Microsoft annuncia IPE, un modulo di sicurezza per il Kernel Linux

Abbiamo già visto come Microsoft abbia pubblicato una sua particolare versione del Kernel Linux ottimizzata per l’uso in WSL2, ma l’annuncio di questi giorni mostra al mondo come l’azienda di Redmond voglia contribuire anche al Kernel ufficiale.

Spinta probabilmente dal largo uso di Linux che viene effettuato sul proprio cloud Azure, Microsoft ha realizzato come contribuire al Kernel Linux può avere grandi benefici a prescindere, ed in questi giorni ha presentato un nuovo progetto che lo riguarda direttamente: IPE.

IPE, Integrity Policy Enforcement, è un Linux Security Module (LSM), ovvero un add-on del Kernel che aggiunge funzionalità specifiche per la sicurezza. Per fare un esempio più sulle nostre corde, due degli LSM più utilizzati al momento sono SELinux ed AppArmor.

Ma di cosa si tratta? Stando alla documentazione IPE dovrebbe risolvere il problema dell’integrità del codice, ovvero permettere di avere la sicurezza che un codice eseguito (o un file letto) su un sistema sia identico a quello fornito da una fonte fidata.

There are multiple implementations already within the Linux kernel that solve some measure of integrity verification. […] What these implementations lack is a measure of run-time verification that binaries are sourced from these locations. IPE aims to address this gap.

Ci sono diverse implementazioni già all’interno del kernel Linux assolvono alcune misure di verifica dell’integrità. […] Quello di cui deficitano queste implementazioni è una misura di verifica a run-time che i binari provengano da specifiche sorgenti. IPE vuole colmare questo gap.

In parole povere, gli amministratori potranno creare una lista di binari che possono essere eseguiti su un dato sistema ed aggiungono gli attributi di verifica che il kernel richiederà per la loro esecuzione. Se in un qualche modo questi binari vengono alterati, IPE ne bloccherà l’esecuzione.

Ovviamente questa soluzione non è pensata per un uso generalista, anche se qualche persona incredibilmente attenta potrebbe tranquillamente pensare di utilizzarlo, quanto per casi estremamente specifici in cui la sicurezza deve essere al primo posto. Gli esempi riportati, come è facilmente intuibile, sono sistemi embedded e firewall, ovvero sistemi che, tendenzialmente, cambiano poco nel tempo.

Nonostante la pubblicazione, IPE è ancora in fase di RFC (Request For Comments) e, nonostante un concorrente ci sia già (IMA), pare che la soluzione di Microsoft non necessiti di codice aggiuntivo, il che lo renderebbe ancora più sicuro.

Non lo abbiamo ancora incluso quindi, ma sicuramente sarà interessante vedere lo sviluppo di questo progetto.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , , , ,