Linux İzleme Aracı Meltdown Saldırılarına Karşı

Güvenlik şirketi SentinelOne, saldırganların Meltdown güvenlik açığından yararlanmaya çalıştıklarında uyaracak ücretsiz bir izleme aracı yayınladı.

Siber güvenlik şirketi SentinelOne, Meltdown ve Spectre tarafından ortaya atılan birçok sorunla uğraşıyor ve bu problemden etkilenen her kesime biraz zaman kazandırmış gibi görünüyor. Meltdown güvenlik açığından yararlanma girişimleri konusunda yöneticileri bilgilendirmek için tescilli ve kullanımı ücretsiz bir Linux izleme aracı yayınladı ve böylece saldırıları durdurmak için harekete geçilebilir. Maalesef, bu araç Spectre açıklarına yönelik değil, sadece Meltdown açıklarına yönelik. Sistem yöneticileri, Meltdown ve Spectre’in donanımsal açıklarının ortaya çıkmasıyla büyük bir şaşkınlık yaşadılar ve bu sorunun çözülmesi için yamalar çıkardılar. Ancak yamalar mevcut olmasına rağmen, etkilerinin ne kadar başarılı olduğu konusunda bilgiler ve veriler daha azdır ve bu yamaların kurulduğu bilgisayarlarda iş yüküne göre değişen bir performans sunar. Bu durum da kullanıcıların yamaları kurma isteğini yok ediyor ve yamaların bir sistem genelinde kabul edilemez derecede bir etkisi olabileceğinden korkuyorlar. Öte yandan da, mevcut seçenekleri tamamen test etmek için beklemek isteyen kullanıcılar da sistemlerinin saldırıya açık olmasından korkuyorlar. Kesin bir karar verebilmek kesinlikle inanılmaz derecede zor şu anda.

Meltdown, eğer haberlerden duymadıysanız, bazı ARM yongalarına ve muhtemelen IBM Power işlemcilerine ek olarak, son birkaç on yılda üretilen neredeyse tüm Intel yongalarını etkileyen bir donanım tasarımı kusurudur. Linux, Windows ve MacOS çalıştıran makinelerin riske attığı işletim sisteminden bağımsızdır. Güvenlik açığı, mevcut işlemin bellek alanına eşlenen herhangi bir adresdeki verileri okumak için kullanılabilir.

Blacksmith izleme aracı, kötücül önbelleğe alma davranışına yönelik süreçleri izlemek için modern yonga setleri üzerindeki performans sayma özelliğini kullanmak için Linux’un dahili performans olayları izleme aracını kullanır. Daha eski işlemciler ve sanal ortamlar için Blacksmith , Meltdown saldırısına işaret eden belirli bir sayfa hatasını tespit eder.

Çarşamba günü yayınlanan bir blogda SentinelOne’un ürün yönetimi direktörü Migo Kedem, Blacksmith izleme aracının bir saldırı girişimi tespit ettiğinde bunu Syslog’a raporladığını; daha sonra Syslog’a yerel olarak kaydedilebileceğini, e-postayla gönderildiğini veya uzak Syslog sunucusuna gönderildiğini söyledi. Ayrıca Kerem, “Bu durum, her bir kullanıcının saldırının uygun görüldüğü şekilde temizlenmesini sağlar” dedi. Peki neden Blacksmith , Windows veya MacOS yerine Linux’a odaklanıyor? Kedem’e göre iki nedeni var:

“[İlk olarak] Linux, bu tür saldırılara karşı çok hassastır çünkü kapsamlı bir çözüm bulunmamaktadır” dedi. “İkincisi, Linux dünyanın en büyük süper bilgisayarlarının tercih edilen işletim sistemidir ve bu nedenle saldırganlar için yüksek değerli bir hedeftir.”

Birinci neden tartışılabilir. Linux’un Meltdown saldırılarına karşı diğer iki marka işletim sisteminden daha fazla hassas olduğunu gösteren hiçbir kanıt görmedim ve bu kusur için Linux yamaları da yaklaşık bir ay boyunca mevcuttu.

Gerçek şu ki, ne yonga üreticileri ne de işletim sistemi geliştiricileri Meltdown ve Spectre ile uğraşmıyor ve önümüzdeki yıllarda uğraşmayacak. Perşembe günkü üç aylık raporunda Intel CEO’su Brian Krzanich, şirketin bu sene sorunu iyileştirecek güncel çipleri piyasaya sürmeyi planladığını söyledi. Hassas veya kritik veriler içeren sunucular için kabul edilebilir tek alternatif bir donanım düzeltmesi bu olabilir.

Spectre güvenlik açığı saldırılarına karşı da SentinelOne’ın benzer bir izleme aracı üzerinde çalıştığını bildiriyor. Blacksmith , SentinelOne web sitesinde indirilebilir ve Ubuntu 17.04 ve 17.10’da test edilmiştir.

 

http://www.itprotoday.com/network-security/linux-monitoring-tool-detects-meltdown-attacks

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir