Nvidia inženjer predložio "killswitch" za Linux kernel
Linux zajednica razmatra novi bezbjednosni mehanizam koji bi mogao omogućiti administratorima sistema da trenutno isključe ranjive funkcije unutar Linux kernela prije nego što zvanične zakrpe postanu dostupne.
Kako prenosi portal "gHacks", prijedlog je stigao od Saše Levina, istaknutog Nvidia inženjera i jednog od održavalaca stabilnih verzija Linux kernela.
Ideja pod nazivom "killswitch" zamišljena je kao hitna zaštita u situacijama kada se otkrije ozbiljna sigurnosna rupa, ali korisnici i kompanije još nemaju pristup ispravljenoj verziji kernela. Levin smatra da upravo taj period između otkrivanja ranjivosti i instalacije zakrpe predstavlja najveći rizik za servere, cloud sisteme i računare širom svijeta.
Funkcije bi se mogle isključiti bez restartovanja sistema
Prema prijedlogu, administratori bi mogli direktno deaktivirati određene kernel funkcije dok sistem i dalje radi, bez potrebe za restartovanjem servera ili instalacijom novog kernela. Sistem bi koristio infrastrukturu "kprobes" unutar Linux kernela kako bi presreo pozive određenim funkcijama i spriječio njihovo izvršavanje.
Levin je objasnio da je cilj "jednostavno prestati pozivati problematičnu funkciju" dok zvanična zakrpa ne bude spremna. Takav pristup mogao bi značajno smanjiti mogućnost iskorištavanja sigurnosnih propusta tokom kritičnih prvih dana nakon objavljivanja ranjivosti.
Predloženi sistem omogućio bi administratorima da preko posebne kontrolne datoteke u kernelu navedu ime funkcije koju žele blokirati. Umjesto normalnog izvršavanja, kernel bi vraćao grešku i time spriječio potencijalni napad.
Reakcija nakon ozbiljnih Linux ranjivosti
Prijedlog dolazi nakon nekoliko veoma ozbiljnih sigurnosnih propusta koji su posljednjih mjeseci pogodili Linux kernel. Posebno se izdvaja ranjivost poznata kao "Copy Fail" (CVE-2026-31431), koja je omogućavala lokalnim korisnicima da dobiju administratorske privilegije na velikom broju Linux distribucija.
Ta ranjivost postala je posebno opasna jer je exploit objavljen prije nego što su mnoge distribucije uspjele objaviti zakrpe. Upravo takvi slučajevi podstakli su razvoj ideje o privremenom "killswitch" rješenju koje bi moglo kupiti vrijeme administratorima sistema.
Stručnjaci navode da su pojedini Linux podsistemi poput AF_ALG, ksmbd, nf_tables i vsock često meta ozbiljnih sigurnosnih problema, dok ih relativno mali broj korisnika zaista koristi. Zbog toga bi njihovo privremeno isključivanje bilo prihvatljiv kompromis u kriznim situacijama.
Dio zajednice podržava ideju, drugi upozoravaju na rizike
Dio Linux developera podržao je prijedlog, smatrajući da bi mogao značajno poboljšati bezbjednost velikih serverskih infrastruktura i cloud sistema. Posebno je važan za kompanije koje upravljaju hiljadama servera i ne mogu odmah restartovati cijelu infrastrukturu nakon svake kritične zakrpe.
Ipak, pojedini stručnjaci upozoravaju da bi ovakav mehanizam mogao izazvati nove probleme ukoliko se greškom deaktiviraju funkcije koje su ključne za rad sistema. Takođe postoji bojazan da bi "killswitch" mogao postati dodatna meta napadača ukoliko ne bude pravilno zaštićen.
Linux kernel pod sve većim pritiskom sigurnosnih prijetnji
Linux kernel danas pokreće ogroman dio globalne internet infrastrukture, uključujući servere, cloud platforme, superračunare i Android uređaje. Zbog toga svaka ozbiljna ranjivost može imati ogromne posljedice po kompanije i korisnike širom svijeta.
Posljednjih godina broj prijavljenih Linux kernel ranjivosti značajno raste, dok istraživači upozoravaju da moderni alati vještačke inteligencije dodatno ubrzavaju otkrivanje sigurnosnih propusta i razvoj exploit koda.
Za sada prijedlog "killswitch" sistema ostaje u fazi rasprave među Linux developerima i održavaocima kernela. Ukoliko bude prihvaćen, mogao bi postati jedan od najvećih bezbjednosnih dodataka Linux kernelu posljednjih godina i potpuno promijeniti način reagovanja na kritične sigurnosne prijetnje.
