Interested Article - Безопасность доступа к памяти

Безопасность доступа к памяти — концепция в разработке программного обеспечения, целью которой является избежание программных ошибок , которые ведут к уязвимостям , связанным с доступом к оперативной памяти компьютера, таким как переполнения буфера и висячие указатели .

Языки программирования с низким уровнем абстракций, такие как Си и Си++ , поддерживающие непосредственный доступ к памяти компьютера (произвольную арифметику указателей , выделение и освобождение памяти ) и приведение типов , но не имеющие автоматической массивов, не являются безопасными с точки зрения доступа к памяти . C и C++, тем не менее, содержат инструменты (такие как умные указатели ), позволяющие повысить безопасность доступа к памяти. Этой же цели служат техники управления памятью . Тем не менее, избежать ошибок доступа к памяти, особенно в сложных системах, зачастую не удаётся .

Уязвимости, связанные с доступом к памяти

Одним из наиболее распространённых классов уязвимостей программного обеспечения являются проблемы безопасности памяти . Данный тип уязвимости известен с 1980-х годов . Безопасность памяти подразумевает предотвращение попыток использовать или модифицировать данные, если это не было намерено разрешено программистом при создании программного продукта .

Множество критических с точки зрения производительности программ реализованы на языках программирования c низким уровнем абстракций ( Си и Си++ ), которые склонны к появлению уязвимостей данного типа. Отсутствие защищенности этих языков программирования позволяет атакующим получить полный контроль над программой, изменять поток управления , иметь несанкционированный доступ к конфиденциальной информации . На данный момент предложены различные решения проблем, связанных с доступом к памяти. Механизмы защиты должны быть эффективны одновременно как с точки зрения безопасности, так и с точки зрения производительности .

Первую огласку ошибки памяти получили в 1972 году . И далее они являлись проблемой многих программных продуктов, средством, позволяющим применять эксплоиты . Например, червь Морриса использовал множество уязвимостей, часть из которых была связана с ошибками работы с памятью .

Типы ошибок памяти

Различают несколько видов ошибок памяти (уязвимостей), которые могут возникать в некоторых языках программирования:

