GraR - Fachhochschule Salzburg
Transcription
GraR - Fachhochschule Salzburg
DIPLOMARBEIT Lokalisierung und Vermeidung potentieller Sicherheitsschwachstellen in komplexen Softwaresystemen durchgeführt am Studiengang Informationstechnik und System–Management an der Fachhochschule Salzburg vorgelegt von: Roland J. Graf Studiengangsleiter: Betreuer: FH-Prof. DI Dr. Thomas Heistracher DI(FH) Thomas Kurz Salzburg, September 2007 Eidesstattliche Erklärung Hiermit versichere ich, Roland J. Graf, geboren am 6. Mai 1964, dass die vorliegende Diplomarbeit von mir selbständig verfasst wurde. Zur Erstellung wurden von mir keine anderen als die angegebenen Hilfsmittel verwendet. 0310032093 Roland Graf Matrikelnummer ii Danksagung Alles Wissen und alle Vermehrung unseres Wissens endet nicht mit einem Schlusspunkt, sondern mit Fragezeichen. Hermann Hesse (1877-1962) Meinen Eltern gebührt an dieser Stelle mein besonderer Dank. Gerade die ersten Jahre meiner schulischen Laufbahn waren alles andere als Erfolg versprechend und trotzdem haben sie mir bei der Wahl meiner Ausbildung stets alle Freiheiten gelassen, mir ihr Vertrauen entgegengebracht und an mich geglaubt. Um die Lust am Lernen nicht zu verlieren, braucht es Lehrer, die neben den fachlichen auch menschliche Werte vermitteln. Ich hatte das Glück, einige dieser ganz wenigen Lehrer zu treffen. Stellvertretend möchte ich hier besonders Hr. Prof. Dr. Gerold Kerer hervorheben, der nicht nur bereits vor über 20 Jahren als mein HTL-Lehrer mit seinen fachlichen und pädagogischen Fähigkeiten glänzte, sondern mich auch in der FH-Salzburg wieder durch seine außergewöhnliche Menschlichkeit und Qualifikation beeindruckt hat. Dank gilt auch meinen Kollegen am Studiengang ITS, die mich in so manchen Gesprächen und Diskussionen mit ihren Eingaben, Ideen, Fragen und Hinweisen geleitet haben. Besonders hervorheben möchte ich meinen Diplomarbeitsbetreuer DI(FH) Thomas Kurz und allen voran FH-Prof. DI Dr. Thomas Heistracher, welche mich auch als Reviewer mit konstruktiver Kritik sehr unterstützt haben. Von meinen Kommilitonen verdient Dietmar eine Erwähnung. Durch seine kritischen Verbesserungsvorschläge hat er mich oft zu einer Mehrleistung getrieben. Zuletzt möchte ich noch Sabine danken. Ohne sie wäre mein Studium neben dem Beruf so gar nicht möglich gewesen. Sie hat mich über all die Jahre tatkräftig unterstützt und mir auch in schweren Zeiten den notwendigen Halt, die Kraft und die Stabilität gegeben, die ich gebraucht habe. Niemand kann so positiv formulieren, wie sie es tut und so war ich bevorteilt, indem sie als Germanistin all meine Arbeiten sprachlich redigiert hat. Ihr gebührt jedenfalls mein größter Dank! Und wenn Hesse folgend nun all meine Anstrengung zur Vermehrung des Wissens mit einem Fragezeichen endet, dann bleibt noch eine Frage zu stellen: Was kommt jetzt? iii Informationen Vor- und Zuname: Institution: Studiengang: Titel der Diplomarbeit: Betreuer an der FH: Roland J. Graf Fachhochschule Salzburg GmbH Informationstechnik & System-Management Lokalisierung und Vermeidung potentieller Sicherheitsschwachstellen in komplexen Softwaresystemen DI(FH) Thomas Kurz Schlagwörter 1. Schlagwort: 2. Schlagwort: 3. Schlagwort: Software Security Software Vulnerability Code Injection Abstract This diploma thesis documents the usability of tools to localize potential security vulnerabilities and evaluates the effectiveness of development methods to avoid them. Mostly, vulnerabilities are based on software bugs and design flaws. This paper provides the basics of memory segmentation, processor registers and stack frames, before it explains software bugs as the cause of potential software vulnerabilities and their risk potential. A variety of software tools are available to implement Static White Box Tests and Dynamic Black Box Tests. Source Code Analysis Tools support the developers to parse for potential bugs in the source code, Debugging, Tracing and Monitoring Tools help the software and security testers to spy on data flows, function calls and flaws in executable binaries. This document reports the strengths and weaknesses of tested tools and methods and discusses their expected effectiveness in production environments. Adapted development methods can increase the resistance of software to attacks and unauthorized data manipulations. Finally, an introduction to Defensive Programming with helpful programming hints, additional tables and references, code examples, and Best Practices for programmers will be given, which aims at helping developers to write secure software. iv Inhaltsverzeichnis Eidesstattliche Erklärung ii Danksagung iii Informationen iv Schlagwörter iv Abstract iv Abbildungsverzeichnis x Tabellenverzeichnis xi Listingverzeichnis xii 1 Einführung 1 1.1 Global vernetzte Sicherheitsschwächen . . . . . . . . . . . . . . . . . . 2 1.2 Stabile Software(un-)sicherheit . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.4 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2 Grundlagen 6 2.1 Komplexe Softwaresysteme . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 Speicherorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.1 Prozessspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.2.2 Text-Segment . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2.3 Data-Segment . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2.4 Heap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 v 2.2.5 Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.3 Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.4 Daten und Funktionszeiger . . . . . . . . . . . . . . . . . . . . . . . . . 14 3 Potentielle Schwachstellen 16 3.1 Designfehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.2 Overflow Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.2.1 Stack Overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.2.1.1 Der klassische Stack Overflow . . . . . . . . . . . . . . 19 3.2.1.2 Frame Pointer Overwrite . . . . . . . . . . . . . . . . . 22 3.2.2 Heap Overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.2.3 Array Indexing Overflows . . . . . . . . . . . . . . . . . . . . . 26 3.2.4 BSS Overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Format-String Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.3 4 Lokalisierung potentieller Schwachstellen 4.1 4.2 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.1.1 Informationsgewinnung . . . . . . . . . . . . . . . . . . . . . . . 33 4.1.2 Vollständige Sicherheitsanalyse . . . . . . . . . . . . . . . . . . 34 4.1.3 Statische und dynamische Analyseverfahren . . . . . . . . . . . 35 Quelltextbasierte Analyse . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.2.1 Lexikalische Analyse . . . . . . . . . . . . . . . . . . . . . . . . 37 4.2.1.1 Grep . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 4.2.1.2 RATS . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.2.1.3 Flawfinder . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.2.1.4 ITS4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Semantische Analyse . . . . . . . . . . . . . . . . . . . . . . . . 42 4.2.2.1 C++ Compiler . . . . . . . . . . . . . . . . . . . . . . 42 4.2.2.2 Splint . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.2.2.3 CQUAL . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.2.2.4 PREfast und PREfix . . . . . . . . . . . . . . . . . . . 46 Bewertung der Methoden und Werkzeuge . . . . . . . . . . . . . 47 Binärcodebasierte Analyse . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.2.2 4.2.3 4.3 32 vi 4.4 4.3.1 Disassembling . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4.3.2 Debugging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 4.3.3 Tracing und Monitoring . . . . . . . . . . . . . . . . . . . . . . 53 4.3.3.1 API-Schnittstellenanalyse . . . . . . . . . . . . . . . . 53 4.3.3.2 Datenflussanalyse . . . . . . . . . . . . . . . . . . . . . 55 4.3.3.3 Speichermanagementanalyse . . . . . . . . . . . . . . . 57 4.3.3.4 Speicherabbilder . . . . . . . . . . . . . . . . . . . . . 59 4.3.3.5 Status- und Fehlerinformationen . . . . . . . . . . . . 59 4.3.4 Fault Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4.3.5 Bewertung der Methoden und Werkzeuge . . . . . . . . . . . . . 62 Integrierte Analyse und Überwachung . . . . . . . . . . . . . . . . . . . 63 4.4.1 Bounds Checking . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.4.2 Überwachung des Stacks . . . . . . . . . . . . . . . . . . . . . . 64 4.4.3 Überwachung von Funktionen . . . . . . . . . . . . . . . . . . . 65 4.4.4 Überwachung des Heaps . . . . . . . . . . . . . . . . . . . . . . 66 4.4.5 Bewertung der integrierten Methoden . . . . . . . . . . . . . . . 68 5 Vermeidung potentieller Schwachstellen 70 5.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 5.2 Sicheres Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5.2.1 Threat Modeling . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Defensive Programmierung . . . . . . . . . . . . . . . . . . . . . . . . . 73 5.3.1 Überprüfung der Ein- und Ausgabedaten . . . . . . . . . . . . . 74 5.3.2 Sichere Zeiger- und Speicherverwaltung . . . . . . . . . . . . . . 74 5.3.3 Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5.3.4 Hilfen zur Fehlersuche . . . . . . . . . . . . . . . . . . . . . . . 76 5.3.5 Sichere Bibliotheksfunktionen . . . . . . . . . . . . . . . . . . . 78 5.3.5.1 Fehlerfreie Bibliotheksfunktionen . . . . . . . . . . . . 79 5.3.5.2 Bibliothekserweiterungen . . . . . . . . . . . . . . . . 80 5.3.5.3 Wrapper . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Sicherere Programmiersprachen . . . . . . . . . . . . . . . . . . . . . . 82 5.4.1 Sichereres C und C++ . . . . . . . . . . . . . . . . . . . . . . . 82 5.4.2 Managed Code und Managed Memory . . . . . . . . . . . . . . 83 5.5 Zusätzliche Techniken . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 5.6 Bewertung der Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . 86 5.3 5.4 vii 6 Zusammenfassung und Ausblick 88 6.1 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 6.2 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 6.3 Trends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Literaturverzeichnis 93 Abkürzungsverzeichnis 101 Anhang 103 A APIs und Bibliothekserweiterungen 104 A.1 Die Standardbibliotheken . . . . . . . . . . . . . . . . . . . . . . . . . . 104 A.1.1 Unsichere POSIX C-Funktionen . . . . . . . . . . . . . . . . . . 104 A.1.2 Unsichere Windows CRT-Funktionen . . . . . . . . . . . . . . . 105 B Protokolle 108 B.1 Lexikalische Quelltextanalysen . . . . . . . . . . . . . . . . . . . . . . . 108 B.1.1 grep Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 B.1.2 ITS4 Analyseprotokoll . . . . . . . . . . . . . . . . . . . . . . . 109 B.1.3 RATS Analyseprotokoll . . . . . . . . . . . . . . . . . . . . . . 111 B.1.4 Flawfinder Analyseprotokoll . . . . . . . . . . . . . . . . . . . . 113 B.2 Semantische Quelltextanalysen . . . . . . . . . . . . . . . . . . . . . . . 115 B.2.1 Microsoft C/C++ Compiler Analyseprotokoll . . . . . . . . . . 115 B.2.2 GCC Compiler Analyseprotokoll . . . . . . . . . . . . . . . . . . 117 B.2.3 Splint Analyseprotokoll . . . . . . . . . . . . . . . . . . . . . . . 118 C Listings 120 C.1 Absicherung des Stacks über Security Cookies . . . . . . . . . . . . . . 120 C.2 Einfache Speicherüberwachung in C++ . . . . . . . . . . . . . . . . . . 122 C.3 Defensive Programmierung . . . . . . . . . . . . . . . . . . . . . . . . . 123 C.3.1 Überprüfung der Eingabedaten . . . . . . . . . . . . . . . . . . 123 C.3.2 Zeiger und Speicherbehandlung . . . . . . . . . . . . . . . . . . 124 C.4 Sichere Programmiersprachen . . . . . . . . . . . . . . . . . . . . . . . 125 C.4.1 Sicheres C++ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 viii C.4.2 Automatisches Bounds Checking in C# . . . . . . . . . . . . . . 126 C.5 Sichere Bibliotheksfunktionen . . . . . . . . . . . . . . . . . . . . . . . 127 C.5.1 Sicherung der Funktionen über Return Codes . . . . . . . . . . 127 C.5.2 Sicherung von Funktionen über Exceptions . . . . . . . . . . . . 128 D Sicherheits-Tools und Bibliotheken 129 D.1 Statische Analysewerkzeuge . . . . . . . . . . . . . . . . . . . . . . . . 129 D.2 Dynamische Analysewerkzeuge . . . . . . . . . . . . . . . . . . . . . . . 132 D.3 Sonstige Werkzeuge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 E Good Practices für sichere Software 137 E.1 Ein- und Ausgabedaten . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 E.2 Zeiger- und Speicherbehandlung . . . . . . . . . . . . . . . . . . . . . . 138 E.3 Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 E.4 Hilfe zur Fehlersuche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 F Weiterführende Online-Quellen 141 F.1 Dokumente und Links zu Codesicherheit . . . . . . . . . . . . . . . . . 141 F.2 News, Newsletter und Mailing-Listen . . . . . . . . . . . . . . . . . . . 141 ix Abbildungsverzeichnis 2.1 Typisches Speicherabbild einer laufenden Applikation . . . . . . . . . . 10 2.2 Daten- und Funktionszeiger . . . . . . . . . . . . . . . . . . . . . . . . 14 3.1 Manipulationen durch einen Stack Overflow . . . . . . . . . . . . . . . 21 3.2 Manipulationen durch einen Heap Overflow . . . . . . . . . . . . . . . . 25 3.3 Manipulationen durch einen Off-By-One Overrun . . . . . . . . . . . . 26 4.1 Debugging Session innerhalb einer Applikation . . . . . . . . . . . . . . 52 4.2 APISPY beim Aufspüren sicherheitskritischer Funktionen . . . . . . . . 54 4.3 RegMon beim Protokollieren von Zugriffen auf die Windows Registry . 57 4.4 Stackschutzmechanismen mit Security Cookies . . . . . . . . . . . . . . 65 4.5 Fehlermeldung nach einem Heap Overflow . . . . . . . . . . . . . . . . 67 x Tabellenverzeichnis 3.1 Ausgewählte Format-String Platzhalter der printf-Familie . . . . . . . . 30 4.1 Zusammenstellung einiger Fuzzing Werkzeuge . . . . . . . . . . . . . . 61 A.1 Unsichere POSIX-Funktionen . . . . . . . . . . . . . . . . . . . . . . . 105 A.2 Unsichere Windows CRT-Funktionen . . . . . . . . . . . . . . . . . . . 106 A.3 Template Overloads für unsichere Windows CRT-Funktionen . . . . . . 107 D.1 Auswahl einiger statischer Analysewerkzeuge . . . . . . . . . . . . . . . 131 D.2 Auswahl einiger dynamischer Analysewerkzeuge . . . . . . . . . . . . . 135 D.3 Auswahl einiger Sicherheitswerkzeuge . . . . . . . . . . . . . . . . . . . 136 xi Listingverzeichnis 2.1 Programm mit Variablen verschiedener Speicherklassen . . . . . . . . . 7 3.1 Beispielprogramm StackOverflow.c . . . . . . . . . . . . . . . . . . . . 20 3.2 Stackdump innerhalb des Programms StackOverflow.c . . . . . . . . . . 20 3.3 Beispielprogramm HeapOverflow.c . . . . . . . . . . . . . . . . . . . . . 23 3.4 Beispiel eines Off-By-One Fehlers im Programm StackOverflow.c . . . . 26 3.5 Frame Pointer Manipulation durch Off-By-One Fehler . . . . . . . . . . 27 3.6 Beispielprogramm PrintDemo.c . . . . . . . . . . . . . . . . . . . . . . 29 3.7 Stackdump innerhalb des Programms PrintDemo.c . . . . . . . . . . . 30 4.1 Testprogramm zur Codeanalyse mit einem C++ Compiler . . . . . . . 42 4.2 Disassembliertes Programm PrintfDemo.c . . . . . . . . . . . . . . . . . 50 5.1 Erweiterung zur Fehlersuche in einer DEBUG-Version . . . . . . . . . . 77 C.1 Prolog- und Epilog-Erweiterungen zur Behandlung von Security Cookies 120 C.2 Include-Datei zum Überladen des new-Operators . . . . . . . . . . . . . 122 C.3 Quelltext mit Buffer Overflow und Memory Leak Fehler . . . . . . . . . 122 C.4 Defensive Programmierung innerhalb der .NET Standard Library . . . 123 C.5 Zeiger- und Speicherbehandlung bei defensiver Programmierung . . . . 124 C.6 Auszug aus einem STL Programm mit Smart-Pointers und Strings . . . 125 C.7 C# Programm mit einem Array Indexing Fehler . . . . . . . . . . . . . 126 C.8 Fehlerauswertung mittels GetLastError() . . . . . . . . . . . . . . . . . 127 C.9 Fehlerbehandlung über Exceptions in einem korrekten C# Code . . . . 128 xii 1 Einführung An application should be considered unsafe until demonstrated to be otherwise. (Swiderski, 2004) Die Häufung von Veröffentlichungen kritischer Sicherheitslücken in Applikationen, Netzwerkdiensten und Betriebssystemen macht deutlich, dass ein Großteil der Applikationen und Computersysteme noch immer nicht sicher genug und ausreichend geschützt ist. Technische Detailinformationen über bestimmte Einbruchsmöglichkeiten in Computersysteme und die ausgenutzten Schwachstellen werden größtenteils online publiziert1 . Umfangreiche Beschreibungen der oftmals kreativen Methoden der Angreifer und der möglichen Abwehrmethoden sind jedem Interessierten frei zugänglich. Diese machen auch immer wieder deutlich, dass ein Großteil der Sicherheitsschwachstellen die Folge von Design- und Codierungsfehlern in einzelnen Teilen der Software ist. Ebenso fällt dabei auf, dass bestimmte Fehler besonders häufig als Grund für eine Sicherheitsschwachstelle genannt werden. Die Softwareindustrie wird vermehrt angehalten, fehlerfreie und sichere Software zu entwickeln. Der Druck auf die Softwareentwickler steigt. Trotz der bekannten Mängel 1 Im Internet werden fast täglich Nachrichten von kritischen Softwarefehlern und Sicherheitslücken veröffentlicht. Security Online Archive (z.B. SANS, CERT), einschlägige Mailinglisten, namhafte Unternehmen im Bereich Computer- und Netzwerksicherheit und News-Dienste (z.B. Heise Security, SecurityFocus, Computer Crime & Intellectual Property Section), selbst Hacker und Cracker liefern Informationen dazu größtenteils frei Haus. Eine Reihe weiterer Quellen vervollständigen diese Berichte und stellen Auswertungen über Trends, Statistiken und Top-10 Listen über mehr oder weniger erfolgreiche Attacken auf verwundbare Computersysteme zur Verfügung. Die Gesamtheit dieser Informationen ergibt einen aktuellen Lagebericht über IT-Sicherheit, sicherheitskritische Softwaremängel und deren Ursachen. Eine Liste ausgewählter Quellen findet sich im Anhang F am Ende dieses Dokuments. 