Kami dengan senang hati mewawancarai Oliver Pinter dan Shawn Webb, para pengembang inti proyek HardenedBSD.
Didirikan pada tahun 2014, proyek ini bertujuan untuk menjadi versi FreeBSD yang keamanannya ditingkatkan, dengan teknologi modern seperti mitigasi eksploit yang dikenal sebagai PAX dan ASLR, serta memperkenalkan sejumlah sysctl baru ke dalam sistem.
Fleximus: Sebelum kita membahas detailnya, tolong perkenalkan diri Anda dan berikan kami pengenalan singkat tentang proyek Anda.
Oliver/Shawn:
Fleximus: Kapan Anda mulai mengenal FreeBSD dan mengapa Anda memutuskan untuk memulai sub-proyek ini?
Shawn: Saya pertama kali mengenal FreeBSD saat masih remaja. Saya diperkenalkan kepadanya oleh sekelompok peretas "old-school". Sejak saat itu, saya langsung jatuh cinta padanya. Oliver dan saya mendirikan HardenedBSD pada bulan April 2014. Kami berdua tertarik untuk mengimplementasikan ASLR di FreeBSD dan Oliver sudah memiliki patch yang siap pakai. Kami mendirikan HardenedBSD untuk mengoordinasikan pekerjaan kami terkait ASLR beserta mitigasi eksploit lainnya. Sejak mendirikan HardenedBSD, kami terus berupaya menyediakan lebih banyak teknologi mitigasi eksploit .
Oliver: Pertama kali saya mencoba FreeBSD pada versi 6.1-STABLE, tetapi mengkompilasi seluruh sistem memakan waktu terlalu lama (KDE3 dan OpenOffice), jadi saya menunda penggunaan FreeBSD hingga 2008, saat saya mendapatkan PC baru. PC baru ini cukup bertenaga untuk mengkompilasi seluruh sistem dalam waktu yang terbatas; bagian lain dari peralihan dari Debian ke FreeBSD adalah banyaknya kerusakan sistem berkas XFS. Saya mencoba banyak versi Linux—dari 2.6.17 hingga 2.6.32—tetapi tidak ada yang berfungsi, sehingga akhirnya saya beralih ke FreeBSD.
Proyek HardenedBSD dimulai berdasarkan tesis universitas saya, yang terutama berfokus pada implementasi Intel S.M.A.P. di FreeBSD, dan kedua pada ASLR. Suatu hari saya menerima email dari pipacs (salah satu anggota PaXTeam), bahwa ada orang lain yang mulai mengerjakan penguatan FreeBSD, dan dia memberi saya tautan ke entri blog Shawn. Pada awalnya kami bekerja di repositori yang berbeda, hingga saya bosan dengan banyaknya konflik merge / cherry-pick, dan saya membuat repositori HardenedBSD di GitHub, ini terjadi pada musim semi 2014.
Fleximus: Apa tujuan jangka panjang HardenedBSD? Mengintegrasikan patch ke hulu sehingga menjadi bagian integral dari sistem FreeBSD tampaknya menjadi tujuan besar. Kami mendengar hal ini bisa terjadi pada FreeBSD 11.
Shawn: Kami ingin memberikan keamanan yang lebih baik kepada dunia. FreeBSD digunakan secara luas oleh beberapa perusahaan dan komunitas besar. FreeBSD tertinggal dari dunia dalam hal teknologi mitigasi eksploit. Kami ingin mengisi celah tersebut.
Saat FreeBSD merilis versi 11.0, kami akan menyusul dalam waktu yang wajar (kami mendefinisikan "wajar" sebagai "ketika sudah siap") dengan rilis resmi pertama kami.
Pada akhirnya, kami ingin mulai menjual perangkat keamanan kami sendiri. Kami sudah mulai meneliti hal itu dan ada hal menarik yang sedang dipersiapkan.
Kami sedang menambahkan lebih banyak fitur penguatan sistem. Saya sedang memperkuat syscalls dan sysctls. Oliver terus bekerja pada Intel SMAP dan menyelesaikan PaX NOEXEC. Tugas besar saya berikutnya adalah merombak cara kerja SEGVGUARD kami, mengikuti model grsec dengan lebih ketat. Oliver juga akan mulai mengerjakan PaX UDEREF.
