Como sempre, Linux está sempre muito a frente quando o assunto é inovação na parte de segurança. Em um vídeo sobre o Android eu dividi segurança em partes diferentes para mostrar como realmente funciona e a fim de desmistificar o assunto.
Desta vez o kernel Linux receberá recurso de Integridade no fluxo de controle (CFI = Control-flow integrity). A ideia foi apresentada por Kees Cook na linux.conf.au deste ano em Gold Coast, Australia. Control-flow Intigrity é uma técnica utilizada para reduzir a habilidade de redirecionar a execução de um programa evitando que ataques escalem privilégio de administrador.
O Clang já possui alguns recursos que podem dar assistência e manter control-flow integrity e que tem sido aplicado ao kernel Android.
A ideia surgiu analisando de ataques históricos relacionados a antivirus. O user space pode escrever (gravar) e executar em qualquer lugar no address space mas não pode escrever na área reservada ao kernel space. Uma falha de escrita no kernel poderia permitir que algo no user space seja gravado no kernel memory. Daí surge a ideia do CFI assegurar que tentativas indiretas vão para seus respectivos endereços.
Mais sobre o LLVM/Clang
NÃO SE ESQUEÇA DE SE INSCREVER NO MEU CURSO DE MIGRAÇÃO PARA LINUX. |
Nenhum comentário:
Postar um comentário
Viu algum erro e quer compartilhar seu conhecimento? então comente aí.
Observação: somente um membro deste blog pode postar um comentário.