36C3 Talk zu OpenBSD Security

Athaba

Libellenliebhaber
Hallo,

für Leute, denen das entgangen ist. Auf dem 36C3 gab es einen Talk zu OpenBSD[1] und dessen Security. Ich selbst fand in einigermaßen neutral, aber streckenweise verkürzt oder arbiträr[2]. Jedenfalls. Die Website[3] geht ein wenig mehr auf Details ein, als der Talk. Ich fand's gut, dass der Talk in weiten teilen scheinbar nicht emotional war, im Großen und Ganzen kein Fanboying, kein Bashing. Das sieht man leider immer seltener. Es gibt auch schon eine kleine Diskussion auf der OpenBSD Mailing Liste[4]. Derzeit ist aber noch nicht viel los.

Alles in allem finde ich die darin erwähnten Ansatzpunkte und Überblick könnten für andere Leute ganz interessant sein. Vor allem die Punkte, wo der Vortragende weit genug ins Detail gegangen ist um zu erwähnen was da ist, was man dabei noch machen kann bzw. wie andere Betriebssysteme das ausgebaut haben. Also für eine Recherche vielleicht ein ganz guter Überblick. Wie geschrieben finde ich da die Website, spannender als den Talk.

EDIT: Für die Auffindbarkeit. Der Talk hieß: A systematic evaluation of OpenBSD's mitigations

LG
Athaba

[1] https://media.ccc.de/v/36c3-10519-a_systematic_evaluation_of_openbsd_s_mitigations
[2] Wer was wann wo wie erfunden hat würde ich nicht als Kriterium für die Sicherheit einer Software nehmen.
[3] https://isopenbsdsecu.re/
[4] https://marc.info/?t=157762737400001&r=1&w=2
 
Ich fand das stellenweise zuviel Handwaving.

"Mitigation gegen X? X nutzt doch heute eh keiner mehr!"

Ja, liegt das jetzt daran, dass jeder Mitigations gegen X hat oder nicht? Würde X mehr genutzt, wenn es keine Mitigation dagegen gäbe? Der entscheidende Punkt ist dann doch eher, welche Komplexität bringt die Mitigation und haben wir _dadurch_ Nachteile?

z.B. TRAP sleds. Wem schadet es, NOPs durch Traps zu ersetzen? Das ist doch im Normalfall völlig transparent und konsequenzlos, also kann man es doch drinlassen und damit _sicherstellen_, dass es keiner nutzt, anstatt so halbgar zu schwafeln "nutzt doch eh keiner mehr, also kannst du die Hosen wieder runterlassen".

Er hat anscheinend an manchen Stellen vergessen, dass eine Mitigation ja erstmal so komplex sein muss, dass sie selbst wieder Probleme mitbringt, damit man überlegen kann, ob man sie entfernt. Andernfalls ist doch jeder Stein im Weg eines Angreifers erstmal besser als keiner, besonders wenn er billig und simpel ist.

Edit: Viel war dann auch "Haha, OpenBSD war spät dran", was ihm dann ein Zuschauer ja auch zerpflückt hat, indem er korrekt anmerkte, dass OpenBSD gar keine Vorabinfos bekommen hat, weil sie mal nicht über das NDA-Stöckchen der Hersteller gesprungen sind.

Oder alles, was PAX betrifft: PAX war kein Standardmechanismus in jeder Distri, sondern man musste sich verbiegen, damit man das in seiner Installation aktiv hatte AFAIK. Damit ist es optional Security und damit unbrauchbar, egal ob sie etwas als Erste hatten oder nicht.

Alles in Allem war das für mich nur ein Versuch, mal gegen OpenBSD zu pissen.
 
Zurück
Oben