Триває обговорення Killswitch в Linux Kernel, що є аварійним механізмом. Він дозволяє привілейованим адміністраторам вимикати окремі вразливі функції ядра під час роботи системи, замість того, щоб чекати на повний випуск патчу. Ідея полягає не в усуненні помилки, а в тимчасовому закритті небезпечного коду. Killswitch має запобігти атакам у період між розкриттям вразливості та випуском патчу.

Пропозиція Саші Левіна

Пропозиція надходить від Саші Левіна, відомого співкерівника стабільних та Long-Term-Support версій ядра, що працює в NVIDIA. Він запропонував патч, який впроваджує Killswitch у Linux Kernel. Цей механізм дозволяє адміністраторам деактивувати вразливу функцію ядра на працюючій системі. Це може бути реалізовано через віртуальну файлову систему securityfs. Ефект застосовується миттєво на всіх ядрах ЦП і залишається активним, поки адміністратор не вимкне його або не перезапустить систему. Також є варіант з параметрами при завантаженні для масштабного впровадження через завантажувач.

Занадто раннє розкриття

Причиною стало нещодавнє зростання критичних вразливостей у ядрі, таких як Copy Fail і Dirty Frag. Ці вразливості були оприлюднені раніше, ніж дистрибутиви встигли підготувати і протестувати патчі. Прихильники Killswitch вважають, що краще тимчасово вимкнути функцію, ніж залишити уразливу систему працювати.

Критика підходу

Звісно, існує і критика такого глибокого втручання. Основна проблема – це надмірна радикальність цього підходу. Вимкнення неправильної функції може призвести до несподіваних змін у поведінці підсистеми або навіть всього системного програмного забезпечення. Додатково, користувачі можуть втратити наявні залежності. У процесі обговорення також піднімалося питання про те, чи не створює цей механізм нові можливості для атак або зловживань, адже Root може цілеспрямовано змінювати поведінку ядра.

Плюси і мінуси

Майк МакГрат, віце-президент Red Hat, виступив на підтримку ідеї Killswitch, підкреслюючи необхідність інтеграції таких можливостей у ядро. Зростання швидкості і важкості експлойтів завдяки LLM-скануванню є тривожним знаком. Патчі є абсолютно необхідними, але часто викликають серйозні порушення. Неконфліктні шумові патчі важливі для короткострокового захисту.

На Reddit пропозицію відзначили як ризиковану. Дехто вважає, що Killswitch може виявитися “захисною функцією, що гірша за саму вразливість”. Крім того, не всі адміністратори можуть легко оцінити, який вплив матиме вимкнення функції ядра на їхні сервіси. Це потребує тестування, що вимагає часу і зусиль.

Патч наразі проходить перевірку і ще не інтегровано в Linux Kernel. Чи буде він прийнятий, і в якій формі, покаже наступний цикл перевірок.