Elia Tufarolo

OpenBSD cambia kernel ad ogni avvio

Si chiama KARL la nuova funzionalità in fase di test che consente la generazione di un diverso binario ad ogni boot del sistema operativo. In questo modo si cerca di non dare riferimenti ad eventuali attaccanti

Roma - Theo de Raadt, informatico canadese fondatore di OpenBSD, sta lavorando da diverse settimane ad una nuova funzionalità del kernel, in grado di offrire nuove garanzie di sicurezza. KARL (Kernel Address Randomized Link) consente di avere, ad ogni avvio del computer, un eseguibile del kernel sempre diverso dal punto di vista binario. Così facendo, un eventuale attaccante non avrebbe punti di riferimento relativamente alle funzioni del kernel che vengono utilizzate, né agli oggetti e ai puntatori che vengono allocati.

Il funzionamento di KARL ha una base logica semplice: mentre i kernel delle versioni stable di OpenBSD vengono linkati attraverso una procedura sequenziale e deterministica, i componenti dei nuovi kernel aventi KARL attivo vengono linkati in ordine pseudo-casuale: il primo componente è sempre il processo di bootstrap del kernel, seguito poi da tutti i file.c e dal runtime-system del linguaggio assembly. Il binario così ottenuto risulta sempre differente dai precedenti.

Windows e Linux, invece, hanno adottato da diverso tempo la tecnologia KASLR (Kernel Address Space Layout Randomization), la quale consiste nel caricare il kernel di volta in volta in locazioni di memoria differenti: nel caso del kernel Linux, la funzionalità è stata attivata di default a partire dalla versione 4.12. In pratica, mentre il kernel di OpenBSD viene eseguito sempre nella stessa area di memoria ma possiede un binario diverso ad ogni avvio o aggiornamento, il kernel di Windows e Linux ha sempre lo stesso binario ma viene eseguito ogni volta in un'area di memoria casuale.
Dal punto di vista teorico, non ci sarebbero impedimenti alla realizzazione di una combinazione di queste due funzionalità: un'ambizione dichiarata, secondo BleepingComputer, da Fabian Wosar, CTO della società di sicurezza Emsisoft, che starebbe collaborando con Microsoft per integrare un'implementazione di KARL all'interno del kernel di Windows.

L'annuncio dell'introduzione di KARL ha portato ad una serie di dichiarazioni - entusiastiche e non - da parte di vari utenti della comunità open-source. Alcuni hanno espresso perplessità per quanto riguarda l'affidabilità delle operazioni di linking del kernel, durante le quali un fallimento potrebbe comportare il non avvio della macchina. Un'eventualità smentita nettamente da Theo de Raadt e dallo sviluppatore Peter Hessler, i quali affermano che le operazioni sono atomiche ed il linking richiede meno di un secondo su macchine veloci, rendendo il processo estremamente affidabile e sicuro.

Elia Tufarolo
Notizie collegate
31 Commenti alla Notizia OpenBSD cambia kernel ad ogni avvio
Ordina
  • Scusate se sporco i commenti (che sono sempre pacati e in topic su questo sito) ma non sapevo dove scrivere questa rimostranza facendo si che la vedano tutti gli utenti.

    E' possibile che un sito che spero voglia reputarsi serio in homepage pubblicizzi rimedi miracolosi per perdere 23 kg bevendo a digiuno acqua e arancia/limone per sciogliere i grassi (crepando nel frattempo)? Va bene che per guadagnare si fa tutto ma un po di decenza.
    Senza contare che il link riporta a un sito dall'url chilometrico sicuramente costruito ad arte per contenere virus, malware e simili

    Chiedo nuovamente scusa per l'offtopic
    non+autenticato
  • - Scritto da: Fabrizio

    > E' possibile che un sito che spero voglia
    > reputarsi serio

    https://beatingcowdens.files.wordpress.com/2013/02..." target='_blank' rel='nofollow'>https://beatingcowdens.files.wordpress.com/2013/02..." alt='Clicca per vedere le dimensioni originali'>

    > Senza contare che il link riporta a un sito
    > dall'url chilometrico sicuramente costruito ad
    > arte per contenere virus, malware e
    > simili

    ma Maruccia poi fa un bell'articolo sul malware e sugli hakkerussi che l'hanno inventato Rotola dal ridere
    non+autenticato
  • - Scritto da: rabarbarose cco
    > - Scritto da: Fabrizio
    >
    > > E' possibile che un sito che spero voglia
    > > reputarsi serio
    >
    > [img]https://beatingcowdens.files.wordpress.com/20
    >
    > > Senza contare che il link riporta a un sito
    > > dall'url chilometrico sicuramente costruito
    > ad
    > > arte per contenere virus, malware e
    > > simili
    >
    > ma Maruccia poi fa un bell'articolo sul malware e
    > sugli hakkerussi che l'hanno inventato
    > Rotola dal ridere

