Per quasi due decenni gli hacker hanno potuto sfruttare il design della gestione della memoria utilizzata dai programmi Linux come porta per sferrare attacchi al software o al sistema: ora, grazie al meccanismo di mitigazione denominato Safe-linking creato da Check Point Software Tecnologies, questa vulnerabilità, da sola, non è più sufficiente a permettere agli hacker di prendere il controllo, ha reso noto la società di cybersecurity.
Gli attacchi di corruzione della memoria, hanno spiegato i ricercatori di sicurezza di Check Point, vengono spesso utilizzati per provare a sfruttare i programmi Linux, il sistema operativo open source più utilizzato al mondo.
I programmi Linux sono i building block core non solo per milioni di personal computer e laptop, ma anche per dispositivi Android, router Internet, prodotti IoT, smart Tv e altro ancora. Sono inoltre utilizzati per creare servizi web per istituti bancari globali, piattaforme di borse valori, le principali compagnie aeree e così via.
Tra l’altro, in parte quest’ultima ricerca riguardante la vulnerabilità di Linux si pone in prosecuzione con l’altra ricerca portata avanti alcun mesi fa sempre da Check Point e riguardante proprio i dispositivi IoT per la smart home. I ricercatori di cybersecurity avevano dimostrato come fosse possibile lanciare un attacco a un network locale mediante l’hackeraggio di un sistema di illuminazione smart, nello specifico di Philips Hue.
In quest’ultimo caso, come abbiamo detto, per molto tempo i programmi Linux sono stati vulnerabili a questo tipo di attacco, in cui l’aggressore esegue il suo codice nocivo una volta che la memoria di un sistema informatico viene alterata o modificata, di solito in aree in cui il design della gestione della memoria principale del programma, noto come l’heap, non è robusto.
I ricercatori di Check Point si sono messi dunque a studiare un metodo per porre fine a questo problema di vecchia data e hanno creato un meccanismo di sicurezza per proteggere la struttura interna dell’heap dal poter essere manomessa. Hanno chiamato questo meccanismo di sicurezza “Safe-Linking“.
Safe-Linking si avvale della casualizzazione ereditata da un meccanismo di sicurezza che è ora ampiamente distribuito nella maggior parte dei moderni sistemi operativi, chiamato Address-Space-Layout-Randomization (ASLR). ASLR seleziona casualmente un indirizzo di base in cui verrà caricato il programma, costringendo così l’hacker a indovinare gli indirizzi di memoria corretti o ricondurli ad esso utilizzando una vulnerabilità aggiuntiva e altamente specifica.
In parole povere, spiegano i ricercatori di Check Point, Safe-Linking rimuove i dati dell’indirizzo per il programma, quindi l’hacker non può più essere sicuro di dove esso verrà caricato nella memoria del sistema, rendendo molto più difficile per il cyber attacker lanciare un exploit contro il programma stesso.
Safe-Linking protegge una semplice struttura di dati chiamata single-linked list, che è una lista elementi nella quale uno di essi punta sempre a quello successivo, fino ad arrivare alla fine della lista. La protezione Safe-linking maschera il puntatore, da un elemento all’altro, utilizzando un valore segreto. Senza conoscere questo valore, gli aggressori non possono modificare la memoria per variare in modo controllabile il puntatore memorizzato.
Il design originale del meccanismo di memoria è del 2000, spiegano ancora i ricercatori di Check Point nell’illustrare in dettaglio il meccanismo da loro sviluppato. Nel 2005 è stata introdotta una protezione simile chiamata Safe-Unlinking, che però riguardava solo una parte del design stesso. I ricercatori di Check Point Sotware Technologies hanno ora trovato un modo per proteggere la parte rimanente.
Safe-Linking, sottolinea però al tempo stesso Check Point, non è una bacchetta magica che blocca tutti i tentativi di exploit contro le attuali implementazioni dell’heap. Tuttavia, è un altro passo nella giusta direzione. Costringendo un cyber attacker ad avere a disposizione una vulnerabilità pointer leak, prima di poter persino iniziare il suo exploit basato sull’heap, viene alzata ulteriormente l’asticella della sicurezza.
In base all’esperienza passata, hanno affermato i ricercatori di Check Point, questa mitigazione specifica avrebbe bloccato diversi importanti exploit implementati nel corso degli anni.
Ora, ha infine informato Check Point, l’approccio Safe-Linking è stato lanciato e integrato con successo nei sistemi più cruciali e nelle librerie core nel sistema operativo Linux.
