Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
apríl 2024 máj 2024 jún 2024
po ut st št pi so ne
29 30 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 1 2
dnes 24.05.2024 dnes 24.05.2024

kto je online?
počet anonymných užívateľov: 14
počet prihlásených užívateľov: 0

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Windows 7 RC v slovenč...
6.Konzole pro zotavení v...
7.Panika menom Conficker
8.Platené vs Zadarmo
9.Inštalujte Windows z U...
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Buffer overflow nepatri do šrotu
Windows User Group - Slovak Republic
Bezpečnosť > Windows

Buffer overflow nepatri do šrotu

Windows User Group - Slovak Republic

Bohužiaľ je to tak chyba pretečenia je stale reálna na Windows Vista a XP i novších. Dôvodom však nie sú operačné systémy


 

I napriek funkciám ako DEP (Data Execution Prevention) a ASLR (Address Space Layout Randomization) často dochádza k buffer overflow  útokom (Pretečenie vyrovnávacej pamäte alebo preplnenie vyrovnávacej pamäte (angl. buffer overflow alebo aj buffer overrun) je chyba v programe, ktorá vedie k zápisu mimo vyhradeného priestoru v pamäti a k chybnému behu, prípadne aj k pádu programu. Je to jeden z najčastejších a najvyužívanejších spôsobov hackerských útokov. Pomocou výnimky v prístupe do pamäti je totiž možné spustiť cudzí kód. Viac na http://en.wikipedia.org/wiki/Buffer_overflow).

 

Pre objasnenie najprv uvediem čo to vlastne DEP a ASLR je.

 

DEP označí všetky oblasti pamäte kde sa nachádza spustiteľný kód ako chránené proti zápisu.

 

Pekné, jasné a jednoduché, ale...

 

Väčšinou tieto veci dodržiavajú a podporujú iba programy od Microsoftu (s výnimkami) a o to práve ide. S dobrej veci sa stala vec prinajmenšom nepoužiteľná pri 3rd party programoch. V horších prípadoch môže dôjsť k pádu systému. Mám to odskúšané, bohužiaľ.

 

Problém bol v DEP, a jeho nastavení. DEP má totiž 2 možnosti v štandardnom režime (v nastaveniach systému). Prvá ktorá je predvolená, a bez nebezpečia kolízie, je Turn on DEP for essential Windows programs and services only ( Zapnúť funkciu DEP pre dôležité programy a služby Windows) a nie je konfliktná s 3rd party programami. Druhá možnosť je Turn on DEP for all programs and services except those I sellect: (Zapnúť DEP pre všetky programy a služby okrem nasledujúcich) kde treba dať do výjnimiek VŠETKY programy ktoré DEP nepodporujú.

A tu je kameň úrazu. Väčšina programov to nepodporuje. Napríklad Firefox vo verzií 3.x je svetlou výnimkou. Naproti tomu ani Internet Explorer 7 funkciu DEP nepodporuje.

Mne osobne sú dôvody tvorcov neznáme a asi aj dlho ostanú.

 

ASLR náhodne prideľuje DLL (dynamic load library) knižniciam (http://en.wikipedia.org/wiki/Microsoft_Dynamic_Link_Library)  miesto v pamäti a tým útočník nevie kam príde zápis. ASLR podporuje Windows Vista, Server 2008, Windows 7, OpenBSD, MacOS x (10.5 a vyšší), taktiež linuxové distribúcie s kernelom 2.6.12 a vyšším. Pri OS Windows to pracuje nasledovne: pri načítaní nejakej knižnice DLL, ktorá musí byť označené príznakom pre použitie ASLR sa danej dll priradí náhodná časť pamäte. Dll systému Windows to bežne používaju. 3rd party programy však nie. ASLR je vlastne inak nazvaná funkcia Dynamic Memory Allocation (Dynamické priraďovanie pamäte). Bohužiaľ sa však vďaka 3rd party programom táto funkcia vo Windows stáva nefunkčnou a zbytočnou. Riešením by možno bolo defaultne pridávať príznak OS (ako v *nix systémoch) ale to záleží od Microsoftu. Čo ale opäť privádza k veci, že zníženie bezpečnosti a diery v OS Windows sú často zásluhou externých aplikácií a nie priamo v systému.

 

Pre ukážku pár dier pre bufferoverflow (všetky sú ošetrené):

Mplayer - použitie funkcie demux_real_fill_buffer pri prehrávaní súborov Real Media.

MAC Illustrator CS2 - pri otvorení "upraveného" súboru

PHP 5.2.6 a menej - IMAP toolkit crash: rfc822.c

Apache 1.3.xx - chyba volaní strncpy a strncat

Apache na Debiane - „Chunked Requests" funkcia http 1.1

SlimFTP 3.15 - 3.17

Trend Micro ServerProtect - (chyba antivírového riešenia)  Trend ServerProtect service a StRpcSrv.dll (RPC služba)

 

 

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Redhawk | štvrtok 22. januára 2009 23:04 | Prečítané: 8738 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
RE: Buffer overflow nepatri do šrotu reagovať

Nevím, jak moc pomáhá označit stránky s kódem proti zápisu. Byl bych raději, kdyby se využívala možnost označit některé stránky jako kód - a například oblast dat či zásobníku neoznačovat jako spustitelné. Novější procesory Intel to podporují, ale mám dojem, že XP toho nevyužívaly.

Martin Dráb sobota 24. januára 2009 14:03
RE: Buffer overflow nepatri do šrotu reagovať

Ano to je fakt. Oproti tomuto by to bolo lepsie. Mne ako som napisal DEP sposobil viac chyb odvtedy to je na standardnom nastaveni len pre Windows veci.

Redhawk pondelok 26. januára 2009 11:14
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

partneri

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic