Microsoft annuncia IPE, un modulo di sicurezza per il Kernel Linux
Abbiamo già visto come Microsoft abbia pubblicato una sua particolare versione del Kernel Linux ottimizzata per l’uso in WSL2, ma l’annuncio di questi giorni mostra al mondo come l’azienda di Redmond voglia contribuire anche al Kernel ufficiale.
Spinta probabilmente dal largo uso di Linux che viene effettuato sul proprio cloud Azure, Microsoft ha realizzato come contribuire al Kernel Linux può avere grandi benefici a prescindere, ed in questi giorni ha presentato un nuovo progetto che lo riguarda direttamente: IPE.
IPE, Integrity Policy Enforcement, è un Linux Security Module (LSM), ovvero un add-on del Kernel che aggiunge funzionalità specifiche per la sicurezza. Per fare un esempio più sulle nostre corde, due degli LSM più utilizzati al momento sono SELinux ed AppArmor.
Ma di cosa si tratta? Stando alla documentazione IPE dovrebbe risolvere il problema dell’integrità del codice, ovvero permettere di avere la sicurezza che un codice eseguito (o un file letto) su un sistema sia identico a quello fornito da una fonte fidata.
There are multiple implementations already within the Linux kernel that solve some measure of integrity verification. […] What these implementations lack is a measure of run-time verification that binaries are sourced from these locations. IPE aims to address this gap.
Ci sono diverse implementazioni già all’interno del kernel Linux assolvono alcune misure di verifica dell’integrità. […] Quello di cui deficitano queste implementazioni è una misura di verifica a run-time che i binari provengano da specifiche sorgenti. IPE vuole colmare questo gap.
In parole povere, gli amministratori potranno creare una lista di binari che possono essere eseguiti su un dato sistema ed aggiungono gli attributi di verifica che il kernel richiederà per la loro esecuzione. Se in un qualche modo questi binari vengono alterati, IPE ne bloccherà l’esecuzione.
Ovviamente questa soluzione non è pensata per un uso generalista, anche se qualche persona incredibilmente attenta potrebbe tranquillamente pensare di utilizzarlo, quanto per casi estremamente specifici in cui la sicurezza deve essere al primo posto. Gli esempi riportati, come è facilmente intuibile, sono sistemi embedded e firewall, ovvero sistemi che, tendenzialmente, cambiano poco nel tempo.
Nonostante la pubblicazione, IPE è ancora in fase di RFC (Request For Comments) e, nonostante un concorrente ci sia già (IMA), pare che la soluzione di Microsoft non necessiti di codice aggiuntivo, il che lo renderebbe ancora più sicuro.
Non lo abbiamo ancora incluso quindi, ma sicuramente sarà interessante vedere lo sviluppo di questo progetto.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.