OpenBSD vai criar kernel único a cada reboot

O OpenBSD está prestes a implementar uma técnica original para minimizar o impacto de vulnerabilidades, criando um kernel único para cada utilizador, e que muda de cada vez que faz um reboot.

Muitos dos ataques realizados hoje em dia tentam tirar partido do acesso a funções específicas do sistema, manipulando áreas de memória de forma a que o sistema interrompa o seu processo normal de execução de um programa e salte para uma dessas funções. Isso é algo que é facilitado quando um atacante sabe precisamente onde essas funções estão localizadas na memória, e que tem sido combatido usando-se uma técnica chamada ASLR (Address Space Layout Randomization) que vai variando o local de memória onde os programas são executados; mas que o OpenBSD decidiu levar ainda mais longe com uma nova técnica: o KARL (Kernel Address Randomized Link).

Com o KARL, o próprio Kernel é recriado a cada arranque do sistema, reordenando aleatoriamente a localização dos seus módulos internos, fazendo com que cada utilizador, de cada vez que arranca o seu computador, tem um kernel "fisicamente" diferente. Isto inviabiliza todo o tipo de vulnerabilidades que se baseie na utilização de endereços (ou offsets) conhecidos para tentar ganhar controlo sobre o sistema, pois cada computador será um caso único, com os endereços que funcionam nuns a não poderem ser replicados nos outros.

Claro que é pouco provável que isto signifique o fim do aproveitamento das vulnerabilidades, já que, como temos visto, há sempre quem consiga encontrar formas criativas de contornar todo o tipo de protecção que vão sendo implementadas - sendo provável que, mais tarde ou mais cedo, também se descubra uma qualquer técnica que permite ultrapassar este KARL. Mas até que isso aconteça, é um sistema que seguramente irá dar bastantes dores de cabeça aos hackers que o quiserem ultrapassar... Falta agora saber quanto tempo demorará para que Linux (e eventualmente o Windows) venham a replicar esta técnica.