20 Απριλίου 2024

Techlog.gr

Χρήσιμα νέα τεχνολογίας

Η Huawei προτείνει νέα “Λειτουργία Sandbox” για τον πυρήνα Linux για βελτιωμένη ασφάλεια μνήμης

1 min read
Huawei growth | Techlog.gr - Χρήσιμα νέα τεχνολογίας
0
(0)

Loading

Η Huawei, ο τεχνολογικός γίγαντας της Κίνας, πρότεινε μια νέα “Λειτουργία Sandbox” για τον πυρήνα Linux με στόχο την ενίσχυση της ασφάλειας της μνήμης. Αυτή η λειτουργία θα δημιουργήσει ένα περιβάλλον όπου ο εγγενής κώδικας του πυρήνα μπορεί να εκτελεστεί αλλά με περιορισμένη πρόσβαση μόνο σε προκαθορισμένες διευθύνσεις μνήμης.

image 10 | Techlog.gr - Χρήσιμα νέα τεχνολογίας

Τι είναι η “Λειτουργία Sandbox” της Huawei;

Η “Λειτουργία Sandbox” της Huawei είναι μια πρόταση για τη βελτίωση της ασφάλειας της μνήμης στον πυρήνα Linux με την εκτέλεση εγγενή κώδικα πυρήνα σε ένα απομονωμένο περιβάλλον που επιτρέπει πρόσβαση μόνο σε προκαθορισμένες διευθύνσεις. Αυτό σημαίνει ότι:

  • Ο κώδικας δεν μπορεί να αποκτήσει πρόσβαση σε περιοχές μνήμης που δεν του έχουν εκχωρηθεί, γεγονός που μειώνει τον κίνδυνο εκμετάλλευσης ευπαθειών μνήμης.
  • Εάν συμβεί σφάλμα μνήμης, αυτό θα περιοριστεί στο περιβάλλον sandbox και δεν θα επηρεάσει ολόκληρο τον πυρήνα.

Ο κύριος στόχος της λειτουργίας Sandbox Mode (SBM) είναι να μειώσει τον αντίκτυπο των πιθανών σφαλμάτων ασφάλειας μνήμης στον κώδικα του πυρήνα, σπάζοντας τον πυρήνα. Το API του SBM επιτρέπει σε κάθε συστατικό να εκτελείται σε ένα απομονωμένο περιβάλλον εκτέλεσης. Συγκεκριμένα, οι περιοχές μνήμης που χρησιμοποιούνται ως είσοδοι ή/και έξοδοι απομονώνονται από τον υπόλοιπο πυρήνα και περιβάλλονται από σελίδες προστασίας.

Σε μια αρχιτεκτονική που υλοποιεί τα απαραίτητα άγκιστρα αρχειοθέτησης, η λειτουργία sandbox αξιοποιεί τις δυνατότητες σελιδοποίησης υλικού και τα επίπεδα προνομίων της CPU για να επιβάλει τη χρήση μόνο αυτών των προκαθορισμένων περιοχών μνήμης. Με την υποστήριξη Arch, το SBM μπορεί επίσης να ανακάμψει από παραβιάσεις της προστασίας. Αυτό σημαίνει ότι το SBM τερματίζει βίαια το sandbox και επιστρέφει έναν κωδικό σφάλματος (όπως “-EFAULT”) στον καλούντα, ώστε να μπορεί να συνεχιστεί η εκτέλεση. Αυτή η υλοποίηση παρέχει ισχυρή απομόνωση.

Πώς λειτουργεί η “Λειτουργία Sandbox”;

Η “Λειτουργία Sandbox” χρησιμοποιεί διάφορες τεχνικές για να απομονώσει τον κώδικα και να περιορίσει την πρόσβαση στη μνήμη, όπως:

  • Χωρισμός χώρου μνήμης: Ο κώδικας που εκτελείται σε λειτουργία sandbox έχει τη δική του ξεχωριστή περιοχή μνήμης, ξεχωριστή από την κύρια μνήμη του πυρήνα.
  • Επιβολή ελέγχων ταυτότητας: Όταν ο κώδικας προσπαθεί να αποκτήσει πρόσβαση στη μνήμη, ελέγχεται για να βεβαιωθεί ότι έχει την απαραίτητη εξουσιοδότηση.
  • Ανίχνευση και χειρισμός παραβιάσεων: Εάν ο κώδικας προσπαθήσει να αποκτήσει πρόσβαση σε μη εξουσιοδοτημένη μνήμη, η παραβίαση ανιχνεύεται και ο κώδικας τερματίζεται.

Ποια είναι τα οφέλη της “Λειτουργίας Sandbox”;

Η “Λειτουργία Sandbox” μπορεί να προσφέρει πολλά οφέλη, όπως:

  • Αυξημένη ασφάλεια μνήμης: Αποτρέποντας την εκμετάλλευση ευπαθειών μνήμης, η λειτουργία sandbox μπορεί να βοηθήσει στην προστασία του συστήματος από επιθέσεις.
  • Βελτιωμένη σταθερότητα: Περιορίζοντας τις συνέπειες των σφαλμάτων μνήμης, η λειτουργία sandbox μπορεί να συμβάλει στη βελτίωση της σταθερότητας του συστήματος.
  • Αυξημένη ευελιξία: Η λειτουργία sandbox μπορεί να χρησιμοποιηθεί για την εκτέλεση μη αξιόπιστου κώδικα σε ένα ελεγχόμενο περιβάλλον, βελτιώνοντας την ευελιξία του συστήματος.

Ποια είναι τα μειονεκτήματα της “Λειτουργίας Sandbox”;

Η “Λειτουργία Sandbox” μπορεί επίσης να έχει ορισμένα μειονεκτήματα, όπως για παράδειγμα η απόδοση του συστήματος αφού η απομόνωση του κώδικα και η επιβολή ελέγχων ταυτότητας μπορεί να μειώσουν την απόδοση σημαντικά.

Συμπερασματικά, η προτεινόμενη λειτουργία SandBox Mode της Huawei για τον πυρήνα Linux στοχεύει στη βελτίωση της ασφάλειας μνήμης με την εκτέλεση εγγενούς κώδικα του πυρήνα σε ένα περιβάλλον που επιτρέπει την πρόσβαση στη μνήμη μόνο σε προκαθορισμένες διευθύνσεις. Το API του SandBox Mode επιτρέπει την εκτέλεση κάθε στοιχείου σε ένα απομονωμένο περιβάλλον εκτέλεσης.

Στις αρχιτεκτονικές που υλοποιούν τα απαραίτητα άγκιστρα arch, η λειτουργία SandBox Mode εκμεταλλεύεται τις δυνατότητες σελιδοποίησης υλικού. Χρησιμοποιεί επίσης επίπεδα προνομίων CPU για να επιβάλει τη χρήση μόνο των προκαθορισμένων περιοχών μνήμης. Με την υποστήριξη arch, το SBM μπορεί επίσης να ανακάμψει από παραβιάσεις προστασίας. Αυτό σημαίνει ότι το SBM τερματίζει βίαια το sandbox. Στη συνέχεια επιστρέφει έναν κωδικό σφάλματος (π.χ. -EFAULT) στον καλούντα, ώστε να μπορεί να συνεχιστεί η εκτέλεση. Μια τέτοια υλοποίηση παρέχει ισχυρή απομόνωση.

via

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

About The Author

Δείτε ακομα