Confira !!
Os pesquisadores de segurança da Intel têm trabalhado na implementação de suporte de controle de fluxo de integridade (CFI) de baixa granularidade otimizada para cadeia de ferramentas, além da tecnologia de fiscalização de fluxo de controle (CET) baseada em hardware da Intel. Aproveitando a Intel CET, a sobrecarga de Integridade do Fluxo de Controle é muito menor do que a abordagem baseada em software / compilador pura. Esta melhoria de segurança do Linux está sendo trabalhada sob o nome de FineIBT.
Voltando a fevereiro foram as primeiras discussões de segurança por pesquisadores e engenheiros da Intel sobre o fornecimento de CFI refinado em cima da CET da Intel - enquanto isso, os próprios patches de CET demoram muito para chegar ao kernel do Linux . O suporte de hardware CET estreou com Tiger Lake para ajudar a evitar possíveis ataques do estilo ROP e COP / JOP. O suporte ao CFI para o kernel, entretanto, viu o suporte upstream inicial no Linux 5.13 ao usar o Clang . CFI adiciona verificações de tempo de execução pelo compilador para cada função indireta para garantir que o destino seja uma função válida com um tipo estático válido. A combinação dessas tecnologias pela Intel é conhecida como FineIBT e permite políticas mais restritivas do que as que podem ser fornecidas apenas pela CET e consideradas mais eficazes contra ataques de fluxo de controle.
Enquanto os proponentes do CFI afirmam que o uso do recurso de segurança baseado em compilador adiciona apenas cerca de 1% da sobrecarga, os pesquisadores da Intel resumem o Clang CFI como tendo uma sobrecarga de 5 a 53%. Enquanto isso, a Intel afirma que sua solução FineIBT tem apenas 1 ~ 7% de overhead. Esses números são baseados em alguns micro-benchmarks personalizados que escreveram para comparar essas duas soluções.
Embora não tenhamos ouvido muito sobre o FineIBT desde a proposta original em fevereiro e o seu código LLVM / Clang foi modificado não foi atualizado desde março, parece que a Intel ainda está buscando essa tecnologia. O Linux Security Summit que acontecerá no mês que vem agora tem em sua programação uma apresentação sobre ele.
Então, no final de setembro, devemos ouvir sobre os últimos esforços da Intel em torno do FineIBT para o kernel Linux e quaisquer novos desenvolvimentos ou planos para obter o suporte resolvido.
Até a próxima !!
Nenhum comentário:
Postar um comentário