Resistenza alla penetrazione di un unicernel HaLVM

5

Un HaLVM unikernel è un programma Haskell compilato con una versione modificata del Glasgow Haskell Compiler per produrre un kernel Xen standalone, che si avvierà su qualsiasi Xen PV istanza macchina. Un unicernel HaLVM sostituisce quindi il sistema operativo con il sistema di runtime fornito dal Glasgow Haskell Compiler e uno stack di rete Haskell.

Il compilatore HaLVM-GHC è una modifica dello standard Glasgow Haskell Compiler (GHC), tale che il sistema di runtime di questo compilatore (RTS) - compresi allocatore di memoria / gestore, scheduler dei thread (e probabilmente altre parti) - sostituisce quelli funzioni di un sistema operativo e il pacchetto hans fornisce uno stack di rete Haskell puro.

Basandomi sulla mia comprensione di tutte le cose coinvolte, ho la sensazione che la sicurezza di questa costellazione sia veramente alta, o che ci siano un paio di vulnerabilità ovvie-a-qualsiasi-pen-tester che non sono state ancora scoperte , perché GHC RTS non è stato davvero visto da una prospettiva di sicurezza del software.

  • Ci sono delle dimostrazioni (con esempi di codice) di un programma Haskell che prendono il controllo dell'RTS da dentro?
  • L'RTS è costituito da (come da 2011) ~ 50.000 righe di codice C . È stato analizzato da un punto di vista della sicurezza del software?
  • In qualità di addetto alla sicurezza, qual è il tuo senso personale del livello di sicurezza di questo stack (programma Haskell < - > HaLVM unikernel < - > Xen PV < - > (implementazione Amazon Xen PV?)) ?

Va notato che HaLVM utilizza il runtime a thread singolo di GHC . Quante delle 50.000 righe di C hanno a che fare con il runtime multi-thread, rendendo così irrilevante l'attuale versione di HaLVM, non lo so. Ma in futuro, HaLVM potrebbe supportare il runtime multi-thread e almeno questa porzione del codice RTS C sarà interessante anche dal punto di vista della sicurezza.

EDIT: Risulta che non ero paranoico quando ho incluso l'implementazione Xen di Amazon come un fattore di rischio: link . Sembra che questo sia materiale di livello hardware, ma comunque molto rilevante.

    
posta runeks 31.08.2016 - 16:43
fonte

0 risposte

Leggi altre domande sui tag