LKRG – anche Linux, come Windows, si deve difendere con l’antivirus
LKRG, sta per Linux Kernel Runtime Guard
Questo progetto mira a realizzare un vero e proprio “antivirus” per Linux, o per meglio dire un modulo caricabile nel kernel e potenzialmente in grado di intercettare i possibili attacchi prima dell’arrivo delle patch. Si vuole creare un modulo accessorio da caricare direttamente all’interno del kernel per garantire a Linux misure di sicurezza limitate ma potenzialmente efficaci contro exploit e malware. I lavori su LKRG sono iniziati già nel 2011, anche se la prima versione utilizzabile – LKRG v0.0 – è stata rilasciata solo di recente. Il modulo esegue controlli sull’integrità in fase di runtime, alla ricerca di possibili vulnerabilità di sicurezza ed exploit “schierati” contro il kernel di Linux. Diversamente dai progetti alternativi come Additional Kernel Observer (AKO), pensati come patch per l’intero kernel, la natura modulare di LKRG dovrebbe migliorare in maniera sensibile la sicurezza, la stabilità e le performance del sistema. Non è un caso che esistano varianti del modulo specifiche per le principali distribuzioni Linux quali RHEL7, Ubuntu 16.04 ecc. ecc. LKRG funziona in maniera non dissimile a un antivirus per Windows, che agisce a livello di kernel per intercettare malware e attacchi; diversamente da un antivirus completo, però, LKRG può contare su dimensioni molto più compatte. Come un antivirus per Windows, suggeriscono poi gli sviluppatori, LKRG si può per sua natura bypassare se gli autori dell’attacco sanno precisamente a cosa mirare. Al momento il modulo impatta negativamente sulle prestazioni per il 6,5%, ma in futuro i risultati dovrebbero migliorare. Per quanto riguarda l’efficacia nel contrasto agli attacchi, infine, LKRG ha dimostrato efficacia nell’intercettare exploit per le vulnerabilità CVE-2014-9322 (BadIRET), CVE-2017-5123 (waitid(2) missing access_ok) e CVE-2017-6074 (use-after-free in DCCP protocol) ma non contro Dirty COW.
Fonte: il Punto Informatico
Commenti recenti