Рождение "Шершня": Microsoft создала новый защитный модуль для Linux

Рождение "Шершня": Microsoft создала новый защитный модуль для Linux

Открытый код и pkcs#7-подписи сделают ядро безопаснее.

image

Microsoft представила Hornet — новый модуль безопасности Linux (LSM), который проверяет подписи eBPF-программ. Это очередной вклад компании в развитие Linux и технологий безопасности с открытым исходным кодом.

Microsoft уже долгое время активно поддерживает eBPF — технологию, позволяющую запускать пользовательские программы прямо внутри ядра Linux, причём безопасно и эффективно. С помощью eBPF реализуются различные задачи — от улучшения сетевой производительности до мониторинга и повышения безопасности. Microsoft не только перенесла eBPF на Windows, но и стала одним из основателей eBPF Foundation, подтверждая своё серьёзное отношение к этой технологии.

Теперь Microsoft представила Hornet — Linux-модуль, который призван усилить безопасность eBPF-программ. Hornet проверяет подписи исполняемых eBPF-файлов с помощью схемы, аналогичной той, что используется при проверке подписей модулей ядра Linux. Подпись стандарта pkcs#7 добавляется в конец исполняемого файла, и во время загрузки программы через системный вызов bpf_prog_load Hornet автоматически извлекает её из файла текущего процесса. Затем подпись используется для проверки целостности инструкций и структур данных eBPF, загружаемых в ядро.

Особенность Hornet в том, что он автоматически доверяет программам, загруженным напрямую из ядра Linux, а не из пользовательского пространства. Благодаря этому Hornet совместим с программами, предварительно загруженными через механизм BPF_PRELOAD, и обеспечивает корректную работу статически сгенерированных программ, не требующих дополнительной обработки в пользовательском пространстве.

Кроме самого модуля Hornet (доступного при включении опции SECURITY_HORNET в конфигурации ядра), Microsoft предложила также новый инструмент под названием sign-ebpf. Он предназначен специально для подписывания eBPF-программ и интегрирован непосредственно в исходный код Linux.

Пока предложение находится на стадии обсуждения, и все желающие могут ознакомиться с подробностями, изучив RFC-патчи модуля Hornet, опубликованные в репозитории Linux .

Взломают завтра? как математика предсказывает кибератаки

31 марта в 14:00 — SuperHardio Brothers* раскрывают, как превратить математическое моделирование времени атак в конкурентное преимущество вашей компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887 *герои-эксперты харденинга