Представьте себе пользователя компьютера с 2010 года, мечтающего о мире, в котором Microsoft не только является активным сторонником программного обеспечения с открытым исходным кодом, но и активно вносит в него свои собственные идеи.
Это прозвучало бы фантастически, но прошло бы еще десять лет, и это именно тот мир, в котором растет число разработчиков работающих в одном направлении.
Последний поворот в романе произошел на этой неделе, когда компания опубликовала подробную информацию о Integrity Policy Enforcement (IPE), модуле безопасности Linux (LSM), предназначенном для проверки подлинности двоичных файлов во время выполнения.
Ядро Linux давно поддерживает LSM для различных специализированных целей, но Microsoft обнаружила пробел в средствах защиты, которые они предлагают в серверных средах, в частности в собственной платформе Azure Sphere IoT.
Использование IPE позволит администраторам гарантировать, что только авторизованный код имеет разрешение на выполнение с использованием подписи кода и проверкой программного обеспечения на его известные свойства.
Хотя не для общих вычислений Linux, варианты использования для IPE будут включать встроенные системы Интернета вещей (IoT), брандмауэры центров обработки данных, где администраторы имеют полный контроль над тем, что должно выполняться, и где двоичный код является «неизменным».
В идеале для наивысшего уровня безопасности:
--Микропрограмма платформы должна проверять ядро и, возможно, корневую файловую систему (например, через загрузку с проверкой U-Boot). Это позволяет проверять целостность всей системы.
Однако важно отметить, что проверка, проводимая IPE, не основывается на метаданных файловой системы, которые могут быть ненадежными.
Microsoft перечисляет три категории угроз в качестве причины своего интереса к IPE:
Перехват линкера (внедрение DLL, способ перехвата пространства памяти программного обеспечения для запуска чего-то другого).
Бинарное переписывание (предположительно, перенаправление или перехват функций внутри кода, чтобы сделать что-то вредоносное)
Вредоносное бинарное выполнение / загрузка (замена бинарного файла чем-то вредоносным)
Но что это может означать в менее абстрактных терминах?
Типичным примером является вредоносная программа Cloud Snooper Sophos Labs, руткит который может быть развернут на любом сервере Linux, в том числе размещенные в облаке.
Cloud Snooper представляет собой некоторую сложность, но ключевой момент заключается в том, что он прячется на простом сайте, развертывая драйвер уровня ядра.
Читать далее...... (много текста)
Предупреждение: Вся информация представлена исключительно в образовательных целях.
Хакеры активно используют 0 - day аппаратную часть камер видеонаблюдения.
Устройства Bluetooth (BLE) подвержены уязвимостям SweynTooth!
IoT-устройства крупных производителей, заражены крипто-майнером!