Lockdown impedirá manipular el kernel con acceso root

Linus Torvalds acaba de aprobar un cambio bastante importante en el kernel de Linux que se comenzará a implementar con la próxima versión del kernel, la 5.4. Se trata de «Lockdown», una función de seguridad cuyo objetivo es limitar que los usuarios root puedan hacer cambios en el código del kernel.

El diseño de Linux permite que por defecto, los usuarios con privilegios elevados puedan alterar el funcionamiento del kernel, y es justamente ese diseño el que han venido aprovechando algunos tipos de malware que al obtener acceso root pueden cargar módulos del kernel para ganar acceso a todo el sistema. Este cambio fue propuesto hace varios años por Matthew Garrett, un ingeniero de Google.

‘Lockdown’ no vendrá activo por defecto, será un modulo de seguridad opcional debido al riesgo actual de que pueda causar problemas y romper sistemas existentes. Sin embargo, una vez activado, la función restringirá parte de las funciones del kernel incluso para el usuario root, lo que haría más difícil que una cuenta root comprometida pueda arrastrar al resto el sistema. Además de esto, el modulo soporta dos tipos distintos de bloqueo: uno de «integridad» y uno de «confidencialidad».

Aunque la comunidad de ciberseguridad había estado pidiendo este cambio por años, Torvalds era uno de sus principales opositores, hoy advierte que las aplicaciones que dependen de acceso de bajo nivel al hardware o al kernel podrían dejar de funcionar como resultado de activar ‘Lockdown’, y que por lo tanto no debería ser habilitado sin la correcta evaluación previa.

Fuente: Genbeta