1 1. Einführung 2 und deren technischer Ursachen scheinen sie derzeit aber kaum in der Lage, diesen Forderungen nachzukommen und Software herzustellen, die im Umfeld der globalen Vernetzung und Bedrohungen bestehen kann. 1.1 Global vernetzte Sicherheitsschwächen Die Firma Sun Microsystems2 hat vor einigen Jahren schon in der Vision The Net” work is the Computer“ die hochgradige Vernetzung der Informationstechnologie und die damit einhergehenden technologischen Veränderungen vorhergesehen. Mittlerweile sind fast alle Computer über ein Netzwerk oder das weltumspannende Internet miteinander verbunden. Desktop-Computer, Server und Router, Pocket-Computer, mobile Telefone, Embedded Systems, Fernseher, Multimedia Systeme, jede Menge mikroprozessorgesteuerte Geräte und eine Unzahl von Peripheriegeräten sind Teile eines oder des globalen Netzwerks geworden. Dass sich durch diese Vernetzung auch das Bedrohungspotential durch mögliche Angriffe aus dem Netz (Remote Exploits) vervielfacht hat, wird dem Anwender und der Softwareindustrie aber erst heute immer mehr und oftmals schmerzlich bewusst. Mit der globalen Vernetzung verschiedenster Geräte und Systeme untereinander wächst auch der Druck, die Sicherheitsvorkehrungen bei Computersystemen und allen Systemteilen entsprechend anzupassen. Konnte früher noch von lokalen Bedrohungen und Angriffen (Local Exploits), von lokalen Sicherheitsschwachstellen und einem lokalen Risiko ausgegangen werden, so sind sowohl die Gefahrenpotentiale als auch die Angriffsziele mittlerweile im globalen Netz verteilt und somit auch die Auswirkungen globaler Natur. Einzelne Applikationen sind Teile eines vernetzten und komplexen Systems. Mit dem Internet verbundene Systeme stellen dabei ein besonders großes Risiko und manchmal auch einen besonderen Reiz für Angreifer dar. Das Internet ist eine feindselige Umgebung, deshalb muss der Programmcode so entworfen sein, dass er einem Angriff widerstehen kann. Vernetzte Systeme bedürfen also einer expliziten Sicherung gegen mögliche Angriffe. Jede potentielle Schwachstelle eines Systemglieds mindert die Sicherheit des gesamten Systems oder stellt sie gar in Frage. Ein einzelner Sicherheitsmangel einer Applikation kann 2 http://www.sun.com 1. Einführung 3 schon für den Angriff des Gesamtsystems missbraucht werden. Ziel und Voraussetzung für ein sicheres Computersystem ist demnach die Sicherheit jeder einzelnen Komponente. Nur so kann die Sicherheit des Gesamtsystems gewährleistet werden und ein System den Attacken und Gefahren des Wild Wild Web“[26, S. 5] standhalten. Die ” Entwicklung fehlerfreien Quellcodes ist längst nicht mehr genug, wenngleich eine der unabdingbaren Voraussetzung für sichere Software. 1.2 Stabile Software(un-)sicherheit Wenn von Sicherheitslücken in Computersystemen berichtet wird, handelt es sich fast immer um Fehler im Bereich der Softwareentwicklung, also Fehler im Programmcode. Fehler in der Hardware oder den angewandten Richtlinien, auch wenn darüber seltener berichtet wird, sind ebenfalls möglich und nicht minder gefährlich. Viele dieser oftmals lange unentdeckten Fehler stellen massive Sicherheitslücken dar. Sie bieten eine Angriffsfläche für mögliche Attacken gegen einzelne Applikationen, Computersysteme oder gesamte Netzwerke. Vor einigen Jahren galt es noch als ausreichend stabile Software zu entwickeln. Es genügte, wenn eine Applikation die Anforderungen der Endbenutzer erfüllte. Zusätzliche sicherheitsrelevante Forderungen wurden kaum erhoben. Softwareentwickler wurden angehalten soliden, stabilen, wartbaren und erweiterbaren Code zu schreiben. In dieser Zeit spielte Codesicherheit selbst in klassischen Standardwerken der Softwareentwicklung wie [35] und [36] kaum eine Rolle. Gute Software stellte sich dem Benutzer ausschließlich als stabil laufende Software dar. Dem Schutz vor mutwilligen Manipulationen wurde kaum Beachtung geschenkt. Mittlerweile wird vermehrt und ausdrücklich die Entwicklung sicherer Software gefordert. Langsam beginnen auch Softwareproduzenten und Benutzer ein allgemeines Sicherheitsbewusstsein zu entwickeln. Für eine sichere Software sind ein sicherer Code und ein sicheres Design die unabdingbaren Voraussetzungen. Sichere Software meint in diesem Zusammenhang, dass sowohl das Design als auch die Implementierung im Hinblick auf die Abwehr potentieller Gefahren und Attacken entworfen wurden. Auch wenn fehlerfreier Code nicht automatisch eine sichere Software garantiert, so gilt ein Gutteil 1. Einführung 4 der Aufmerksamkeit dem Ziel, fehlerfreien Code zu entwickeln. Mit welchen Methoden dieses Ziel letztlich erreicht werden kann, ist eine der zentralen Fragestellungen dieser Arbeit. 1.3 Motivation Software- bzw. Codesicherheit kann nicht ohne entsprechenden Einsatz und ohne spezielle Methoden schon während der Entwicklung und während des gesamten Lebenszyklus einer Applikation erreicht werden. Die Bedrohungsmodellierung (Threat Modeling) hilft Gefährdungspotentiale frühzeitig zu identifizieren, zu evaluieren, sie zu dokumentieren und Gegenmaßnahmen schon in der Designphase zu entwickeln. Der Entwicklungszyklus (Development Life Cycle) und der Sicherheitszyklus (Security Life Cycle) sind untrennbare Teile der Entwicklung einer Applikation. Sicherheitsprozesse umfassen die Spezifikationen, den Quelltext, die Dokumentation und den Test und sind Teil eines sicheren Software-Entwicklungszyklus. Software muss aktiv und explizit nach bestimmten Sicherheitskriterien entwickelt werden, um möglichen gezielten Angriffen standzuhalten. Die verwendeten Modelle, die Methoden und die Implementierungen werden stetig angepasst und nötigenfalls erweitert, um im veränderten Risikoumfeld zu bestehen und den ständig neuen Anforderungen zu entsprechen. Begleitende Maßnahmen während aller Entwicklungsphasen einer Applikation oder eines Softwaremoduls schaffen erst die Voraussetzungen für die Schaffung sicherer Softwaresysteme. Basierend auf den oben genannten Forderungen sind das Ziel und die Motivation dieser Arbeit die Untersuchung und die Diskussion potentieller Sicherheitsschwachstellen. Der Fokus richtet sich vorwiegend auf die Implementierung, die Methoden zur Lokalisierung von Codefehlern und die systematische Vermeidung von Schwachstellen in komplexen Softwaresystemen. Der folgende kurze Überblick beschreibt die einzelnen Kapitel der vorliegenden Arbeit. 1. Einführung 1.4 5 Überblick Das folgende Kapitel 2 führt in ausgewählte technische Grundlagen der Softwareentwicklung ein und erklärt die zum Verständnis notwendigen Begriffe sowie das Speichermanagement einer Applikation. Nachdem ein Großteil der Systemsoftware nach wie vor in C/C++ programmiert ist, werden diese beiden Programmiersprachen auch bevorzugt in die Erklärungen einfließen. In Kapitel 3 werden potentielle Sicherheitsschwachstellen einer Software und darauf basierende Angriffsmethoden vorgestellt. Einige einfache Beispiele zeigen die praktische Umsetzung und Einfachheit eines Buffer Overflow Angriffs auf ungesicherte Software. Das Kapitel 4 untersucht ausgewählte Methoden der systematischen Lokalisierung potentieller Code- und Sicherheitsschwachstellen. Zur Anwendung kommen dabei quellcodebasierte und binärcodebasierte Analysemethoden. Nachdem die manuelle Prüfung von Code oft nicht effizient genug, sehr aufwändig und teuer ist, werden ebenso Werkzeuge zur automatischen Softwareanalyse geprüft. In Kapitel 5 steht die Vermeidung potentieller Schwachstellen im Vordergrund. Schwerpunkt ist dabei die Diskussion von Methoden zur Erstellung von sicheren Designs und zur Entwicklung sicherer Implementierungen. Das schon für die Designphase empfohlene Threat Modeling bleibt hier ebenso wenig unbehandelt wie die Anwendung der Prinzipien des defensiven Programmierens. In Kapitel 6 schließt ein kurzer Ausblick in die Zukunft die Arbeit ab. Darin wird erläutert, wie aus der Sicht von Experten die Sicherheit komplexer Softwaresysteme in Zukunft gewährleistet werden könnte. Die kurze Zusammenfassung schließt mit der Beantwortung der Frage ab, ob die aktuellen Methoden der Softwareentwicklung schon heute ausreichen würden, um die Sicherheit komplexer Softwaresysteme sicherzustellen oder ob erst in Zukunft eine echte Softwaresicherheit möglich sein wird. 2 Grundlagen Fast alle Sicherheitslücken basieren, wie aus den im Kapitel 1 angeführten Quellen hervorgeht, auf Programmfehlern und ein Großteil aller Angriffe basiert auf dem Prinzip der Speichermanipulation. Selbst wenn ein Programm im Normalbetrieb über längere Zeit stabil läuft, so bedeutet dies nicht zwingend, dass sich keine Fehler im zugrundeliegenden Programmcode befinden. Erst die Konfrontation eines Programms bzw. einer Funktion mit für den Regelbetrieb nicht vorhergesehenen Daten oder Situationen kann Fehler hervorrufen. Jeder einzelne Fehler kann sowohl die Applikation selbst als auch das Gesamtsystem in einen verwundbaren oder nicht geplanten Zustand versetzen. Sowohl Design- als auch Implementierungsfehler entstehen nicht zwingend, aber oft als Folge der Komplexität eines Quelltextes oder einer Softwarearchitektur. Bevor die technischen Grundlagen des Speichermanagements einer Applikation erklärt werden, wird der Begriff komplexe Softwaresysteme eingeführt. 2.1 Komplexe Softwaresysteme Die Definition eines komplexen Softwaresystems kann gerade aus der Sicht der Softwareentwicklung eindeutig festgelegt werden. Unter komplex kann jede Software bezeichnet werden, welche aufgrund ihres Umfangs nicht mehr ohne weiteres mit allen Funktionen, deren Wechselwirkungen und deren Auswirkungen auf das Gesamtsystem erfasst werden kann. 6 2. Grundlagen 7 Komplexe Applikationen neigen zu mehr und schwer zu entdeckenden Fehlern. Zeitgemäße und fortgeschrittene Entwicklungsmethoden versuchen der Komplexität durch Modularisierung und Aufteilung in überschaubare Funktionseinheiten entgegenzuwirken. Dass dieses Vorhaben nicht zwingend zum Erfolg führen muss, zeigt die Zahl der Veröffentlichungen (z.B. Bug Reports) und Fehlerkorrekturen (Bug Fixes) komplexer Software der letzten Jahre1 . 2.2 Speicherorganisation Dieses Kapitel führt einige Begriffe der Speicherverwaltung (Memory Management) ein. Es erklärt die Segmentierung des Speichers (Memory Segmentation) und deren Zweck. Diese Beschreibung zieht als Beispiel die Segmentierung und Speicherverwaltung einer 32 Bit Intel x86-Architektur (IA-32)[28] heran. Das beschriebene Prinzip gilt jedoch ebenfalls für fast alle anderen gängigen Prozessorarchitekturen. Im folgenden Listing 2.1 wird ein kurzes C-Programm in Auszügen gezeigt. Es verwendet Variablen verschiedenster Typen und Speicherklassen. Dieses Programm weist eine Reihe von Fehlern auf, welche - wie sich im Laufe dieses Dokuments noch zeigen wird - ernste Sicherheitsschwachstellen darstellen. In den folgenden Erläuterungen wird wiederholt auf diesen Quellcode oder Teile davon Bezug genommen. 1 2 int _iGlobalValue; static char _szGlobalMsg[] = "text"; // Var im BSS Segment // Var im Data Segment 3 4 5 6 7 8 9 10 11 char* foo(const char *str1, const char* str2) { static int iLocal = 100; // Var im Data Segment char szBuffer[20]; // Puffer auf Stack strcpy( szBuffer, str1 ); // => Stack Overflow Schwachstelle ... return szBuffer; // Pointer auf Stackpuffer } 1 Häufig wird z.B. bei größeren Service Packs von Betriebssystemen und Office Paketen die Anzahl der behobenen Fehler mit einigen Hundert angegeben. Microsoft veröffentlicht in einem monatlichen Updatezyklus Service Packs, Updates und Patches und beziffert die Anzahl der kritischen und zusätzlich geschlossenen Sicherheitslücken im Schnitt mit etwa 20 Fehlern pro Monat. Siehe dazu auch http://www.microsoft.com/germany/technet/sicherheit/bulletins/aktuell/default.mspx 2. Grundlagen 8 12 13 14 15 16 int main(int argc, char *argv[]) { static short iLen; char* pBuff1, pBuff2; // Var im BSS Segment // Vars auf Stack 17 iLen = strlen( argv[1] ); pBuff1 = (char*)malloc( iLen ); for( int i=0; i <= iLen; i++ ) pBuff1[i] = argv[1][i]; strcpy( pBuff2, argv[2]); 18 19 20 21 22 23 printf( pBuff1 ); 24 25 free( pBuff1 ); pBuff2 = foo(argv[1]); free( pBuff1 ); return 0; 26 27 28 29 30 // => Integer Overflow Schwachst. // Allokiert Puffer auf Heap // // // // // // // // Heap und Off-By-One Overflow => unsichere Funktion strcpy() => uninitial. Zeiger pBuff2 Format String Schwachstelle => unsichere Funktion printf() Freigabe des Pufferspeichers => Illegaler Zeiger in pBuff2 => Double Free Fehler } Listing 2.1: Programm mit Variablen verschiedener Speicherklassen 2.2.1 Prozessspeicher Ein Computerprogramm ist im klassischen Fall eine ausführbare Datei2 (Executable), welche auf einem Datenträger gespeichert ist. Dabei kann es sich zum Beispiel, wie unter Linux und nahezu allen Unix-Derivaten verwendet, um Dateien im Executeable and Linking Format (ELF) handeln [14]. Microsoft Windows Plattformen verwenden dazu Dateien im sogenannten Portable Executable Format (PE Format) [16]. Diese Dateien beinhalten nicht nur den ausführbaren Programmcode und dessen statische Daten, sondern beschreiben die Objektdatei. Sie speichern ebenso zusätzliche Informationen zum Starten der Applikation und zum Verwalten des Speichers. Wird nun ein Programm gestartet, so werden, entsprechend der codierten Informationen im Optional Header 3 , 2 Ausführbare Scriptdateien, wie sie z.B. unter Unix-basierten Systemen häufig vorkommen, sind von diesen Betrachtungen ausgenommen. Diese können nicht direkt ausgeführt werden, sondern benötigen ein zusätzliches Programm (Interpreter ), welches die einzelnen Script Statements interpretiert und zur Ausführung bringt. 3 Diese Bezeichnung ist eigentlich irreführend, da dieser Header nicht optional ist und unbedingt notwendige Informationen zur Größe des beim Start benötigten Speichers beinhaltet. 2. Grundlagen 9 Teile dieser Objektdatei vom Program Loader in den Hauptspeicher geladen, der Speicher entsprechend konfiguriert und der Programmcode zur Ausführung gebracht. Der Start im Speicher erfolgt durch den Aufruf einer speziellen Funktion (Startup-Routine) an einer bestimmten Adresse (Einsprungadresse). Im Listing 2.1 ist dieser Einsprungpunkt (Entry Point) die Funktion main. Ein laufendes Programm wird als Prozess bezeichnet [23]. In modernen Betriebssystemen wird jedem laufenden Prozess ein virtueller Adressraum zur Verfügung gestellt, welcher von der Memory Management Unit (MMU) in physische Speicheradressen umgesetzt wird. Einem Prozess stehen nun separat organisierte Speicherregionen bzw. Speichersegmente (Memory Segments) innerhalb seines Adressbereichs zur Verfügung, in denen sich sein Programmcode und statische Daten befinden und auch temporäre Daten abgelegt werden können. Typische Segmente innerhalb des Prozessspeichers sind das Text-, Data- und BSS-Segment sowie der Stack und der Heap einer Applikation (siehe Abbildung 2.1). In den folgenden Abschnitten werden diese Begriffe bzw. Speicherbereiche detailliert beschrieben [31]. 2.2.2 Text-Segment Im Text-Segment bzw. Code-Segment werden die maschinenlesbaren Instruktionen, also jener Programmcode, welchen die Central Processing Unit (CPU) ausführt, abgelegt. Dieses Segment ist als read-only markiert, das heißt, es kann nur lesend darauf zugegriffen werden. Damit kann der ausführbare Code des Prozesses weder versehentlich noch mutwillig modifiziert werden. Jeder Versuch, den Speicher in diesem Segment zu manipulieren, würde sofort zu einer entsprechenden Ausnahmebehandlung (Exception) und zu einem Programmabbruch führen. 2.2.3 Data-Segment Im Data-Segment werden nur bestimmte Daten des Prozesses, jedoch kein ausführbarer Code abgelegt. Das Data-Segment hat eine feste, beim Programmstart zugewiesene Größe und nimmt alle vor dem eigentlichen Programmstart initialisierten globalen Variablen (z.B. primitive Variablen, Arrays, Puffer, Strukturen, Zeiger, Objektdaten) auf. 2. Grundlagen 10 Das Data-Segment kann während der Programmausführung gelesen und beschrieben werden, um den Inhalt der dort gespeicherten Variablen während der Laufzeit ändern zu können. 0xC0000000 hohe Adresswerte Stack vorhergehende Stack Frames dynamisches Wachstum dynamisches Wachstum Heap BSS Function Stack Frame Verfügbarer Speicher Funktionsparameter Funktion Return Address. gesicherter Frame Pointer Lokal deklarierte Variablen und Puffer optionale Prozessdaten Data niedrige Adresswerte 0x08000000 Text Abbildung 2.1: Typischer Prozessspeicher- und Stackaufbau einer C/C++ Applikation Der BSS-Bereich 4 ist ein Unterbereich des Data-Segments. Er nimmt nicht-initialisierte globale und nicht-initialisierte statische Variablen auf (siehe Listing 2.1 die Variable _iGlobalValue in Zeile 1 und die lokale statische Variable iLen in Zeile 15), wohingegen alle initialisierten globalen und statischen Variablen außerhalb des BSS-Bereichs abgelegt werden (siehe Listing 2.1, Zeile 2 und 6 ). Wird das Programm gestartet, wird der BSS-Bereich in der Regel noch vor dem eigentlichen Programmstart durch das Betriebssystem mit Nullen gefüllt. Numerische Werte erhalten dadurch also alle den Wert 0, Strings sind den Konventionen der Programmiersprache C und C++5 entsprechend immer mit dem Zeichen ’\0’ (ASCII 0) abgeschlossen und haben damit auch die Länge 4 BSS steht als Abkürzung für Block Started by Symbol Ein Großteil der Betriebssysteme und Systemprogramme ist in der Programmiersprache C/C++ implementiert. In diesen Sprachen ist eine Zeichenkette (String) per Definition eine Folge von Zeichen (ASCII-Zeichen) in einem char -Array, welche immer mit einem ASCII 0 (0 Byte, welches nur 0-Bits enthält) abgeschlossen sein muss. A string is a contiguous sequence of characters terminated by and ” including the first null character. [...] A pointer to a string is a pointer to its initial (lowest addressed) character. The length of a string is the number of bytes preceding the null character and the value of a string is the sequence of the values of the contained characters, in order.“ [11, S. 164] Explizite Längenangaben werden also nicht gespeichert. Würde das 0-Byte als Ende-Zeichen fehlen, würden String-verarbeitende Funktionen diese Zeichenkette als so lange interpretieren, bis zufällig ein 0-Byte im Speicher vorkommt. 5 2. Grundlagen 11 0 [11]. So wird sichergestellt, dass sich keine unerwünschten Werte in den uninitialisierten Variablen befinden, vor allem aber auch keine Daten eines vorangegangenen und wieder terminierten Prozesses, der diesen Speicherbereich zuvor verwendet bzw. mit eigenen Daten beschrieben hat. 2.2.4 Heap Jeder Prozess hat die Möglichkeit, erst während der Programmausführung Speicher vom Betriebssystem anzufordern. Dafür werden eigene Bibliotheksfunktionen (Memory Management Functions) zur Verfügung gestellt, die den verfügbaren und belegten Speicher verwalten. Ein Prozess kann einen Speicher anfordern und erhält dabei einen Zeiger auf diesen Speicher (z.B. über malloc(), siehe Listing 2.1, Zeile 19). Benötigt er den Speicher nicht mehr, kann er diesen Speicher jederzeit freigeben (zum Beispiel mit free(), siehe Listing 2.1, Zeile 26). Nachdem weder der Zeitpunkt der Speicherallokation noch die Größe des Speichers vorgegeben ist, wird von einer dynamischen Speicherverwaltung bzw. einer Dynamic Memory Allocation gesprochen. Alle dynamisch angeforderten Speicherblöcke befinden sich innerhalb eines speziell dafür vorgesehenen, dynamisch wachsenden Speicherbereichs, dem sogenannten Heap des Programms. Die Größe des Heaps wird durch den verfügbaren Speicher abzüglich der Größe des Stacks limitiert (siehe Abbildung 2.1). Ein Prozess kann maximal soviel Speicher benutzen, wie diesem von der Speicherverwaltung auf Abruf zur Verfügung gestellt wird. Die Lage der Speicherblöcke ist vom laufenden Prozess nicht beeinflussbar und wird von der Speicherverwaltung des Betriebssystems bestimmt. Mehrmalige Speicheranforderungen und Freigaben führen aufgrund der internen Organisation der belegten und freien Speicherbereiche zu einer Fragmentierung (Memory Fragmentation) des Speichers. Auf dem Heap allokierter Speicher ist solange gültig, bis er wieder freigegeben wird oder der Prozess beendet wird. Moderne Betriebssysteme geben den gesamten Heap einer Applikation nach dessen Terminierung automatisch wieder frei, um den Speicher anderen Applikationen zur Verfügung stellen zu können. 2. Grundlagen 2.2.5 12 Stack Der Stack wächst dynamisch und teilt sich gemeinsam mit dem Heap den einer Applikation zur Verfügung stehenden freien Speicher. Der Stack wächst, im Gegensatz zum Heap, von hohen Speicheradressen in Richtung niedrigere Speicheradressen (siehe Abbildung 2.1). Jede aufgerufene Funktion erzeugt im Stack-Bereich einen eigenen Speicherblock, genannt Stack Frame, welcher von der höchsten Adresse beginnend nach und nach den Stack befüllt. Auf dem Stack eines Prozessors einer Intel x86 Architektur können folgende Daten innerhalb eines einzigen Stackframes abgelegt werden [8]: • Funktionsparameter - Alle beim Aufruf einer Funktion übergebenen Parameter liegen auf dem Stack. Innerhalb der Funktion entspricht ein übergebener Parameter einer lokalen Variablen. • Funktionsrücksprungadresse - Unmittelbar vor Beendigung einer Funktion wird der Rückgabewert der Funktion in einem Register des Prozessors oder auf dem Stack abgelegt und zur aufrufenden Funktion bzw. zur Funktionsrücksprungadresse (Function Return Address) zurückgekehrt. Auf dieser Adresse liegt eines der Hauptaugenmerke beim Versuch einer Attacke. Gelingt es einem Angreifer diese Adresse zu manipulieren, kann er den Programmfluss gezielt beeinflussen. • Frame Pointer - Der aus Effizienzgründen auf dem Stack gesicherte Frame Pointer enthält die Basisadresse des aktuellen Stack Frames. Er dient dem effizienten Zugriff auf die auf dem Stack gesicherten Variablen, indem jede Variable mit diesem Pointer und einem bestimmten Offset adressiert werden kann. • Lokale Variablen - Alle lokal deklarierten auto-Variablen werden auf dem Stack abgelegt. Im Gegensatz dazu werden lokale statische Variablen, welche ihren Wert auch nach dem Verlassen der Funktion behalten müssen, entweder im allgemeinen Datensegment oder im BSS-Bereich abgelegt. • Optionale Prozessdaten und Zeiger - Je nach Architektur und Compiler können noch weitere Daten auf dem Stack abgelegt werden, z.B. eine Adresse zur Ausnahmebehandlung (Exception Handler Frame), zwischengespeicherte Register des Prozessors (Callee Save Registers). 2. Grundlagen 13 Im Gegensatz zu Speicherblöcken auf dem Heap hat ein Stack Frame immer eine begrenzte Lebensdauer und limitierte Größe. Im Beispiel aus Listing 2.1 werden alle lokalen auto-Variablen (siehe Listing 2.1, Zeilen 16 und 7) und Verwaltungsdaten (Funktionsrücksprungadresse) auf dem Stack gespeichert. Wird die Funktion verlassen, werden auch die aktuellen Stack Frames wieder vom Stack entfernt. Die Zugriffsorganisation erfolgt ähnlich einem Stapel, denn die Daten werden immer in umgekehrter Reihenfolge gelesen, als sie zuvor auf dem Stack geschrieben wurden (LIFO-Prinzip - Last In/First Out). Der letzte auf dem Stack abgelegte Stack Frame bestimmt immer die aktuelle Größe des Stacks. Eine Fragmentierung des Stacks aufgrund der LIFO-Organisation ist nicht zu befürchten. 2.3 Register Ein Prozessor besitzt nur einen sehr kleinen, jedoch sehr schnellen internen Speicher zur Abarbeitung eines Programms. Ein Teil dieses Speichers wird für interne Zwecke verwendet und ist von Außen bzw. für Programme nicht zugänglich. Ein anderer kleiner Teil dieser Speicherplätze wird für Ein- und Ausgabeoperationen, das Verschieben und Manipulieren von Speicher, zur Übergabe bestimmter Parameter, zur Adressierung und Indizierung von Speicher, zur Rückgabe von Ergebnissen und für Zähler verwendet. Dieser Teil der Speicherplätze wird im Allgemeinen als Register bezeichnet. Die für eine Applikation verfügbaren Register werden als General Purpose Registers (GPR) bezeichnet, welche in allen Architekturen in ähnlicher Form zur Verfügung stehen. Intel unterteilt in Intels 32-bit Architecture (IA-32) die Register je nach Verwendung in die Gruppen General Data Registers, General Address Registers, Floating Point Stack Registers, in Register für spezielle Verwendungen (z.B. Multimedia) und Flags, Counter und Pointer zur Kontrolle des Programmflusses (Instruction Pointer, Interrupt Control, Paging, Mode Switching, uvm.). Weitere Details zur hier als Beispiel angeführten IA-32 Architektur sind [28] zu entnehmen. Jeder Prozessor und jede Prozessorarchitektur hat spezielle Register, um mit dem Programm zu kommunizieren oder den Programmfluss zu steuern. Moderne Prozessoren haben in der Regel einen größeren und schnelleren internen Speicher und können 2. Grundlagen 14 oft mehrere Speicherplätze in kürzester Zeit oder parallel bearbeiten. Sie bieten eine größere Registerbreite (Bits pro Register) und können dadurch mehr Speicher direkt adressieren. Die Anzahl und Art der Register ist höchst unterschiedlich, alle modernen Prozessoren bieten mittlerweile aber Segment, Control, Debug und Test Register zur Steuerung des Prozessors. Gemeinsam haben fast alle Prozessoren auch, dass jede Manipulation eines Registers eine unerwartete und unbeabsichtigte, für Angreifer vielleicht beabsichtigte, Auswirkung auf das Programm oder den Programmfluss haben kann. Die für einen Angriff wohl wichtigsten Register sind das ESP (Stack Pointer ), das EBP (Extended Base Pointer ) und das EIP (Instruction Pointer ) Register. 2.4 Daten und Funktionszeiger Ein Pointer ist die Bezeichnung für einen Zeiger auf eine Speicheradresse. Man unterscheidet dabei zwischen Zeigern auf Daten (Data Pointer ) und Zeigern auf Funktionen (Function Pointer ). Ein Zeiger zeigt immer an den Beginn eines Speicherbereichs. Über den Zeiger selbst, welcher ausschließlich nur die Adresse darstellt, kann keinerlei Aussage über die Größe des Speicherblocks, die an dieser Adresse abgelegten Daten und deren Datentypen getroffen werden. Über die Lage des Speicherblocks kann maximal auf die grundsätzliche Verwendung - Daten oder Programmcode - geschlossen werden.[47] Datenzeiger (Data Pointer) Funktionszeiger (Function Pointer) int iValue; Normale Variable int (*pfFoo)(); Wert Pointer Variable Adresse int* pValue; Pointer Variable Adresse *pValue = iValue; Wert pfFoo(); int foo() { ... } Abbildung 2.2: Daten- und Funktionszeiger Innerhalb eines Programms wird häufig über Zeigervariablen auf Daten oder Funktionen zugegriffen (siehe Abbildung 2.2). Programmiersprachen wie C und C++ stellen 2. Grundlagen 15 dafür eigene Pointertypen zur Verfügung, die einen einfachen Zugriff auf Speicher und eine einfache Zeigermanipulation (Zeigerarithmetik ) ermöglichen. In den Programmiersprachen C und C++ repräsentiert schon ein Funktionsname den Zeiger auf die Funktion, also jene Speicheradresse, an der der Funktionscode beginnt. Erst die Klammerung nach dem Funktionsnamen lässt den Compiler erkennen, dass es sich um einen Aufruf der Funktion an dieser Adresse mit den angegebenen Parametern handelt. Zeigervariablen können sich prinzipiell in jedem Speicherbereich befinden, je nachdem welcher Speicherklasse sie zugeordnet werden. Typische auf dem Stack abgelegte Pointer sind beispielsweise die als Argumente einer Funktion übergebenen Zeiger, lokale Zeigervariablen der Speicherklasse auto innerhalb einer Funktion, Rücksprungadressen, Adressen auf Exception Handler und gesicherte Frame Pointer. In C++ geschriebene Programme speichern für deren Objektinstanzen während der Laufzeit auch Tabellen mit Zeigern auf Funktionen (Vector Tables oder VTables), um virtuelle Methoden abzubilden. Zeiger innerhalb des Prozesspeichers stellen bei allen Attacken das Hauptangriffsziel dar. Können Zeiger oder ganze Zeigertabellen von Außen manipuliert werden, können damit andere Daten, als ursprünglich vorgesehen, gelesen oder gespeichert werden. Bei manipulierten Funktionszeigern werden nicht vorgesehene Funktionen aufgerufen und damit der Programmfluss gezielt verändert. Ebenso ist es denkbar, Zeiger auf Dateien zu manipulieren und damit externe Dateien in einen laufenden Prozess einzuschleusen. Auch Handles 6 auf Dateien sind letztendlich nur Zeiger. 6 Als Handle wird in der Softwareentwicklung ein Identifikator, Nickname oder Alias auf digitale Objekte wie z.B. Dateien, Prozesse, Ressourcen, angeschlossene Geräte, usw. bezeichnet. Das Betriebssystem vergibt ein systemweit eindeutiges Handle beim Erzeugen eines Objekts oder dem Aufbau einer Verbindung mit einem Objekt. Im Programm werden diese Objekte dann nur noch über dieses Handle angesprochen. 3 Potentielle Sicherheitsschwachstellen Unter einer potentiellen Sicherheitsschwachstelle (Security Vulnerability) versteht man eine Systemschwäche, welche einen Einbruch in das System zumindest theoretisch möglich macht. Eine Schwachstelle ist immer die Folge eines Fehlers im Code (Coding Bug) oder eines Fehlers im Design (Design Flaw ). Ein Bug ist ein Fehler in der Implementierung, z.B. eine fehlerhafte Stringbehandlung oder ein fehlerhafter Zeiger innerhalb einer Funktion. Das Design einer Software kann keine Bugs haben, weil es sich dabei nicht um Codierungsfehler handelt. Ein Flaw ist auf der Ebene des Designs, der Planung und der Architektur einer Software zu suchen. Die folgenden Abschnitte dieses Kapitels beschreiben einige der typischen Fehler, welche für einen Großteil der Sicherheitsschwachstellen verantwortlich sind. Allen voran Designfehler und die sogenannten Pufferüberläufe. 3.1 Designfehler A flaw is instantiated in software code but is also present (or absent!) at the de” sign level.“ schreiben Hoglund und McGraw in [24, S. 39]. Ein Designfehler kann also im Quelltext einer Software zu finden sein. Oft aber sind designbasierte Sicherheitsschwachstellen die Folge von fehlenden Codeteilen oder einer unzureichenden Implementierung notwendiger Sicherungs- und Verteidigungsmechanismen. Die folgende 16 3. Potentielle Schwachstellen 17 Auflistung sicherheitsrelevanter Designfehler lässt schnell erkennen, welche fehlerhaften oder fehlenden Funktionen die typischen Designfehler heutiger Software sein können: • Eingabe- und Parameterprüfung: Buffer Overflows, Parametermanipulation, SQL Injection und Cross-Site Scripting (XSS) basieren auf ungeprüften Benutzereingaben oder Funktionsparametern. Nur die strikte Überprüfung aller Eingangsdaten kann Manipulationen verhindern. • Authentisierung und Authentifizierung: Das erste zweier Subjekte (z.B. Benutzer, Prozesse, Services, Clients) muss einen Nachweis seiner Identität erbringen, sich authentisieren. Das zweite Subjekt als sein Gegenüber muss die Identität seines Gegenübers überprüfen, die Identität seines Partners authentifizieren. • Verschlüsselung: Unverschlüsselte Daten sind für jedermann lesbar. Eine Verschlüsselung der Daten lässt nur jenen die Informationen zukommen, für die sie auch gedacht sind. • Sicherung: Ungesicherte Daten sind manipulierbar. Codierungsverfahren können Daten vor Manipulationen sichern oder jede Manipulation aufdecken (z.B. Checksumme, Signatur). • Zugriffs- und Ausführungsberechtigungen: Berechtigungsstrategien legen fest, was ein Benutzer oder Prozess darf oder nicht darf (z.B. Zugriff auf Dateien, Ressourcen, Starten von Prozessen). • Anwendungs- und Systemkonfiguration: Konfigurationsdateien unterliegen einer strengen Kontrolle (Zugriffs- und Manipulationsschutz). • Fehlerbehandlung und Logging: Falsche Fehlerbehandlungen verraten oft interne Systeminformationen. Logdateien, Speicherauszüge und Stacktraces sollten nicht sichtbar sein oder mit einer entsprechenden Zugriffsberechtigung versehen werden. Designfehler lassen sich im Allgemeinen nicht durch die Prüfung einzelner Codezeilen erkennen. Was für eine einfache Applikation an Daten- und Codesicherung noch ausreichend sein mag, ist für eine sicherheitskritische Anwendung bei weitem nicht genug. Erst eine Klassifizierung der Sicherheitsanforderungen, das Erkennen der Bedrohungsszenarien, das Zusammenwirken einzelner Module und die Identifikation der 3. Potentielle Schwachstellen 18 Datenströme lässt mögliche Designfehler und darauf basierende Sicherheitsschwachstellen sichtbar werden. 3.2 Overflow Fehler Die in den letzten Jahrzehnten weitaus am häufigsten zum Einbruch in ein Computersystem genutzten Programmfehler stellen so genannte Pufferüberläufe (Buffer Overflows oder Buffer Overruns) dar. Sie treten immer dann auf, wenn ein Programm bzw. eine Funktion Daten in einem Speicher bestimmter Länge verarbeitet und dabei die Grenzen eines Puffers (Memory Buffer ) schreibend über- oder unterschreitet. Dabei werden angrenzende, sich ebenfalls im Speicher befindliche Daten oder Zeiger auf Daten und Funktionen überschrieben, welche funktions- und ablaufrelevant sind. Besonders häufig treten diese Fehler bei C- und C++-Programmen auf, da hier seitens der Sprachkonzepte und Compiler keine Überprüfungen der Speicher- und Arraygrenzen erfolgen. Für die Vermeidung eines Buffer Overflows ist letztendlich immer der Programmierer zuständig. Moderne Programmiersprachen unterstützen die Entwickler, indem sie Array- und Speichergrenzen verwalten und Zugriffe auf illegale Speicherbereiche unterbinden. Die Überprüfung aller Speicherzugriffe und Speichergrenzen hat natürlich Performanceeinbußen zur Folge. Overflows können durch einen Fehler scheinbar zufällig auftreten oder - bei Attacken absichtlich provoziert werden. In allen Fällen ist ein Programmfehler die Voraussetzung für einen Überlauf. Das Problem kann über längere Zeit unentdeckt bleiben, wenn das Programm keine sichtbaren Veränderungen im weiteren Ablauf zeigt. Ein Angreifer, der derartige Sicherheitsschwachstellen (Security Vulnerabilities) ausnutzen möchte, provoziert einen Overflow, um Daten bzw. Code in das System zu injizieren (Data Injection oder Code Injection). Dabei versorgt er das Programm gezielt mit Daten, die außerhalb der Spezifikationen liegen. Werden diese Eingangsdaten keiner expliziten Prüfung unterzogen, kann es zu einem Pufferüberlauf kommen und im Speicher befinden sich gezielt injizierte Daten. Mitunter ist der weitere Prozessablauf durch diese Daten gesteuert und im schlechtesten Fall durch einen Angreifer gezielt beeinflusst. 3. Potentielle Schwachstellen 19 Wie Hoglund et al. in [24] schreiben, erlauben unterschiedliche Programmfehler auch unterschiedliche Methoden um ein System anzugreifen. Related programming errors ” give rise to simular exploit techniques.“[24, S. 38] Im Folgenden werden einige ausgewählte Überlauffehler und die darauf basierenden Angriffsmethoden vorgestellt. 3.2.1 Stack Overflow Der Stack ist, wie im Abschnitt 2.2.5 beschrieben, ein Speicherbereich, in dem lokale Variablen, Sprungadressen und Funktionsparameter kurzfristig abgelegt werden. In IA-32 Architekturen wächst, wie bei vielen anderen Prozessorarchitekturen auch, der Stack von höheren zu niedrigeren Speicheradressen. Wird nun ein Puffer auf dem Stack angelegt und kommt es bei einem Schreibvorgang zu einem Überschreiten der Puffergrenzen, so werden an den Puffer angrenzende Speicherstellen auf dem Stack überschrieben. 