Kami menambahkan anggota baru ke tim kami. Dia dikenal dengan nama "CTurt". Dia fokus pada menemukan kerentanan dan memanfaatkannya di FreeBSD serta menyediakan tambalan untuk mengamankan kerentanan tersebut.
Fleximus: Apakah ada perbedaan kunci dalam implementasi ASLR atau PAX dibandingkan dengan Linux atau hal lain yang patut diperhatikan?
Shawn: Kami mengambil implementasi PaX sebagai inspirasi, bahkan bekerja sama dengan Tim PaX untuk memastikan implementasi kami dilakukan dengan benar.
Oliver: Kami sebagian besar mengikuti dokumentasi PaX, tetapi saat ini kami masih kekurangan beberapa bagian darinya.
Fleximus: OpenBSD mengimplementasikan ASLR pada tahun 2003 dan menyelesaikan implementasinya pada tahun 2008. Apakah Anda melihat kode sumber mereka untuk mengevaluasi migrasi karya mereka ke FreeBSD?
Shawn: Meskipun OpenBSD berlisensi BSD, saya menghindari melihat implementasi lain untuk mencegah masalah lisensi. Dengan begitu, kode saya tetap milik saya. Saya tidak perlu khawatir menambahkan nama orang lain ke pernyataan hak cipta dan/atau menggunakan hak cipta mereka sama sekali.
Fleximus: Kami membaca bahwa Anda menulis patch untuk FreeBSD-11 dan telah membackport patch tersebut ke FreeBSD 10-STABLE. Bagaimana status proyek saat ini?
Shawn: Semua pekerjaan yang kami anggap stabil kami backport ke 10-STABLE. Kami mengelola repositori paket untuk 11-CURRENT/amd64 dan 10-STABLE/amd64.
Oliver: Pada awal proyek, kode dikembangkan di 10-STABLE dan di-forwardport ke 11-CURRENT. Shawn menggunakan 11-CURRENT dan saya menggunakan 10-STABLE, itulah sebabnya kami mengalami begitu banyak konflik penggabungan. Secara utama, kami fokus pada pengembangan baru di 11-CURRENT, dan jika fitur yang dimaksud sudah cukup stabil, kami juga memilihnya secara selektif ke 10-STABLE.
Fleximus: Sebenarnya sedang ada jajak pendapat mengenai apakah linuxulator (lapisan kompatibilitas Linux) harus dihapus dari kode sumber atau tidak. Seperti yang kita ketahui, semakin banyak fitur dan kode kompatibilitas yang ada, semakin luas pula bidang serangan yang ada.
Shawn: Saya akan melakukan penelitian lebih lanjut mengenai hal ini. Belum diputuskan apakah kami akan menghapus lapisan kompatibilitas Linux. Kami perlu menunggu hingga commit linuxulator stabil, lalu melakukan beberapa pekerjaan tambahan. Saat ini, COMPAT_FREEBSD32 telah dihapus dari kernel kustom kita (konfigurasi kernel HARDENEDBSD amd64). COMPAT_FREEBSD32 diperlukan agar linuxulator dapat berfungsi. Anda harus mengkompilasi kernel sendiri dengan opsi tersebut ditambahkan agar linuxulator dapat berfungsi.
Fleximus: Kami mengucapkan terima kasih kepada Oliver dan Shawn atas wawancara ini. Kami mendapatkan wawasan lebih dalam dan pemahaman yang lebih baik tentang proyek HardenedBSD, serta semakin antusias untuk melihat dan menguji hasilnya.
Kami mendorong siapa pun yang tertarik pada proyek ini untuk berkontribusi dengan ide dan pemikiran Anda. Proyek ini juga menerima donasi seperti biasa, termasuk Bitcoin.
Shawn: Terima kasih atas kesempatan yang luar biasa ini. Kami menikmati melakukan apa yang kami sukai. Kami berharap suatu hari nanti dapat menjadikan passion ini sebagai pekerjaan penuh waktu yang berkelanjutan. Berkat komunitaslah kami bisa berada di posisi sekarang. Kami menantikan kesempatan untuk membalas budi.
Referensi:
■