Login
Newsletter
Werbung

Mi, 7. Februar 2018, 13:28

Software::Security

OpenWall stellt Linux Kernel Runtime Guard vor

OpenWall, ein Projekt zur Stärkung der Sicherheit freier Software, hat den Linux Kernel Runtime Guard (LKRG) vorgestellt, der die Integrität der Kernels zur Laufzeit überwachen und die Ausführung von Schadcode erkennen und stoppen soll.

Larry Ewing

Das OpenWall-Projekt hat sein nach eigenen Angaben bisher kontroversestes Projekt »Linux Kernel Runtime Guard« (LKRG) vorgestellt. LKRG ist ein Kernel-Modul, das zur Laufzeit Integritätsprüfungen im Linux-Kernel durchführt und dabei erkennen soll, wenn Schadcode ausgeführt wird, der Sicherheitslücken im Kernel ausnutzt. Das Modul ist noch stark experimentell und steht in Version 0.0 zum freien Download auf der LKRG-Webseite zur Verfügung.

LKRG wurde im Wesentlichen von Adam »pi3« Zabrocki geschrieben und hat bereits eine mehrjährige Geschichte. Es soll in der Lage sein, viele bekannte Exploits für Kernel-Sicherheitslücken zu neutralisieren. Da jeder Anwender diese Lücken bereits durch Updates beseitigt haben sollte, besteht der hauptsächliche Wert von LKRG darin, dass es auch gegen bisher noch nicht bekannte Lücken helfen kann. Allerdings lässt sich der Schutz umgehen, wenn der Schadcode weiß, dass LKRG im Einsatz ist und spezifische Maßnahmen dagegen trifft.

Dagegen könnte LKRG wiederum Maßnahmen ergreifen. Sollte LKRG populär und in der Folge selbst das Ziel von Angriffen werden, wäre ein »LKRG Pro« speziell für zahlende Kunden denkbar, mit der das Projekt finanziert und die Diversität weiter erhöht und neue Funktionalität, beispielsweise Erkennung von Container-Ausbrüchen, eingebaut wird. »Solar Designer« bezeichnet dies in der Ankündigung als »Security through Diversity«.

Wie jede Software kann auch LKRG Fehler enthalten und sogar zu neuen Sicherheitslücken führen, daher sollten die Anwender die Vorteile gegen die Risiken abwägen. Nach Meinung der Entwickler fällt diese Abwägung aber immerhin nicht so katastrophal aus wie für Windows-Antiviren- und Sicherheitsprodukte. Die Code-Größe und damit die Angriffsfläche von LKRG seien recht klein. Andererseits bestehen weniger Gründe, LKRG einzusetzen, wenn man seine Systeme schnell patchen und neu booten kann. Bei Systemen, die möglichst selten neu starten sollen, nicht über Live-Patching verfügen und somit länger verwundbar sind, wird LKRG als nützlicher angesehen.

LKRG sollte mit allen Kerneln von Red Hat Enterprise Linux 7 und Ubuntu 16.04 LTS sowie den aktuellen Kerneln von kernel.org funktionieren. Da es noch experimentell ist, ist mit gelegentlichen falschen Alarmmeldungen zu rechnen. Erkannte Integritätsverletzungen werden lediglich geloggt, und als nicht autorisiert erkannte Prozesse werden abgebrochen. Bessere Maßnahmen wären künftig denkbar.

Ein weiteres Problem von LKRG ist, dass es Geschwindigkeit kostet. Umfassende Tests wurden noch nicht vorgenommen, einzelne Tests legen aber eine Verlangsamung des Systems um 6,5 Prozent nahe. Dies ist nach Meinung der Entwickler nicht wenig und nicht in allen Fällen akzeptabel. An Optimierungen des Moduls soll zu gegebener Zeit gearbeitet werden. Weitere Informationen sind im Wiki verfügbar.

Das OpenWall-Projekt bietet Dienste wie Sicherheits-Audits und Vorträge an, schreibt sicherheitsrelevante Software wie den Passwort-Cracker John the Ripper und erstellt die OpenWall-Distribution (Owl), eine minimalistische Distribution für Server und Router. Owl beruht auf RHEL 5.11 und wird in der aktuellen Version 3.1 immer noch gepflegt.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung