B4B35OSY: Operační systémyale není to elegantní a trpí to některými nedostatky Schopnosti Neexistuje ambientní autorita, každému procesu jsou delegovány jen ty schopnosti,

B4B35OSY: Operační systémyLekce 8: Bezpečnost (security)

Michal [email protected]

November 23, 2017

1 / 37

Osnova

1 Co je to bezpečnost?

2 Řízení přístupu

3 Stack overflowÚtoky a ochrany proti nim

2 / 37

Co je to bezpečnost?

Outline




3 / 37



Pro každého něco jiného

4 / 37


Počítačová bezpečnost

Ochrana mých zájmů (počítačem ovlivnitelných) přednepřátelskými hrozbamiVelmi individuální a subjektivní

Různí lidé mají různé zájmyRůzní lidé čelí různým hrozbám

Neexistují univerzální řešeníJe počítač s Windows dostačující k uložení přísně tajnýchinformací?

Je připojen k internetu? Kdo k němu má přístup – fyzicky i vzdáleně?Tvrzení, že systém je bezpečný má smysl jen vzhledem k dobředefinovaným cílům zabezpečení, které definují

hrozby (např. napadení známým virem) abezpečné stavy systému (např. antivirus a firewall jsou zapnuty)

5 / 37


Počítačová bezpečnost

Ochrana mých zájmů (počítačem ovlivnitelných) přednepřátelskými hrozbamiVelmi individuální a subjektivní

Různí lidé mají různé zájmyRůzní lidé čelí různým hrozbám

Neexistují univerzální řešeníJe počítač s Windows dostačující k uložení přísně tajnýchinformací?

Je připojen k internetu? Kdo k němu má přístup – fyzicky i vzdáleně?Tvrzení, že systém je bezpečný má smysl jen vzhledem k dobředefinovaným cílům zabezpečení, které definují

hrozby (např. napadení známým virem) abezpečné stavy systému (např. antivirus a firewall jsou zapnuty)

5 / 37


Současný stav zabezpečení OS

Historicky:Zaostával za vývojem potřeb uživatelů

Např.: Bezpečnostní řešení byla zaměřena na firemní („enterprise“)zákazníky

Zaostával za objevujícími se hrozbamiZaměření na ochranu uživatelů mezi sebou, ne na ochranu uživatelůpřed nedůvěryhodnými aplikacemi

V některých ohledech se zlepšuje:Např. OS chytrých telefonů používají důkladnější zabezpečení neždesktopyMéně kritické bezpečnostní díry v běžných OS

V jiných se zhoršuje:Velikost, funkcionalita a složitost OS stále rosteJen málo lidí skutečné ví, jak psát bezpečný kódStále více lidí umí na systémy útočit

6 / 37


Bezpečnost operačních systémů

Co by mělo být cílem OS v oblasti bezpečnosti?Minimálně:

poskytovat mechanismy umožňující tvorbu bezpečných systémů,které jsou být schopny bezpečně implementovat uživatelem čiadministrátorem nastavenou politikua to tak, aby tyto mechanismy nebylo možné obejít.

Bezpečnost systému je tak silná, jak silný je nejslabší článek.Ďábel je skryt v detailech. . . i proto vás učíme assembler :-)

7 / 37


Dobré mechanismy zabezpečení

Jsou široce použitelnéPodporují obecné principy bezpečnostiJe snadné je správně a bezpečně použítNejsou v rozporu s jinými (nebezpečnostními) prioritami – např.s produktivitou.Dají se snadno správně implementovat i verifikovat

8 / 37


Zásady bezpečnostního designu

Saltzer & Schroeder [SOSP ’73, CACM ’74]Úspornost mechanismů – KISSBezpečné výchozí nastavení – vždy dobrá inženýrská praxeKompletní zprostředkování – ničemu nevěřit, vše kontrolovatOtevřený návrh – ne „security by obscurity“Oddělení pravomocíNejmenší pravomoci – princip minimálních oprávněníCo nejméně společných mechanismů – minimalizace sdílení datPsychologická přijatelnost – pokud se to těžce používá, nikdo topoužívat nebude

např. ve starších Windows měl většinou každý uživatel přiřazenyadministrátorská práva, protože nebyl jednoduchý způsob, jak tatopráva získat jen pro jednu operaci. Škodlivý program je tím pádemmohl automaticky zneužít.

9 / 37

https://www.cs.virginia.edu/~evans/cs551/saltzer/


Běžné mechanismy zabezpečení v OS

Systémy pro kontrolu přístupukontrola, k čemu může daný proces přistupovat

Autentizační systémypotvrzení identity toho, jehož „jménem“ proces běží

LogováníKvůli auditům, detekci útoků, vyšetřování a obnovu

Šifrování souborových systémůHW lze šifrovat celý disk, SW jen souborový systém (nelze šifrovatpartition table)

Správa pověření (credentials)Automatické aktualizace

Bezpečnost je „prorostlá“ celým systémem.

10 / 37


Bezpečnostní politiky

Definují co má být chráněno a proti komuČasto se vyjadřují pomocí cílů zabezpečení (CIA vlastnosti):

Důvěrnost (Confidentiality)X se nesmí dozvědět o Y

IntegritaX nesmí narušit Y

Dostupnost (Availability)X nesmí způsobit nedostupnost Y pro Z

11 / 37


Jeep hackMiler & Valasek, 2015

Služba v „infotainment“ jednotce byla přes DBUS omylem dostupná z internetuNahráli SSH klíč, spustili SSH server, přeprogramovali řadič sběrnice CAN, aby šel ovládat přes sériovoulinku z infotainment jednotky, . . .

12 / 37


Více druhů bezpečnosti

Angličtina rozlišuje dva termíny „safety“ a „security“, které se dočeštiny (i jiných jazyků) překládají oba jako bezpečnost.Safety – ochrana okolí před systémem

letadlo nezpůsobí škody v okolí (smrt lidí, škody na majetku)Security – ochrana systému před okolím

hacker neovládne vaše autoteroristé nezpůsobí pád letadla, srážku vlaků

Safety Security

Dostupnost

Integrita

Časovaní Utajení

13 / 37


Útoky jsou sofistikované

Využití postranních kanálů – zde se hledají šifrovací klíče pomocí měřeníelektromagnetického pole v okolí čipu

14 / 37


Rozdíl mezi politikou a mechanismem

Politiky doprovázejí mechanismyPolitika řízení přístupu (access control)

kdo má přístup k čemu?Politika autentizace

je heslo o 5 znacích dostatečné pro přístup do KOSu?Politika často omezuje použitelné mechanismy

Nestačí heslo, je potřeba se prokázat certifikátemCo někdo považuje za politiku, ostatní za mechanismus

15 / 37


Důvěra

Všechny systémy obsahují entity, kterým se věřípokud selžou, systém nemusí být bezpečnýhardware, OS, administrátor serveru, . . .

Trusted Computing Base (TCB):množina všech takových entitCo je součást TCB při práci s internetovým bankovnictvím?

Bezpečné systémy musí mít důvěryhodné TCBminimalizace TCB je klíčem k důvěryhodnosti.

16 / 37


Souhrn

Bezpečnost je velmi subjektivní, jsou potřeba dobře definovanécíle zabezpečeníBezpečnost OS:

dobré bezpečnostní mechanismy,podporující různé uživatelské politiky

Bezpečnost je daná důvěryhodností klíčových entitTCB: množina všech klíčových entitOS je nezbytně součástí TCB

17 / 37

Řízení přístupu

Outline




18 / 37


Mechanismy a politiky pro řízení přístupu

PolitikaSpecifikuje, kdo má povolen přístup k čemua jak se to může měnit v čase

MechanismusImplementuje politiky (viz dále)

Některé mechanismy nabádají k některým politikámNěkteré politiky nejdou vyjádřit pomocí mechanismů ve vašem OS

19 / 37


Základní principMatice řízení přístupu [Lampson’71] definuje stav ochrany v danémčase

Objekty jsou např. souborySubjekt je např. uživatelSubjekty mohou být zároveň objekty

Obj1 Obj2 Obj3 Subj2

Subj1 R RW send

Subj2 RX control

Subj3 RW RWX recv

20 / 37


Ukládání stavu ochrany

Typicky ne jako maticemoc „řídké“, neefektivní, dynamické

Dvě zřejmé volby:1 Ukládání jednotlivých sloupců dohromady s objektem

Každý sloupec je nazýván „seznam pro řízení přístupu“ (accesscontrol list, ACL) daného objektu

2 Ukládání jednotlivých řádků dohromady se subjektemDefinuje objekty, ke kterým má daný subjekt přístup – doménaochrany (protection domain) daného subjektuKaždý takový řádek je nazýván „seznam schopností“ (capability list)

21 / 37


Seznamy pro řízení přístupu (ACL)

Subjekty jsou obvykle sloučeny do třídnapř. v UNIXu: majitel, skupina, ostatníobecnější seznamy ve Windows čiv současném Linuxumohou obsahovat „negativní“ oprávnění– např. pro vyloučení přístupu několikauživatelů ze skupiny

Meta-oprávněnířízení členství ve třídáchdovolují modifikaci ACL

Implementováno skoro ve všechkomerčních OS

Obj1

Subj1 R

Subj2

Subj3 RW

22 / 37


Schopnosti (capabilities)

