Microsoft presenta IPE, un nuevo módulo de seguridad para Linux
Microsoft no solo ama Linux (o eso quiere hacer ver la compañía), sino que además quiere contribuir con cosas útiles para que el kernel Open Source pueda adaptarse mejor a sus propios intereses. Para ello ha desarrollado Integrity Policy Enforcement (IPE), un Módulo de Seguridad para Linux que impone requisitos de integridad en todo el sistema.
La corporación con origen en Redmond, que a principios de siglo se erigió como la mayor enemiga de Linux, ha desarrollado IPE como un módulo de seguridad opcional que tiene como función resolver los problemas de integridad de código en Linux. No ha sido concebido para ser utilizado en la computación de propósito general, sino que sus áreas serán los servidores, sistemas embebidos y otros dispositivos que funcionen con Linux.
Microsoft explica que “ya existen múltiples implementaciones dentro del kernel Linux que resuelven alguna medida de verificación de integridad. Por ejemplo, device-mapper verity, que garantiza la integridad de un dispositivo de bloque, y fs-verity, que es un sistema que garantiza la integridad de un sistema de archivos. Lo que les falta a esas implementaciones es una medida de verificación en tiempo de ejecución de que los binarios proceden de estas ubicaciones. IPE tiene como objetivo abordar esta brecha. IPE está separado entre dos componentes principales: una política configurable, proporcionada por el LSM («IPE Core»), y los atributos deterministas proporcionados por el núcleo para evaluar los archivos, («Propiedades IPE»).”
Cuando haya sido habilitado, IPE permite a los administradores de sistema crear una lista de binarios cuya ejecución está permitida y luego añadir atributos de verificación que el kernel necesita comprobar cada binario antes de permitir su ejecución. De esta manera, si uno de los binarios ha sido alterado por un atacante, IPE se encargará de bloquear su ejecución bajo la sospecha de que podría ser código malicioso.
IPE podría apuntar a tecnologías propias de Microsoft, como Azure, donde Linux es muy popular, o incluso podría llegar a Azure Sphere, el sistema Linux para IoT desarrollado por la misma compañía. El módulo se encuentra en estado RFC para solicitud de comentarios, por lo que pasará un tiempo hasta que sea incluido en las ramas oficiales del kernel Linux.
Ya lo dijo Linus Torvalds en 2012 en una entrevista con la BBC, Linux ha tenido éxito gracias al egoísmo, así que la intención de Microsoft de introducir un componente que en un principio solo responde a sus propios intereses no tendría que sorprender a estas alturas.