Azok számára, akiknek nincs alacsony szintű programozási háttere, az ASLR zavaró lehet. Ennek megértéséhez először meg kell értenie a virtuális memóriát.
Mi a virtuális memória?
A virtuális memória sok előnye van a memóriakezelési technikának, de elsősorban azért jött létre, hogy megkönnyítse a programozást. Képzelje el, hogy a Google Chrome, a Microsoft Word és számos más program van nyitva a számítógépen, 4 GB RAM-mal. Összességében a számítógépen található programok több mint 4 GB RAM-ot használnak. Azonban nem minden program mindenkor aktív lesz, vagy egyidejűleg hozzá kell férnie ahhoz a RAM-hoz.
Az operációs rendszer felosztja a memória darabokat az úgynevezett programoknak oldalak. Ha nincs elegendő RAM az összes oldal tárolásához egyszerre, a legkevésbé valószínű, hogy a kevésbé lesz szükség van a lassabb (de tágabb) merevlemezre. Ha a tárolt oldalakra szükség van, akkor a kevésbé szükséges, a jelenleg RAM-ban lévő oldalakat váltja át. Ezt a folyamatot pagingnek nevezik, és megadja a nevét a pagefile.sys fájlnak a Windows rendszerben.
A virtuális memória megkönnyíti a programok számára saját memóriájának kezelését, és biztonságosabbá tételét. A programoknak nem kell aggódniuk, hogy más programok hogyan tárolják az adatokat, vagy hogy mennyi RAM marad. Csak kérhetik az operációs rendszert további memóriákhoz (vagy használjon visszafelhasználatlan memóriát) szükség szerint. Az összes program egyetlen memóriakezelési darabot jelent, kizárólagos használatra, úgynevezett virtuális címek. A programnak nem szabad megnéznie egy másik program memóriáját.
Amikor egy programnak hozzáférést kell elérnie a memóriához, az operációs rendszer virtuális címet ad. Az operációs rendszer kapcsolatba lép a CPU memória-kezelő egységével (MMU). Az MMU a virtuális és a fizikai címek között fordul elő, és ezeket az információkat visszaadja az operációs rendszernek. A program nem érinti közvetlenül a RAM-ot.
Mi az ASLR?
A címtartomány elrendezésének randomizálása (ASLR) elsősorban a puffer túlcsordulás elleni támadások elleni védelemre szolgál. A puffer túlcsordulásakor a támadók betöltik a funkciót annyi szemét adattal, amennyit képes kezelni, ezt követi egy rosszindulatú hasznos tartalom. A hasznos tartalom felülírja a program által elérni kívánt adatokat. A kód másik pontjához való ugrásszerű utasítások közös terhelés. A híres JailbreakMe módszer az iOS 4 börtönbüntetésre, például egy puffer túlcsordulást alkalmazott, és felszólította az Apple-t az ASLR hozzáadására az iOS 4.3-ra.
A puffertúlcskák megkérik a támadót, hogy tudja, hol található a program minden része a memóriában. Ez a kirajzolás általában nehéz próba és hiba. Miután meghatározta ezt, meg kell adni egy rakodót, és megfelelő helyet kell találnia a beadáshoz. Ha a támadó nem tudja, hol található a célkódja, akkor nehéz vagy lehetetlen kihasználni.
Az ASLR a virtuális memória kezelése mellett működik a program különböző részei helyének véletlen besorolására a memóriában. Minden alkalommal, amikor a program fut, az összetevők (beleértve a köteget, a halom és a könyvtárakat) áthelyezik egy másik címre a virtuális memóriában. A támadók többé nem tudják megtudni, hol van a cél a próba és a hiba miatt, mert a cím mindig különböző lesz. Általában az alkalmazásokat ASLR támogatással kell összeállítani, de ez az alapértelmezett, és még az Android 5.0-s verzióra is szüksége van.
Tehát az ASLR továbbra is védi Önt?
Múlt kedden a SUNY Binghamton és a Kaliforniai Egyetem, a Riverside kutatói egy olyan papírt mutattak be, amelynek neve Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR. A papír részletezi, hogyan támadhatja meg a Branch Target Buffer (BTB). A BTB része a processzornak, amely felgyorsítja az utasításokat az eredmények előrejelzésével. A szerzők módszerével lehetséges az ismert ág utasítások helyének meghatározása egy futó programban. A szóban forgó támadást egy Linux-gépen végezték el egy Intel Haswell processzorral (először 2013-ban), de valószínűleg bármely modern operációs rendszerre és processzorra alkalmazható.
Ez azt jelenti, hogy nem feltétlenül kell kétségbeesni. A papír néhány olyan lehetőséget kínál, amelyek segítségével a hardver és az operációs rendszer fejlesztői enyhíthetik ezt a fenyegetést. Az újabb, finom szemcsézett ASLR technikák nagyobb erőfeszítést igényelnének a támadótól, és az entrópia (véletlenszerűség) növelésével az ugrásszerű támadást elérhetetlenné teheti. Valószínűleg az új operációs rendszerek és processzorok immunisak lesznek a támadásra.
Tehát mi maradt Ön csinálni? A Jump Over bypass új, és még nem észlelt vadon. Amikor a támadók kihasználják, a hiba megnöveli a támadó által okozott lehetséges károkat az eszközön. Ez a hozzáférési szint nem példátlan; A Microsoft és az Apple csak az ASLR-t telepítették 2007-ben és később kiadott operációs rendszerükön. Még akkor is, ha ez a támadási stílus egyre általánosabbá válik, nem lesz rosszabb, mint a Windows XP napjaiban.
Ne feledje, hogy a támadóknak még mindig meg kell kapniuk kódjukat az eszközön, hogy bármi kárt okozzanak. Ez a hiba nem biztosít számukra további módot a fertőzésre.Mint mindig, kövesse a biztonsági gyakorlatokat. Használja a víruskereső programot, távol tartja a vázlatos weboldalakat és programokat, és tartsa naprakészen a szoftvereit. Az alábbi lépések végrehajtásával és a rosszindulatú szereplők eltávolításával a számítógépén biztonságban maradsz, mint valaha.
Képhitel: Steve / Flickr