  • — выражение, индексирующее массив, выходит из диапазона значений, установленного при определении этого массива. Отдельно выделяется особый подтип — ошибка неучтённой единицы . Встречается при отсутствии проверок границ массивов и строк (Си, Си++) .
    • Переполнение буфера — запись за пределами выделенного в памяти буфера. Возникает при попытке записи в буфер блока данных, превышающего размер этого буфера. В результате переполнения могут быть испорчены данные, расположенные рядом с буфером , либо программа вовсе изменит своё поведение, вплоть до интерпретации записанных данных как исполняемого кода . Использование данной уязвимости является одним из наиболее популярных способов взлома компьютерных систем .
    • — чтение за пределами выделенного в памяти буфера. Последствиями могут служить нарушения безопасности системы (утрата конфиденциальности), нестабильное и неправильное поведение программы, ошибки прав доступа к памяти . Эта уязвимость входит в список наиболее распространённых и опасных ошибок в программном обеспечении .
  • Ошибки при работе с динамической памятью — неправильное распоряжение динамически выделяемой памятью и указателями. В данном случае выделение памяти под объекты осуществляется во время выполнения программы , что может повлечь за собой ошибки времени исполнения. Данной уязвимости подвержены языки программирования с низким уровнем абстракций, поддерживающие непосредственный доступ к памяти компьютера (Си, Си++) .
    • Висячий указатель — указатель, не ссылающийся на допустимый объект соответствующего типа. Данный вид указателей возникает, когда объект был удалён (или перемещён), но значение указателя не изменили на нулевое . В данном случае он всё ещё указывает на область памяти, где находился данный объект. В некоторых случаях это может стать причиной получения конфиденциальной информации злоумышленником; либо, если система уже перераспределила адресуемую память под другой объект, доступ по висячему указателю может повредить расположенные там данные . Особый подтип ошибки — использование после освобождения (use after free) (обращение к освобожденной области памяти) — является распространённой причиной ошибок программ , например, уязвимостей веб-обозревателей .
    • Обращение по нулевому указателю . Нулевой указатель имеет специальное зарезервированное значение, показывающее, что данный указатель не ссылается на допустимый объект . Обращение по нулевому указателю будет причиной исключительной ситуации и аварийной остановки программы.
    • Освобождение ранее не выделенной памяти — попытка освободить область оперативной памяти, которая не является на данный момент выделенной (то есть свободна). Наиболее часто это проявляется в двойном освобождении памяти , когда происходит повторная попытка освободить уже освобождённую память. Данное действие может вызвать ошибку менеджера памяти . В Си это происходит при повторном вызове функции free с одним и тем же указателем, без промежуточного выделения памяти.
    • Использование различных менеджеров памяти — ошибка, заключающаяся в разрыве связки аллокатор -деаллокатор памяти и использованием различных средств для работы с одним сегментом. Например, в Си++ использованием free для участка памяти, выделенного с помощью new или, аналогично, использованием delete после malloc . Стандарт Си++ не описывает какую-либо связь между new / delete и функциями работы с динамической памятью из Си, хотя new / delete в общем случае реализованы как обёртки malloc / free . Смешанное использование может стать причиной неопределённого поведения .
    • Потеря указателя — утеря адреса выделенного фрагмента памяти при перезаписи его новым значением, который ссылается на другую область памяти . При этом адресуемая предыдущим указателем память более недосягаема. Такой тип ошибки приводит к утечкам памяти , так как выделенная память не может быть освобождена. В Си это может случиться при повторном присваивании результата функции malloc одному и тому же указателю, без промежуточного освобождения памяти.
  • — переменные, которые были объявлены , но не установлены в какое-либо значение, известное до времени их использования. Переменные будут иметь значение, но, в общем случае, труднопредсказуемое. Уязвимость для памяти могут возникнуть при наличии неинициализированных («диких») указателей . Эти указатели в своём поведении схожи с висячими указателями , попытка обращения по ним в большинстве случаев будет сопровождаться ошибками доступа или повреждением данных. Однако, возможно получение конфиденциальной информации, которая могла остаться в данной области памяти после предыдущего использования .
  • Ошибки нехватки памяти — проблемы, возникающие при недостатке количества доступной памяти для данной программы.
    • Переполнение стека — превышение программой количества информации, которое может находиться в стеке вызовов (указатель вершины стека выходит за границу допустимой области). При этом программа аварийно завершается . Причиной ошибки может быть глубокая (или бесконечная) рекурсия , либо выделение большого количества памяти для локальных переменных на стеке .
    • — попытка программы выделить большее количество памяти, чем ей доступно. Является следствием частого ( Java ) и зачастую неправильного обращения с динамической памятью . В случае возникновения ошибки, операционная система завершит наиболее подходящий с её точки зрения для этого процесс (часто, вызвавший ошибку, но иногда — произвольный ).

Обнаружение ошибок

Возможные ошибки работы с памятью могут быть установлены как во время компиляции программы, так и во время исполнения ( отладки ).

Помимо предупреждений со стороны компилятора, для обнаружения ошибок до момента сборки программы используются статические анализаторы кода . Они позволяют покрыть значительную часть опасных ситуаций, исследуя исходный код более подробно, чем поверхностный анализ компилятора. Статические анализаторы могут обнаружить:

  • Выход за границы массивов
  • Использование висячих (а также нулевых или неинициализированных) указателей
  • Неправильное использование библиотечных функций
  • Утечки памяти, как следствие неправильной работы с указателями

Во время отладки программы могут использоваться специальные менеджеры памяти. В данном случае вокруг аллоцированных в куче объектов создаются «мёртвые» области памяти, попадая в которые отладчик позволяет обнаружить ошибки . Альтернативой являются специализированные виртуальные машины , проверяющие доступ к памяти ( Valgrind ). Обнаружить ошибки помогают системы инструментирования кода, в том числе обеспечиваемые компилятором (Sanitizer ).

Способы обеспечения безопасности

Большинство языков высокого уровня решают эти проблемы с помощью удаления из языка арифметики указателей, ограничением возможностей приведения типов, а также введением сборки мусора , как единственной схемы управления памятью . В отличие от низкоуровневых языков , где важна скорость, высокоуровневые в большинстве своём осуществляют дополнительные проверки , например проверки границ при обращениях к массивам и объектам .

Чтобы избежать утечек памяти и ресурсов, обеспечить безопасность в плане исключений, в современном Си++ используются умные указатели . Обычно они представляют из себя класс, имитирующий интерфейс обыкновенного указателя и добавляющего дополнительную функциональность , например проверку границ массивов и объектов, автоматическое управление выделением и освобождением памяти для используемого объекта. Они помогают реализовать идиому программирования Получение ресурса есть инициализация (RAII), заключающуюся в том, что получение объекта неразрывно связано с его инициализацией, а освобождение — с его уничтожением .

При использовании библиотечных функций следует уделять внимание возвращаемым ими значениям , чтобы обнаружить возможные нарушения в их работе . Функции для работы с динамической памятью в Си сигнализируют об ошибке (нехватке свободной памяти запрашиваемого размера), возвращая вместо указателя на блок памяти нулевой указатель ; в Си++ используются исключения . Правильная обработка данных ситуаций позволяет избежать неправильного (аварийного) завершения программы .

Повышению безопасности способствуют проверки границ при использовании указателей. Подобные проверки добавляются во время компиляции и могут замедлять работу программ; для их ускорения были разработаны специальные аппаратные расширения (например, Intel MPX ).

На нижних уровнях абстракций существуют специальные системы, обеспечивающие безопасность памяти. На уровне операционной системы это менеджер виртуальной памяти , разделяющий доступные области памяти для отдельных процессов (поддержка многозадачности ), и средства синхронизации для поддержания многопоточности . Аппаратный уровень также, как правило, включают некоторые механизмы, такие как кольца защиты .

Наиболее надёжным, но и более дорогим методом обеспечения безопасности доступа к памяти является формальная верификация . Например, с использованием формализмов логики разделения , подходящей для моделирования кучи .

