Software::Kernel
Vortrag über das Kernel Self Protection Project
Das im letzten Jahr begonnene Kernel Self Protection Project versucht, Systeme, die den Linux-Kernel verwenden, robuster gegen Angriffe zu machen.
Larry Ewing
Tux, das Linux-Maskottchen
Der Kernel- und Debian-Entwickler Kees Cook, der derzeit bei Google an der Sicherheit von ChromeOS arbeitet, berichtete im August auf dem Linux Security Summit
in einem Vortrag über die Arbeit des
Kernel Self Protection Project (KSPP). Dieses
vor rund einem Jahr gestartete Projekt ist angetreten, um aktuelle und künftige Angriffsszenarien durch in den Kernel eingebrachte Änderungen zu entschärfen.
Der Linux-Kernel ist zwar sicherer als proprietäre Alternativen, enthält jedoch auch immer wieder Sicherheitslücken. Diese haben laut Cook im Durchschnitt eine Standzeit von rund fünf Jahren von der Entstehung bis zur Schließung der Lücke. Cook, der früher den Ubuntu-Kernel betreute, untersuchte behobene Sicherheitslücken in diesem Kernel von 2011 bis 2016.
Dabei zählte er im Zeitraum dieser fünf Jahre über 500 Sicherheitslücken. Diese setzten sich aus 2 als »critical«, 34 als »high«, 334 als »medium« und 186 als »low« klassifizierten Lücken zusammen. Die Erhöhung der Sicherheit des Linux-Kernels wird laut Cook künftig noch viel drängender als bisher. KSPP habe zwar bereits einiges erreicht, es verbleibe aber noch viel zu tun.
Neben den bereits in vielen Geräten schlummernden Sicherheitslücken, die durch fehlende Kernel-Aktualisierungen nicht geschlossen werden, sieht Cook eine noch viel größere Bedrohung in der zunehmenden Verwendung von Geräten für das Internet der Dinge (IoT), die eine wesentlich längere Lebenszeit als etwa Smartphones haben werden und somit Sicherheitslücken länger überleben können. Auch selbstfahrende Autos stellen künftig ein Risiko dar, das sogar Menschenleben gefährden könnte. Cook erläuterte, der Linux-Kernel werde von Angreifern auf Änderungen überwacht. Dabei entdeckte Lücken würden geheim gehalten, um sie später in Angriffen nutzen zu können.
Das KSPP-Projekt, das unter dem Dach der Linux Foundation arbeitet, erfährt derzeit Unterstützung von rund fünf Entwicklern, die Finanzierung übernehmen etwa 10 Unternehmen. Zur Zeit arbeiten die Entwickler an etwa 20 Techniken, um übliche Angriffsszenarien zu entschärfen. Zudem werden Patches aus den Sicherheitserweiterungen Grsecurity und PaX in den Mainline-Kernel eingebracht.