    uno dei miei preferiti era "sei il milionesimo visitatore, hai vinto un iphone, clicca qui". Allora capii che la misura era colma e da allora san "ublock" venne con la sua spada di fuoco a fare giustizia di questa immondizia.
    non+autenticato
  • - Scritto da: Fabrizio
    > Scusate se sporco i commenti (che sono sempre
    > pacati e in topic su questo sito) ma non sapevo
    > dove scrivere questa rimostranza facendo si che
    > la vedano tutti gli
    > utenti.
    >
    > E' possibile che un sito che spero voglia
    > reputarsi serio in homepage pubblicizzi rimedi
    > miracolosi per perdere 23 kg bevendo a digiuno
    > acqua e arancia/limone per sciogliere i grassi
    > (crepando nel frattempo)? Va bene che per
    > guadagnare si fa tutto ma un po di
    > decenza.
    > Senza contare che il link riporta a un sito
    > dall'url chilometrico sicuramente costruito ad
    > arte per contenere virus, malware e
    > simili
    >
    > Chiedo nuovamente scusa per l'offtopic

    ma pi non e' serio. fine della discussione.
    non+autenticato
  • e secondo tutti quelli che scrivono per fare flame secondo te a cosa servono?
    la pubblicità paga e più click ci sono meglio è, più commenti ci sono meglio è poi se la pubblicità è ingannevole o ti può installare virus a p.i. non interessa niente.
    Ai flamer sarebbe meglio non rispondere a prescindere poi come ti hanno già detto p.i. non è un sito serio
    non+autenticato
  • - Scritto da: ...
    > e secondo tutti quelli che scrivono per fare
    > flame secondo te a cosa
    > servono?
    > la pubblicità paga e più click ci sono meglio è,
    > più commenti ci sono meglio è poi se la
    > pubblicità è ingannevole o ti può installare
    > virus a p.i. non interessa
    > niente.
    > Ai flamer sarebbe meglio non rispondere a
    > prescindere poi come ti hanno già detto p.i. non
    > è un sito
    > serio

    ottimo ma se non è un sito serio noi che ci facciamo qui?
    non+autenticato
  • - Scritto da: Fabrizio
    > - Scritto da: ...
    > > e secondo tutti quelli che scrivono per fare
    > > flame secondo te a cosa
    > > servono?
    > > la pubblicità paga e più click ci sono meglio è,
    > > più commenti ci sono meglio è poi se la
    > > pubblicità è ingannevole o ti può installare
    > > virus a p.i. non interessa
    > > niente.
    > > Ai flamer sarebbe meglio non rispondere a
    > > prescindere poi come ti hanno già detto p.i. non
    > > è un sito
    > > serio
    >
    > ottimo ma se non è un sito serio noi che ci
    > facciamo
    > qui?

    cazzeggiamo!A bocca aperta
    non+autenticato
  • - Scritto da: ...
    > cazzeggiamo!A bocca aperta
    Concordo (rofl)
    non+autenticato
  • Mi associo a livello di concetto ma privoxy non fa passare questo banner Sorride

    Quando un gestore di un sito capisce che mettere la pubblicità discreta vuol dire guadagnare perché degli utenti altrettanto razionali non la bloccano, altrimenti ognuno viva come vuole...
    non+autenticato
  • - Scritto da: xte
    > Quando un gestore di un sito capisce che mettere

    Solo per utenti con un briciolo di capacità. Quelli che non sanno come fare perché hanno il blocco popup e compagnia cantante si beccano la pubblicità e sono la maggioranza
    non+autenticato
  • Vuoi dire che la maggioranza degli utenti di PI non dico che usi privoxy, ma per lo meno uBlock&c? Che oramai non conoscano privacyBadger, refresh-blocker, ... ?

    Oh, parlassimo di topgirl o autoblog... Ma PI...
    non+autenticato
  • complicare la vita agli attaccanti (NSA e CIA prima di tutti) e' sempre cosa buona e giusta. OpenBSD e' pero' S.O. tipico dei server e tenere i tool di compilazione/linking presenti su un server non mi sembra una grande idea, in quanto confligge pesantemente con la politica del "sui server esposti ad internet tieni sempre lo stretto indispensabile e usa solo kernel ricompilati ad hoc su una macchina diversa".

    PS: tufrolo, ma hai cambiato la foto? mi sembra un miglioramento, prima la foto da "quattrocchi nerd sfigat segai*lo" faceva un po' brutto, ora sei passato alla modalita' "geek che piace alle donne". ohhh, si scherza, dai!
    non+autenticato
  • Se fossi un po' più scaltro ti accorgeresti che oltre alla faccia e alla foto, anche il nome è diverso perché siamo due persone diverseA bocca aperta Io sarò sempre il quattrocchi nerd sfigato e segai*lo!
  • Bravo! Ma non sminuirti troppo, nel senso del valore...
    non+autenticato
  • - Scritto da: Patrizio Tufarolo
    > Se fossi un po' più scaltro ti accorgeresti che
    > oltre alla faccia e alla foto, anche il nome è
    > diverso perché siamo due persone diverseA bocca aperta Io
    > sarò sempre il quattrocchi nerd sfigato e
    > segai*lo!