3.2.1.1 Der klassische Stack Overflow Der klassische stack-basierte Buffer Overflow oder, in Form einer Attacke provoziert, auch Stack Smashing Attack genannt [1], wird als Overflow der 1.Generation1 bezeichnet [21], weil dieser Overflow wohl zu den am längsten bekannten Schwachstellen gehört. Bei einem klassischen Stack Overflow Exploit ist das Ziel meist die Manipulation der Function Return Address, also der Rücksprungadresse zur aufrufenden Funktion. Kann dieser Zeiger gezielt manipuliert werden, kann eine eigene eingeschleuste Funktion oder eine Bibliotheksfunktion aufgerufen werden. Ein kurzes Beispiel soll die Vorgänge auf dem Stack bei einem Funktionsaufruf und einem Stack Overflow verdeutlichen. In dem im Listing 3.1 gezeigten Beispielprogramm wird aus der Funktion main() die Funktion foo() aufgerufen. Die Applikation ist syntaktisch korrekt und ausführbar, obwohl die Funktion foo einige Fehler bzw. Schwachstellen aufweist, welche für einen Angriff missbraucht werden könnten. Die unsichere 1 Halvar teilt in [21] die verschiedenen Exploit-Techniken erstmals in Generationen ein. Er klassifiziert damit die Arten der Buffer Overflow Schwachstellen anhand der zeitlichen Abfolge, in der diese veröffentlicht wurden. Darauf basierend erweitert Klein in [31] diese Einteilung und weist die Overflows jeweils einer bestimmten Generation zu. 3. Potentielle Schwachstellen 20 Funktion strcpy (siehe Anhang A.1) prüft nicht, ob die Länge des zu kopierenden Strings die des Puffers auf dem Stack überschreitet. 1 2 #include <stdio.h> #include <string.h> 3 4 5 6 7 8 9 void foo(const char* pStr) { char szBuffer[20]; strcpy(szBuffer, pStr); printf(szBuffer); } // Stack Overflow Schwachstelle // Format-String Schwachstelle 10 11 12 13 14 15 int main(int argc, char* argv[]) { foo(argv[1]); // Illegal Pointer Schwachstelle return 0; } Listing 3.1: Beispielprogramm StackOverflow.c Ebenso bleibt das Argument der Funktion printf ungeprüft, was eine im nächsten Abschnitt besprochene Format-String Schwachstelle zur Folge hat (siehe Kapitel 3.3). 0x0012FF5C 0x0012FF60 0x0012FF64 0x0012FF68 0x0012FF6C 0x0012FF70 0x0012FF74 0x0012FF78 0x0012FF7C 0x0012FF80 0x0012FF84 0x0012FF88 4f c0 3c 18 20 7c 1f 1f c0 60 02 e8 1d ff 10 30 30 ff 18 28 ff 11 00 27 13 12 40 40 40 12 40 35 12 40 00 35 78 00 00 00 00 00 00 00 00 00 00 00 O..x Àÿ.. <.@. .0@. 0@. |ÿ.. ..@. .(5. Àÿ.. ‘.@. .... è’5. // Beginn des Puffers szBuffer // // // // // // // // // 5*4 = 20 Bytes Ende des Puffers szBuffer Gesicherter Frame Pointer Rücksprungadresse aus der Funktion foo Funktionsparameter pStr (Adr. auf argv[1]) Gesicherter Frame Pointer Rücksprungadresse aus der Funktion main() Funktionsparameter argc Funktionsparameter argv Listing 3.2: Stackdump innerhalb des Programms StackOverflow.c Beide Funktionen legen nacheinander einen Stackframe auf dem Stack an. Der im Listing 3.2 dargestellte Speicherauszug (Memory Dump), erstellt mit einem Debugger unmittelbar vor dem Aufruf der Funktion strcpy, zeigt deutlich sowohl die auf dem Stack abgelegten lokalen Variablen und jeweiligen Funktionsparameter als auch die auf 3. Potentielle Schwachstellen 21 dem Stack gesicherten Register EIP (die Rücksprungadresse) und EPB (den Frame Pointer). Der lokale Puffer szBuffer der Funktion foo und auch die lokalen Variablen von main() liegen ebenfalls auf dem Stack. hohe Adresswerte Function Return Address gesicherter Frame Pointer Funktionsparameter pStr Function Return Address gesicherter Frame Pointer Lokal deklarierter Puffer szBuffer[20] (a) Stack vor dem Buffer Overflow Overflow Funktionsparameter argc argv[ ] Stack Frame foo() Stack Frame main() vorhergehende Stack Frames Puffer niedrige Adresswerte Stack Frame foo() Stackwachstum Stack Frame main() vorhergehende Stack Frames Funktionsparameter argc argv[ ] Function Return Address gesicherter Frame Pointer Funktionsparameter pStr Function Return Address Lokal deklarierter Puffer szBuffer[20] mit eingeschleustem Code (b) Stack nach dem Buffer Overflow Abbildung 3.1: Einschleusen und Aufrufen von Code über einen Stack Overflow Im folgenden Beispiel wird von der Annahme ausgegangen, dass der Angreifer das Programm aus Listing 3.1 mit einem wahlfreien Parameter aufrufen kann. Die Abbildung 3.1.a zeigt den Stack vor dem Stack Overflow. Schleust der Angreifer nun einen mit Code und Adressen präparierten String2 in die Funktion foo ein, welcher länger ist als der lokal angelegte Puffer szBuffer, kommt es wegen der fehlende Längenüberprüfung in foo() und auch in der Funktion strcpy zu einem Overflow des Puffers szBuffer. Der Angreifer überschreibt durch den Overflow, wie aus dem Dump in Listing 3.2 und der Abbildung 3.1 ersichtlich ist, nicht nur die auf dem Stack gesicherte Rücksprungadresse (Function Return Address) und den gesicherten Frame Pointer, sondern schleust damit mitunter gleichzeitig Code bzw. Adressen in den Puffer szBuffer bzw. auf den Stack 2 Um Code oder Adressen über einen String in ein Programm einzuschleusen, muss eine Zeichenkette mit einer Reihe nicht-druckbarer Zeichen erzeugt werden. Perl erlaubt die Zusammenstellung von Strings über Escape-Sequenzen (siehe dazu [56]), ähnlich der Programmiersprache C, und die Übergabe der Parameter und den Aufruf des Programms über ein Script von der Console heraus [26]. Linux/Unix bieten mit der Bash-Shell ähnliche Möglichkeiten [30]. 3. Potentielle Schwachstellen 22 ein (siehe Abbildung 3.1.b). Die Rücksprungadresse lässt er auf den eingeschleusten Code zeigen. Beim Beenden der Funktion wird der EIP vom Stack geholt und auf diese Adresse gesprungen. Anstatt in main() fährt der Programmfluss (Program Flow ) im eingeschleusten Code fort. Stack Overflows gehören zu den einfachsten Overflows, weil sie am leichtesten auszunutzen sind. Ebenso gibt es mittlerweile mehrere Methoden, wie Stack Overflows verhindert oder zumindest erschwert werden können. Welche das sind und wie wirkungsvoll derartige Methoden sind, wird in späteren Kapiteln noch geprüft und diskutiert. 3.2.1.2 Frame Pointer Overwrite Im Unterschied zum klassischen Stack Overflow, bei dem Daten und Zeiger und in erster Linie die Rücksprungadresse manipuliert werden, kommt es bei einem Frame Pointer Overwrite zu einem Überschreiben des auf dem Stack gesicherten Frame Pointers. Kann dieser Pointer durch einen Angreifer gezielt manipuliert werden, zum Beispiel wie in der Abbildung 3.3 gezeigt durch einen Off-By-One Overrun, so kann dadurch der weitere Programmfluss geändert werden. Mit dieser Exploit-Technik kann ebenfalls zuvor eingeschleuster Programmcode zur Ausführung gebracht werden. Der Artikel [32] zeigt mit einem primitiven Beispiel in beeindruckender Einfachheit die Funktionsweise eines Frame Pointer Overwrites und dessen Ausnutzung für einen Exploit. 3.2.2 Heap Overflow Heap Overflows gehören zu den Overflows der 4. Generation [21]. Sie funktionieren nach einem ähnlichen Prinzip wie Stack Overflows, sind deutlich aufwändiger auszunutzen und in Quellen wie [15] detailliert beschrieben. Nach [15] und WSEC stellen sie aus folgenden Gründen eine zusätzliche Gefahr dar, • weil viele Compilererweiterungen und softwarebasierte Schutzmethoden (spezielle Bibliotheken) nur den Stack nicht aber den Heap schützen können, • weil viele hardwarebasierte Schutzmethoden moderner Prozessoren nur das Ausführen von Code auf dem Stack verhindern können 3. Potentielle Schwachstellen 23 • und vor allem, weil vielfach noch von der falschen Annahme ausgegangen wird, dass Heap Overflows nicht für Angriffe nutzbar seien und damit eine Codeänderung von local buffer auf static buffer ausreichend für einen wirksamen Schutz sei. Auf dem Heap werden, wie im Kapitel 2.2.4 beschrieben, jene Puffer abgelegt, die erst während der Laufzeit mit speziellen API-Funktionen alloziert (z.B. mit malloc()) und später wieder freigegeben (z.B. mit free()) werden. Dieser dynamische Speicherbereich (Memory Pool ) wird durch das Betriebssystem bzw. dessen Speicherverwaltung (Heap Management oder Memory Management) organisiert. Durch die mit der Laufzeit zunehmende Fragmentierung des Speichers sind die Speicherblöcke in ihrer Reihenfolge schwer vorhersehbar im Speicher abgelegt. Belegte und freie Speicherbereiche können sich beliebig abwechseln. Bei einem Heap Overflow läuft keineswegs der Heap selbst über, sondern, ähnlich wie beim Stack Overflow, ein auf dem Heap abgelegter Puffer. Kommt es im Heap zu einem Pufferüberlauf, dann können davon freie Speicherbereiche, angrenzende belegte Speicherbereiche und auch interne zur Verwaltung des Heaps notwendige Verwaltungsdaten betroffen sein, welche ebenfalls im dynamischen Bereich des Heap Segments abgelegt werden. Über Heap Overflows können wie bei Stack Overflows auch Zeiger manipuliert werden, über die auf Daten zugegriffen wird oder über die der Programmfluss kontrolliert wird. 1 2 #include <stdio.h> #include <stdlib.h> 3 4 5 6 7 8 struct PufferPtr { char* pPufferA; char* pPufferB; }; 9 10 11 12 13 14 int main(int argc, char* argv[]) { PufferPtr* pPufferP = (PufferPtr*)malloc(sizeof(PufferPtr)); pPufferP->pPufferA = (char*)malloc(10); pPufferP->pPufferB = (char*)malloc(10); 15 16 strcpy(pPufferP->pPufferA, argv[1]); 3. Potentielle Schwachstellen 24 strcpy(pPufferP->pPufferB, argv[2]); 17 18 free(pPufferP->pPufferB); free(pPufferP->pPufferA); free(pPufferP); 19 20 21 22 return 0; 23 24 } Listing 3.3: Beispielprogramm HeapOverflow.c Ein kurzes Beispiel zeigt einen möglichen Angriff über einen Heap Overflow. Dabei wird, um die Komplexität derartiger Angriffe zu verdeutlichen, wiederum das Einschleusen einer eigenen Funktion angenommen. Um den Code auszuführen, muss gleichzeitig auch der Stack manipuliert werden. Listing 3.3 zeigt eine Applikation, welche zwei Puffer A und B auf dem Heap allokiert und die Zeiger der beiden Speicherblöcke ebenfalls auf dem Heap (Puffer P) ablegt. Das Speicherabbild könnte wie in der Abbildung 3.2.a dargestellt aussehen. Die Applikation liest nun zwei Benutzereingaben und speichert diese in den beiden Puffern A und B. Weiß der Angreifer um die Organisation der Datenblöcke und deren Adressen auf dem Heap, so könnte er versuchen, mit der ersten Eingabe einen Überlauf zu provozieren und gleichzeitig damit seinen Code einzuschleusen (siehe Abbildung 3.2.b.(1)). Durch den Überlauf des Puffers A kommt es gleichzeitig zum Überschreiben des Zeigers pPufferB. Der Angreifer lässt diesen Zeiger nun durch seine Manipulation gezielt auf die auf dem Stack liegende Function Return Address verweisen. Nun kommt es zur zweiten Eingabe und der Angreifer gibt die Adresse von Puffer A ein. Diese Adresse wird nun auf die Adresse pPufferB geschrieben, also in den Stack (siehe Abbildung 3.2.b.(2)). Wird nun die Funktion beendet und der aktuelle Stack Frame gelöscht, springt das Programm automatisch auf die zuvor im Stack manipulierte Function Return Address (siehe Abbildung 3.2.b.(3)). Damit ist es dem Angreifer gelungen, in zwei Schritten Code auf dem Heap einzuschleusen und später auch auszuführen. Die gezeigte Methode übergeht auch etwaige Schutzmechanismen der Compiler, die später noch diskutiert werden. 3. Potentielle Schwachstellen hohe Adresswerte 25 vorhergehende Stack Frames Funktionsparameter Stack Frame foo() Stack Frame foo() vorhergehende Stack Frames Function Return Address gesicherter Frame Pointer Lokale Variablen Funktionsparameter Function Return Address gesicherter Frame Pointer Lokale Variablen 2 P Puffer B 1 Eingeschleuster Pointer Eingeschleuster Code 3 char* pPufferA char* pPufferB A A Puffer A HEAP Puffer A B P char* pPufferA char* pPufferB B HEAP Puffer B niedrige Adresswerte (a) Heap und Stack vor dem Buffer Overflow (b) Heap und Stack nach dem Buffer Overflow Abbildung 3.2: Einschleusen und Aufrufen von Code über einen Heap Overflow Dieses Szenario mag konstruiert erscheinen, unzählige Einträge in einschlägigen Listen beweisen aber, dass Heap Overflows oft für Angriffe genutzt werden. Viele der Heap Overflow basierten Attacken stützen sich auch auf die Manipulation der Verwaltungsdaten des Memory Managers im Heap. Diese Attacken bedürfen neben der Lage der Speicherblöcke und der detaillierten Kenntnisse über das Programm noch weiterer detaillierter Kenntnisse über die interne Organisation zur Verwaltung des dynamischen Speichers [61]. Interne Strukturen der Heap- bzw. Memory Manager sind aber gut dokumentiert (vgl. [21, 61]) oder der Sourcecode der Manager ist ohnehin frei zugänglich (z.B. Linux-Quellcode und Open Source3 ). 3 Für die Bibliothek Glibc und somit viele Linux/Unix Systeme wird seit Jahren eine freie Implementierung von Wolfram Gloger mit dem Namen ptmalloc eingesetzt, deren Sourcecode frei zugänglich ist. Nähere Informationen dazu sind unter http://www.malloc.de (Stand: 2007.05.02) verfügbar. 3. Potentielle Schwachstellen 3.2.3 26 Array Indexing Overflows Array Indexing Overflows passieren, wenn beim Zugriff auf ein Array der Index falsch ist und somit ein Zugriff außerhalb des Speicherbereichs eines Arrays erfolgt. Typischerweise kommt dies dann am ehesten vor, wenn es bei der Indexberechnung zu einem Integer Overflow oder Integer Underflow gekommen ist, oder wenn bei einer Iteration die erlaubten Indexbereiche verlassen werden. hohe Adresswerte Off-By-One Overrun Lokal deklarierter Puffer szBuffer[20] (a) Stack vor einem Off-By-One Overrun Stack Frame foo() Funktionsparameter pStr Function Return Address gesicherter Frame Pointer vorhergehende Stack Frames Puffer niedrige Adresswerte Stack Frame foo() Stackwachstum vorhergehende Stack Frames Funktionsparameter pStr Function Return Address gesicherter Frame Pointer Lokal deklarierter Puffer szBuffer[20] mit Off-By-One-Overrun (b) Manipulierter Frame Pointer nach einem Off-By-One Overrun Abbildung 3.3: Manipulation des gesicherten Frame Pointers über einen Off-By-One Overrun Häufige Vertreter dieser Array Indexing Overflows sind die sogenannten Off-By-One Overflows. Wie der Name andeutet, handelt es sich dabei um einen Überlauf um 1 Byte. Eine typische Ausprägung dieses Fehlers ist eine ein Array bearbeitende Schleife, wie es das kurze Beispiel aus Listing 3.4 zeigt: 1 2 3 4 5 6 void foo(const char* str) { char szBuffer[20]; for( int i=0; i <= sizeof(szBuffer); i++ ) szBuffer[i] = str[i]; } Listing 3.4: Beispiel eines Off-By-One Fehlers im Programm StackOverflow.c 3. Potentielle Schwachstellen 27 Durch einen Durchlauf mehr als erlaubt (die Laufbedingung verwendet fälschlicherweise <= anstatt <) wird die Größe des Arrays um exakt ein Element überschritten und dadurch Speicher über die Grenzen des Arrays hinaus beschrieben. Liegt ein char -Array zum Beispiel im Speicher direkt vor einem Zeiger (z.B. der gesicherten Rücksprungadresse auf dem Stack), so kann durch einen Überlauf um nur ein Zeichen bei einer schreibenden Funktion ein Pointer schon um ein Byte manipuliert werden. (siehe Abbildung 3.3). Der aus dem Beispiel generierte Stackauszug zeigt das manipulierte Byte (unterstrichener Wert) des gesicherten EBP. 0x0012FF5C 0x0012FF60 0x0012FF64 0x0012FF68 0x0012FF6C 0x0012FF70 41 45 49 4d 51 55 42 46 4a 4e 52 ff 43 47 4b 4f 53 12 44 48 4c 50 54 00 ABCD EFGH IJKL MNOP QRST Uÿ.. // Beginn des Puffers szBuffer // 5*4 = 20 Bytes // Ende des Puffers szBuffer // Manipulierter Frame Pointer Listing 3.5: Frame Pointer Manipulation durch Off-By-One Fehler Auf einer Little Endian First Architektur (Intel-Format einer Intel x86-Architektur ) führt dies zu einer Manipulation des Least Significant Byte 4 (siehe Listing 3.5), auf einer Big Endian First Architektur (Motorola-Format einer 68000-Architektur ) zum Überschreiben des Most Significant Bytes 5 [7]. Die Manipulation des niederwertigsten Bytes eines Zeigers lässt das Verschieben eines Zeigers im Bereich von 256 Byte zu. Die Änderung des höchstwertigsten Bytes macht hingegen wenig Sinn, weil der legale Speicherbereich durch einen Verweis auf ein anderes Segment sofort verlassen würde. Little Endian First Architekturen sind demnach anfälliger für Off-By-One-Angriffe. 3.2.4 BSS Overflow BSS-Overflows gehören zu den Overflows der 3. Generation [21]. Im BSS-Bereich, einem Teilbereich des Datensegments (siehe Kapitel 2.2.3), werden uninitialisierte globale 4 Die Bezeichnung Little Endian First bezeichnet die Reihenfolge der Bytes im Speicher eines Computers, mit der Zahlenwerte dargestellt werden. Bei einer Little Endian First Architektur liegt das niederwertigste Byte vor den höherwertigen Bytes im Speicher. Das erste Byte eines Zahlenwertes im Speicher ist also das Least Significant Byte. 5 Die Bezeichnung Big Endian First bezeichnet die Reihenfolge der Bytes im Speicher eines Computers, mit der Zahlenwerte dargestellt werden. Bei einer Big Endian First Architektur liegt das höchstwertigste Byte vor den niederwertigen Bytes im Speicher. Das erste Byte eines Zahlenwertes im Speicher ist demnach das Most Significant Byte. 3. Potentielle Schwachstellen 28 und statische lokale Variablen abgelegt (siehe Listing 2.1, Zeile 1 und 15). BSS Overflows erlauben, ebenso wie auch bei Heap Overflows (Kapitel 3.2.2) gezeigt wurde, die Manipulation von Zeigern. Attacken lassen sich besonders dann einfach durchführen, wenn nicht-initialisierte Zeiger und Puffer in der Applikation verwendet wurden, welche dann im BSS Segment liegen und deren Überlauf nicht verhindert wird. Ein wesentlicher Vorteil und eine deutliche Erleichterung für einen Angreifer ist die Tatsache, dass Puffer im BSS-Segment eine feste Größe haben und in ihrer Lage unverändert bleiben. Die Lage der Puffer wird schon vom Compiler und Linker während der Übersetzung des Quelltextes und dem Erstellen einer ausführbaren Datei bestimmt. Kann der Angreifer die Reihenfolge der Puffer und die Abstände zueinander erst einmal bestimmen, kann er sich auf deren fixe relative Lage zueinander verlassen6 .[15] Wie durch gezielte Zeiger- und Puffermanipulationen ein Angriff (Exploit) realisiert werden kann, ist dem Kapitel 3.2.2 zu entnehmen. 3.3 Format-String Fehler Sicherheitslücken und Exploits aufgrund von Format-String-Schwachstellen sind erst in den späten 1990er Jahren erstmals publiziert worden, obwohl sie eigentlich schon so alt sind wie die Programmiersprache C und deren unsichere C-Library selbst (vgl. [17] und [31]). Format-String Fehler beschreiben ein sehr C/C++-spezifisches Problem für Funktionen mit einer beliebigen Anzahl von Parametern. Typische Vertreter sind die ANSI-C-Funktionen der printf()-Familie zur formatierten Ausgabe und Stringformatierung. Funktionen mit einer variablen Anzahl von Parametern ist es nicht möglich, den Datentyp der über den Stack übergebenen Variablen und Konstanten während der Laufzeit festzustellen. Bei printf()-Funktionen wird der Datentyp mit einem String, welcher der Formatierung der Ausgabe dient (Format-String), beschrieben. Im Prototyp der Funktion int printf(const char* format,...) beschreibt der Stringparameter format jene 6 Oft reicht ein einfaches Probierverfahren aus, um die Lage der Puffer untereinander zu bestimmen. Dabei werden durch manipulierte Eingaben Pufferüberläufe provoziert und durch die Beobachtung der Ausgaben und anderer Puffer die Lage zueinander bestimmt. Man beobachtet dabei also, wo die eingeschleusten Daten wieder sichtbar werden. 3. Potentielle Schwachstellen 29 Zeichenkette, welche den Ausgabetext und die durch das Zeichen % eingeleitete Formatanweisungen enthält. Die Formatanweisung beschreibt dabei nicht nur den Datentyp, sondern optional das Ausgabeformat (Dezimal, Hexadezimal,. . . ), die Breite der Ausgabe, die Anzahl der Vor- und Nachkommastellen, usw.. Wie im Kapitel 2.2.5 beschrieben, werden beim Aufruf einer Funktion die Parameter auf dem Stack abgelegt. Innerhalb der Funktion printf werden nun der format-String geparst, die dem %-Zeichen entsprechenden Daten dem Stack entnommen und ein Ausgabestring generiert. Der erste Parameter wird dabei dem ersten auftretenden %-Zeichen zugeordnet, der zweite Parameter dem zweiten %-Zeichen, usw.. Im ISO/IEC 9899:TC2 Standard der Programmiersprache C ist zu lesen If there are insufficient arguments for the for” mat, the behavior is undefined.“[11, S. 273]. Sowohl die Anzahl der Parameter als auch der tatsächlich an die Funktion übergebene Datentyp muss mit den Platzhaltern des Format-Strings in jedem Fall übereinstimmen. Das heißt, die Formatbeschreibung muss den auf dem Stack abgelegten Daten entsprechen. [47]. Das folgende kurze Beispiel aus dem Listing 3.6 zeigt eine typische Format-StringSicherheitslücke, bei der ein String zur Ausgabe mit printf von einem Benutzer übergeben werden kann. 1 2 3 4 5 int main(int argc, char* argv[]) { printf( argv[1] ); return 0; } Listing 3.6: Beispielprogramm PrintDemo.c Die Eingabe bleibt in diesem Beispiel ungeprüft und der Benutzer könnte das Programm mit PrintDemo "%p %p %p %p" aufrufen. Der String mit den Formatanweisungen wird als Format-String interpretiert und die Funktion printf versucht vier Zeiger aufgrund der vier %p auszugeben. Versuche zeigen nun, dass die Funktionen der printf()-Gruppe die Daten entsprechend der Beschreibung im Format-String vom Stack nehmen und daraus den Ausgabetext generieren. Dies geschieht unabhängig davon, wie viele Parameter zuvor auf dem Stack abgelegt wurden. Die Funktion printf, wie im Listing 3.6 ersichtlich, legt keine zusätzlichen vier Zeiger bzw. 16 Byte auf dem 3. Potentielle Schwachstellen 30 Stack ab, sondern ausschließlich nur den Zeiger auf das Arrayelement argv[1] bzw. 4 Byte. Dieser Missstand wird auch nicht erkannt, daher gibt die Funktion die nächsten zufällig auf dem Stack liegenden beliebigen 4 * 4 Byte aus: [dau]\$ PrintDemo "%p %p %p %p" 0012FFC0 0040115A 00000002 02DD4FB0 Vergleicht man diese Ausgabe nun mit einem Stack Dump, der innerhalb der Funktion main() erstellt wurde, dann ist leicht zu erkennen, dass printf Teile des Stacks ausgegeben hat7 . 0x0012FF7C 0x0012FF80 0x0012FF84 0x0012FF88 c0 5a 02 b0 ff 11 00 4f 12 40 00 dd 00 00 00 02 Àÿ.. Z.@. .... ◦ O Ý. // // // // Gesicherter Frame Pointer Rücksprungadresse aus der Funktion main() Funktionsparameter argc Funktionsparameter argv Listing 3.7: Stackdump innerhalb des Programms PrintDemo.c Damit sind für den Benutzer oder, wenn Absicht dahinter steht, für den Angreifer die Daten des Stacks sichtbar. Die wichtigsten für einen Angriff verwendeten Format-String Platzhalter sind in der folgenden Tabelle 3.1 aufgeführt. Platzhalter %d %u %x %c %s %p %n Datentyp, Formatierung int, Dezimaldarstellung mit Vorzeichen unsigned int, Dezimaldarstellung unsigned int, Hexadezimaldarstellung char, einzelnes Zeichen (Character) char*, Zeichenkette (String) void-Zeiger (Pointer in Hexadezimaldarstellung) int*, schreibt Anzahl der ausgegebenen Zeichen an Adresse Tabelle 3.1: Ausgewählte Format-String Platzhalter der printf-Familie Eine vollständige Beschreibung aller Formatanweisungen und Steuerzeichen ist der IEEE Spezifikation [27]8 zu entnehmen. 7 Die umgekehrte Reihenfolge der Bytes entsteht aufgrund der Little Endian Architektur der Intel Prozessoren. 8 http://www.opengroup.org/onlinepubs/009695399/functions/printf.html (Stand:2007.04.29) 3. Potentielle Schwachstellen 31 Die Möglichkeiten der Manipulation und vor allem die Einfachheit einer Code Injection mittels Format-String Exploits zeigen die Beispiele in [50] und der Artikel [34]. Eine Tabelle aller unsicheren POSIX-Funktionen der C-Standardbibliothek, zu denen auch jene der printf-Gruppe gehören, ist dem Anhang zu entnehmen (siehe Tabelle A.1). 4 Lokalisierung potentieller Schwachstellen Bevor Sicherheitsschwachstellen entfernt oder umgangen werden können, müssen diese als solche identifiziert werden. Einfache Sicherheitsschwachstellen weisen oft klare Merkmale auf und können systematisch lokalisiert und vermieden werden. Meist handelt es sich um lokale Fehler in der Implementierung, also einfache Codierungsfehler. Komplexe Schwachstellen sind oft schwer zu lokalisieren, so dass sie bei einer isolierten Betrachtung im Code keine auffälligen Merkmale aufweisen. Oft entsteht erst durch das Zusammenwirken verschiedenster Funktionen, Module oder Applikationen eine Schwachstelle, die für einen Angriff genutzt werden kann. Dabei handelt es sich meist um Designfehler, welche sich nicht einfach als Codefehler lokalisieren lassen. Dieses Kapitel befasst sich mit den gängigsten Methoden zur Lokalisierung von Sicherheitsschwachstellen. Dabei kommen Werkzeuge zur Untersuchung des Quellcodes und zur Untersuchung des kompilierten Programms zur Anwendung. In Programme integrierte spezielle Zusatzfunktionen dienen einerseits der Überwachung des Programms, andererseits melden diese Programme dadurch Auffälligkeiten, die ebenfalls einer Sicherheitsanalyse dienlich sind. 32 4. Lokalisierung potentieller Schwachstellen 4.1 33 Allgemeines Die Lokalisierung potentieller Sicherheitsschwachstellen erfolgt über sogenannte Sicherheitsanalysen. Dies sind spezielle Verfahren zur gezielten Prüfung von Software auf mögliche Sicherheitslöcher im Gesamtsystem. Ein Sicherheitsloch ist jeder Fehler ” in Hardware, Software oder Richtlinien, der es einem Angreifer ermöglicht, unautorisierten Zugang zu Ihrem System zu bekommen.“ [2, S. 334] Eine Sicherheitsanalyse ist demnach immer die Suche möglicher Hardware-, Software- und Designfehler oder -schwächen. Ebenso entspricht eine Analyse immer einem systematischen Sammeln von Daten zur Informationsgewinnung. 4.1.1 Informationsgewinnung Für die Analyse eines Systems benötigen Entwickler, Sicherheitsbeauftragte, Tester und auch potentielle Angreifer technische Details, wie z.B. Informationen über die laufenden Programme und die Umgebung (z.B. Betriebssystem, Bibliotheken), unter denen eine Software läuft. Für eine umfangreiche Analyse einer Software stehen mehrere Informationsquellen zur Verfügung (basierend auf [33]): • Quellcode (Source Code) der Applikation und/oder der Bibliotheken • Dokumentation (z.B. Handbücher, technische Dokumentation, Hilfesysteme) • Datendateien und Speicherabbilder (Core Dumps) • Log- und Trace-Dateien (z.B. Status- und Fehlerinformationen) • Informationen aus dem laufenden Prozess durch Debugging Grundsätzlich muss davon ausgegangen werden, dass sowohl dem Entwickler als auch dem potentiellen Angreifer die gleichen Daten zur Verfügung stehen, auch wenn sich die Datengewinnung für den Angreifer als aufwändiger erweisen kann. Dementsprechend sind einerseits die benötigten Kenntnise und andererseits die Mittel und Methoden zur Datengewinnung während eines Sicherheitstests denen eines Angreifers nicht unähnlich. Treten während der Analyse ungewollt sensible Daten zutage, so stehen diese auch jedem Angreifer zur Verfügung. 4. Lokalisierung potentieller Schwachstellen 4.1.2 34 Vollständige Sicherheitsanalyse Während einer vollständigen Sicherheitsanalyse werden alle aus den verschiedensten Quellen gewonnenen Daten zusammengefasst und mit Fokus auf Sicherheit und Fehlerfreiheit ausgewertet. Die Analyse einer Software auf Sicherheit ist auch immer die Analyse einer Software auf Fehlerfreiheit, weil Sicherheitsschwachstellen praktisch immer als Folge von Design- oder Implementierungsfehlern auftreten. Die vollständige Sicherheitsanalyse einer Software besteht aus folgenden Teilen (basierend auf [22, 26]): • Lokalisierung sicherheitsrelevanter Designfehler: Die Lokalisierung der Design Flaws umfasst die Identifikation der Datenflüsse, der Programm- und Dateneintrittspunkte (Entry Points) und der potentiellen Gefahren, welche von Außen auf ein Programm einwirken. • Lokalisierung sicherheitsrelevanter Implementierungsfehler: Die Lokalisierung der Coding Bugs umfasst die Analyse der Quelltexte und der binären und ausführbaren Dateien. • Stabilitätstests: Diese Tests umfassen Methoden zum absichtlichen Herbeiführen von Ausnahme- und Grenzsituationen. Die Software wird unter Stress getestet und ihr Verhalten in Extremsituationen beobachtet (Stress Test). • Sicherheitstests: Diese Tests umfassen eine Prüfung der Daten und Prozesssicherheit auf Basis der Designvorgaben, wie z.B. die Prüfung der Zugriffs- und Rechteverwaltung, die Verschlüsselung, uvm. (vlg. [26]). Das naheliegendste, wenn auch nicht immer einfachste Verfahren, um Fehler und Sicherheitsschwächen einer Software zu finden, ist das manuelle Audit. Liegt der Quelltext vor, können durch eine umfassende Quelltextinspektion (Source Code Audit) die Quelldateien zeilenweise überprüft und gleichzeitig die gefundenen Schwachstellen behoben werden. Fehler in einfachen Programmen lassen sich manuell durchaus noch lokalisieren. Bei größeren Projekten ist dies aufgrund der hohen Komplexität und des Umfangs des Quelltextes äußerst zeit-, ressourcen- und kostenintensiv [31]. Ein weiteres und nicht unerhebliches Problem bei der Durchführung manueller Source Code- bzw. Sicherheits-Audits ist die dafür notwendige Fachkenntnis im Bereich der defensiven 4. Lokalisierung potentieller Schwachstellen 35 Programmierung. Die Zuhilfenahme spezieller Werkzeuge für automatisierte SoftwareAudits liegt ebenso nahe wie die Anwendung verschiedenster Verfahren.[26] 4.1.3 Statische und dynamische Analyseverfahren Bei allgemeinen Softwareanalysen und der Lokalisierung von Sicherheitsschwachstellen unterscheidet man zwischen statischen und dynamischen Analyseverfahren. Die statische Analyse verzichtet auf das Ausführen der Software. Die Software wird auf Basis des Quelltextes und zusätzlicher Dateien (wie z.B. Konfigurationsdateien) analysiert. Dabei werden Funktionen und Konstrukte im Quelltext gesucht, welche eine Sicherheitslücke darstellen könnten. Die erweiterte statische Analyse ist eine auf dem Quelltext basierende Vorwegnahme der Aktionen und Reaktionen der Software. Aus der Sicht der Werkzeuge ist sie aufwändig, weil auf Basis des Quelltextes die Abläufe, die möglichen Aktionen und Programmfäden (Threads) simuliert werden müssen. Bei der dynamischen Analyse wird das laufende Programm überwacht bzw. die Datenströme eines Programms analysiert. Die Tests können in der realen oder einer simulierten und kontrollierten Umgebung stattfinden. Während der Beobachtung der Abläufe und der Re-/Aktionen der Software können Logfiles mit Statusmeldungen erzeugt werden. Tritt eine Fehler auf, so kann ein Speicherabbild (Memory Dump) oder ein Stackabbild Stack Trace erzeugt werden. Auf Basis dieser Daten sind weitere Analysemethoden zum Auffinden der Fehlerursache möglich. [31, 60] Am Beginn jeder Softwareanalyse steht die Untersuchung des Quelltextes. Diese kann und sollte auch schon begleitend während der Entwicklung der Software stattfinden. Erst wenn der Code vermeintlich korrekt ausgeführt ist, werden komplexere Analysemethoden das System während der Laufzeit analysieren. Der nun folgende Abschnitt beschreibt einige Methoden und Werkzeuge der quelltextbasierten Sicherheitsanalyse. 4.2 Quelltextbasierte Analyse Die quelltextbasierte Softwareanalyse gehört zu den statischen Analysemethoden, welche auf die Ausführung der zu prüfenden Software verzichten. Der Quellcode wird einer 4. Lokalisierung potentieller Schwachstellen 36 Reihe von formalen Prüfungen, den sogenannten White Box Tests, unterzogen, wobei damit hauptsächlich mögliche Schwachstellen in der Implementierung entdeckt werden. Mit der Quelltextanalyse können folgende Mängel entweder mit (semi-)automatischen Werkzeugen oder durch ein manuelles Code Audit lokalisiert werden: • fehlerhaften Typenkonvertierungen (Illegal Casts) • mögliche Überläufe (Overflows) • illegale Zeiger und Nullzeiger (Null Pointer ) • Über- und Unterschreitung von Speicherbereichsgrenzen (Bounds Checks) • Speichermanagementfehler (Memory Leaks) • Compiler- und Betriebssystemabhängigkeiten • uninitialisierte Variablen und Speicherbereiche • unsichere Funktionen • das Nichteinhalten von Codierungsvorschriften (Coding Standards) • das Nichteinhalten von Formvorschriften (Design Guides) Designfehler sind mit Code Audits nur sehr eingeschränkt erkennbar, da sie meist nicht Teil der Implementierung, sondern der Planung und der Architektur sind. Fehler im Design sind oft die Folge von fehlendem Code, nicht von fehlerhaftem Code, und somit schwer zu entdecken. Das Nichtauffinden bestimmter Fehler ist auch eine der Schwierigkeiten bei der Bewertung von Analysewerkzeugen. Bewertung der Quelltextsanalyse Diese Analyseform des Quellcodes zählt zu den falsifizierenden Analyseverfahren, da nach dem Vorhandensein von Fehlern gesucht wird. Eine Analyse sollte im Idealfall alle kritischen und fehlerhaften Module, Funktionsaufrufe, Konfigurationen und Optionen liefern. Bei der Beurteilung der Analysemethode unterscheidet man, entsprechend einer Wahrheitsmatrix (Confusion Matrix ), zwischen den vier Ergebnistypen (basierend auf [31, 54]): 4. Lokalisierung potentieller Schwachstellen 37 • True Positives (TP) sind jene Ergebnisse eines Tests, die richtig ausgegeben wurden, bei denen also ein Fehler angezeigt wird, der tatsächlich sicherheitskritisch ist. • False Positives (FP) sind sämtliche Hinweise, die fälschlicherweise auf Fehler und kritische Stellen hinweisen, obwohl keinerlei Fehler vorliegen (Falschmeldungen). Besser eine Warnung zu viel als zu wenig mag im Allgemeinen als sicherer gelten. Zu viele False Positives führen jedoch dazu, dass der Entwickler nicht mehr in der Lage (oder willig) ist, alle kritischen Stellen einzeln zu prüfen, um später vielleicht festzustellen, dass es sich um eine Falschmeldung handelt. Jede zusätzliche, jedoch unnötige Prüfung erzeugt zusätzlichen Aufwand und dadurch zusätzliche Kosten. Ebenso mindern zu viele False Positives das Vertrauen in die eingesetzte Prüfmethode. • True Negatives (TN) sind jene nicht angezeigten Fälle, welche auch keinen Fehler darstellen (kann nur in Testszenarien bewertet werden). • False Negatives (FN) sind sämtliche in einer Analyse nicht gemeldeten Funktionen und Problembereiche, welche eine Sicherheitsschwachstelle darstellen. Dieses Nichterkennen kritischer Programmteile wiegt umso schwerer, da diese Fehler im Allgemeinen weiter unentdeckt bleiben und damit ein falsches Sicherheitsgefühl suggeriert wird. Die Methode wird so selbst zum Sicherheitsproblem.[31] Die ideale Analysemethode sollte weder zu False Positives noch zu False Negatives führen. In den folgenden Abschnitten werden einige quellcodebasierte Werkzeuge zur lexikalischen und semantischen Analyse geprüft und deren Tauglichkeit festgestellt. 4.2.1 Lexikalische Analyse Bei der einfachen lexikalischen Analyse des Quellcodes wird nur in Bezug auf das Vorkommen einzelner Wörter oder Wortgruppen innerhalb eines Programms geprüft, ohne den Kontext bzw. semantische Zusammenhänge zu berücksichtigen. Die Methoden und Tools verwenden keinerlei Wissen“ über die Programmierung im Allgemeinen, ” funktionale Zusammenhänge oder sicherheitsrelevante Fragen. 