Привет!
Разработчики ядра Linux решили, что иногда лучше временно «отрубить» больному ногу, чем ждать, пока гангрена доползет до сердца. В ответ на свежие дыры в безопасности, известные как CopyFail и Dirty Frag, была предложена инициатива под кодовым названием Killswitch — своего рода аварийная «красная кнопка» для системных администраторов.
Как работает этот «рубильник»
Идея проста как кирпич: если хакеры уже вовсю используют уязвимость, а патча еще нет, админ нажимает кнопку, и функции, через которые идет атака, просто перестают отвечать. Вредоносный код стучится в закрытую дверь, получает ошибку и уходит ни с чем.
Основные детали механизма:
- Быстрое реагирование: Killswitch позволяет защитить систему с минимальными усилиями еще до официального обновления ядра.
- Метод работы: Управление будет идти через интерфейс безопасности ядра, отключая конкретные подсистемы.
- Приоритеты: Разработчики считают, что временная потеря некоторых сетевых или криптографических функций — это меньшее зло, чем открытая дверь для взлома на публичных серверах.
Не все в восторге от такой «хирургии»
Естественно, в сообществе Linux такие радикальные меры вызвали бурные споры. Критики предупреждают, что подобный «рубильник» может стать палкой о двух концах:
- Стабильность под угрозой: Внезапное отключение функций может привести к непредсказуемому поведению системы и софта.
- Новые лазейки: Есть риск, что сам механизм Killswitch может быть использован злоумышленниками для саботажа.
- Критическая необходимость: На многих серверах те самые «уязвимые» функции жизненно важны для работы, и их отключение равносильно остановке всего бизнеса.
Пока что идея находится на стадии рассмотрения, но сам факт того, что в ядро хотят встроить штатную систему самокалечения ради безопасности, говорит о том, насколько серьезными стали современные угрозы. Пингвину предлагают научиться задерживать дыхание, чтобы не вдохнуть отравленный газ, даже если при этом у него немного посинеет клюв.
