La nueva versión 3.4 del Sistema Operativo OpenBSD incorpora un prometedor demonio de control del estado del hardware.
Este es el primero de una serie de artículos previos al lanzamiento de OpenBSD 3.4 en los que trataremos de avanzar las mejoras que se han introducido en esta versión.
¿Qué aporta esta versión?
La estrella de esta release es W^X un esquema de protección de memoria que implide que el contenido de una misma página de memoria pueda modificarse y ejecutarse indistintamente.
De esta forma separamos las zonas de memoria ejecutables (que contienen programas) de las zonasmodificables (que contienen datos), con lo que dificultamos el trabajo de entrar en el equipo a un hipotético atacante.
Este cambio ha obligado al equipo de OpenBSD a migrar el completamente la plataforma i386 al formato de ejecutable ELF, en lugar del formato a.out que se utilizaba hasta ahora.
Separación de Privilegios
En OpenBSD 3.3, conocimos por primera vez una característica de OpenSSH (otro proyecto de la casa) que se ha contagiado a los demonios servidores de OpenBSD 3.4: la Separación de Privilegios.
La técnica de Separación de Privilegios consiste en utilizar dos procesos por servidor en lugar de uno solo, como es habitual.
De esta forma tendremos un proceso poco privilegiado hablando directamente con la red y que, tras recibir los datos del cliente, se comunicará con un segundo proceso que será el encargado de llevar a cabo las tareas de servidor propiamente dichas. Por seguridad, el proceso que habla directamente con la red se encuentra en una zona restringida bajo un directorio raíz virtual (chroot) del que no puede salir.
Si un hackerconsigue entrar en el sistema, con toda probabilidad estará atrapado dentro del entorno chroot, donde no tendrá margen suficiente de maniobra como para ir mas allá.
En OpenBSD 3.4, la Separación de Privilegios se extiende también al demonio inetd, y a named(el encargado de asignar nombres a equipos, como por ejemplo www.eduangi.com), además de estar presente en OpenSSH.