4. Lokalisierung potentieller Schwachstellen 4.2.1.1 38 Grep Die einfachste Prüfung zum Auffinden von Sicherheitsschwachstellen ist das Durchsuchen des Quellcodes auf das Vorkommen bestimmter Zeichenketten oder -kombinationen (Codemuster ). Wie in den Kapiteln Speicherorganisation (2.2) und Format-String Fehler (3.3) schon diskutiert wurde, gelten bestimmte Funktionen als potentiell unsicher oder sind aufgrund von schweren Sicherheitsmängeln zu vermeiden. Ein einfaches Tool zur lexikalischen Überprüfung sämtlicher Quelldateien ist das Hilfsprogramm Grep (Global Regular Expression Print), welches für sämtliche Plattformen oder als Quellcode zur Verfügung steht. Mit Grep und seinen leistungsfähigen regulären Ausdrücken (Regular Expressions) zum Parsen von Dateien können schnell und einfach bestimmte Zeichenfolgen gefunden werden. Grep zeigt den Dateinamen, die Zeilennummer und die Quelltextzeile an, in der eine der gesuchten Zeichenketten gefunden wurde (ein Protokollauszug der Grep-Suche befindet sich im Anhang B.1.1). Grep-basierte Suchwerkzeuge sind einfach in der Anwendung. Die reine Textsuche weist jedoch gravierende Nachteile auf (auf Basis von [54] und [10]): • Sie erfordert zuviel Wissen seitens des Anwenders. • Sie ist sowohl bei der Suche als auch bei der Aufbereitung der Ergebnisse zu inflexibel. • Bestimmte Schwachstellen sind nicht detektierbar, da für deren Analyse eine einfache Textsuche nicht ausreicht (z.B. Race Conditions 1 , bei Precompiler Makros). • Sie liefert tendenziell zu viele False Positives, da jedes Vorkommen einer Zeichenkette gefunden wird, egal in welchem Zusammenhang sie im Quelltext vorkommt (z.B. auch in Kommentaren, Wortteilen) Viele integrierte Entwicklungsumgebungen (IDE) und Editoren unterstützen ebenfalls eine grep-ähnliche Funktion zum Suchen von Text mittels regulärer Ausdrücke, mit denen ganze Verzeichnisse schnell und einfach durchsucht werden können. Über Scriptdateien lassen sich derartige Überprüfungen gut automatisieren und zum Beispiel auf 1 Als Race Conditions werden in diesem Zusammenhang jene Angriffsszenarien bezeichnet, welche eine zeitliche Abfolge eines Angriffs voraussetzen. 4. Lokalisierung potentieller Schwachstellen 39 die Suche bestimmter Funktionen (z.B. unsichere POSIX-Funktionen, siehe Anhang A.1.1) anpassen. 4.2.1.2 RATS RATS 2 (Rough Auditing Tool for Security), ein unter der GNU Public License 3 (GPL) frei verfügbarer Parser der Firma Fortify Software Inc.4 , scannt wie Grep den Quellcode auf der Suche nach sicherheitsrelevanten Fehlern. Dabei legt RATS das Hauptaugenmerk auf Schwachstellen auf Basis von Buffer Overflows und TOCTOU (Time Of Check - Time Of Use) Race Conditions. Häufigstes Muster dieser Angriffe ist die Überprüfung oder Erlangung von Rechten zu einem bestimmten Zeitpunkt (Time of Check ), um zu einem späteren Zeitpunkt die Rechte für sicherheitskritische Aktionen zu nutzen (Time of Use). Typische Vertreter dieser Fehler durch Abhängigkeiten sind Dateioperationen mit den Funktionen zum Öffnen der Datei und zeitlich verzögert zur Verarbeitung der Datei [5, 6]. RATS scannt nicht nur Programme der Programmiersprachen C und C++, sondern auch Perl, PHP und Phyton. RATS weist explizit gefundene TOCTOU Vulnerabilities mit den beteiligten Funktionen in seinen Reports wie folgt aus: badsource.c:669: Medium: stat A potential TOCTOU (Time Of Check, Time Of Use) vulnerability exists. This is the first line where a check has occured. The following line(s) contain uses that may match up with this check: 147 (open) Wie der ausführlichere Auszug des Protokolls im Anhang B.1.3 zeigt, findet RATS nicht nur kritische Quelltextzeilen, sondern gibt auch Auskunft über mögliche Methoden zur Behebung der Schwachstelle. 2 http://www.fortifysoftware.com/security-resources/rats.jsp Englisches Original unter http://www.gnu.org/licenses/gpl.html; die deutsche Übersetzung unter http://www.gnu.de/documents/gpl.de.html verfügbar 4 http://www.fortifysoftware.com 3 4. Lokalisierung potentieller Schwachstellen 4.2.1.3 40 Flawfinder Flawfinder 5 ist ein in Python entwickelter quelloffener Source Code Analyzer, der Sicherheitsschwachstellen innerhalb eines C++ Programms lokalisiert. Flawfinder unterliegt ebenfalls der GPL2 und steht als Open Source zur Verfügung. Dieses Programm arbeitet mit einer Datenbank, in der Funktionen mit bekannten Sicherheitslücken beschrieben sind, die im Quelltext lokalisiert werden. Das Analysewerkzeug erzeugt ein umfangreiches Protokoll mit näheren Informationen zu den gefundenen Sicherheitsschwachstellen, kategorisiert die Fehler (z.B. Misc, Buffer, Access) und bewertet diese zusätzlich mit einem numerischen Risikofaktor (Risk Level ) zwischen 1 (minimales) und 5 (maximales Risiko). Dieser Level wird in erster Linie aus der Datenbank entnommen, jedoch hat die Anwendung der Funktion und auch die Parametrisierung ebenso Einfluss auf diesen Faktor. Die Einflussnahme der Parameter auf den Risikofaktor erscheint in der Praxis ausgesprochen sinnvoll, weil mit den Parametern einer Funktion viele Sicherheitslücken erst entstehen (z.B. bei Format-String Fehlern). Flawfinder unterstützt eine Reihe von Optionen, welche die Auswertung und Darstellung der gefundenen Schwachstellen betreffen oder eine komfortable Weiterverarbeitung in Linux-Editoren (vi, emacs) unterstützen. [57] Am Ende eines Flawfinder -Protokolls findet sich, wie auch im Protokollauszug im Anhang B.1.4 ersichtlich ist, eine kurze Statistik zu den gefundenen kritischen Codestellen, was sich bei automatischen und scriptgestützten Auswertungen als sinnvoll erweist: [dau]\$ flawfinder *.c [...] Hits = 84 Lines analyzed = 1260 in 0.64 seconds (9082 lines/second) Physical Source Lines of Code (SLOC) = 955 Hits@level = [0] 0 [1] 48 [2] 28 [3] 0 [4] 8 [5] 0 Hits@level+ = [0+] 84 [1+] 84 [2+] 36 [3+] 8 [4+] 8 [5+] Hits/KSLOC@level+ = [0+] 87.9581 [1+] 87.9581 [2+] 37.6963 [3+] 8.37696 [4+] 8.37696 [5+] 0 Minimum risk level = 1 Not every hit is necessarily a security vulnerability. There may be other security vulnerabilities; review your code! 5 http://www.dwheeler.com/flawfinder/ 0 4. Lokalisierung potentieller Schwachstellen 41 Der Programmierer von Flawfinder David. A. Wheeler weist ausdrücklich darauf hin, dass sein Programm zwar eine Erweiterung und deutliche Verbesserung zu Grep ist, jedoch auch Flawfinder nicht alle Sicherheitslücken finden und auch Falschmeldungen generieren kann. In fact note that flawfinder doesn’t really understand the semantics ” of the code at all - it primarily does simple text pattern matching.“[57, S. 4]. Trotzdem bestätigten Tests, dass Flawfinder ohne Vorkenntnisse deutlich bessere Ergebnisse als Grep liefert. 4.2.1.4 ITS4 ITS4 6 ist ein für Unix und Windows Plattformen erhältlicher statischer Source Code Scanner für C und C++ Programme. Dabei scannt es wie die zuvor eingeführten Tools ebenfalls den Quelltext speziell nach potentiell gefährlichen Funktionen und versucht wie Flawfinder eine Bewertung des Risikos. Die Daten entstammen dabei einer Datenbank mit einer Beschreibung potentiell gefährlicher Funktionen, deren Risikobewertung (von No, Low und Moderate Risk zu Normal, Very und Most Risky) und Hinweisen zur Behebung der jeweiligen Schwachstelle. [54] Auch ITS4 unterstützt die Detektion von Race Conditions und meldet diese mit speziellen Hinweisen. badsource.c:160:(Risky) fdopen Can be involved in a race condition if you open For example, don’t check to see if something is opening it. Open it, then check bt querying the run tests on symbolic file names... Perform all checks AFTER the open, and based on symbolic name. things after a poor check. not a symbolic link before resulting object. Don’t the returned object, not a Aber ebenso wie RATS erkennt ITS4 die sogenannten Race Conditions nur unter bestimmten Voraussetzungen und Codekonstellationen. Nach der Analyse erzeugt ITS4 einen ausführlichen Report der analysierten C-Dateien. Ein Beispiel hierfür findet sich im Anhang B.1.2. 6 http://www.cigital.com/its4/ 4. Lokalisierung potentieller Schwachstellen 4.2.2 42 Semantische Analyse Eine Erweiterung zur reinen lexikalischen Analyse stellt die semantische Quelltextanalyse dar. Sie bezieht den jeweiligen Zusammenhang der lexikalischen Bedeutungseinheiten (z.B. Funktionen, Daten, Funktionsgruppen) in die Analyse mit ein. Dafür ist eine Programmfluss- und eine Datenflussanalyse notwendig, um Zusammenhänge und Rückschlüsse der im Programm ablaufenden Vorgänge zu erkennen. Der Vorteil der semantischen Analyse ist, dass das Programm dabei ebenso statisch auf Quelltextbasis analysiert werden kann. Die während der Analyse gewonnenen Erkenntnisse jedoch sind wesentlich detaillierter und sicherer. Der Nachteil ist der deutlich höhere Aufwand einer derartigen Analyse, da die semantische Interpretation einzelner Funktionen, Daten und deren Zusammenhänge technisch wesentlich schwieriger ist. Werkzeuge, welche eine derartige Funktionalität anbieten, bedienen sich compilerähnlicher Analysemethoden. Entsprechend hoch ist der technische Aufwand der Implementierungen. [10] 4.2.2.1 C++ Compiler Nachdem jeder Compiler auch eine semantische Analyse durchführen muss, um einen Quelltext in einen Maschinencode zu übersetzen, liegt es nahe, dass Compiler die bei der Programmanalyse gewonnenen Erkenntnisse auch für Überprüfungen nach bestimmten Gesichtspunkten nutzen können. Mittlerweile verfügen fast alle Compiler der großen Hersteller und auch der freie GNU C/C++ Compiler über die Möglichkeit, den Quelltext auf mögliche Fehler und sicherheitsrelevante Schwachstellen zu prüfen. Vorrangiges Ziel ist dabei die Erhöhung der Stabilität. Daraus ergibt sich zusätzlich eine Verbesserung im Bereich der Softwaresicherheit (z.B. durch die Verhinderung von Overflows). Mit dem folgenden kurzen Beispielprogramm wurde die Fehlererkennungsrate und die Sinnhaftigkeit und Richtigkeit der Warnungen der Compiler überprüft: 1 2 3 #include "stdio.h" #include "stdlib.h" #include "string.h" 4 5 6 int main(int argc, char* argv[]) { 4. Lokalisierung potentieller Schwachstellen 43 int i; long j = 10; char* pBuffer; char szBuffer[10]; 7 8 9 10 11 pBuffer = (char*)malloc(10); strcpy( pBuffer, argv[1]); free(pBuffer); gets_s(pBuffer, 10); gets(szBuffer); printf("i=%d j=%d", i); printf(argv[1]); return 0; 12 13 14 15 16 17 18 19 20 } Listing 4.1: Testprogramm zur Codeanalyse mit einem C++ Compiler Der Microsoft C++ Compiler7 aus dem Visual Studio 2005 erzeugt mit dem höchsten Warning Level (Level 4) und allen Optionen zur Codeprüfung nach der Übersetzung des Programms einen umfangreichen Report, wie er im Anhang B.2.1 dargestellt wird. Der Compiler bemängelt im Quellcode des Listings 4.1 vierzehn Schwachstellen oder mögliche Fehler in Form von Warnungen. Die angezeigten Mängel decken dabei nicht unerhebliche Sicherheitsrisiken auf. Einige Mängel sind schlichtweg Implementierungsfehler. Nicht erkannt hat der Compiler die Race Condition aus der Zeile 15, bei der zwar die sichere Funktion gets_s verwendet wurde, stattdessen aber ein ungültiger Zeiger auf einen zuvor freigegebenen Speicher auf dem Heap zur Anwendung kam. Vergleichsweise schlecht schnitt bei diesen Tests der zweite getestete Compiler, der GNU C++ Compiler 8 ab. Er lieferte trotz aller eingeschalteten Warning Options (Compiler Option -Wall) nur einige Warnungen (siehe Report im Anhang B.2.2). Eine einzige Warnung verweist auf die Schwachstelle in Zeile 17 des Listings 4.1. Alle anderen Schwachstellen blieben vom GCC unerkannt und unkommentiert. 7 8 Microsoft C++ Compiler, Version 8.00.50727.762 aus dem Visual Studio 2005 SP1 GCC Compiler, Version 4.1.2 4. Lokalisierung potentieller Schwachstellen 4.2.2.2 44 Splint Splint 9 (die Abkürzung für Secure Programming Lint) wird vom Entwickler David Evans als Annotation-Assisted Lightweight Static Checking Tool zur statischen Quelltextanalyse von in ANSI C geschriebenen Programmen beschrieben. Das Programm unterliegt der GPL und ist frei verfügbar. Es ist eine Weiterentwicklung einer ganzen Reihe von Werkzeugen zur statischen Sourcecodeanalyse aus den Siebzigerjahren, die unter dem Namen Lint 10 und später unter LCLint veröffentlicht wurden [20]. Lint unterstützte in ersten Versionen die Entwicklung von stabilem Code mit einer einheitlichen Formatierung und systemunabhängiger Syntax. Der Schwerpunkt des nun zu einem Programm zusammengefassten Werkzeugs Splint ist die Untersuchung des Quelltextes auf mögliche Sicherheitsschwachstellen. Splint liefert bei der Untersuchung des Programms aus dem Listing 4.1 zehn Warnungen, welche dem kompletten Protokoll im Anhang B.2.3 zu entnehmen sind. Splint verfügt über spezielle Erweiterungen, welche das Auffinden von Buffer Overflows vereinfachen sollen. Es unterstützt sogenannte Kennzeichner (Annotations), welche die Zustände der Parameter einer Funktion jeweils vor und nach ihrem Aufruf beschreiben. In [19] zeigt Evans ein einfaches Beispiel, wie der Prototyp der Funktion strcpy mit zusätzlichen Informationen für Splint in Form von Annotations erweitert werden kann. Die sogenannten Kennzeichner sind dabei als Kommentare zwischen /*@...@*/ eingebettet: void /*@alt char * @*/ strcpy (/*@unique@*/ /*@out@*/ /*@returned@*/ char *s1, char *s2) /*@modifies *s1@*/ /*@requires maxSet(s1) >= maxRead(s2) @*/ /*@ensures maxRead(s1) == maxRead(s2) @*/; The requires clause indicates that the buffer passed as s1 must be large enough to ” hold the string passed as s2. The ensures clause specifies that maxRead of s1 after the call is equal to maxRead of s2.“[19, S. 49] Mit den Bezeichnern requires und ensures können Vorbedingungen und Beschränkungen festgelegt werden. Für eine Überprüfung 9 http://www.splint.org/ lint (engl.) = Fussel, Nähstaub,. . . ; auch unerwünschte Anteile von Fasern und Flaum in der Schafwolle 10 4. Lokalisierung potentieller Schwachstellen 45 von Puffergrenzen müssen Bedingungen für deren Index beschrieben werden. Um in einen Puffer schreiben (minSet und maxSet) und aus einem Puffer lesen zu dürfen (minRead und maxRead) müssen diese Bedingungen stets erfüllt sein. Die Kennzeichnung /*@notnull@*/ zum Beispiel kann wie ein Type Qualifier verwendet werden. In einer Parameterdeklaration gibt diese Kennzeichnung an, dass der Wert dieses Parameters beim Aufruf der Funktion nicht NULL sein darf. [20] Mit den Kennzeichnern lassen sich ohne Änderungen im eigentlichen Programmcode eine Reihe von Überprüfungen einführen, welche auf Basis des Quelltextes durchgeführt werden können. Dafür müssen aber die include-Dateien mit den Prototypen der eigenen Funktionen und jene der Bibliotheksfunktionen mit Annotations erweitert werden. Dieser Aufwand ist bei großen Projekten und für große Bibliotheken beträchtlich. Dynamische, während der Laufzeit allokierte Puffer und deren Größen können damit nicht überprüft werden. Splint bleibt nach wie vor eine statische Analyse vorbehalten. Die Möglichkeiten von Splint sind beträchtlich. Eine Beschreibung aller Features würde den Umfang dieser Arbeit bei weitem sprengen und ist der offiziellen Dokumentation [19] zu entnehmen. 4.2.2.3 CQUAL CQUAL11 ist ein weiteres Werkzeug zur statischen Analyse, welches sich besonders zum Auffinden von Format-String Schwachstellen gut eignet. Es erweitert die vorhandenen ANSI C Type-Qualifier (daraus wurde auch der Name des Programms abgeleitet), mittlerweile steht auch eine Weiterentwicklung für C++ (Cqual++) zur Verfügung. Ein oft verwendeter C/C++ Type Qualifier ist const, der dem C/C++ Compiler mitteilt, dass das in einer Variable gespeicherte Objekt nach der Zuweisung nicht mehr geändert werden kann. Die für CQUAL neu eingeführten Type Qualifier $tainted und $untainted unterscheiden zwischen nicht vertrauenswürdigen und vertrauenswürdigen Daten. Alle jene Typen, die von außen manipuliert werden können, werden mit $tainted markiert, alle anderen mit $untainted. Das Array argv[] der Funktion main ist diesbezüglich ein typischer Kandidat. Dieses Konzept der Taint-Checks ist der Programmiersprache Perl entliehen, welche ebenfalls tainted Variablen kennt (vgl. [49, 51]). 11 http://www.cs.umd.edu/~jfoster/cqual/ 4. Lokalisierung potentieller Schwachstellen 46 Ist eine Variable tainted, kann sie einer untainted Variablen nicht zugewiesen werden. Weiters kann diese Variable nicht als Parameter beim Aufruf einer Funktion verwendet werden, welche einen untainted Parameter erwartet. Diese Methode eignet sich besonders für das Auffinden von Format-String Fehlern, weil die Parameter der gefährdeten Funktionen über die entsprechende Typenerweiterung explizit vertrauenswürdige Daten erwarten können und keine $untainted Daten entgegennehmen. [49] Eine detaillierte Auseinandersetzung mit diesem Werkzeug und der tainting-Methode ist bei Shankar et al. in [49] zu finden. Wie Klein in [31] auf den Seiten 553ff zeigt, kann QQUAL mitunter gute Ergebnisse beim Auffinden von Format-String Fehlern vorweisen. Er lässt dabei aber auch mögliche Probleme und einige Nachteile von CQUAL nicht unerwähnt, die bei Quelltextanalysen vor allem zu vielen False Positives führen können. 4.2.2.4 PREfast und PREfix PREfix ist ein Tool, welches Microsoft intern einsetzt, um Applikationen auf Quelltextebene auf Fehler zu analysieren. PREfix überprüft alle Applikationstypen mit aufwändigen Analyse- und Simulationsverfahren und ist deshalb sehr langsam. PREfix wurde von Microsoft nie freigegeben und der Öffentlichkeit zur Verfügung gestellt. Ein Teil der Technologie ist in das wesentlich performantere und frei verfügbare Analysewerkzeug PREfast 12 eingeflossen, welches Teil der Windows Device Driver Kits (WDK oder DDK ) ist. PREfast for Drivers (Prefast.exe) is a static source code analysis tool ” that detects certain classes of errors not easily found by the typical compiler.“[42] Es wurde speziell zur Entwicklung stabiler Windows Kernel-Treiber adaptiert. Speziell auf Treiberebene haben Programmfehler und Buffer Overflows eine fatale Wirkung auf das Gesamtsystem. In [41] schreibt Microsoft: “Code annotations significantly enhance the ability of PREfast to detect potential bugs while lowering the rate of false positives.