    Sappilo che quando vedi ... pallino ,o tre puntini, oppure tre palle o come tu lo voglia chiamare, stai tranquillo che e tutta merda, che fuoriesce da una testa a forma di cesso.

    Voglio dire Tufarolo, goditi la tua giornata e spercila quel cerebroleso che per 'nostra' penitenza è h24 7/7 su questo sito a dare risposte di cazzo alle sue stesse domande da cabrone.

    Spero di averti chiarito con chi ai a che fare.

    E per quanto riguarda i post sei l'unico che vale la pena di perdere quei due minuti per leggere quello che hai scritto, vista anche la tua giovane età. Che di questi tempi in piena esplosione di gioventù e giovani vuoti di cervello non è poca cosa.

    Saluti.
    non+autenticato
  • - Scritto da: Il Fuddaro

    > Spero di averti chiarito con chi ai a che fare.

    L'hai chiarito benissimo.
    non+autenticato
  • Intanto, a causa dei "tufaroli", ho ripreso a leggere articoli di PI come da anni nn mi capitava di fare, senza badare troppo ai commenti. Foto favolosa. Continua cosi
    non+autenticato
  • Vi ringrazio per i commenti di stima, ma il bello di commenti è che ognuno può scrivere e scherzare come vuoleSorride Di sicuro non me la prendo, ho assoluta stima nei confronti dei lettori assolutamente in grado di rendersi conto del valore degli articoli così come di quello dei commentiOcchiolino
    -----------------------------------------------------------
    Modificato dall' autore il 12 luglio 2017 15.50
    -----------------------------------------------------------
  • - Scritto da: Patrizio Tufarolo
    > Vi ringrazio per i commenti di stima, ma il bello
    > di commenti è che ognuno può scrivere e scherzare
    > come vuoleSorride Di sicuro non me la prendo, ho
    > assoluta stima nei confronti dei lettori
    > assolutamente in grado di rendersi conto del
    > valore degli articoli così come di quello dei
    > commenti
    >Occhiolino
    ..... visto che sei ancora un giovane virgultoA bocca aperta che risponde ai post... che ne diresti di riferire alla redazione che da una *decina d'anni* NON si puo' usare la tag [img con un sito httpS:// xche la piscia... non sara' il caso di correggere questo bug prima che l'http sparisca del tutto dal globo terracqueo?Sorride
    non+autenticato
  • Vedrò che si può fare, ma non prometto nulla

    Ciao!
  • - Scritto da: Patrizio Tufarolo
    > Vedrò che si può fare, ma non prometto nulla
    >
    > Ciao!

    Lascia perdere. Il sito che cade a pezzi è molto più divertente!A bocca aperta
    non+autenticato
  • - Scritto da: Patrizio Tufarolo
    > Vedrò che si può fare, ma non prometto nulla
    >
    > Ciao!

    Aspetta, non te ne andare, prima rispondi al quanto sto per dirti.

    Scombinare in modo imprevedibile la sequenza di istruzioni (ovviamente preservando la logica di esecuzione) può servire a rendere difficoltosa la comprensione del codice macchina (però un buon disassemblatore può risolvere il problema di reverse-engineering), ma non credo che gli hacker cattivoni si scervellino più di tanto sul codice oggetto, credo invece che i suddetti creino solo applicazioni malevole, che una volta entrate fanno la loro azione (guastatrice nel nostro caso) al pari di qualunque altro programma caricato in memoria e mandato in esecuzione, indipendentemente dall'apparente scombinamento del codice di sistema base e delle sue aree operative.
    Certamente la comprensione del codice di sistema può servire per identificare eventuali vulnerabilità, utili magari per far entrare in qualche modo galeotto il SW malevolo e magari per compiere operazioni che il SW di sistema dovrebbe impedire, ma il mio discorso è diverso: il sistema è tutto corretto e non ha buchi (supponiamolo per una volta), ma è soggetto lo stesso ad attacchi hacker, io dico, perchè il codice malevolo, ovviamente arrivato via rete, viene installato come un qualsiasi programma saricato consapevolmente (download, P2P, ...) o inconsapevolmente (sito WEB compromesso, allegati eseguibili mascherati, ...) e quindi mandato in una prima esecuzione "di installazione" con l'inganno ma sempre dietro ad una specifica azione dell'utente ingenuo, io dico. La prima installazione provvede anche a modificare registri e parametri affinchè il SW galeotto installato entri in esecuzione secondo i voleri dei malandrini.
    Stando così le cose nulla possono le tecniche KARL e KASLR ed ancor meno possono le patch di sicurezza, perchè il malware che entra si presenta come eseguibile legittimo, e non fa differenza se il sistema è perfettamente patchato o pieno di buchi. Solo un antivirus, se il malware è già stato preso in carico, può difenderci.
    In ultima analisi, gli updates di sicurezza non garantiscono un bel nulla, e tento meno lo scombinamento del codice di base.

    Sbaglio clamorosammente o m'inganno come un pisquano o cado miseramente in errore facendo la più barbina figura di nutella?