un sistema, me preguntaba si hay una razón particular por la que /proc/interrupts sea legible en todo el mundo. De hecho, mis informes de la máquina Arch Linux

ls -al /proc/interrupts 
-r--r--r-- 1 root root 0 24. Mai 18:03 /proc/interrupts

¿Te duele hacer que este archivo sea legible solo para root?

    
pregunta Florian 24.05.2016 - 19:11
fuente

2 respuestas

5

Ahora se puede leer en todo el mundo porque se hizo legible en todo el mundo cuando se creó hace unos veinte años. No he investigado la historia (que probablemente solo existe en la cabeza de Linus Torvalds), pero es probable que este archivo sea legible en todo el mundo porque no hay ninguna razón obvia para hacerlo. Después de todo, no contiene información confidencial: solo una configuración del sistema y algunas estadísticas de rendimiento ...

La sutileza es que mientras que tomar una instantánea de /proc/interrupts es inofensivo, leerlo en un bucle cerrado no lo es, porque revela la tasa de pulsaciones de teclado que a su vez filtra un poco de información sobre lo que se escribió.

Los canales laterales no recibieron mucha atención fuera de la criptografía hasta hace unos años, cuando los mercados de aplicaciones se convirtieron en la corriente principal y todos y su abuela ejecutan el código descargado de sitios con sombra como App Store o Google Play. Por lo tanto, no me sorprende que estos problemas (que ya existían en los sistemas multiusuario típicos en la década de 1990) se estén publicitando y estudiando con mayor profundidad en el contexto de los teléfonos inteligentes.

Cambiar el statu quo no es una decisión fácil, ya que el kernel de Linux tiene algunas inclinaciones de compatibilidad hacia atrás muy fuertes. La información en /proc/interrupts es útil al depurar el código de la aplicación o del controlador o los problemas de rendimiento del sistema.

La restricción del acceso a /proc/interrupts no bloquearía completamente el canal lateral, solo una manera relativamente conveniente de observarlo. También es posible observar el tiempo de pulsación de tecla observando cuándo está programado el proceso que los lee, y lo que debe hacer un atacante es más o menos lo que necesita el programa top (y se muestra, si solo aumenta la frecuencia de actualización predeterminada de 1Hz ).

    
respondido por el Gilles 24.05.2016 - 22:01
fuente
4

Parece que se ha informado el problema en 2011 . Además, un parche propuesto para hacer que /proc/interrupts sea legible solo por root.

Al leer el hilo, parece que consideran que las las distribuciones deberían cambiar el permiso de /proc/interrupts si quisieran. Se planteó un problema sobre el hecho de que puede ser engorroso forzar a todos los procesos de montaje para cambiar los permisos. El autor del parche también preguntó por qué esto no es el predeterminado, pero no se proporcionó respuesta (hasta el momento como yo sé).

    
respondido por el Ronny 24.05.2016 - 21:35
fuente

Lea otras preguntas en las etiquetas