“[41] Nachdem PREfast im Windows Driver Kit (WDK) for Windows Vista als Standalone Applikation verfügbar ist, können auch herkömmliche Applikationen einer eingehenden Prüfung mit diesem Werkzeug unterzogen werden. 12 http://www.microsoft.com/whdc/devtools/tools/PREfast.mspx 4. Lokalisierung potentieller Schwachstellen 47 PREfast arbeitet ähnlich wie Splint und CQUAL mit zusätzlichen Erweiterungen der Type Qualifier. Diese beschreiben die Richtung des Datenflusses bei Funktionsaufrufen mit __in und __out und können ebenso die statische Größe von Array z.B. mit einem __out_bcount beschreiben. Ein Beispiel zeigt die Beschreibung der Funktion für gets_s, wie sie in der stdio.h des Visual Studio 2005 zu finden ist: _CRTIMP __checkReturn_opt char * __cdecl fgets( __out_ecount_z(_MaxCount) char * _Buf, __in int _MaxCount, __inout FILE * _File ); Eine Warnung von PREfast aufgrund des Prototyps könnte wie folgt aussehen: pftest.cpp (45): warning 6029: Possible buffer overrun in call to ’fgets’: use of unchecked value ’line_length’ FUNCTION: testread (40) Der große Vorteil von PREfast auf Windows Plattformen gegenüber CQUAL ist, dass Microsoft mittlerweile einen Großteil der include-Dateien um entsprechende PREfastkompatible Qualifier erweitert hat, so dass hier die Beschreibung der Standardfunktionen schon vollständig ist. Viele Analysemöglichkeiten von PREfast sind mittlerweile schon in den C++ Compiler integriert worden. Auch dieser kann aufgrund zusätzlicher Kennzeichner bzw. Qualifier eine genaue Analyse durchführen, wie die Tests aus Abschnitt 4.2.2.1 zeigten. Es ist anzunehmen, dass Microsoft die Entwicklung in Richtung Integration in den Compiler weiter vorantreibt und PREfast dadurch über kurz oder lang obsolet werden wird. Eine Zusammenstellung dieser und weiterer Werkzeuge zur Quelltextanalyse findet sich im Anhang D.1 und unter [44]. 4.2.3 Bewertung der Methoden und Werkzeuge Bei den Tests der quelltextbasierten Analysewerkzeuge hat sich gezeigt, dass der Umfang der verwendeten Testroutinen zu gering ist, um klare Erkenntnisse über die Qualität der Analysemethoden und der getesteten Werkzeuge gewinnen zu können. Die 4. Lokalisierung potentieller Schwachstellen 48 semantische und syntaktische Komplexität einer Applikation machen eine Quelltextanalyse schwierig und aufwändig. Eine Quelltextanalyse kann keinem strikten Regelwerk folgen, weil sich gerade durch das Zusammenwirken einzelner Funktionen und Module untereinander Seiteneffekte und Abhängigkeiten ergeben. Diese können sicherheitsrelevante Auswirkungen haben. Für eine objektive Bewertung der Werkzeuge fehlt ein vorab geprüfter und standardisierter Pool von Quelltextdateien, welche Analysen erst vergleichbar machen würden. Von diesen Funktionen müssten die Analyseergebnisse schon vorweg bekannt sein, um die Werkzeuge prüfen zu können. Führt die Analyse einer Software zur Aufdeckung von Sicherheitsschwachstellen, so sagt dies nichts über die Qualität der verwendeten Werkzeuge und Methoden aus. Ungeklärt bleibt dabei nämlich, wieviele Schwachstellen übersehen und somit nicht aufgedeckt werden konnten (False Negatives). Viele Werkzeuge sind auf die Detektion bestimmter Sicherheitslücken spezialisiert. Kaum ein Programm kann mit mehreren Problemfeldern gleich gut umgehen. Klein versucht in [31] einen Vergleich einiger Werkzeuge. Am Umfang der beschriebenen Tests und der Zusammenfassung der Testergebnisse wird aber schnell ersichtlich, dass dies nur ein Anhaltspunkt sein kann. Wielander et al. weisen bei ihren Vergleichen mit We do not claim that this test suite is perfectly fair, nor complete.“ in [58, S. 11] aus” drücklich darauf hin, dass diese Vergleiche nur einen groben Überblick und einen Trend wiedergeben können13 . Younan et al. vergleichen in [60] Features, eingeteilt in Kategorien der wichtigsten statischen Analysewerkzeuge. Auch sie geben keine Bewertungen ab. 4.3 Binärcodebasierte Analyse Im Unterschied zu quelltextbasierten Analysen greifen binärcodebasierte Softwareanalysemethoden bzw. die sogenannten Black Box Tests auf die kompilierten und ausführbaren Binärdateien (Executable Binaries) und deren verwendete Bibliotheken 13 Wielander arbeitet nach eigenen Angaben zum Zeitpunkt des Schreibens dieser Arbeit an einer umfangreichen Quelltextsammlung. Diese sollte nach Abschluss seiner Arbeiten als Open Source zur Verfügung stehen und somit standardisierte und vergleichbare Tests zulassen. 4. Lokalisierung potentieller Schwachstellen 49 zurück. Steht kein Sourcecode zur Verfügung, wie zum Beispiel bei proprietärer Software, so ist die Prüfung und Beobachtung der kompilierten Applikation oft die einzige Möglichkeit, um Imformationen über deren Verhalten zu gewinnen. Die Rückgewinnung der Informationen aus den Binaries wird als Reverse Engineering bezeichnet. Bei einer binärcodebasierten Softwareanalyse wird zwischen einer statischen und einer dynamischen Analyse unterschieden. Die statische Softwareanalyse verwertet nur die Programm- und Datendateien. Die Software an sich wird dabei nicht zur Ausführung gebracht. Die statische Analyse ist eine Analyse des Programmcodes, also weitgehend eine Implementierungsanalyse. Öfter zur Anwendung kommt die dynamische Softwareanalyse, bei der das Softwaresystem in einer kontrollierten und möglichst realen Umgebung auf sein Laufverhalten und seine Sicherheit überprüft wird. Die dynamische Analyse ist eine Designanalyse, da Designschwächen besonders bei der Beobachtung einer Applikation zur Laufzeit sichtbar werden (z.B. fehlende Authentisierung, unverschlüsselte Daten, mangelnde Rechteverwaltung). Klein unterscheidet in [31] nur zwei grundsätzliche Ansätze zur Überprüfung eines Binary, die Analyse der Programmdateien und den Test des Programms mit fehlerhaften Daten. Vervollständigt man Kleins Ansätze noch um weitere, bei denen die konzeptionellen Abhängigkeiten der Programmdateien, die Datenflüsse einer Software und die grundsätzliche Architektur einer Software berücksichtigt werden, dann ergeben sich daraus folgende Analysemethoden: • Überprüfung der Programm-Disassemblies: Bei diesem statischen Analyseverfahren wird der aus den Binaries generierte Maschinencode auf etwaige Schwachstellen geprüft. Nachdem ein lesbarer Maschinencode (Assembler Code) generiert wurde, entspricht diese Methode weitgehend der quelltextbasierten Analyse. • Prozess- und Datenflussanalyse: Dabei handelt es sich fast immer um ein dynamisches Analyseverfahren, bei dem die Programmabläufe, die dynamischen Abhängigkeiten der einzelnen Module, die aufgerufenen Funktionen und alle Datenflüsse einer Applikation analysiert werden. 4. Lokalisierung potentieller Schwachstellen 50 • Fault Injection: Bei diesem dynamischen Verfahren wird die Umgebung einer Applikation absichtlich und gezielt manipuliert und die Reaktion des Softwaresystems beobachtet. Einige Manipulationen gehen gezielt an oder über die erlaubten Spezifikationen des Systems hinaus, um das Verhalten der Software unter Stress zu beobachten. Diese Verfahren werden oft auch Stress Tests genannt. Im folgenden Abschnitt werden verschiedene Werkzeuge und Methoden des Reverse Engineerings zur binärbasierten Sicherheitsprüfung einer Applikation beschrieben. Die angewandten Methoden und Werkzeuge sind im Prinzip auch jene, deren sich potentielle Angreifer bedienen, um mehr über ein Programm und dessen Schwächen zu erfahren. 4.3.1 Disassembling Mit sogenannten Disassemblern oder Decompilern können die in einer Maschinensprache binär codierten Programme und Bibliotheken in eine von Menschen leichter lesbare Form rück-übersetzt werden. Die generierte Beschreibung der Dateien erfolgt in Assembler, der Sprache der jeweiligen Prozessorsarchitektur. Diese Sprache erlaubt, wie mit dem Quellcode der ursprünglich verwendeten Hochsprache, eine Analyse des Programms. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 // int main(int argc, // { 004017E0 push 004017E1 mov // printf( argv[1] 004017E3 mov 004017E6 mov 004017E9 push 004017EA call 004017F0 add // return 0; 004017F3 xor // } 004017F5 pop 004017F6 ret char* argv[]) ebp ebp,esp ); eax,dword ptr [argv] ecx,dword ptr [eax+4] ecx dword ptr [__imp__printf (4020A0h)] esp,4 eax,eax ebp Listing 4.2: Disassembliertes Programm PrintfDemo.c 4. Lokalisierung potentieller Schwachstellen 51 Das Beispiel aus dem Listing 4.2 zeigt die disassemblierte Funktion main(...) des Programms PrintfDemo.c aus dem Kapitel 3.3. Zur Veranschaulichung wurde der ursprüngliche C-Code in Form von Kommentaren in den Assemblercode integriert. Von besonderem Interesse sind die (Rück-)gewinnung einer Beschreibung des Programmflusses, der Verhaltensweisen des Programms, der verwendeten Datenstrukturen und Dateien und die Prüfung der Entry Points. Wie aus dem einfachen Assemblercode des Listings 4.2 bei einer Sicherheitsprüfung schnell ersichtlich würde, wird der importierten Funktion printf der Parameter argv[1] über den Stack übergeben, ohne die Zeiger argv und Daten in argv[1] der Funktion main(...) überhaupt auf Gültigkeit zu prüfen. Ein typischer Fehler, durch den eine Sicherheitsschwachstelle entsteht. Bestimmte Hochsprachen und deren binäre Formate erlauben sogar eine Rückübersetzung in eine gut lesbare Hochsprache (z.B. das Werkzeug .NET Reflector 14 übersetzt das im Binärformat vorliegende .NET-Programm wahlweise in C# oder VB.NET). Bei mit hochoptimierenden C und C++ Compilern erstellten Programmen ist dies kaum möglich. Liegt jedoch ein Quellcode vor, kann mit quellcodebasierten Werkzeugen wie unter Kapitel 4.2 beschrieben auf etwaige Sicherheitslücken geprüft werden. 4.3.2 Debugging Debugging bedeutet soviel wie Fehler (Bugs) aus einem Programm entfernen. Zur Aufdeckung von Fehlern werden die zu prüfenden Programme unter der Kontrolle eines sog. Debuggers gestartet. Ein Debugger ist ein Hilfsprogramm zum Diagnostizieren eines Bugs in einer Software oder einer Hardware. Er ermöglicht die Verfolgung des Programmablaufs, das Setzen von Haltepunkten (Break Points), eine schrittweise Ausführung des Programms und die Manipulation der Programmdaten. Der Entwickler hat jederzeit die Möglichkeit, Variablen, Speicherbereiche und Register des Prozessors einzusehen und zu ändern. Die in der Abbildung 4.1 gezeigte Debugging Session deckt auf, dass die Applikation mit illegalen Parametern "%p-%p-%p-%p-%p-%p-%p..." aufgerufen wird, welche in Kombination mit der Format-String Schwachstelle zu einem massiven Sicherheitsproblem führen. 14 http://www.aisto.com/roeder/dotnet/ 4. Lokalisierung potentieller Schwachstellen 52 Abbildung 4.1: Debugging Session innerhalb einer Applikation Moderne Debugger erlauben eine Änderung im Programmcode während einer Debugging Session, eine sofortige Übersetzung und die Fortführung des Programms. Diese Methode wird als Just In Time Debugging bezeichnet. Steht der Quelltext der Applikation nicht zur Verfügung, wird der Programmcode in der Maschinensprache (sog. Assemblersprache) der jeweiligen Prozessorarchitektur angezeigt. First-chance exception at 0x252d7025 in PrintfDemo.exe: 0xC0000005: Access violation reading location 0x252d7025. First-chance exception at 0x7c9378ae (ntdll.dll) in PrintfDemo.exe: 0xC0000005: Access violation writing location 0x00030fd4. Eine durch einen Fehler ausgelöste Ausnahmebehandlung (Exception) stoppt das Programm an der Fehlerstelle und der Debugger wird automatisch aktiviert. Dabei gibt er den Grund der Ausnahmebehandlung und dessen Codeadresse wie im oben gezeigten Beispiel aus. 4. Lokalisierung potentieller Schwachstellen 4.3.3 53 Tracing und Monitoring Die dynamische Analyse einer Software ist eine Analyse während der Laufzeit. Dabei arbeitet das Programm in einer möglichst realen Umgebung. Während der Sicherheitsanalyse werden die Daten (z.B. Dateien, Netzwerkverkehr) der Software ebenso verfolgt wie das Verhalten des Programms (z.B. Logfiles, Trace Files, Dumps). Das Ziel einer dynamischen Analyse ist, mit speziellen Werkzeugen Bedingungen und Fehler ausfindig zu machen, welche zu Sicherheitsschwachstellen führen könnten. Die verwendeten Werkzeuge der Prüfer sind dabei oft die gleichen wie jene der späteren Angreifer. Um während der Laufzeit Daten über das System oder eine zu überwachende Applikation zu erhalten, werden sog. Tracer verwendet. Ein Tracer ist ein Überwachungswerkzeug, welches in der Lage ist den Ablauf eines Programms und seine Daten zu überwachen, den Ablauf in Dateien zu protokollieren und diese Protokolldateien in Echtzeit oder zu einem späteren Zeitpunkt zu analysieren. Der Tracer im klassischen Sinne ist ein Debugger (vgl. [31]). Ein Softwareentwickler verwendet diese Werkzeuge für Tests und zur Fehlersuche in Programmen. Angreifern liefern diese Werkzeuge Daten über das Programmverhalten, ohne einen Zugang zu den Quelldateien zu benötigen. Die folgenden Beispiele geben eine kurze Zusammenfassung der Möglichkeiten unter Einsatz verschiedenster Werkzeuge und einiger Tracer. 4.3.3.1 API-Schnittstellenanalyse Das Betriebssystem und Bibliotheken stellen Programmierschnittstellen (Application Programming Interface - API) zur Anbindung der Programme an das System zur Verfügung. Bei der Prüfung einer im Binärformat vorliegenden Applikation ist von Interesse, wann, wo und wie bestimmte System- oder Bibliotheksfunktionen (APIFunktionen) aufgerufen werden. Nun kann mit einem Debugger der Programmablauf Schritt für Schritt verfolgt werden. Das schrittweise Ausführen komplexer Programme ist jedoch aufgrund des Aufwands nicht zielführend. Beim API-Monitoring oder aus der Sicht des Angreifers API-Spying überwacht eine Applikation eine andere gerade laufende Applikation und listet dabei die aufgerufenen Funktionen. Alle aufgerufenen Funktionen gelistet ergeben den kompletten Ablaufplan der überwachten Applikation. 4. Lokalisierung potentieller Schwachstellen 54 Bei einer Sicherheitsprüfung sind nur die sicherheitsrelevanten Funktionen von Interesse. Konfigurierbare Filter gewährleisten nun, dass nur diese Funktionsaufrufe protokolliert und überwacht werden. [24, 22] Abbildung 4.2: APISPY beim Aufspüren sicherheitskritischer Funktionen Um API-Aufrufe auf binärer Basis zu überwachen, werden sogenannte API Hooking Techniken angewandt, um die Funktionsaufrufe gezielt abzufangen (API Interception). Ein unter Windows verfügbares Monitoring Tool, welches IAT Patching zur Überwachung und Protokollierung der API-Funktionsaufrufe nutzt, ist APISPY3215 . Beim IAT Patching werden einzelne Sprungadressen der sogenannten Import Address Table (IAT), eine in den Binaries gehaltene Tabelle mit den Adressen der dynamisch nachgeladenen Funktionen, manipuliert. APISPY32 ändert die Zeiger in den IATs der laufenden Prozesse automatisch und ermöglicht so ohne jede Programmierung und Änderung des Binaries eine Überwachung aller Systemaufrufe. Protokolliert wird dabei der Processname, die ProcessID im System, die Namen der aufgerufenen API-Funktionen samt Parameter und die Speicheradressen der aufgerufenen Funktionen. Mit der Filterung der Protokolldaten kann schnell festgestellt werden, ob und wie eine Applikation oder deren Bibliotheken sicherheitskritische Funktionen aufrufen. Die Abbildung 4.2 zeigt die Protokollierung mehrerer Aufrufe der unsicheren Funktion lstrcpy samt ihren Parametern, nachdem in der APISPY32-Konfigurationsdatei die Filter, wie im folgenden Beispiel gezeigt wird, konfiguriert wurden: 15 http://www.internals.com/ 4. Lokalisierung potentieller Schwachstellen 55 KERNEL32.DLL:lstrcpy(PSTR,PSTR) KERNEL32.DLL:lstrcpyA(PSTR,PSTR) KERNEL32.DLL:lstrcat(PSTR,PSTR) KERNEL32.DLL:lstrcatA(PSTR,PSTR) Weitere Methoden zur Überwachung von API-Schnittstellen werden in [29] ausführlich behandelt. Unter Linux stehen ebenfalls Tools wie das gezeigte zur Überwachung der Systemaufrufe zur Verfügung. Eines davon ist z.B. STrace16 . 