Примечания

  1. Erik Poll. . — Radboud University Nijmegen, 2016. — 21 Января. 14 сентября 2016 года. / «Language features that break memory safety include …»
  2. Laszlo Szekeres, Mathias Payer, Dawn Song. . — 2013 IEEE Symposium on Security and Privacy, 2013. 5 августа 2021 года. / «Memory corruption bugs in software written in low-level languages like C or C++ are one of the oldest problems in computer security.»
  3. ISO Standard C++ Foundation. (англ.) . isocpp.org . Дата обращения: 10 февраля 2022. 10 сентября 2018 года.
  4. ISO Standard C++ Foundation. (англ.) . isocpp.org . Дата обращения: 10 февраля 2022. 10 сентября 2018 года. / «Clearly, if your code has new operations, delete operations, and pointer arithmetic all over the place, you are going to mess up somewhere and get leaks, stray pointers, etc. This is true independently of how conscientious you are with your allocations: eventually the complexity of the code will overcome the time and effort you can afford.»
  5. Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos. . — RAID’12; Amsterdam, The Netherlands, 2012. — 12—14 Сентября. 26 июня 2016 года. / «… and still rank among the top 3 most dangerous software errors.»
  6. Dawn Song. . — Berkeley CS161 Computer Security, 2015. — Весна. 1 марта 2015 года. / «In fact, after configuration errors, implementation errors are probably the largest single class of security errors exploited in practice.»
  7. Laszlo Szekeres, Mathias Payer, Dawn Song. . — 2013 IEEE Symposium on Security and Privacy, 2013. 5 августа 2021 года. / «This problem has existed for more than 30 years …»
  8. Dawn Song. . — Berkeley CS161 Computer Security, 2015. — Весна. 1 марта 2015 года. / «… preventing attackers from reading or writing to memory locations other than those intended by the programmer.»
  9. Laszlo Szekeres, Mathias Payer, Dawn Song. . — 2013 IEEE Symposium on Security and Privacy, 2013. 5 августа 2021 года. / «Applications written in low-level languages like C or C++ are prone to these kinds of bugs. The lack of memory safety … enables attackers to exploit memory bugs by maliciously altering the program’s behavior or even taking full control over the control-flow.»
  10. Laszlo Szekeres, Mathias Payer, Dawn Song. . — 2013 IEEE Symposium on Security and Privacy, 2013. 5 августа 2021 года. / «… in finding the balance betweeneffectiveness(security)andefficiency.»
  11. Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos. . — RAID’12; Amsterdam, The Netherlands, 2012. — 12—14 Сентября. 26 июня 2016 года. / «Memory errors were first publicly discussed in 1972 by the Computer Security Technology Planning Study Panel.»
  12. Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos. . — RAID’12; Amsterdam, The Netherlands, 2012. — 12—14 Сентября. 26 июня 2016 года. / «The Internet Worm exploited a number of vulnerabilities, including memory error-related ones.»
  13. Laszlo Szekeres, Mathias Payer, Dawn Song. . — 2013 IEEE Symposium on Security and Privacy, 2013. 5 августа 2021 года.
  14. Dawn Song. . — Berkeley CS161 Computer Security, 2015. — Весна. 1 марта 2015 года.
  15. Katrina Tsipenyuk, Brian Chess, Gary McGraw. . — NIST Workshop on Software Security Assurance Tools, Techniques, and Metrics, Long Beach, CA, 2005. — Ноябрь. 7 октября 2016 года.
  16. Edsger W. Dijkstra. . — Plataanstraat 5, 5671 AL NUENEN, The Netherlands, 1982. — 11 Августа. 16 сентября 2016 года. / «… the use of the other three conventions has been a constant source of clumsiness and mistakes …»
  17. Richard Jones and Paul Kelly. . — Imperial College, 1995. — Июль. 26 марта 2016 года. / «One response to this analysis is to discard C, since this lack of efficient checkability is responsible for many software failures.»
  18. Джон Эриксон. . — СПб. : Символ-Плюс, 2010. — С. . — ISBN 978-5-93286-158-5 .
  19. Джон Эриксон. . — СПб. : Символ-Плюс, 2010. — С. . — ISBN 978-5-93286-158-5 .
  20. David A. Wheeler. . — Published v3.72. — 2015. 28 мая 2016 года. / «Buffer overflows are an extremely common and dangerous security flaw …»
  21. Common Weakness Enumeration. (8 декабря 2015). Дата обращения: 24 ноября 2016. 27 сентября 2016 года. / «This typically occurs when the pointer or its index is incremented to a position beyond the bounds of the buffer …»
  22. Steve Christey. . MITRE (13 сентября 2011). Дата обращения: 24 ноября 2016. 12 апреля 2018 года.
  23. Guy Keren. (2001—2002). Дата обращения: 24 ноября 2016. Архивировано из 27 сентября 2016 года. / «The runtime environment defines not only how memory is allocated and freed …»
  24. Robert C. Seacord. . — Addison-Wesley, 2013. — P. . — ISBN 978-0-321-82213-0 .
  25. Jonathan Afek, Adi Sharabani. . — Watchfire Corporation, 2007. 19 февраля 2018 года.
  26. Компьютерная газета. . Дата обращения: 24 ноября 2016. 22 июня 2018 года. / «… уязвимости, к которым может привести неправильное использование указателей и ссылок.»
  27. Common Weakness Enumeration. (8 декабря 2015). Дата обращения: 24 ноября 2016. 18 июля 2019 года. / «Referencing memory after it has been freed can cause a program to crash, use unexpected values, or execute code.»
  28. Juan Caballero, Gustavo Grieco, Mark Marron, Antonio Nappa. . — IMDEA Software Institute; Madrid, Spain. 10 сентября 2016 года. / «Use-after-free vulnerabilities are rapidly growing in popularity, especially for exploiting web browsers.»
