Разработчик проекта grsecurity для ОС семейства Linux Брэд Cпенглер (Brad Spengler) выступил с провокационным заявлением: большинство функций Linux, связанных с контролем привилегий учетных записей, несут в  себе угрозы для безопасности системы. Об этом сообщает ресурс Servernews.ru cj ссылкой на www.h-online.com.

Между тем, указанные функции предназначены именно для защиты данных от несанкционированного использования путем ограничения операций и ресурсов, доступных конкретным процессам и службам. Их использование позволяет во многих случаях обойтись без дополнительных механизмов защиты, например контроля доступа, основанного на ролях пользователей, или установки атрибута SUID (Set User ID) в свойствах исполняемых файлов. К примеру, в дистрибутиве OpenWall уже нет программ с битом SUID, разработчики дистрибутивов Ubuntu и Fedora также рассматривают такую возможность.

Cпенглер изучил 35 функций Linux на предмет их возможного использования при хакерской атаке. Согласно выводам исследования, 21 их них дают злоумышленникам возможность повысить свои привилегии в системе или непосредственно причинить вред.  К примеру, функция CAP_SYS_ADMIN позволяет монтировать и размонтировать файловые системы, что теоретически позволяет подменять безобидные программы вредоносным кодом. А с помощью CAP_NET_ADMIN можно настроить брандмауэр на пересылку пакетов, затем перенаправить sshd-соединения  на подставной сервер и завладеть реквизитами доступа.

C другой стороны, многие из сценариев, описанных Cпенглером, возможны лишь при специфических условиях. Некоторые пользователи даже обвиняют разработчика в «черном пиаре» с целью добавить популярности собственному защитному решению grsecurity.