Poprzedni :: Spis treści :: Następny

3. Modyfikacje jądra wprowadzone przez PaX
3.1 Ochrona kodu wykonywalnego
3.1.1 Wprowadzenie
3.1.2 Podział ESP w PaX
3.2 Losowe rozmieszczenie obszarów pamięci (ASLR)

3. Modyfikacje jądra wprowadzone przez PaX

3.1 Ochrona kodu wykonywalnego

3.1.1 Wprowadzenie

Główną cechą PaX jest wprowadzenie ochrony obszarów pamięci, w których znajduje się kod wykonywalny (Executable Space Protection). Różnice między pamięcią chronioną i nie chronioną przedstawiają następujące rysunki:

Powyższy rysunek przedstawia przestrzeń pamięci procesu bez ESP. W tym przypadku cała pamięć procesu może być zapisywana jak również być źródłem kodu wykonywalnego. W rezultacie, proces sam może podmieniać swój kod (wpisując go w odpowiednie miejsce pamięci).

Powyższy rysunek przedstawia przestrzeń pamięci procesu z włączoną funkcją ESP. Widać, że każdy (zajęty) fragment pamięci jest jednoznacznie sklasyfikowany jako wykonywalny lub zapisywalny. W tej sytuacji proces nie ma możliwości podmiany kodu - taka próba zostałaby wykryta i zakończyłaby się niepowodzeniem (prawdopodobnie zakończeniem procesu).

W architekturach, w których jest dostępny, ESP wykorzystuje do ochrony bit NX (Non-eXecutable), jeżeli bit ten nie jest dostępny PaX go emuluje. Domyślnie system operacyjny Linux wykorzystuje bit NX do odpowiedniej ochrony pamięci, tak więc obszar pamięci programu wygląda tak jak na rysunku 2. Jednak nic nie stoi na przeszkodzie, aby program sam dokonywał zmian w tym obszarze i w rezultacie jego obszar pamięci może wyglądać tak jak na rysunku 1. Zadaniem PaX jest zapobieganie takim właśnie zmianom przestrzeni adresowej oraz takie ustawianie uprawnień dostępu do pamięci, aby program wykonał się poprawnie, ale aby nie było możliwe zrobienie niczego więcej (jest to tzw. zasada minimalnych uprawnień).

Jeżeli program w trakcie swojego działania modyfikuje jakiś obszar swojej pamięci, PaX dba o to, aby ten obszar nigdy "nie był wykonywany". W rezultacie nie jest możliwe wykonanie kodu znajdującego się w obszarze pamięci, do którego proces cos zapisywał, dopóki obszar ten nie zostanie zwolniony.

Jednak w niektórych przypadkach takie zabezpieczenie wydaje się być zbyt restrykcyjne - istnieją programy, które do poprawnego działania wymagają generowania kodu do wykonania w trakcie działania. Jednak większość takich programów może zostać zmodyfikowana i radzić sobie bez generowania kodu "on-line". Jeżeli taka możliwośc nie wchodzi w grę (np. program należy do tej "mniejszości" której nie da się zmodyfikować), PaX oferuje administratorowi systemu opcję wyłączenia omówionych wcześniej ograniczeń.

3.1.2 Podział ESP w PaX

Ochrona kodu wykonywalnego (NOEXEC) została w PaX podzielona na 2 części:

• Implementacja stron pamięci, których nie można wykonywać
  • PAGEEXEC - używa mechanizmu stronicowania (opcja Paging based non-executable pages przy kofiguracji)
  • SEGMEXEC - używa mechanizmu segmentacji pamięci (opcja Segmentation based non-executable pages przy kofiguracji)
• Ograniczenia ochrony pamięci (MPROTECT) - PaX ma za zadanie kontrolować, aby żadna strona w pamięci nie była jednocześnie oznaczona jako strona z danymi i strona z kodem wykonywalnym. Istnieje funkcja, mprotect(), która pozwala na zmianę uprawnień dostępu do danej strony. Aby zagwarantować, że strona nie jest jednocześnie wykonywalna i zapisywalna PaX wprowadza ograniczenie na działanie mprotect() (opcja "Restrict mprotect()" przy konfiguracji) . Gdy to ograniczenie jest włączone, żadna strona nie może mieć jednocześnie uprawnień PROT_READ i PROT_WRITE - wywołanie mprotect() z flagą PROT_WRITE | PROT_EXEC zakończy się niepowodzeniem (odmową dostępu). To gwarantuje, że żadna strona nie stanie się wykonywalna i zapisywalna w tym samym czasie i tym samym nie będzie możliwy atak polegający na podmianie kodu do wykoniania. Podobnie, próba wywołania mprotect(..., PROT_EXEC) na stronie, która ma już ustawioną flagę PROT_WRITE zakończy się niepowodzeniem.

3.2 Losowe rozmieszczenie obszarów pamięci (ASLR)

• ASLR - Address Space Layout Randomization

Ta modyfikacja wprowadza ochronę przed atakami, które opierają się na pewnej wiedzy na temat rozmieszczenia poszczególnych obszarów w przestrzeni adresowej procesu. Po jej włączeniu PaX losowo rozmieszcza wybrane obszary pamieci (zawsze dotyczy to stosu i sterty, opcjonalnie można też kazać PaX'owi "przemieszać" inne obszary). Przykładowa przestrzeń adresowa procesu uruchomionego w systemie z włączoną opcją ASLR może wyglądać wiec tak:

Po zastosowaniu ASLR, jedyne co pozostaje potencjalnemu intruzowi to "strzelanie" w adresy pamięci i sprawdzanie czy tam akurat znajduje się to czego szuka. Takie operacje (w przypadku niepowodzenia) powodują jednak wystąpienie błędów, które w rezultacie najprawdopodobniej zakończą atakowany proces. Ten sam proces po ponownym uruchomieniu będzie miał (dzięki ASLR) inaczej zorganizowaną pamięć, w wyniku czego intruzowi nie pomoże żadna wiedza zdobyta przy poprzednim ataku. Ponadto duża ilość "strzałów" w pamięć procesu jest łatwo wykrywalna (pojawia się dużo "crash'ów" procesu), a to z kolei obniża skuteczność tego typu ataków.

Poprzedni :: Spis treści :: Następny