Schopnost [Dennis & Van Horn, 1966] je prvek seznamuschopností

Subj1Obj1 Obj2 Obj3 Subj2

R RW send

Pojmenovává objekt (aby s ním program mohl zacházet)Uděluje k objektu práva

Všichni, kdo vlastní „schopnost“ mají právo s objektem pracovatPoužití

Méně časté v komerčních systémechKeyKOS (VISA transaction processing) [Bomberger et al, 1992]Capsicum capabilities (FreeBSD)Častěji ve výzkumných OS: NOVA, EROS, L4Re kernel

23 / 37


ACL vs. schopnosti

Seznamy řízení přístupu (ACL)

Proces musí být schopen zjistit jaké objekty existují (pojmenování) a pakteprve je může používat (a nebo mu je k nim přístup odepřen)Typicky to řeší tzv. ambientní autorita – každý proces má všechna právauživatele, který ho spustil (např. „vidí“ celý souborový systém a kteří dalšíuživatelé jsou v systému.

Pokud program spouští jiný program, potomkovi nelze jednoduše omezit práva.V Linuxu se dnes tento problém řeší pomocí „jmenných prostorů“ (namespaces),ale není to elegantní a trpí to některými nedostatky

Schopnosti

Neexistuje ambientní autorita, každému procesu jsou delegovány jen tyschopnosti, které potřebuje.Např. proces nevidí všechny soubory, ale jen soubory (či celé adresářovéstromy), které mu rodič „delegoval“.Nikdo nemůže delegovat schopnosti, které sám nemá.

24 / 37


Možná implementace a použití schopností

Jádro OS

Uživatelský proces XY

Objekt(soubor file.txt)

Objekt(socket)

Objekt(adresář /home/ja)

Objekt (process XY)

Tabulka schopností

0123⁞

RWR

R

write(0, "Hello");int program;while ((program = readdir(1)) != -1) { if (getname(program) == "myprog.exe") { // spusť /home/ja/myprog.exe a deleguj mu objekt socket na indexu 2 child = create_process(program, capabilities=[-1, -1, 3]); } revoke(program);}

25 / 37


Povinné vs. nezávazné řízení přístupuMandatory vs. Discretionary Access Control

Nezávazné řízení přístupu:Uživatelé mohou sami rozhodovat o přístupuMohou delegovat svá přístupová práva ostatním uživatelům

Povinné řízení přístupu (MAC)Je vynucována administrátorem definovaná politikaUživatelé ji nemohou měnit (kromě toho, když to politika explicitnědovoluje)Mohou zabránit nedůvěryhodným aplikacím běžícím s právyuživatele v páchání škody.

26 / 37

Stack overflow

Outline




27 / 37

Stack overflow

Přetečení bufferu (buffer overflow)

Jedna z nejčastějších chyb programátorů v CSkoro vždy se dá nějak zneužítHodně zajímavé (z hlediska útočníků) je přetečení bufferu nazásobníku (lokální proměnná)

Tzv. stack smashing attackZneužitelnost chyby je dnes na velkých systémech (servery, PC)částečně eliminována (viz dále)Problém je ale. . .

28 / 37

Stack overflow

IoT

Internet of Things

Insecurity

of Things

29 / 37

Stack overflow

IoTInternet of Things

Insecurity

of Things

29 / 37

Stack overflow

IoT//////////Internet of ThingsInsecurity

of Things

29 / 37

Stack overflow

Zásobník

int func(int arg1, int arg2){

volatile int ret = arg1 + arg2;return ret;

}

void main(){

func(1, 3);}

arg1arg2návratová adresa(uložený base pointer)

lokální proměnnéesp

ebp

ebp+4

S ukazatelem rámcemain:

push %ebpmov %esp,%ebppush $0x3push $0x1call 500 <func>pop %eaxpop %edxleaveret

func:push %ebpmov %esp,%ebpsub $0x10,%espmov 0xc(%ebp),%eaxadd 0x8(%ebp),%eaxmov %eax,-0x4(%ebp)mov -0x4(%ebp),%eaxleaveret

30 / 37

Stack overflow

Zásobník

int func(int arg1, int arg2){

volatile int ret = arg1 + arg2;return ret;

}

void main(){

func(1, 3);}

arg1arg2návratová adresa(uložený base pointer)

lokální proměnnéesp

ebp

ebp+4

Bez ukazatele rámcemain:

push $0x3push $0x1call 500 <func>pop %eaxpop %edxret

func:sub $0x10,%espmov 0x18(%esp),%eaxadd 0x14(%esp),%eaxmov %eax,0xc(%esp)mov 0xc(%esp),%eaxadd $0x10,%espret

30 / 37

Stack overflow

Zneužití přetečení zásobníku

int main(int argc, char *argv[]){

char buffer[10];strcpy(buffer, argv[1]);return 0;

}

arg1arg2návratová adresa(uložený base pointer)jiné lokální proměnné

bufferesp

ebp

ebp+4

Zaslaná data

shellcode

Očekávaná

data

shellcode

ShellcodeTypickým cílem útočníka jespuštění shelluVětšinou nesmí obsahovatbinární nulyB8 01000000 mov $1,%eax

// nahradit za

33C0 xor %eax,%eax40 inc %eax

31 / 37

Stack overflow

Zneužití přetečení zásobníku

int main(int argc, char *argv[]){

char buffer[10];strcpy(buffer, argv[1]);return 0;

}


bufferesp

ebp

ebp+4

Zaslaná data

shellcode

Očekávaná

data

shellcode

ShellcodeTypickým cílem útočníka jespuštění shelluVětšinou nesmí obsahovatbinární nulyB8 01000000 mov $1,%eax

// nahradit za

33C0 xor %eax,%eax40 inc %eax

31 / 37

Stack overflow » Útoky a ochrany proti nim

Nespustitelný zásobník

Intel zavedl od PAE stránkování (PAE a x86_64) XD bit(eXecute-Disable)

Při pokusu o vykonání kódu ze stránky s XD=1 dojde k výjimce.Paměť pro zásobník se alokuje s XD=0.

ARM používá UXN/XN bit (Unprivileged eXecute Never)

32 / 37


Return-oriented programming (ROP)

Na zásobníku kód spustit nejde, ale v každém programu je spousta jinéhokódu, který spustit lze.Že by se v programu nacházel přesně ten kód, který útočník potřebuje, jenepravděpodobné.Jinde je ale spousta „zajímavého“ kódu – např. v knihovně libc najdemekód, který vyvolává všechna možná systémová volání.


bufferesp

ebp

ebp+4

Zaslaná data ROP gadgets

Očekávaná

data

instr1; insr2; ret

instr3; insr4; instr5; ret

instr6; insr7; ...; ret

33 / 37


ROP – pokračování

Existují ROP překladačePředloží se jimi program a knihovny, na které chceme útočit (např.webový server a knihovny z populární Linuxové distribuce)kompilátor přeloží zdrojový kód v C do ROP programu (sekvencenávratových adres, které je potřeba uložit na zásobník).

34 / 37


Náhodné rozložení adresního prostoruAddress space layout randomization (ASLR)

Pro většinu typů útoků se zásobníkem je potřeba znát adresy, nakteré lze „skákat“ instrukcí ret.Pokud útočník neumí adresy zjistit, jsou útoky těžké či nemožné.Sdílené knihovny jsou zkompilovány tak, že je lze nahrát a spustitz libovolné adresy (position independent code – PIC)

Linkování se provádí až při spuštění, takže je možné je umístit přikaždém startu na jinou adresu.

I program lze přeložit jako PIC a zásobník také nemusí být napevné adrese.watch -d cat /proc/self/maps

35 / 37


Když ASLR nestačí

Jádra OS nemohou používat takintenzivní ASLR.Linux používá náhodnou adresuzásobníků v jádře, ale adresa kódu sezvolí náhodně jen při bootu, pakzůstává stejná.Řešení: stack protector, stack canary,RETGUARD (OpenBSD)RETGUARD

Při vstupu do funkce zakódujenávratovou adresuESP se dá považovat za náhodné –je těžké ho uhádnoutPřed návratem se návratová adresaobnoví XORemPokud útočník přepsal návratovouadresu, obnovou se jeho adresaznehodnotí ⇒ systém „spadne“

main:push $0x3push $0x1call 500 <func>pop %eaxpop %edxret

func:xor (%esp),%esp ; zakodujsub $0x10,%espmov 0x18(%esp),%eaxadd 0x14(%esp),%eaxmov %eax,0xc(%esp)mov 0xc(%esp),%eaxadd $0x10,%espxor (%esp),%esp ; obnovret

36 / 37


Závěr

Bezpečnost je důležitým aspektem každého počítačovéhosystémuV budoucnosti bude její důležitost narůstatSystémy (nejen operační) jsou tak bezpečné, jak bezpečný jenejslabší článek

I ta nejméně důležitá knihovna používaná vaším programem můžeobsahovat kritickou zranitelnostI operační systém obsahuje mnoho komponent, které nepoužíváte,ale útočníkům pomohou

Útočníci jsou velmi kreativní a vynalézaví lidéPokud se jim chcete bránit, musíte umět myslet jako oni

37 / 37


Reference

Využili jsme některé materiály licencované pod CC BY 3.0„Courtesy of Gernot Heiser, UNSW Sydney“.

37 / 37

Documents

B4B35OSY: Operační systémyale není to elegantní a trpí to některými nedostatky Schopnosti Neexistuje ambientní autorita, každému procesu jsou delegovány jen ty schopnosti,