Эта статья входит в число добротных статей

Безопасность доступа к памяти

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Безопасность доступа к памяти — концепция в разработке программного обеспечения, целью которой является избежание программных ошибок, которые ведут к уязвимостям, связанным с доступом к оперативной памяти компьютера, таким как переполнения буфера и висячие указатели.

Языки программирования с низким уровнем абстракций, такие как Си и Си++, поддерживающие непосредственный доступ к памяти компьютера (произвольную арифметику указателей, выделение и освобождение памяти) и приведение типов, но не имеющие автоматической проверки границ (англ.) массивов, не являются безопасными с точки зрения доступа к памяти[1][2].

Уязвимости, связанные с доступом к памяти[править | править вики-текст]

Одним из наиболее распространённых классов уязвимостей программного обеспечения являются проблемы безопасности памяти[3][4]. Данный тип уязвимости известен на протяжении более 30 лет[5]. Безопасность памяти подразумевает предотвращение попыток использовать или модифицировать данные, если это не было намерено разрешено программистом при создании программного продукта[6].

Множество критических с точки зрения производительности программ реализованы на языках программирования c низким уровнем абстракций (Си и Си++), которые склонны к появлению уязвимостей данного типа. Отсутствие защищенности этих языков программирования позволяет атакующим получить полный контроль над программой, изменять поток управления, иметь несанкционированный доступ к конфиденциальной информации[7]. На данный момент предложены различные решения проблем, связанных с доступом к памяти. Механизмы защиты должны быть эффективны одновременно как с точки зрения безопасности, так и с точки зрения производительности[8].

Первую огласку ошибки памяти получили в 1972 году[9]. И далее они являлись проблемой многих программных продуктов, средством, позволяющим применять эксплоиты. Например, червь Морриса использовал множество уязвимостей, часть из которых была связана с ошибками работы с памятью[10].

Типы ошибок памяти[править | править вики-текст]

Различают несколько видов ошибок памяти (уязвимостей), которые могут возникать в некоторых языках программирования:[11][12][13]

