Software::Kernel
Linux-Kernel soll vor Angriffen warnen
Eine neue Kernel-Funktion soll Warnungen ins Log schreiben, wenn der Kernel erkennt, dass versucht wird, eine bereits geschlossene Sicherheitslücke auszunutzen. Der jetzt vorgestellte Patch stieß auf fast allgemeine Zustimmung.
Larry Ewing
Gelingt es einem Angreifer, Schadsoftware auf einem Linux-System zu starten, sei es durch die »freundliche« Mithilfe naiver Anwender oder durch eine Sicherheitslücke einer Anwendung, dann versucht die Schadsoftware oft, eine Sicherheitslücke im Kernel zu finden, um Root-Rechte zu erhalten. Meist probiert die Software dafür eine Reihe von publizierten Lücken durch, die aber, sofern der Besitzer des Rechners Glück hat, bereits alle behoben sind. In diesem Fall bleibt der Angriff folgenlos und oft auch unbemerkt.
Das will der Oracle-Entwickler Vegard Nossum ändern. Seine Idee ist, dass beim Beheben der Lücke eine Funktion eingebaut wird, die aufgerufen wird, falls ein Angreifer genau die Bedingungen herstellen will, die zuvor die Lücke verursacht haben. Nossum experimentiert mit entsprechenden Patches bereits seit einem halben Jahr und hat sie jetzt auf der Kernel-Mailingliste vorgestellt.
Im Wesentlichen fügen seine Patches nur eine Funktion und einen Aufruf ins Linux-Audit-Subsystem hinzu. Die Funktion heißt derzeit exploit und erhält einen Informationstext, beispielsweise eine CVE-Nummer, als Argument. Derzeit führt sie nur einen Eintrag ins Kernel-Log durch, durch den ein aufmerksamer Administrator weitere Schritte einleiten kann. Es wäre aber auch denkbar, die Funktion um Abwehrmaßnahmen zu erweitern, beispielsweise das Beenden aller Prozesse des Benutzers, der den Schadcode ausführt.
In der bisherigen Diskussion wurden Argumente für und gegen die Änderung vorgebracht. Gegen den Patch spricht, dass er nur dann warnen kann, wenn der Schadcode tatsächlich versucht, bereits behobene Sicherheitslücken auszunutzen. Der Schadcode würde für den Kernel unentdeckbar bleiben, wenn er vorher anhand der Kernel-Versionsnummer prüfen würde, ob die Lücke bereits behoben ist. Allerdings kann er dabei auch falsch liegen, da die Versionsummer nicht immer ein Indikator ist, ob eine Sicherheitslücke vorhanden ist oder nicht. Gegen die neue Funktion spricht auch, dass sie Fehlalarme liefern kann und daher von den Unternehmensdistributionen wahrscheinlich deaktiviert wird, um dem Support keine Mehrarbeit aufzubürden. Offizielle Stellungnahmen gibt es zwar noch nicht, aber der Suse-Entwickler Jiri Kosina deutete an, dass es wohl so kommen werde.
Für den Patch sprechen seine Einfachheit und die Tatsache, dass der zusätzliche Code nur hinter Fehlerabfragen liegt und daher keinen Einfluss auf die Geschwindigkeit des Kernels hat. Außerdem werden Testfunktionen benötigt, um den Patch zu verifizieren, was generell als eine gute Sache gesehen wird. Diese Funktionen könnten helfen, zu verhindern, dass bereits behobene Fehler wieder auftauchen.
Außerdem würden die Markierungen den Entwicklern Hinweise liefern, wo sich Fehler häufen, und wie die typischen Fehlermuster aussehen. Dies sollte ebenfalls helfen, die Wiederholung solcher Fehler zu vermeiden, und dem Kernel zu noch höherer Qualität verhelfen. So sind sich die Entwickler einschließlich Linus Torvalds überwiegend einig, dass der Patch sinnvoll ist. Allerdings dürften nicht alle behobenen Lücken so markiert werden, sondern nur diejenigen, die zu einer unbemerkten Erlangung von erweiterten Rechten führen. Nach Ablauf von etwa fünf Jahren sollten die Markierungen wieder entfernt werden. Zwar herrscht Einigkeit darüber, dass mit dieser Maßnahme vielleicht nur wenige Angriffe verhindert oder unterbrochen werden können, aber selbst wenig ist besser als nichts. Daher wird der Patch wohl schon bald offiziell im Kernel Einzug halten.
){kind=small}
