Ein echter Mikrokernel mit Treibern im User-Kontext bietet aus sicherheitstechnischen Überlegungen natürlich Vorteile. Dem stehen allerdings erhebliche Performancenachteile gegenüber, da sich Mikrokernel und Treiber nicht direkt aufrufen können.
Um die Kommunikation zu ermöglichen, muss Message-Passing implementiert werden. Zudem wird bei jedem Aufruf ein Context-Switch fällig, der die Leistung stark reduziert. Die Tanenbaum-Torvalds-Debatte hat der Anwender längst entschieden. Das auf User-Mode-Treibern basierende Minix 3.0 führt ein Nischendasein im Vergleich zum Monolithen Linux.
Im Gegensatz dazu ist Virtualisierung per Hypervisor im Kommen. Hier bietet sich die Chance, eine weitere Kontrollinstanz mit sehr geringer Angriffsfläche zu etablieren. Dem Betriebssystem wird unter der Kontrolle des Hypervisors nur vorgekauelt, dass es volle Kontrolle über die Hardware besitze.
Voraussetzung ist allerdings, dass das Betriebssystem dafür konzipiert ist, mit einem Hypervisor zusammenzuarbeiten. Dies ist heute nur bei paravirtualisierten Linux-Kerneln und Windows Server 2008 der Fall. Ansonsten kann der Betriebssystemkernel zwar nicht auf die echte Hardware zugreifen, aber Schaden in der virtuellen Maschine anrichten, was im Endeffekt keinen Unterschied macht.
Bei Kerneln heutiger Bauart ist aus Expertensicht vor allem die laxe Reaktion der Hersteller problematisch. Die Lieferanten der Betriebssysteme sowie die Hersteller von Third-Party-Treibern benötigen mitunter sehr lange, um Schwachstellen innerhalb des Kernels zu beheben. Dies ist in vielen Fällen aber auch nicht weiter verwunderlich, da heutige Betriebssystem-Kernel sehr komplex sind und die darin vorgenommenen Änderungen gravierende Auswirkungen nach sich ziehen können.
Zudem halten viele Hersteller nur über verhältnismäßig geringe Ressourcen bereit, um die Schwachstellen innerhalb einer adäquaten Zeitspanne zu beheben. Um diesem latenten Missstand ein Ende zu bereiten, verfügten die Spezialisten jedoch nur über rudimentäre Möglichkeiten im Linux-Umfeld in Form der grsecurity-Kernel-Patches, sowie der neuen Kernel-Option mmap.min.addr, um Memory-mapped-Files nicht in Speicherbereiche des Kernels laden zu können.
Auch Werkzeuge wie der RK Profiler können nichts gegen Kernel-Schwachstellen ausrichten. Sie sind lediglich ein gutes Werkzeug, um entsprechende Kernel-Rootkits ausfindig zu machen.
Neueste Kommentare
Noch keine Kommentare zu Core Wars: Gefahr durch Schwachstellen im Kernel
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.