Software::Kernel
Grsecurity schützt Linux-Kernel vor Return Oriented Programming-Angriffen
Das Grsecurity-Projekt hat einen Patch für Linux 4.9 vorgestellt, der erstmals Angriffe, die auf Sprüngen in bereits vorhandenen regulären Code beruhen, verhindert.
Larry Ewing
Das seit 2001 bestehende
Grsecurity-Projekt um den Sicherheitsforscher Brad Spengler (Spender) entwickelt Lösungen, die den Linux-Kernel gegen Sicherheitslücken weniger anfällig machen sollen. Der neueste Patch, der für
Linux 4.9 entwickelt wurde, will einer ganzen Klasse von Problemen die Grundlage entziehen: Der Umlenkung des Programmflusses auf Code, den ein Angreifer kontrolliert. Angriffe, die dies zum Ziel haben, werden »Code Reuse Attacks« genannt. Eine andere Bezeichnung dafür ist
»Return Oriented Programming« (ROP).
Die frühere Strategie von Angreifern, Code ins System einzuschleusen, der vom Kernel ausgeführt wird, funktioniert dank vieler Sicherungsmaßnahmen heute kaum noch. Die neue Strategie ist daher, bereits vorhandenen Code auszunutzen, indem man Rückkehradressen auf dem Stack modifiziert. Daraus ergeben sich, mitunter über mehrere Zwischenschritte, Möglichkeiten, eigenen (Shell-) Code auszuführen. Bisher war es schwierig, solche Exploits zu verhindern.
Der Reuse Attack Protector (RAP) von Grsecurity soll die Lösung dieses Problems sein. Nach zwei Jahren der Entwicklung und Verfeinerung ist RAP jetzt vollständig und wurde als Patch für Linux 4.9 veröffentlicht. Laut Grsecurity bietet der Patch große Sicherheitsvorteile bei relativ geringen Auswirkungen auf die Geschwindigkeit. Im ungünstigsten Fall wird der Kernel um 5,4 Prozent langsamer. Die Entwickler haben die Geschwindigkeit von RAP mit der des Stack-Schutzes von GCC verglichen. Dabei hatte letzterer noch etwas größere Auswirkungen auf die Leistung bei deutlich geringerer Schutzwirkung.
RAP wird in einem FAQ auf Grsecurity genauer erklärt. Es gibt darüber hinaus eine Präsentation von RAP (PDF) aus dem Jahr 2015. Der neue Grsecurity-Patch steht unter der GPLv2 frei zum Download zur Verfügung. Die »kommerzielle« Version des Patches, die nur zahlenden Kunden verfügbar gemacht wird, bietet nach Angaben von Grsecurity eine verbesserte Geschwindigkeit und erweiterte Funktionalität wie statische Analyse beim Compilieren, Unterstützung der Optimierung beim Linken und Unterstützung von C++.
Ob der RAP-Patch in den Linux-Kernel aufgenommen wird, ist noch offen. Viele der Patches von Grsecurity in den Kernel zu übernehmen, ist durchaus das Ziel der um die Sicherheit von Linux besorgten Entwickler. Jedoch ist das nicht bei allen Patches möglich. Vor allem bleiben Änderungen, die die Kompatibilität eingeschränkt hätten, außen vor. Aber auch Änderungen, die die Geschwindigkeit vermindern, stoßen oft auf den Widerstand der Kernel-Entwickler. Ein Kompromiss kann sein, den Patch als Konfigurationsoption aufzunehmen. Benutzer, die ihn nicht gebrauchen können, können ihn dann deaktivieren.
){kind=small}
