15Sep
Рандомизација просторног распореда простора( АСЛР) је сигурносна техника која се користи у оперативним системима, први пут је имплементирана 2001. године. Тренутне верзије свих већих оперативних система( иОС, Андроид, Виндовс, МацОС и Линук) имају АСЛР заштиту.Али у протеклој седмици пронађен је нови начин заобилажења АСЛР-а.Дакле, да ли би требали бити забринути?
За оне који немају низак степен програмирања, АСЛР може бити збуњујући.Да бисте је разумели, прво морате разумјети виртуелну меморију.
Шта је виртуална меморија?
Виртуална меморија је техника управљања меморијом која има многе користи, али је примарно креирана да олакша програмирање.Замислите да имате Гоогле Цхроме, Мицрософт Ворд и неколико других програма отворених на рачунару са 4 ГБ РАМ-а.У целини, програми на овом рачунару користе много више од 4 ГБ РАМ-а.Међутим, сви програми неће бити активни у сваком тренутку, или су потребни симултани приступ том РАМ-у.
Оперативни систем додељује делове меморије програмима који се називају
стране .Ако нема довољно РАМ-а за чување свих страница одједном, странице које су највероватније потребне су ускладиштене на споријем( али пространијем) чврстом диску.Када су потребне меморисане странице, они ће пребацивати размаке са мање потребних страница тренутно у РАМ-у.Овај процес се зове пагинг, а његово име даје у датотеку пагефиле.сис на Виндовсу.Виртуелна меморија олакшава програмима да управљају властитим меморијом, а такође их чини сигурнијим.Програмима није потребно бринути о томе где други програми чувају податке, или колико је РАМ-а остало.Они могу само затражити оперативни систем за додатну меморију( или вратити неискориштену меморију) по потреби.Сви програми виде јединствени континуирани део меморијских адреса за своју ексклузивну употребу, названу виртуелне адресе.Програму није дозвољено гледати на меморију другог програма.
Када програм треба да приступи меморији, он даје оперативном систему виртуелну адресу.Оперативни систем контактира јединицу за управљање меморијом ЦПУ-а( ММУ).ММУ преводи између виртуелних и физичких адреса, враћајући те информације оперативном систему.У једном тренутку програм директно не ступа у интеракцију са РАМ-ом.
Шта је АСЛР?
Рандомизација просторног распореда простора( АСЛР) примарно се користи за заштиту од напуштања прелома буффера.У прекорачењу бафера, нападачи нахрањују функцију онолико података о нежељеном стању, како их могу руковати, а затим прати злонамерна корисна оптерећења.Корисни терет ће преписати податке које намерава приступити програму.Упутства за прелазак на другу тачку кода су заједничка корисна оптерећења.Познати ЈаилбреакМе метода јаилбреакинга иОС 4, на примјер, користио је напад прекорачења бафера, што је довело до тога да Аппле додијели АСЛР у иОС 4.3.
Оверфлов прелазе захтевају од нападача да зна где се сваки дио програма налази у меморији.Ово је обично тежак процес суђења и грешке.Након што то утврди, морају направити терет и наћи одговарајуће место за убризгавање.Ако нападач не зна где се налази њихов циљни код, може бити тешко или немогуће искористити га.
АСЛР ради уз виртуелно управљање меморијом како би рандомизовао локације различитих делова програма у меморији.Сваки пут када се програм покреће, компоненте( укључујући стацк, хеап и библиотеке) се премештају на другу адресу у виртуелној меморији.Нападачи не могу више сазнати гдје су њихови циљеви пробни и погрешни, јер ће адреса сваки пут бити другачија.Опћенито, апликације требају бити састављене уз АСЛР подршку, али ово постаје подразумевано, а чак је потребно и за Андроид 5.0 и касније.
Да ли вам АСЛР и даље штити?
Прошлог уторка, истраживачи из СУНИ Бингхамтон и Университи оф Цалифорниа, Риверсиде, представили су текст под називом Јумп Овер АСЛР: Аттацкинг Бранцх Предицторс за Бипасс АСЛР.У чланку је описан начин нападања граничног циљног пуфера( БТБ).БТБ је део процесора који убрзава ако изјаве предвиђају исход.Користећи метод аутора, могуће је одредити локације познатих граничних упутстава у покретаном програму.Наведени напад изведен је на Линук машини са Интел Хасвелл процесором( први пут објављен 2013. године), али би се вероватно могао применити на било који савремени оперативни систем и процесор.
То је рекао, не би требало да очајавате.Рад је понудио неколико начина на који произвођачи хардвера и оперативног система могу ублажити ову претњу.Новије технике АСЛР финог зрна захтевале би више напора од нападача, а повећање количине ентропије( случајности) може учинити напад Јумп Овер неизбежним.Највероватније, нови оперативни системи и процесори ће бити имуни на овај напад.
Шта је остало за које ради?Прелаз преко скокова је нови и још увек није уочен у дивљини.Када нападачи то искористе, мана ће повећати потенцијалну штету коју нападач може узроковати на вашем уређају.Овај ниво приступа није без преседана;Мицрософт и Аппле су имплементирали АСЛР само у својим оперативним системима који су објављени 2007. и касније.Чак и ако овај стил напада постане уобичајен, нећете бити горе од дана када сте се вратили у дане Виндовс КСП-а.
Имајте на уму да нападачи и даље морају да унесу свој код на свој уређај да би учинили било какву штету.Ова грешка не пружа им никакве додатне начине да вас заразе.Као и увек, требало би да пратите најбоље праксе сигурности.Користите антивирус, држите се даље од скривених веб локација и програма и чувајте софтвер ажуриран.Пратите ове кораке и држите злонамерне глумце са рачунара, бићете сигурни колико сте икада били.
Имаге Цредит: Стеве / Флицкр