Tool Linux Gratis Monitor Sistem untuk Serangan Meltdown

Tool Linux Gratis Monitor Sistem untuk Serangan Meltdown

SentinelOne minggu ini merilis Blacksmith, alat Linux gratis yang dapat mendeteksi upaya eksploitasi kerentanan Meltdown , sehingga administrator sistem dapat menghentikan serangan sebelum berakar.

Perusahaan telah bekerja pada alat serupa untuk mendeteksi serangan kerentanan Specter.

Meski gratis, Blacksmith bukan open source. SentinelOne memutuskan untuk mempercepat pengembangannya di rumah untuk menghemat waktu, kata Raj Rajamani, wakil presiden manajemen produk.

Perusahaan telah membuat alat ini tersedia untuk semua orang secara gratis dengan harapan mengamankan sistem Linux sementara patch yang handal dikembangkan, katanya kepada LinuxStandard.

Kerusakan Meltdown mempengaruhi chip Intel dan sistem berbasis Linux. Cacat desain serupa, Spectre, mempengaruhi chip AMD dan ARM. Tidak ada solusi komprehensif saat ini tersedia untuk cacat baik.

Meltdown adalah cacat desain di semua chip Intel yang diproduksi dalam dekade terakhir. Ini menciptakan kerentanan yang menempatkan komputer Linux, Windows dan macOS-powered beresiko. Cacat ada di kernel yang mengontrol kinerja chip yang memungkinkan program yang biasa digunakan untuk mengakses konten dan tata letak area memori kernel yang dilindungi komputer.

Alat Blacksmith SentinalOne menarik untuk beberapa alasan, kata Charles King, analis utama di Pund-IT .

“Kompleksitas yang melekat pada masalah ini menunda perbaikan yang efektif,” katanya kepada Linux Standard. “Dengan itu dalam pikiran, memiliki akses ke alat, gratis efektif untuk bercak eksploitasi Meltdown bisa berharga bagi banyak organisasi dan bisnis TI, terutama dalam jangka pendek.”

Inisiatif Penelitian
SentinelOne Security Researcher Dor Dankner menggunakan teknik deteksi perilaku untuk mengembangkan alat yang mampu menangkap eksploitasi Meltdown.

Alat ini melampaui semua penawaran yang tersedia saat ini, beberapa di antaranya hanya menyatakan jika perangkat terkena atau tidak, kata Rajamini.

Dankner dan rekan peneliti, termasuk SentinelOne Security Researcher, Ran Ben Chetrit, beberapa minggu untuk menyiapkan alat untuk rilis. Diperlukan pengumpulan data dari pembuat chip, mitra industri, dan Microsoft.

Ketika dia meninjau data tentang kerentanan, Dankner menyadari bahwa para peneliti dapat menggunakan fitur Linux yang telah memantau jenis aktivitas yang terlibat dengan lalu lintas masuk selama serangan.

Linux dalam Crosshairs
Dua faktor utama memengaruhi SentinelOne untuk memprioritaskan versi Linux dari alat tersebut. Linux sangat rentan terhadap serangan semacam itu, tanpa solusi komprehensif yang tersedia. Juga, Linux adalah OS yang lebih disukai dari superkomputer top dunia. Itu membuat Linux target bernilai tinggi untuk penyerang.

Alasan itu menjelaskan bahwa sangat penting untuk membantu mengamankan lingkungan Linux secepat dan seefektif mungkin, kata Migo Kedem, direktur manajemen produk SentinelOne.

“Beberapa orang ragu-ragu untuk menerapkan tambalan tanpa mengetahui dengan pasti bahwa mereka sedang diserang,” katanya kepada linuxstandard.net. Namun, Blacksmith “memungkinkan admin menjalankannya dan kemudian memutuskan tingkat mitigasi yang terbaik untuk tujuan mereka.”

Ukuran Stopgap
Kerentanan Meltdown meninggalkan perusahaan dengan dua pilihan: segera tambal atau tunda saat pengujian. Opsi pertama membawa risiko dampak sistem-lebar. Pilihan kedua meninggalkan sistem terkena serangan sementara patch diuji terhadap tumpukan aplikasi perangkat lunak perusahaan.

Either way, sampai solusi industri-lebar untuk menutup kerentanan ditemukan, tambalan belum ada untuk memastikan bahwa titik akhir aman. Banyak yang tetap tidak terlindungi, bahkan ketika penyerang mungkin bekerja untuk menyulut kerentanan. Sistem berbasis Linux sejauh ini tidak memiliki solusi perlindungan yang komprehensif, menurut SentinelOne.

“Kerusakan waktu memaksa kami untuk menghilangkan termasuk segala jenis pilihan mitigasi. Pilihan kami adalah menunggu sampai kami dapat memberikan solusi atau memberikan kembali kepada masyarakat alat deteksi dengan cepat,” kata SentinelOne’s Kedem.

Bagaimana itu bekerja

Alat Blacksmith memanfaatkan fitur penghitungan kinerja pada chipset modern. Ini memungkinkan Blacksmith memantau proses untuk mendeteksi perilaku cache berbahaya. Kerentanan Meltdown menghasilkan pola-pola ini selama eksploitasi, menurut Dankner.

Pada sistem yang menjalankan chipset modern, Blacksmith menggunakan mekanisme “perf events” built-in Linux untuk mengumpulkan informasi tentang proses yang sedang berjalan. Untuk prosesor yang lebih tua dan lingkungan virtual, Blacksmith mengidentifikasi jenis kesalahan halaman tertentu yang menunjukkan upaya eksploitasi Meltdown, tambah Kedem.

Blacksmith melaporkan upaya eksploitasi untuk mendeteksi Syslog secara lokal atau mengirim laporan melalui email atau fungsi server Syslog remote, katanya, yang memungkinkan setiap admin untuk mengambil tindakan individu untuk membersihkan eksploitasi.

Beberapa sistem komputer mungkin terkena hits kinerja dari patch. Itulah salah satu alasan organisasi IT dan majikan mereka dapat memutuskan untuk menolak atau menunda menerapkan tambalan untuk sistem mereka, kata King. Juga, ada kelangkaan nyata dari eksploitasi aktual atau sukses.

“Untuk organisasi yang memilih jalur seperti itu,” katanya, “SentinelOne’s Blacksmith harus menyediakan jalan bagi mereka untuk tetap lebih aman daripada yang seharusnya.”