  • Нарушение границ массивов (англ.) — выражение, индексирующее массив, выходит из диапазона значений, установленного при определении этого массива. Отдельно выделяется особый подтип — ошибка неучтённой единицы[14]. Встречается при отсутствии проверок границ массивов и строк (Си, Си++)[15].
    • Переполнение буфера — запись за пределами выделенного в памяти буфера. Возникает при попытке записи в буфер блока данных, превышающего размер этого буфера. В результате переполнения могут быть испорчены данные, расположенные рядом с буфером[16], либо программа вовсе изменит своё поведение, вплоть до интерпретации записанных данных как исполняемого кода[17]. Использование данной уязвимости является одним из наиболее популярных способов взлома компьютерных систем[18].
    • Чтение за границами буфера (англ.) — чтение за пределами выделенного в памяти буфера. Последствиями могут служить нарушения безопасности системы (утрата конфиденциальности), нестабильное и неправильное поведение программы, ошибки прав доступа к памяти[19]. Эта уязвимость входит в список наиболее распространённых и опасных ошибок в программном обеспечении[20].
  • Ошибки при работе с динамической памятью — неправильное распоряжение динамически выделяемой памятью и указателями. В данном случае выделение памяти под объекты осуществляется во время выполнения программы[21], что может повлечь за собой ошибки времени исполнения. Данной уязвимости подвержены языки программирования с низким уровнем абстракций, поддерживающие непосредственный доступ к памяти компьютера (Си, Си++)[22].
    • Висячий указатель[23] — указатель, не ссылающийся на допустимый объект соответствующего типа. Данный вид указателей возникает, когда объект был удалён (или перемещён), но значение указателя не изменили на нулевое. В данном случае он всё ещё указывает на область памяти, где находился данный объект. В некоторых случаях это может стать причиной получения конфиденциальной информации злоумышленником; либо, если система уже перераспределила адресуемую память под другой объект, доступ по висячему указателю может повредить расположенные там данные[24]. Особый подтип ошибки — использование после освобождения (use after free) (обращение к освобожденной области памяти) — является распространённой причиной ошибок программ[25], например, уязвимостей веб-обозревателей[26].
    • Обращение по нулевому указателю. Нулевой указатель имеет специальное зарезервированное значение, показывающее, что данный указатель не ссылается на допустимый объект[27]. Обращение по нулевому указателю будет причиной исключительной ситуации[28] и аварийной остановки программы.
    • Освобождение ранее не выделенной памяти — попытка освободить область оперативной памяти, которая не является на данный момент выделенной (то есть свободна). Наиболее часто это проявляется в двойном освобождении памяти[29], когда происходит повторная попытка освободить уже освобождённую память. Данное действие может вызвать ошибку менеджера памяти[30]. В Си это происходит при повторном вызове функции free с одним и тем же указателем, без промежуточного выделения памяти.
    • Использование различных менеджеров памяти — ошибка, заключающаяся в разрыве связки аллокатор-деаллокатор памяти и использованием различных средств для работы с одним сегментом. Например, в Си++ использованием free для участка памяти, выделенного с помощью new или, аналогично, использованием delete после malloc. Стандарт Си++ не описывает какую-либо связь между new / delete и функциями работы с динамической памятью из Си, хотя new / delete в общем случае реализованы как обёртки malloc / free[31][32]. Смешанное использование может стать причиной неопределённого поведения[33].
    • Потеря указателя — утеря адреса выделенного фрагмента памяти при перезаписи его новым значением, который ссылается на другую область памяти[34]. При этом адресуемая предыдущим указателем память более недосягаема. Такой тип ошибки приводит к утечкам памяти, так как выделенная память не может быть освобождена. В Си это может случиться при повторном присваивании результата функции malloc одному и тому же указателю, без промежуточного освобождения памяти.
  • Неинициализированные переменные (англ.) — переменные, которые были объявлены, но не установлены в какое-либо значение, известное до времени их использования. Переменные будут иметь значение, но, в общем случае, труднопредсказуемое. Уязвимость для памяти могут возникнуть при наличии неинициализированных («диких») указателей[35]. Эти указатели в своём поведении схожи с висячими указателями, попытка обращения по ним в большинстве случаев будет сопровождаться ошибками доступа или повреждением данных. Однако, возможно получение конфиденциальной информации, которая могла остаться в данной области памяти после предыдущего использования[36][37].
  • Ошибки нехватки памяти — проблемы, возникающие при недостатке количества доступной памяти для данной программы.
    • Переполнение стека — превышение программой количества информации, которое может находиться в стеке вызовов (указатель вершины стека выходит за границу допустимой области). При этом программа аварийно завершается[38]. Причиной ошибки может быть глубокая (или бесконечная) рекурсия, либо выделение большого количества памяти для локальных переменных на стеке[39].
    • Переполнение кучи (англ.) — попытка программы выделить большее количество памяти, чем ей доступно. Является следствием частого (Java[40]) и зачастую неправильного обращения с динамической памятью. В случае возникновения ошибки, операционная система завершит наиболее подходящий с её точки зрения для этого процесс (часто, вызвавший ошибку, но иногда — произвольный[41]).

Обнаружение ошибок[править | править вики-текст]

Возможные ошибки работы с памятью могут быть установлены как во время компиляции программы, так и во время исполнения (отладки).

Помимо предупреждений со стороны компилятора, для обнаружения ошибок до момента сборки программы используются статические анализаторы кода. Они позволяют покрыть значительную часть опасных ситуаций, исследуя исходный код более подробно, чем поверхностный анализ компилятора. Статические анализаторы могут обнаружить:[42][43][44][45]

  • Выход за границы массивов
  • Использование висячих (а также нулевых или неинициализированных) указателей
  • Неправильное использование библиотечных функций
  • Утечки памяти, как следствие неправильной работы с указателями

Во время отладки программы могут использоваться специальные менеджеры памяти. В данном случае вокруг аллоцированных в куче объектов создаются «мёртвые» области памяти, попадая в которые отладчик позволяет обнаружить ошибки[46]. Альтернативой являются специализированные виртуальные машины, проверяющие доступ к памяти (Valgrind). Обнаружить ошибки помогают системы инструментирования кода, в том числе обеспечиваемые компилятором (Sanitizer[47]).

Способы обеспечения безопасности[править | править вики-текст]

Большинство языков высокого уровня решают эти проблемы с помощью удаления из языка арифметики указателей, ограничением возможностей приведения типов, а также введением сборки мусора, как единственной схемы управления памятью[48]. В отличие от низкоуровневых языков, где важна скорость, высокоуровневые в большинстве своём осуществляют дополнительные проверки[49], например проверки границ при обращениях к массивам и объектам[50].

Чтобы избежать утечек памяти и ресурсов, обеспечить безопасность в плане исключений, в современном Си++ используются умные указатели. Обычно они представляют из себя класс, имитирующий интерфейс обыкновенного указателя и добавляющего дополнительную функциональность[51], например проверку границ массивов и объектов, автоматическое управление выделением и освобождением памяти для используемого объекта. Они помогают реализовать идиому программирования Resource Acquisition Is Initialization (RAII), заключающуюся в том, что получение объекта неразрывно связано с его инициализацией, а освобождение — с его уничтожением[52].

При использовании библиотечных функций следует уделять внимание возвращаемым ими значениям, чтобы обнаружить возможные нарушения в их работе[53]. Функции для работы с динамической памятью в Си сигнализируют об ошибке (нехватке свободной памяти запрашиваемого размера), возвращая вместо указателя на блок памяти нулевой указатель[54]; в Си++ используются исключения[55]. Правильная обработка данных ситуаций позволяет избежать неправильного (аварийного) завершения программы[56].

Повышению безопасности способствуют проверки границ при использовании указателей. Подобные проверки добавляются во время компиляции и могут замедлять работу программ; для их ускорения были разработаны специальные аппаратные расширения (например, Intel MPX[57]).

На нижних уровнях абстракций существуют специальные системы, обеспечивающие безопасность памяти. На уровне операционной системы это менеджер виртуальной памяти, разделяющий доступные области памяти для отдельных процессов (поддержка многозадачности), и средства синхронизации для поддержания многопоточности[58]. Аппаратный уровень также, как правило, включают некоторые механизмы, такие как кольца защиты[59].

Примечания[править | править вики-текст]

