15Sep

Kas ir ASLR un kā tas droši uztur jūsu datoru?

aslr_cpu

adreses atstarpes izkārtojuma randomizācija( ASLR) ir drošības metode, ko izmanto operētājsistēmās un vispirms tika ieviesta 2001. gadā. Visu lielāko operētājsistēmu( iOS, Android, Windows, MacOS un Linux) pašreizējās versijās ir ASLR aizsardzība. Bet pagājušajā nedēļā ir atrasta jauna ASLR apietšanas metode. Tātad, ja jums būtu jāuztraucas?

Tiem, kam nav zema līmeņa programmēšanas fona, ASLR var būt mulsinoši. Lai to saprastu, vispirms ir jāizprot virtuālā atmiņa.

Kas ir virtuālā atmiņa?

Virtual Memory ir atmiņas pārvaldības metode ar daudziem ieguvumiem, taču tā galvenokārt tika izveidota, lai padarītu programmu vienkāršāku. Iedomājieties, ka datorā ir 4 GB RAM, izmantojot Google Chrome, Microsoft Word un vairākas citas programmas. Kopumā programmām šajā datorā ir daudz vairāk nekā 4 GB RAM.Tomēr ne visas programmas būs aktīva vienmēr, vai arī ir nepieciešama vienlaicīga piekļuve šai RAM.

Operētājsistēma piešķir atmiņas gabalus programmām ar lapām .Ja nav pietiekami daudz RAM, lai vienlaicīgi saglabātu visas lapas, visticamāk vajadzīgās lapas tiek saglabātas lēnāk( bet plašāk) cietajā diskā.Kad nepieciešamās uzglabātās lapas ir nepieciešamas, tās aizstās atstarpes ar mazāk nepieciešamām lapām pašlaik RAM.Šis process tiek saukts par peidžeru, un tā piešķir nosaukumu failam pagefile.sys sistēmā Windows.

Virtuālā atmiņa ļauj programmām vieglāk pārvaldīt savu atmiņu, kā arī padara tos drošākus. Programmām nav jāuztraucas par to, kur citas programmas uzglabā datus vai cik daudz RAM ir palicis. Viņi var vienkārši uzdot operētājsistēmai papildu atmiņu( vai atgriezt neizmantoto atmiņu), ja nepieciešams. Viss programmas skatījums ir vienīgais nepārtraukts atmiņas adrešu rāmis tā ekskluzīvai lietošanai, ko sauc par virtuālajām adresēm. Programmai nav atļauts aplūkot citas programmas atmiņu.

Kad programmai nepieciešams piekļūt atmiņai, tā piešķir operētājsistēmai virtuālu adresi. Operētājsistēma sazinās ar CPU atmiņas pārvaldības vienību( MMU).MMU pārveido virtuālo un fizisko adresi, atgriežot šo informāciju operētājsistēmai. Nekādā gadījumā programma tieši nesadarbojas ar RAM.

Kas ir ASLR?

adreses telpas izkārtojuma randomizācija( ASLR) galvenokārt tiek izmantota, lai aizsargātu pret bufera pārpildes uzbrukumiem. Bufera pārpildes laikā uzbrucēji funkciju baro tik daudz datu nevēlamu, cik to var apstrādāt, kam seko ļaunprātīga kravnesība. Kravnesība pārrakstīs datus, kurus programma plāno piekļūt. Instrukcijas, lai pārietu uz citu punktu kodā, ir kopēja lietderība. Piemēram, slavenā JailbreakMe jailbreaking metodes iOS 4 izmanto bufera pārpildes uzbrukumu, liekot Apple pievienot ASLR operētājsistēmai iOS 4.3.

Buffer overflows prasa uzbrucējam zināt, kur katra programmas daļa atrodas atmiņā.Izveidojot šo informāciju, parasti ir sarežģīts izmēģinājuma un kļūdu process. Pēc tam nosakot, ka viņiem ir jāapstrādā lietderīgā slodze un jāatrod piemērota vieta tā injicēšanai. Ja uzbrucējs nezina, kur atrodas viņu mērķa kods, to var būt grūti vai neiespējami izmantot.

ASLR darbojas kopā ar virtuālās atmiņas pārvaldību, lai randomizētu dažādu programmas daļu atrašanās vietas atmiņā.Katru reizi, kad programma tiek palaista, komponenti( tostarp kaudze, kaudze un bibliotēkas) tiek pārvietotas uz citu adresi virtuālajā atmiņā.Uzbrucēji vairs nevar uzzināt, kur viņu mērķis ir izmēģinājums un kļūda, jo adrese katru reizi būs atšķirīga. Parasti lietojumprogrammas ir jāapkopo ar ASLR atbalstu, bet tas kļūst par noklusējuma versiju, un tas ir pat nepieciešams operētājsistēmā Android 5.0 un jaunāka versija.

Vai ASLR joprojām aizsargā jūs?

Pagājušo otrdienu pētnieki no SUNY Binghamton un Kalifornijas universitātes Riverside iepazīstināja ar dokumentu Jump Over ASLR: uzbrukuma filiāles prognozētāji, lai apietu ASLR.Papīra dati par veidu, kā uzbrukt filiāles mērķa buferam( BTB).BTB ir procesora daļa, kas paātrina apgalvojumus, prognozējot rezultātu. Izmantojot autoru metodi, ir iespējams noteikt zināmo filiāles instrukciju atrašanās vietas rādītā programmā.Attiecīgais uzbrukums tika veikts uz Linux machine ar Intel Haswell procesoru( pirmo reizi tika izlaists 2013. gadā), bet, visticamāk, varētu tikt piemērots jebkurai mūsdienu operētājsistēmai un procesoram.

Tas nozīmē, ka jums nevajadzētu būt izmisumā.Šajā rakstā piedāvāti daži veidi, kā aparatūras un operētājsistēmu izstrādātāji var mazināt šos draudus. Jauni, smalkgraudaini ASLR paņēmieni prasītu no uzbrucēja vairāk pūļu, un palielināt entropijas( nejaušības) daudzumu var padarīt Jump Over uzbrukumu neiespējamu. Visticamāk, jaunākas operētājsistēmas un procesori būs neaizskarami pret šo uzbrukumu.

Tātad, kas jāievēro , kas jums jāievēro ?Pārlēkšanas apvedceļš ir jauns, un tas vēl nav pamanīts savvaļā.Ja uzbrucēji to izmanto, kļūme palielinās potenciālo kaitējumu, ko uzbrucējs var izraisīt jūsu ierīcē.Šis piekļuves līmenis nav bezprecedenta;Microsoft un Apple tikai ieviesa ASLR savās operētājsistēmās, kuras izlaistas 2007. gadā un vēlāk. Pat ja šis uzbrukuma stils kļūst par parastu, jums nebūs sliktāka, nekā jūs atradāt Windows XP laikā.

Paturiet prātā, ka uzbrucējiem joprojām ir jāsaņem savs kods jūsu ierīcē, lai nodarītu kaitējumu.Šis trūkums nenodrošina viņiem nekādus papildu veidus, kā jūs inficēt. Kā vienmēr, jums jāievēro drošības paraugprakses. Izmantojiet pretvīrusu līdzekli, apejieties no sarežģītām vietnēm un programmām un atjauniniet programmatūru. Veicot šīs darbības un noturot ļaunprātīgos dalībniekus pie datora, jūs būsiet tikpat droši, kā kādreiz esat bijis.

attēla kredīts: Steve / Flickr