A Microsoft, reconhecida por seu envolvimento ativo no desenvolvimento de tecnologias de código aberto, acaba de propor uma inovação significativa para o kernel Linux: o módulo de segurança Hornet. Este novo componente surge com o objetivo de fortalecer a segurança do sistema operacional, especialmente no que tange à verificação de assinaturas em programas eBPF.
A tecnologia eBPF (Extended Berkeley Packet Filter) tem ganhado notoriedade por permitir a execução de programas personalizados dentro do kernel Linux de maneira segura e eficiente. Suas aplicações abrangem áreas como redes, segurança e rastreamento. A Microsoft, inclusive, já demonstrou seu apoio ao eBPF ao levá-lo para o Windows e ao participar da fundação da eBPF Foundation. Agora, com o Hornet, a empresa busca aprimorar a segurança na execução desses programas.
Detalhes do Hornet
O Hornet, descrito como um módulo de segurança Linux (LSM), utiliza um esquema de verificação de assinaturas similar ao dos módulos do kernel. Ele incorpora uma assinatura pkcs#7 ao final de um arquivo executável, que é verificada durante a invocação de bpf_prog_load. Essa verificação assegura a integridade das instruções e mapas eBPF carregados no kernel. Além disso, o Hornet confia implicitamente em programas carregados diretamente do kernel, permitindo a execução de programas BPF_PRELOAD e saídas para programas BPF_SYSCALL.
“O objetivo do Hornet é manter a invariante de que todo código executado no kernel seja assinado,” explica Blaise Boscaccy, engenheiro da Microsoft, em uma postagem na lista de discussão do kernel Linux. “Ele foi projetado para funcionar bem com carregadores baseados em esqueletos leves ou qualquer programa gerado estaticamente que não necessite de reescrita de instruções no espaço do usuário.” Para facilitar o uso do Hornet, a Microsoft também propôs a inclusão da ferramenta sign-ebpf no código-fonte do kernel Linux, que permite a assinatura de programas eBPF.
A proposta de inclusão do Hornet no kernel Linux, detalhada em uma série de patches RFC, já está disponível para análise e discussão na lista de discussão do kernel Linux. A comunidade de desenvolvedores do Linux está agora avaliando a proposta, com a expectativa de que o Hornet possa trazer melhorias significativas na segurança do kernel.
A adição de um módulo de segurança como o Hornet demonstra o contínuo esforço para proteger o kernel Linux contra possíveis vulnerabilidades, especialmente em um contexto onde o uso de eBPF se torna cada vez mais comum. A verificação de assinaturas é um passo crucial para garantir que apenas programas confiáveis sejam executados no kernel, protegendo o sistema contra ataques maliciosos.
Links relevantes:
- Para mais detalhes sobre os patches RFC do Microsoft Hornet LSM, visite este link.
- Informações sobre eBPF e suas aplicações podem ser encontradas em nosso artigo o que é eBPF.
- Para acompanhar as discussões sobre segurança no kernel Linux, visite a lista de discussão do kernel Linux.