  1. Erik Poll Lecture Notes on Language-Based Security. — Radboud University Nijmegen, 2016. — 21 Января. / «Language features that break memory safety include …»
  2. Laszlo Szekeres, Mathias Payer, Dawn Song SoK: Eternal War in Memory. — 2013 IEEE Symposium on Security and Privacy, 2013. / «Memory corruption bugs in software written in low-level languages like C or C++ are one of the oldest problems in computer security.»
  3. Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos Memory Errors: The Past, the Present, and the Future. — RAID’12; Amsterdam, The Netherlands, 2012. — 12—14 Сентября. / «… and still rank among the top 3 most dangerous software errors.»
  4. Dawn Song Memory safety — Attacks and Defenses. — Berkeley CS161 Computer Security, 2015. — Весна. / «In fact, after configuration errors, implementation errors are probably the largest single class of security errors exploited in practice.»
  5. Laszlo Szekeres, Mathias Payer, Dawn Song SoK: Eternal War in Memory. — 2013 IEEE Symposium on Security and Privacy, 2013. / «This problem has existed for more than 30 years …»
  6. Dawn Song Memory safety — Attacks and Defenses. — Berkeley CS161 Computer Security, 2015. — Весна. / «… preventing attackers from reading or writing to memory locations other than those intended by the programmer.»
  7. Laszlo Szekeres, Mathias Payer, Dawn Song SoK: Eternal War in Memory. — 2013 IEEE Symposium on Security and Privacy, 2013. / «Applications written in low-level languages like C or C++ are prone to these kinds of bugs. The lack of memory safety … enables attackers to exploit memory bugs by maliciously altering the program’s behavior or even taking full control over the control-flow.»
  8. Laszlo Szekeres, Mathias Payer, Dawn Song SoK: Eternal War in Memory. — 2013 IEEE Symposium on Security and Privacy, 2013. / «… in finding the balance betweeneffectiveness(security)andefficiency.»
  9. Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos Memory Errors: The Past, the Present, and the Future. — RAID’12; Amsterdam, The Netherlands, 2012. — 12—14 Сентября. / «Memory errors were first publicly discussed in 1972 by the Computer Security Technology Planning Study Panel.»
  10. Victor van der Veen, Nitish dutt-Sharma, Lorenzo Cavallaro, Herbert Bos Memory Errors: The Past, the Present, and the Future. — RAID’12; Amsterdam, The Netherlands, 2012. — 12—14 Сентября. / «The Internet Worm exploited a number of vulnerabilities, including memory error-related ones.»
  11. Laszlo Szekeres, Mathias Payer, Dawn Song SoK: Eternal War in Memory. — 2013 IEEE Symposium on Security and Privacy, 2013.
  12. Dawn Song Memory safety — Attacks and Defenses. — Berkeley CS161 Computer Security, 2015. — Весна.
  13. Katrina Tsipenyuk, Brian Chess, Gary McGraw Seven Pernicious Kingdoms: A Taxonomy of Software Security Errors. — NIST Workshop on Software Security Assurance Tools, Techniques, and Metrics, Long Beach, CA, 2005. — Ноябрь.
  14. Edsger W. Dijkstra Why numbering should start at zero (EWD 831). — Plataanstraat 5, 5671 AL NUENEN, The Netherlands, 1982. — 11 Августа. / «… the use of the other three conventions has been a constant source of clumsiness and mistakes …»
  15. Richard Jones and Paul Kelly Bounds Checking for C. — Imperial College, 1995. — Июль. / «One response to this analysis is to discard C, since this lack of efficient checkability is responsible for many software failures.»
  16. Джон Эриксон. Хакинг. Искусство эксплойта. — СПб.: Символ-Плюс, 2010. — С. 139. — ISBN 978-5-93286-158-5.
  17. Джон Эриксон. Хакинг. Искусство эксплойта. — СПб.: Символ-Плюс, 2010. — С. 142. — ISBN 978-5-93286-158-5.
  18. David A. Wheeler. Secure Programming HOWTO. — Published v3.72. — 2015. / «Buffer overflows are an extremely common and dangerous security flaw …»
  19. Common Weakness Enumeration. CWE-126: Buffer Over-read (December 08, 2015). Проверено 24 ноября 2016. / «This typically occurs when the pointer or its index is incremented to a position beyond the bounds of the buffer …»
  20. Steve Christey. 2011 CWE/SANS Top 25 Most Dangerous Software Errors. MITRE (September 13, 2011). Проверено 24 ноября 2016.
  21. Guy Keren. Unix And C/C++ Runtime Memory Management For Programmers (2001—2002). Проверено 24 ноября 2016. / «The runtime environment defines not only how memory is allocated and freed …»
  22. Robert C. Seacord. Secure Coding in C and C++. — Addison-Wesley, 2013. — P. 162. — ISBN 978-0-321-82213-0.
  23. Jonathan Afek, Adi Sharabani Dangling Pointer. Smashing the Pointer for Fun and Profit. — Watchfire Corporation, 2007.
  24. Компьютерная газета. Ссылка в никуда, или сломанный указатель. Проверено 24 ноября 2016. / «… уязвимости, к которым может привести неправильное использование указателей и ссылок.»
  25. Common Weakness Enumeration. CWE-416: Use After Free (December 08, 2015). Проверено 24 ноября 2016. / «Referencing memory after it has been freed can cause a program to crash, use unexpected values, or execute code.»
  26. Juan Caballero, Gustavo Grieco, Mark Marron, Antonio Nappa Undangle: Early Detection of Dangling Pointers in Use-After-Free and Double-Free Vulnerabilities. — IMDEA Software Institute; Madrid, Spain. / «Use-after-free vulnerabilities are rapidly growing in popularity, especially for exploiting web browsers.»
  27. comp.lang.c. Question 5.1. Проверено 24 ноября 2016. / «The language definition states that for each pointer type, there is a special value …»
  28. Oracle. Java Platform, Standard Edition 7 API Specification. Проверено 24 ноября 2016. / «Thrown when an application attempts to use null in a case where an object is required.»
  29. Common Weakness Enumeration. CWE-415: Double Free (December 08, 2015). Проверено 24 ноября 2016. / «When a program calls free() twice with the same argument …»
  30. Yan Huang. Heap Overflows and Double-Free Attacks. Проверено 24 ноября 2016. / «If free(p) has already been called before, undefined behavior occurs.»
  31. Andrei Alexandrescu. Modern C++ Design: Generic Programming and Design Patterns Applied. — Addison Wesley, 2001. / «… it is usually implemented as a thin wrapper around the C heap allocator …»
  32. Guy Keren. Unix And C/C++ Runtime Memory Management For Programmers (2001—2002). Проверено 25 ноября 2016. / «For example, the GNU C++ compiler’s new operator actually invokes the C runtime malloc() function.»
  33. Memory Management. Проверено 25 ноября 2016. / «The C++ operators new and delete guarantee proper construction and destruction … The C-style functions … don’t ensure that.»
  34. OWASP. Memory leak. Проверено 25 ноября 2016.
  35. Проблемы, связанные с указателями. Проверено 25 ноября 2016. / «Ничто так не беспокоит, как „дикие“ указатели!»
  36. Halvar Flake. Attacks on uninitialized local variables (2006). Проверено 25 ноября 2016. / «We’re looking at the following situation then …»
  37. Common Weakness Enumeration. CWE-457: Use of Uninitialized Variable (December 08, 2015). Проверено 25 ноября 2016. / «An attacker can sometimes control or read these contents.»
  38. Using and Porting GNU Fortran. James Craig, Burley (1 июня 1991). Проверено 25 ноября 2016. Архивировано из первоисточника 5 октября 2012.
  39. Danny Kalev. Understanding Stack Overflow (Sep 5, 2000). Проверено 25 ноября 2016. / «The two most common causes for a stack overflow …»
  40. John Boyland Position Paper: Handling „Out Of Memory“ Errors. — University of Wisconsin-Milwaukee, USA. / «An „out of memory“ error can be catastrophic for a program, especially one written in a language such as Java that uses memory allocation frequently.»
  41. Mulyadi Santosa. When Linux Runs Out of Memory (11/30/2006). Проверено 15 ноября 2016. / «… you can no longer allocate more memory and the kernel kills a task (usually the current running one).»
  42. Anders Moller and Michael I. Schwartzbach Static Program Analysis. — Department of Computer Science, Aarhus University, 2015. — Май.
  43. Cppcheck — A tool for static C/C++ code analysis. Проверено 25 ноября 2016. / «Detect various kinds of bugs in your code …»
  44. Semantic Designs. Memory Safety analysis with CheckPointer. Проверено 25 ноября 2016. / «Programs with pointers can commit a variety of errors in accessing memory …»
  45. PVS-Studio. Статический анализ кода (25.03.2015). Проверено 25 ноября 2016.
  46. Emery D. Berger, Benjamin G. Zorn DieHard: Probabilistic Memory Safety for Unsafe Languages. — PLDI’06; Ottawa, Ontario, Canada, 2006. — 11-14 Июня.
  47. Konstantin Serebryany, Dmitry Vyukov. Finding races and memory errors with compiler instrumentation. GNU Tools Cauldron (10 July 2012). Проверено 25 ноября 2016.
  48. Erik Poll. Language-based Security: 'Safe' programming languages. Radboud Universiteit Nijmegen. Проверено 25 ноября 2016. / «Manual memory management can be avoided by …»
  49. Dinakar Dhurjati and Vikram Adve Backwards-Compatible Array Bounds Checking for C with Very Low Overhead. — Department of Computer Science University of Illinois at Urbana-Champaign. / «… an unsolved problem despite a long history of work on detecting array bounds violations or buffer overruns, because the best existing solutions to date are either far too expensive for use in deployed production code …»
  50. Bruce Eckel. Thinking in Java. Fourth Edition. / «Both arrays and containers guarantee that you can’t abuse them. Whether you’re using an array or a container, you’ll get a RuntimeException if you exceed the bounds, indicating a programmer error.»
  51. David Kieras Using C++11’s Smart Pointers. — EECS Department, University of Michigan, 2016. — Июнь. / «Smart pointers are class objects that behave like built-in pointers but also manage objects that you create …»
  52. Microsoft Developer Network. Интеллектуальные указатели (современный C++). Проверено 25 ноября 2016. / «Они чрезвычайно важны для идиомы программирования RAII или Resource Acquisition Is Initialialization …»
  53. Common Weakness Enumeration. CWE-252: Unchecked Return Value (December 08, 2015). Проверено 25 ноября 2016. / «The software does not check the return value from a method or function, which can prevent it from detecting unexpected states and conditions.»
  54. Microsoft Developer Network. malloc. Проверено 25 ноября 2016. / «malloc возвращает нетипизированный указатель на выделенную область памяти или NULL, если недоступно достаточно памяти.»
  55. operator new, operator new[]. Проверено 25 ноября 2016. / «throws std::bad_alloc or another exception derived from std::bad_alloc (since C++11) on failure to allocate memory»
  56. Paul and Harvey Deitel. C : how to program.
  57. Intel Developer Zone. Introduction to Intel® Memory Protection Extensions (July 16, 2013). Проверено 25 ноября 2016.
  58. Sarah Diesburg. Memory Protection: Kernel and User Address Spaces. Проверено 25 ноября 2016.
  59. Michael D. Schroeder and Jerome H. Saltzer A Hardware Architecture for Implementing Protection Rings. — Third ACM Symposium on Operating Systems Principles, Palo Alto, California, 1971. — 18-20 Октября.

Литература[править | править вики-текст]

Ссылки[править | править вики-текст]

Общие публикации

Тематические публикации