De acuerdo con los investigadores de seguridad, vulnerabilidades de Linux podrían mitigarse completamente o “disminución” a “menos-que-crítico” gravedad a través de un diseño de OS que se basa en un microkernel verificado.
Para probar su punto, un grupo de investigadores académicos y respaldados por el gobierno lleve a cabo un estudio exhaustivo de defectos críticos Linux. Sus hallazgos demuestran que no hay casi un defecto que no puede ser mitigado a menos de crítica. Además, el estudio revela que 40% de defectos podrían ser totalmente exterminados, con la ayuda de un microkernel verificado. Los investigadores forman un grupo de Data61, Organización de Investigación Industrial y Científica del gobierno australiano (CSIRO) y la Universidad de Nueva Gales del Sur en Sydney.
El estudio está a punto de ser presentado durante Apsys 2018 (Taller ACM Asia y el Pacífico sobre Sistemas). Su papel dice que:
Los beneficios de la seguridad de mantenimiento de base informática de confianza de un sistema (TCB) pequeña durante mucho tiempo ha sido aceptado como un axioma, al igual que el uso de los límites internos de protección para limitar el daño causado por la explotación. Aplicado al sistema operativo, Esto aboga por una pequeña microkernel como el núcleo de la TCB, con servicios del sistema operativo separan en componentes mutuamente protegidas- (servidores) - en contraste con los diseños monolíticos '.
Basándose en un diseño de microkernel hace que la mayoría de los componentes aislados el uno del otro, se ejecuta con privilegios de seguridad reducidos. Esto hace que sea más difícil para una vulnerabilidad que conducen al compromiso de todo el sistema. Esto también proporciona un control preciso sobre los derechos de acceso en el sistema de, permitiendo así un diseño de privilegios mínimos, investigadores señalar. Esto a su vez proporciona un control preciso sobre los derechos de acceso en el sistema de, y permite un verdadero diseño de privilegios mínimos.
En un sistema operativo monolítico, una comprometedora (proporcionada por el kernel) Servicio compromete todo el sistema, Por lo tanto, el núcleo completo de varios millones de SLOC está en TCB de cada aplicación. A diferencia de, en un sistema basado en microkernel, la TCB de una aplicación se vuelve dependiente de los servicios del sistema que utiliza altamente.
Esta regla también se puede aplicar a Windows y MacOS, a pesar de que el papel sólo se centra en Linux. El núcleo de Windows, por ejemplo, es cada vez más grande, con una versión reciente dice que es 60 a 65 MSLOC, el documento dice.
¿Cómo se realizó la investigación?
Los investigadores analizaron cada fallo de seguridad crítico en el núcleo de Linux que está enumerado en el repositorio de CVE 2017. Con este análisis, los investigadores querían ver si un enfoque microkernel mejoraría el estado de la seguridad. Sus resultados muestran que 96% errores críticos de Linux dejarían de ser crítico Si se introduce un diseño basado en microkernel. Además, 40% de estos defectos podrían ser eliminados por completo con un microkernel verificada, y 29% serían exterminados con un microkernel no verificada.
Un buen ejemplo es el defecto CVE-2015-4001 que se describe como un desbordamiento del búfer en la función stellaris_enet_receive en hw / net / stellaris_enet.c en QEMU, cuando el controlador de Ethernet Stellaris está configurado para aceptar paquetes grandes. La vulnerabilidad permite a los atacantes remotos provocar una denegación de servicio (accidente QEMU) a través de un paquete grande.
Al parecer,, esta vulnerabilidad se elimina por completo por un microkernel:
Un ejemplo de esta categoría es CVE-2.015-4.001, que describe un error número entero de signo en el controlador de OZWPAN. Este controlador es un controlador de dispositivo controlador de host USB que no tiene un dispositivo de hardware asociado a él, pero en su lugar se utiliza para comunicarse con un periférico inalámbrico a través de Wi-Fi. El error número entero de signo puede conducir al resultado de una resta convertirse en negativo, causando una operación memcpy interpretar el valor como una intención de copiar grandes cantidades de datos de la red-suministrado en un búfer de pila. Un atacante puede insertar una carga útil en un paquete diseñado para disparar el error e inyectar datos. Desde Linux carga el controlador en el kernel, que podría causar una denegación de servicio al chocar el núcleo, o posiblemente podría ejecutar código arbitrario con privilegios de kernel.
Para una descripción técnica completa, referirse a la plena papel.