Künftig soll der Kernel-Lockdown, welcher Kernel-Rechte und
Root-Account voneinander trennt, auch den Hibernation-Zustand unterstützen
- so Matthew Garret, der verantwortliche Entwickler für die
Lockdown-Patches, in
seinem Blog. Der Kernel-Lockdown hat laut Garret normalerweise
nur wenige Auswirkungen auf Nutzer - der Hibernation-Zustand, welcher
offenbar vielfach genutzt wird, wurde bisher jedoch nicht unterstützt.
Unter Linux wird beim Hibernation-Zustand ein Systemabbild in die
Swap-Partition geschrieben, wodurch ein dauerhaftes Abschalten der
Stromversorgung ermöglicht wird. Ein spezieller Header sorgt
dafür, dass der Kernel beim nächsten Start das Abbild
wiederherstellt. Bisher war es dabei nicht möglich festzustellen,
ob das Abbild tatsächlich von dem eigenen Kernel stammt. Angreifer
mit Root-Rechten hätten demnach theoretisch ein eigenes Abbild
hinterlegen und so beim Neustart ihren eigenen Code in den Kernel-Space
schleusen können. Da der Kernel-Lockdown solche Veränderungen
verhindern soll, fehlte die Hibernation-Unterstützung bisher.
Laut Garret ist eine Verifikation dafür notwendig, ob das
Hibernation-Abbild tatsächlich vom Kernel geschrieben wurde.
In seinen Patches greift er hierzu auf ein bestimmtes Register im
Trusted Platform Module (TPM) des Rechners zurück, welches
ausschließlich vom Kernel beschrieben werden kann. Aufgrund
der besonderen Funktion des TPMs kann ein verschlüsseltes Abbild
nur entschlüsselt werden, wenn die verschlüsselten Daten
mit einem zuvor im Register gespeicherten Wert übereinstimmen.
Da das Register von einem Angreifer mit Root-Rechten nicht beschrieben
werden kann, soll sich so ein manipulationssicherer Hibernation-Zustand
umsetzen lassen.
Durch das Starten eines alten Kernels wäre die Sicherheitsfunktion
umgehbar - so Garret. Mittels Secure Boot könne hier jedoch
im Startprozess auf ein TPM zurückgegriffen werden, um den
Start eines alten Kernels ohne die Schutzfunktion zu verhindern.
Die Patches wurden bereits zur
Aufnahme in Linux eingereicht.
(jb, hannover)
(siehe auch: golem.de)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|