  29. comp.lang.c. . Дата обращения: 24 ноября 2016. 27 сентября 2016 года. / «The language definition states that for each pointer type, there is a special value …»
  30. Oracle. . Дата обращения: 24 ноября 2016. 23 апреля 2018 года. / «Thrown when an application attempts to use null in a case where an object is required.»
  31. Common Weakness Enumeration. (8 декабря 2015). Дата обращения: 24 ноября 2016. 27 сентября 2016 года. / «When a program calls free() twice with the same argument …»
  32. Yan Huang. . Дата обращения: 24 ноября 2016. 17 апреля 2018 года. / «If free(p) has already been called before, undefined behavior occurs.»
  33. Andrei Alexandrescu. . — Addison Wesley, 2001. (недоступная ссылка) / «… it is usually implemented as a thin wrapper around the C heap allocator …»
  34. Guy Keren. (2001—2002). Дата обращения: 25 ноября 2016. Архивировано из 27 сентября 2016 года. / «For example, the GNU C++ compiler’s new operator actually invokes the C runtime malloc() function.»
  35. . Дата обращения: 25 ноября 2016. 10 сентября 2018 года. / «The C++ operators new and delete guarantee proper construction and destruction … The C-style functions … don’t ensure that.»
  36. OWASP. . Дата обращения: 25 ноября 2016. 23 ноября 2016 года.
  37. . Дата обращения: 25 ноября 2016. 26 февраля 2013 года. / «Ничто так не беспокоит, как „дикие“ указатели!»
  38. Halvar Flake. (2006). Дата обращения: 25 ноября 2016. 3 июня 2016 года. / «We’re looking at the following situation then …»
  39. Common Weakness Enumeration. (8 декабря 2015). Дата обращения: 25 ноября 2016. 2 октября 2016 года. / «An attacker can sometimes control or read these contents.»
  40. . James Craig, Burley (1 июня 1991). Дата обращения: 25 ноября 2016. 5 октября 2012 года.
  41. Danny Kalev. (5 сентября 2000). Дата обращения: 25 ноября 2016. 5 октября 2012 года. / «The two most common causes for a stack overflow …»
  42. John Boyland. . — University of Wisconsin-Milwaukee, USA. 22 марта 2016 года. / «An „out of memory“ error can be catastrophic for a program, especially one written in a language such as Java that uses memory allocation frequently.»
  43. Mulyadi Santosa. (30 ноября 2006). Дата обращения: 15 ноября 2016. 14 апреля 2018 года. / «… you can no longer allocate more memory and the kernel kills a task (usually the current running one).»
  44. Anders Moller and Michael I. Schwartzbach. . — Department of Computer Science, Aarhus University, 2015. — Май. 11 февраля 2017 года.
  45. . Дата обращения: 25 ноября 2016. 18 января 2016 года. / «Detect various kinds of bugs in your code …»
  46. Semantic Designs. . Дата обращения: 25 ноября 2016. 18 апреля 2018 года. / «Programs with pointers can commit a variety of errors in accessing memory …»
  47. PVS-Studio. (25 марта 2015). Дата обращения: 25 ноября 2016. 25 января 2018 года.
  48. Emery D. Berger, Benjamin G. Zorn. . — PLDI’06; Ottawa, Ontario, Canada, 2006. — 11-14 Июня. 6 марта 2016 года.
  49. Konstantin Serebryany, Dmitry Vyukov. . GNU Tools Cauldron (10 июля 2012). Дата обращения: 25 ноября 2016. 12 марта 2016 года.
  50. Erik Poll. . Radboud Universiteit Nijmegen . Дата обращения: 25 ноября 2016. Архивировано из 5 ноября 2016 года. / «Manual memory management can be avoided by …»
  51. Dinakar Dhurjati and Vikram Adve. . — Department of Computer Science University of Illinois at Urbana-Champaign. 1 июля 2016 года. / «… an unsolved problem despite a long history of work on detecting array bounds violations or buffer overruns, because the best existing solutions to date are either far too expensive for use in deployed production code …»
  52. Bruce Eckel. . 19 ноября 2016 года. / «Both arrays and containers guarantee that you can’t abuse them. Whether you’re using an array or a container, you’ll get a RuntimeException if you exceed the bounds, indicating a programmer error.»
  53. David Kieras. . — EECS Department, University of Michigan, 2016. — Июнь. 30 ноября 2016 года. / «Smart pointers are class objects that behave like built-in pointers but also manage objects that you create …»
  54. Microsoft Developer Network. . Дата обращения: 25 ноября 2016. 5 декабря 2017 года. / «Они чрезвычайно важны для идиомы программирования RAII или Resource Acquisition Is Initialialization …»
  55. Common Weakness Enumeration. (8 декабря 2015). Дата обращения: 25 ноября 2016. 18 июля 2019 года. / «The software does not check the return value from a method or function, which can prevent it from detecting unexpected states and conditions.»
  56. Microsoft Developer Network. . Дата обращения: 25 ноября 2016. 5 октября 2016 года. / «malloc возвращает нетипизированный указатель на выделенную область памяти или NULL, если недоступно достаточно памяти.»
  57. . Дата обращения: 25 ноября 2016. 29 марта 2018 года. / «throws std::bad_alloc or another exception derived from std::bad_alloc (since C++11) on failure to allocate memory»
  58. Paul and Harvey Deitel. . 2 октября 2015 года.
  59. Intel Developer Zone. (16 июля 2013). Дата обращения: 25 ноября 2016. 5 мая 2019 года.
  60. Sarah Diesburg. . Дата обращения: 25 ноября 2016. 9 августа 2017 года.
  61. Michael D. Schroeder and Jerome H. Saltzer. . — Third ACM Symposium on Operating Systems Principles, Palo Alto, California, 1971. — 18-20 Октября. 25 февраля 2021 года.
  62. Kolanski, Rafal Michal. . — PhD. — Australia : University of New South Wales (UNSW), 2011.

