Aïllant l’execució de binaris sospitosos en Linux

Compartir

GNU/LinuxUna nova funcionalitat de SELinux anomenada Sandbox permet aïllar completament el procés d’un executable sospitós de ser malware.

Guillem Alsina (guillem@imatica.org) – Una nova funcionalitat de seguretat ha estat implementada en SELinux per dos desenvolupadors del kernel del sistema operatiu del pingüí. Es tracta de la possibilitat d’executar completament un procés d’usuari (un fitxer executable) en una àrea de memòria estanca (el que tècnicament s’anomena sandbox), confinant-lo d’aquesta manera i aïllant-lo de la resta del sistema. L’objectiu és poder executar programes no confiables en un espai en què no afecti la seguretat, estabilitat i integritat del sistema operatiu ni a la resta de les aplicacions en execució.

SELinux consisteix en un conjunt de modificacions que poden realitzar-se en un sistema operatiu tipus Unix (el que inclou entre d’altres a GNU/Linux, les diferents branques de BSD i, teòricament, Mac OS X). En el sistema del pingüí, aquestes modificacions poden aplicar-se a qualsevol distribució, independentment del seu origen (ja sigui comercial o un projecte basat en la comunitat) i, de fet, moltes distros les inclouen per defecte. Entre aquests casos s’hi compten Fedora i openSUSE. La gènesi de SELinux es troba a la NSA (National Security Agency), agència governamental nord-americana encarregada de vetllar per la seguretat en les comunicacions i ajudar en l’espionatge a les comunicacions procedents d’enemics o potencials enemics dels Estats Units (o, almenys, aquesta és la seva missió oficial…).

Fins ara, SELinux podia aïllar completament (executar en una sandbox) l’execució de serveis del sistema, però no s’havien creat les eines necessàries per a poder confinar completament un procés d’usuari amb tots els recursos que aquest necessita com ara accés a la xarxa o gestió de fitxers.

Les utilitats que pot tenir aquesta funcionalitat són múltiples: des de provar un programa que hem d’instal·lar en el nostre sistema però del qual no ens refiem per qualsevol motiu (procedència, sospitar de què se li hagi injectat codi abans de la compilació, dubtes sobre si provocarà inestabilitat en el sistema,…) fins a executar programes de forma segura i aïllada de la resta de l’entorn. Per exemple, per fer una compra online, podríem executar una instància del nostre navegador web de forma segura, de manera que des de la resta del sistema no es tingués accés a la memòria cau (caché) del navegador i, per tant, a dades sensibles com ara el número de tarja de crèdit o noms d’usuari i contrasenyes.

El desenvolupament ha estat dut a terme per dos desenvolupadors del kernel Linux i, probablement, encara queden moltes possibilitats per a explotar amb ell.

Copyleft 2009 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

YCOM
Últimes entrades de YCOM (Veure'ls tots)