James Morris, správca bezpečnostného subsystému jadra Linux, ktorý vedie „Linux Spoločnosť Emerging Technologies predstavila projekt Litebox, ktorý je prezentovaný ako operačný systém zameraný na bezpečnosť vo forme knižnice (Library OS). Litebox sa dá použiť v programoch alebo jadrách ako dodatočná izolačná vrstva, ktorá blokuje prístup k nepotrebným funkciám jadra alebo API, aby sa znížila plocha pre útok. Kód projektu je napísaný v jazyku Rust a je open-source pod licenciou MIT.
Myšlienka „Library OS“ spočíva v tom, že služby operačného systému sú priamo vložené do aplikácií namiesto prístupu k externému jadru operačného systému prostredníctvom systémových volaní. V kontexte Liteboxu sú aplikácie pripojené k izolačnej vrstve, ktorá poskytuje minimálnu platformu prekladajúcu požiadavky do externého, plne funkčného API. Takýmto externým rozhraním môže byť jadro. Linux, chránené izolované prostredia OP-TEE (Open Portable Trusted Execution Environment), prostredia Webassembly alebo štandardná knižnica RustStd.
Minimálna platforma vytvorená prostredníctvom Liteboxu je vhodná na spúšťanie aplikácií. Linux, Windows a FreeBSD, vstavané jadrá Linux a LVBS (Linux Zabezpečenie založené na virtualizácii). Medzi možné oblasti použitia Liteboxu patrí zabezpečenie spustenia nemodifikovaných Linux-programy v Windows, izolácia vykonávania Linux-aplikácie na systémoch s jadrom Linux, spúšťanie programov nad AMD SEV SNP na šifrovanie pamäte, spúšťanie programov OP-TEE v Linux a izoláciu s využitím konceptu LVBS.
Projekt LVBS, ktorého členovia sa podieľajú na vývoji Liteboxu, vyvíja metódy na ochranu komponentov jadra. Linux, využívajúc možnosti hypervízora a virtualizácie hardvéru. Hypervízor môže napríklad izolovať operácie, ako je autentifikácia modulov, overovanie a riadenie prístupu k heslám, kľúčom, štruktúram jadra a ďalším kritickým zdrojom. Ak sa zneužije zraniteľnosť a jadro bude napadnuté, útočník nebude mať prístup k takýmto zdrojom, pretože ich obslužné programy sa vykonávajú mimo aktuálnej úrovne privilégií. V kontexte projektu LVBS sa Litebox považuje za „zabezpečené jadro“, ktoré chráni bežné hosťovské jadro pomocou virtualizácie hardvéru.
Zdroj: opennet.ru