Литература

  • Erik Poll. (англ.) . — Radboud University Nijmegen, 2016. — 21 Января.
  • David A. Wheeler. . — v3.72 Edition. — 2015.

Ссылки

Общие публикации

  • Laszlo Szekeres, Mathias Payer, Tao Wei, Dawn Song. (англ.) . — IEEE Computer Society Washington, DC, USA, 2013. — 19—22 Мая. — ISBN 978-0-7695-4977-4 . — doi : .
  • Dawn Song. (англ.) . — Berkeley CS 161 Computer Security, 2015. — Весна.
  • Katrina Tsipenyuk, Brian Chess, Gary McGraw. (англ.) . — 2005. — 12 Декабря. — ISSN . — doi : .
  • Emery D. Berger, Benjamin G. Zorn. (англ.) . — PLDI '06; Ottawa, Ontario, Canada, 2006. — 11–14 Июня. — ISBN 1-59593-320-4 . — doi : .
  • Erik Poll. (англ.) . Radboud Universiteit Nijmegen . Дата обращения: 24 ноября 2016. Архивировано из 5 ноября 2016 года.
  • Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos. (англ.) . — RAID'12; Amsterdam, The Netherlands, 2012. — 12-14 Сентября. — ISBN 978-3-642-33337-8 . — doi : .

Тематические публикации

  • Guy Keren. (англ.) (2001—2002). Дата обращения: 24 ноября 2016. Архивировано из 27 сентября 2016 года.
  • Jonathan Afek, Adi Sharabani. (англ.) . — Watchfire Corporation, 2007.
  • Juan Caballero, Gustavo Grieco, Mark Marron, Antonio Nappa. (англ.) . — ISSTA 2012; Minneapolis, MN, USA, 2012. — 15-20 Июля. — ISBN 978-1-4503-1454-1 . — doi : .
  • Yan Huang. (англ.) (2016). Дата обращения: 24 ноября 2016.
  • Halvar Flake. (англ.) . Black Hat Federal (2006). Дата обращения: 24 ноября 2016.
  • John Boyland. (англ.) . — ECOOP 2005 Workshop on Exceptional Handling in Object-Oriented Systems; University of Wisconsin-Milwaukee, USA, 2005. — Июль. 22 марта 2016 года.
  • David Kieras. (англ.) . — EECS Department, University of Michigan, 2016. — Июнь.
  • Dinakar Dhurjati, Vikram Adve. (англ.) . — ICSE '06; Shanghai, China, 2006. — 20-28 Мая. — ISBN 1-59593-375-1 . — doi : .


Источник —

Same as Безопасность доступа к памяти