Na versão mais recente do teste v2.25 o firewall IPFire introduziu um novo método para assinar criptograficamente o módulo do kernel Linux contra rootkits. Como resultado, o invasor não pode executar uma ação ilegal usando um módulo de terceiros implantado no kernel do IPFire.
Essa nova abordagem de proteção contra rootkit do kernel pode restringir completamente as atividades de rootkits ocultos no sistema. Qualquer modificação no código do kernel agora requer validação usando uma assinatura criptográfica para verificar sua autenticidade e integridade.
O que é um rootkit?
Um rootkit é um tipo de malware que contém vários softwares que o invasor pode implantar no computador infectado. Ele pode ser usado para obter acesso root e executar qualquer ação remotamente.
No caso do kernel, o rootkit modifica principalmente o código para adicionar funcionalidades ao sistema operacional. Além disso, eles podem servir a outros propósitos, como minerar criptomoedas.
Novos recursos do firewall IPFire contra rootkits
O IPFire é um software de código aberto que ajuda a proteger a rede contra ataques externos, como negação de serviço. Seu poderoso mecanismo de firewall e sistema de prevenção de intrusões apostam muito na segurança.
Além disso, esse novo recurso eleva a segurança um nível acima para agir contra os elementos ocultos, como rootkits. Assim, o IPFire agora usa um novo protocolo para autenticar cada carregamento de um novo driver ou código no kernel usando correspondências de assinatura.
Se um invasor deseja dar algum comando malicioso para adicionar até mesmo um código de linha, ele deve exigir uma chave de assinatura para validação. E para adicionar uma assinatura, ele precisa reconstruir e reenviar todo o kernel durante o tempo de compilação do kernel.
Nem o IPFire pode modificar o código porque joga a chave fora após a compilação. Obviamente, isso também pode funcionar contra outros malwares invisíveis direcionados ao sistema Linux.
Fonte: Fossbytes