yoEn la última versión de la prueba v2.25 – Actualización principal 142, IPFire ha introducido un nuevo método para firmar criptográficamente el módulo del kernel de Linux. Como resultado de esto, el atacante no puede ejecutar una acción ilegal utilizando un módulo de terceros implementado en el núcleo IPFire.
Este nuevo enfoque de protección de rootkits de kernel puede restringir completamente las actividades de rootkits ocultos en el sistema. Cualquier modificación al código del núcleo ahora requiere validación usando una firma criptográfica para verificar su autenticidad e integridad.
¿Qué es un rootkit?
Un rootkit es un tipo de malware que contiene varios programas que el atacante puede implementar en la computadora infectada. Se puede utilizar para obtener acceso de root y realizar cualquier acción de forma remota.
En el caso del kernel, rootkit modifica principalmente el código para agregar funcionalidad dentro del sistema operativo, como cambiar el comportamiento de las llamadas al sistema. También pueden servir para otros fines, como extraer criptografía o agregar otro soporte de formato de archivo.
Nuevas características en IPFire contra rootkits
IPFire es un software de código abierto que ayuda a proteger la red de ataques externos como la denegación de servicio. Su potente motor de firewall y su sistema de prevención de intrusiones apuestan por la seguridad.
Y la nueva característica lleva el nivel de seguridad un nivel para actuar contra los elementos ocultos como rootkits. IPFire ahora usa un nuevo protocolo para autenticar cada carga de un nuevo controlador o código en el kernel utilizando coincidencias de firma.
Si un atacante quiere dar un comando malicioso para agregar incluso un código de línea, debe requerir una clave de firma para la validación. Y para agregar una firma, necesita reconstruir y reenviar todo el núcleo durante el tiempo de compilación del núcleo.
Ni siquiera IPFire puede modificar el código porque arroja la clave después de la compilación. Por supuesto, esto también puede funcionar contra otro malware invisible que se dirige al sistema Linux.