Investigadores sugerem a Shill para debelar o Shellshock

A nova linguagem de “script” proposta por uma equipa de Harvard Shill limita os privilégios de acesso dos programas de interface, à informação necessária para executarem as suas tarefas.

dhcp_1_forma de explorar a flaha Shellshock_ Trustedsec (DR)Enquanto muitos administradores de sistemas enfrentam dificuldades para corrigir as vulnerabilidades decorrentes da falha de software Shellshock, investigadores da Universidade de Harvard estão a ultimar uma linguagem de “script” concebida para mitigar os danos causados ​​por esses problemas. A linguagem, chamada Shill, foi projectada para limitar as acções dos “scripts” baseados na interface, de modo a não poderem aceder a recursos além daqueles especificamente necessários para as suas tarefas.

“Queremos dar aos “scripts” exactamente as permissões que precisa eles executarem as suas funções”, diz Scott Moore, doutorando em ciência da computação, na instituição. Ele é um dos colaboradores do projecto de pesquisa Shill, liderado por Stephen Chong, professor associado de ciência da computação.

A equipa está a trabalhar numa versão da Shill para o sistema operativo FreeBSD Unix e pondera a possibilidade de a portar para o Linux. A equipa também deverá apresentar a tecnologia durante a próxima semana, numa conferencia do Symposium USENIX sobre o desenho e implantação de sistemas operativos, em Broomfield (Colorado), nos EUA.

A Shill baseia-se no princípio da atribuição do mínimo de privilégios necessários, o qual estipula que o software não deve possuir mais autoridade do que precisa , disse Moore. Os sistemas baseados em Unix, como o Linux e Mac OS X, da Apple, já trazerem sistemas de permissão rigorosos, com base no utilizador e quaisquer grupos aos quais este se mantém associado.

O problema da abordagem é todos os programas executados pelo utilizador herdarem as permissões atribuídas a ele e ao grupo. “A ideia da Shill é dar ao utilizador o controlo sobre o que os programas ou “scripts” podem aceder”, explica Moore.




Deixe um comentário

O seu email não será publicado