4.3.3.2 Datenflussanalyse Neben der eigentlichen Applikation sind die Datenströme der Applikation bei Sicherheitsprüfungen von Bedeutung. Die offensichtlichsten Daten sind die Eingabedaten des Benutzers und die Datendateien mit den Dokumentdaten. Nur diese Daten zu prüfen, ist aber bei weitem nicht ausreichend. Neben den eigentlichen Programmdaten gibt es eine Reihe anderer Daten und Datenströme, welche als sicherheitsrelevant eingestuft werden müssen und schon in der Planung einer Applikation Beachtung finden sollten. Die wichtigsten Daten eines Softwaresystems lassen sich wie folgt zusammenfassen (vgl. [26, 53]): • Dokumentdaten: im Speicher oder in Datendateien • Temporäre Daten der Applikation, der Bibliotheken und des Betriebssystems: im Speicher oder in ausgelagerten, temporären Dateien • Infrastrukturdaten: z.B. in Konfigurationsdateien (unter Windows werden diese oft in einer zentralen Konfigurationsdatenbank, der Registry abgelegt) • Systemdaten: z.B. interne Daten zur Aufrechterhaltung des laufenden Systems (Messages, Pipes, Shared Memory) • Ausgelagerte Daten: z.B. Speicherbereiche in Auslagerungsdateien (Swap Files), Spooldateien • Externe Daten: Daten anderer Applikationen und Systeme, z.B. am seriellen und parallelen Port, USB, Netzwerk, CD-ROM. 16 http://sourceforge.net/projects/strace/ 4. Lokalisierung potentieller Schwachstellen 56 Diese Aufzählung, die je nach Systemumgebung nicht vollständig sein muss, soll klarmachen, dass unentwegt Datenströme auf das Softwaresystem einwirken. Jeder fehlerhafte Programmcode in den datenverarbeitenden Funktionen führt unweigerlich zu einem erheblichen Sicherheitsrisiko. Bei Softwaresicherheitstests muss klargestellt werden, welche dieser Datenströme Einfluss auf die zu prüfende Applikation haben. Angreifer versuchen dies ebenfalls herauszufinden, weil jeder Dateneingang auch ein Entry Point für Schadcode sein könnte. Für viele dieser Datenströme gibt es einfache Monitoringmöglichkeiten, ohne die Binaries ändern oder anpassen zu müssen. Wie beim API-Monitoring (Kapitel 4.3.3.1) werden dabei bestimmte Systemaufrufe überwacht bzw. die Aufrufe und die über diese Funktionen transferierten Daten protokolliert. Verschiedene Anbieter stellen eine Reihe von Monitoring Tools für die Datenflüsse in das System, aus dem System und innerhalb des Systems zur Verfügung. Einige während dieser Arbeit verwendete Monitoring Werkzeuge zur Überwachung der Entry und Exit Points sind: • File Monitor: protokolliert alle Dateioperationen in Echtzeit; dazu zählen auch Named Pipes und Mail Slots; z.B. FileMon 17 • Registry Monitor: protokolliert alle Zugriffe auf die Windows Registry; z.B. RegMon 18 • Disk Monitor: protokolliert alle Festplattenaktivitäten; z.B. DiskMon 19 • Port Monitor: protokolliert alle Zugriffe auf seriellen und parallelen Ports; z.B. PortMon 20 • Message Monitor: protokolliert alle Process-, Thread- und Windows Messages; z.B. Spy++ 21 • Network Monitor: protokolliert alle Aktivitäten an den Netzwerkschnittstellen; z.B. Wireshark 22 17 http://www.microsoft.com/technet/sysinternals/FileAndDisk/Filemon.mspx http://www.microsoft.com/technet/sysinternals/utilities/regmon.mspx 19 http://www.microsoft.com/technet/sysinternals/FileAndDisk/Diskmon.mspx 20 http://www.microsoft.com/technet/sysinternals/utilities/portmon.mspx 21 ist Teil von Visual Studio aller 32/64-Bit Editionen 22 http://www.wireshark.org/ 18 4. Lokalisierung potentieller Schwachstellen 57 Es gibt noch eine Reihe weiterer Monitoring Tools, die an jeweilige spezielle Bedürfnisse angepasst sind, wie etwa zur Überwachung von COM, COM++, DCOM, OLE, .NET, ODBC, spezielle Netzwerkprotokolle. Letztendlich handelt es sich dabei nur um eine andere Darstellung und Filterung der Daten. Die Datenflüsse könnten auch mit den oben genannten Basiswerkzeugen protokolliert und sichtbar gemacht werden. Abbildung 4.3: RegMon beim Protokollieren von Zugriffen auf die Windows Registry Die Registry bietet unter Windows ebenso wie das Dateisystem eine gute Möglichkeit, Daten in eine Applikation einzuschleusen [24]. Ein typischer Designfehler dabei ist, dass viele Applikationen zwar mittlerweile den Zugriff auf die Dateien kontrollieren, die Registry unter Windows bei Sicherheitsprüfungen jedoch oft vernachlässigt wird. Eine der getesteten Applikationen zur Überwachung und Protokollierung der Zugriffe auf die Windows Registry ist RegMon 23 . Wie die Abbildung 4.3 zeigt, können mit Hilfe von RegMon eine oder mehrere Applikationen beim Zugriff auf die Windows Registry überwacht werden. Im Protokoll werden der Zeitstempel, der Name des Prozesses, die Zugriffsfunktion, der Registrypfad, der Status und die Daten vermerkt. Registry-Daten können mit speziellen Editoren, wie dem bei jedem Windows mitgelieferten Editor RegEdit, einfach manipuliert werden. Grundsätzlich ist also bei Registry Einträgen die selbe Vorsicht gefragt wie bei der Verwaltung von Dateien [26]. 4.3.3.3 Speichermanagementanalyse Bei der Speichermanagementanalyse wird das Speichermanagement einer Applikation oder des gesamten Systems beobachtet. Viele Sicherheitslücken entstehen erst als Folge 23 http://www.microsoft.com/technet/sysinternals/utilities/regmon.mspx 4. Lokalisierung potentieller Schwachstellen 58 eines Fehlers in der Speicherverwaltung. Pufferüberläufe und die Verwendung uninitialisierter Zeiger oder Zeiger auf zuvor freigegebene Speicherbereiche (wilde Zeiger) sind typische Softwarebugs. Viele Angriffe auf Computersysteme haben nicht nur das Ziel, eine einzelne Applikation zu kompromittieren, sondern sind oft nur Mittel zum Zweck, um das Gesamtsystem zu überlasten und dadurch Schwachstellen zu generieren oder zu finden. Denial of Service Attacken werden oft verwendet, um Computersysteme durch Überlastung zum Absturz zu bringen oder um dadurch automatisch erstellte Logdateien oder Memory Dumps mit sensiblen Daten zu erhalten [22]. Fehler in der Speicherverwaltung sind deshalb besonders kritisch, weil sie das Gesamtsystem destabilisieren können (z.B. durch Ressourcenknappheit). Während Pufferüberläufe über eine zusätzliche Überprüfung der Puffergrenzen noch einfach gefunden werden (einige Bibliotheken, Sprachen und Compiler bieten automatische Überprüfungen an - Array Bound Checking Options, vgl. dazu [12, 43]), sind wilde Zeiger oft schwer zu lokalisieren. Uninitialisierte Zeiger nehmen Zufallswerte an. Zeiger auf freigegebene Speicherbereiche und damit nicht mehr gültige Puffer auf dem Heap führen nicht immer zu einer Ausnahmebehandlung. Mitunter sind solche Fehler nur unter bestimmten Konstellationen und Konfigurationen zu finden. Spezielle Debugging Tools erlauben die Verfolgung der Speicherauslastung, erkennen Fehler in der Heapverwaltung und in der Nutzung der Speicherblöcke auf dem Heap. Andere generieren Fehlerbedingungen (Fault Conditions) oder simulieren einen Speichermangel. Pageheap, ein Werkzeug aus den Debugging Tools for Windows 24 , erkennt illegale Heap Pointer, einen unsynchronisierten Zugriff auf den Heap, doppelte Speicherfreigaben, den Zugriff auf einen Puffer nach dessen Freigabe uvm. Tritt einer der detektierten Fehler auf, wird eine Exception ausgelöst, welche weitere Untersuchungen der gestoppten Applikation mit einem Debugger zulässt. Ebenso lassen sich damit Speicherfehler und -mängel (mit einer bestimmten Wahrscheinlichkeit auftretend) simulieren, um die Fehlerbehandlung (Error Handling) des Softwaresystems zu überprüfen. 24 http://www.microsoft.com/whdc/devtools/debugging/default.mspx 4. Lokalisierung potentieller Schwachstellen 4.3.3.4 59 Speicherabbilder Eine weitere Möglichkeit einer binärbasierten Prüfung einer Applikation ist die Erstellung eines Speicherabbilds (Memory Dump) zu einem bestimmten Zeitpunkt. Dabei wird der gesamte Speicher in eine Datei geschrieben, um diese später mit entsprechenden Werkzeugen auszuwerten. Durch diese Methode können Passwörter und sensible Daten aus dem Heap einer Applikation einfach ausspioniert werden, ohne in die laufende Applikation eingreifen zu müssen. Daten im Speicher oder auf dem Heap sind also keinesfalls sicher vor Zugriffen, selbst wenn der Zugriff auf den Heap eines Prozesses zur Laufzeit durch einen anderen Prozess vom Betriebssystem verhindert wird. Microsofts User Mode Process Dumper 25 erstellt bei bestimmten Ereignissen wahlweise automatisch, Speicherauszüge in Dateien. Viele Betriebssysteme erstellen beim Absturz des Systems einen Memory Dump, um eine spätere Fehlersuche zu erleichtern. Sind diese Speicherauszüge allen Benutzern des Systems zugänglich, können damit sensible Daten in falsche Hände fallen. Die Prüfung eines Speicherauszugs ist eine einfache Methode um festzustellen, ob sensible Daten im Speicher unverschlüsselt sichtbar werden. Derartige Daten sollten aus diesem Grund nur verschlüsselt im Speicher abgelegt werden. Auch Windows erzeugt bei einem Systemabsturz einen Memory Dump. Die Applikation Dr.Watson (DRWTSN32.EXE), auf jedem Windows System installiert, erzeugt Dumps und Logdateien, wenn Applikationen durch Ausnahmebehandlungen beendet werden. Ein Codeauszug der Logdatei protokolliert jene Codezeilen, durch die der Fehler ausgelöst wurde. Das ist viel Information für einen Softwareentwickler, aber auch für einen Angreifer, der eine Applikation vielleicht absichtlich zum Absturz gebracht hat.[26] 4.3.3.5 Status- und Fehlerinformationen Unabhängig von allen bisher beschriebenen Tools zur Überwachung von Programmen verraten viele Applikationen von sich aus viel über ihr Innenleben oder ihre Verarbeitung von Daten. Viele Programme schreiben Logdateien (Linux) oder Event Messages 25 http://www.microsoft.com/downloads/details.aspx?familyid= E089CA41-6A87-40C8-BF69-28AC08570B7E&displaylang=en 4. Lokalisierung potentieller Schwachstellen 60 (Windows) mit ihren Statusinformationen. Im Fehlerfall geben sie oft freizügig Auskunft über den Grund und den Ort des Fehlers und über interne und sensible Daten. Moderne Software, allen voran Programme mit Managed Code (.NET Applikationen) oder auf virtuellen Maschinen (Java Programme innerhalb einer Java Virtual Machine), liefert dem Normalbenutzer bei Programmfehlern oft einen Dump des gesamten Programmspeichers, den CallStack mit allen Funktionsnamen und Parametern der aufgerufenen Funktionen oder einen Stack Trace mit allen Stackdaten. Diese Informationen stellen für den Softwareentwickler zwar eine große Hilfe bei der Suche des Fehlers dar, liefern dem potentiellen Angreifer aber oft auch viele Informationen über die Applikation und vor allem ihre Schwächen. Somit stellen gut gemeinte Fehlermeldungen und Zusatzinformationen oft eine beträchtliche Sicherheitslücke dar.[37] 4.3.4 Fault Injection Eine Fault Injection ist ein Testverfahren, bei dem der Umgang mit fehlerhaften Daten, mit mangelnden Ressourcen oder partiellen Systemausfällen und die sog. Fehlertoleranz (Fault Tolerance) getestet wird. Dieses Verfahren wird auch als Stress Testing bezeichnet. Die Tests dienen hauptsächlich dazu, die Stabilität einer Applikation trotz wechselnder, widriger oder fehlerbehafteter Bedingungen zu prüfen und durch Anpassungen sicherzustellen. Von einer sicheren Applikation wird gefordert, dass sie auch mit stark eingeschränkten Umgebungen umgehen kann und auch in Ausnahmesituationen keine Sicherheitslücken aufweist. Typische Stresstests sind die Reduktion des freien RAM- und Plattenspeichers auf ein Minimum, die Erhöhung der Prozessorauslastung oder die Manipulation von Daten. Sie können sowohl manuell als auch mit speziellen Werkzeugen durchgeführt werden. Für Softwaretests wird heute meist auf eine als Software implementierte Fault Injection (SWIFI) zurückgegriffen.[55] In [24] wird zwischen hostbasierten und netzwerkbasierten Fault Injectors unterschieden. Die lokal auf dem Host laufenden Generatoren arbeiten wie Debugger und manipulieren die Daten und Programmstatus im laufenden Betrieb. Die netzwerkbasierten Injektoren manipulieren den Netzverkehr, um die Auswirkungen auf die Empfänger zu 4. Lokalisierung potentieller Schwachstellen 61 beobachten. Eine spezielle Art der sogenannten Fault Injection Tools generiert automatisch illegale Eingabedaten. Damit werden absichtlich fehlerhafte Daten und Datenformate in zu lesende Dateien, in über ein Netzwerk übertragene Datenpakete oder manuelle Eingabedaten integriert, um Fehler bei der Verarbeitung der Daten zu provozieren oder die Behandlung dieser Falscheingaben zu beobachten. Aus sicherheitstechnischer Sicht sind jene Fehler von Interesse, welche dem Angreifer als Folge der Fehler das gezielte Einschleusen von Code oder schadhaften Daten erlauben würden.[31] Fuzzing-Tools oder kurz Fuzzer sind Werkzeuge, welche automatisch zufällige Zeichenfolgen und Daten generieren, welche dann mit zusätzlichen Werkzeugen in eine Applikation als Eingabedaten eingebracht werden können. Fuzzer gibt es mittlerweile für eine Reihe von Tests, spezialisiert auf Web-Applikationen, Server, ActiveX Objekte, verschiedenste Dateiformate und Netzprotokolle [3]. Klein beschreibt in [31] die Anwendung zweier einfacher Fuzzer (Sharefuzz 26 und BFBTester - Brute Force Binary Tester 27 ) zur Manipulation der Umgebungsvariablen und der Aufrufargumente von Shell-Applikationen. Mittlerweile stehen eine Reihe frei verfügbarer Fuzzing-Tools zur Verfügung. Fuzzer AxMan BFBTester FTPStress Peach Sharefuzz SPIKE Bezugsquelle http://metasploit.com/users/hdm/tools/axman http://bfbtester.sourceforge.net http://www.infigo.hr/en/in_focus/tools http://peachfuzz.sourceforge.net http://sharefuzz.sourceforge.net http://www.immunitysec.com/resources-freesoftware.shtml Tabelle 4.1: Zusammenstellung einiger Fuzzing Werkzeuge (Stand: 2007.06.13) Die hier besprochenen Fault Injection Methoden beschreiben die Prüfung ausführbarer Binärdateien. Auch auf Quellcodebasis werden im Rahmen von automatischen Tests einzelner Funktionen und Funktionsgruppen schon während der Entwicklung Fault Injection Methoden angewandt (Unit Tests). 26 27 http://sharefuzz.sourceforge.net http://bfbtester.sourceforge.net 4. Lokalisierung potentieller Schwachstellen 4.3.5 62 Bewertung der Methoden und Werkzeuge Die Analyse eines Programms auf Fehler und Sicherheitslücken ist in der Regel eine kombinierte Anwendung verschiedenster Methoden und Werkzeuge, wie sie hier aufgrund der Komplexität und Mannigfaltigkeit nur auszugsweise beschrieben werden konnten. Microsoft empfiehlt für die Entwicklung sicherer Windows-Programme noch eine Reihe weiterer Werkzeuge und Methoden [43]. Der Einsatz der Mittel ist vielfach abhängig vom Typ der zu entwickelnden Applikation (z.B. Treiber, Dienste, Controls) oder der Zielumgebung (z.B. Serverapplikationen). Die Auswahl der in dieser Arbeit verwendeten Werkzeuge orientiert sich an deren Verfügbarkeit, deren einfachen Anwendung und an Methoden zur Entwicklung einfacher Benutzerapplikationen. Die binärcodebasierten Analysemethoden haben gezeigt, dass schon mit herkömmlichen System- und Entwicklungswerkzeugen eine Unmenge von Daten über die laufenden Applikationen und das System gesammelt werden kann, selbst wenn keine Quelltexte verfügbar sind. Mit den richtigen Werkzeugen und den entsprechenden Kenntnissen über Systemumgebung, Architekturen und Softwareentwicklungsmethoden ausgestattet, lassen sich beinahe beliebige Informationen sammeln, ohne spezielle Änderungen an den Applikationen vornehmen zu müssen. Eine Reihe spezieller Werkzeuge lässt in die verborgensten Teile der Speicher, der Software und Hardware blicken. Die binärcodebasierte Analyse ist bei weitem nicht so einfach automatisierbar wie die Analyse eines Quelltextes. Tests kleiner Funktionseinheiten lassen sich hingegen gut in den Entwicklungsprozess integrieren (Unit Tests). Die Auswertung der gesammelten Laufzeitdaten erfolgt weitestgehend manuell, einfache Auswerteskripts können die Arbeit jedoch erleichtern. Die Anzahl der Analysemethoden und der Werkzeuge lässt erkennen, wie vielseitig Schwachstellen auftreten können. Fehler im Code sind über Fault Injections noch einfacher lokalisierbar als Designfehler, welche einen Memory Dump oder aufwändige Datenflussanalysen notwendig machen. 4. Lokalisierung potentieller Schwachstellen 4.4 63 Integrierte Analyse und Überwachung In die Binaries integrierte Analysen und Überwachungsfunktionen sind eine weitere Möglichkeit Fehler während der Laufzeit (Run Time) zu entdecken. Diese Funktionen übernehmen spezielle Überwachungsaufgaben (z.B. Überwachung des Heaps, des Stack, der Array-Grenzen, Zeiger, Dateien) und können entweder während der Testphase integriert werden oder als Schutz gegen Angriffe in den fertigen Applikationen verbleiben. Wird nun ein Fehler, eine Speichermanipulation bzw. ein Angriff erkannt, so lösen die integrierten Überwachungsfunktionen eine Exception aus, wodurch die Applikation abgebrochen oder der Fehler über einen Debugger weiterverfolgt wird. 4.4.1 Bounds Checking Das sogenannte Bounds Checking ist jene Methode, bei der überprüft wird, ob beim Zugriff auf einen Speicherbereich die erlaubten Grenzen des Puffers überschritten werden. C und C++ sind auf Geschwindigkeit optimierte Programmiersprachen, die Compiler sehen deshalb keine in die Sprache integrierte Überwachung der Arraygrenzen vor. Bei anderen, neueren Programmiersprachen (z.B. C#, Java, Visual Basic) waren diese Überprüfungen schon immer Teil der Sprach- und Speicherkonzepte bzw. des vom Compiler erstellten Codes. Viele Sprachen haben deshalb auch auf Zeiger und die Möglichkeit der direkten Speichermanipulation verzichtet. Dies ist aber noch immer einer der Gründe für den Einsatz und die hohe Performance von C und C++. Mittlerweile gibt es einige Compilererweiterungen, die dieses Feature auch für C und C++ Programme nachrüsten. Kombiniert mit einer Überwachung der Speicherverwaltung werden dabei alle Zugriffe auf einen Speicher einer expliziten Überprüfung der Adressen zugeführt. Ein Beispiel für eine derartige Erweiterung des GCC Compilers, eingeschränkt auf die Programmiersprache C, ist Bounds Checking 28 (die neuere Version wurde auf CRED - C Range Error Checking umbenannt). 28 http://sourceforge.net/projects/BoundsChecking 4. Lokalisierung potentieller Schwachstellen 4.4.2 64 Überwachung des Stacks Zur Überwachung und zum Schutz des Stacks vor Manipulation kommen verschiedene Methoden zum Einsatz, welche in der Regel durch den Compiler unterstützt werden. Dazu fügt der Compiler die benötigten Codeteile automatisch in die Applikation bzw. an den kritischen Stellen ein. Die am häufigsten angewandten Methoden sind: • Canary Words: Der Compiler generiert für jede Funktion eine sogenannte Prolog- und Epilog-Routine. Beim Eintritt in die überwachte Funktion legt die Prolog-Routine auf dem Stack ein zusätzliches Canary Word ab (siehe Abbildung 4.4.b). Bevor die Funktion verlassen wird, überprüft die Epilog-Routine, ob das Canary Word auf dem Stack manipuliert wurde. Ist dies der Fall, so erfolgte die Manipulation als Folge eines Stack Overflow oder als Folge einer gezielten Manipulation des Stacks. Zur Anwendung kommt diese Technik z.B. bei der für den GCC verfügbaren Compiler-Erweiterung StackGuard [31, 18] oder beim Microsoft C++ Compiler29 durch die Compiler Option /GS. Microsoft bezeichnet das Canary Word als Security Cookie, manchmal auch als Speed Bump und fügt es an einer anderen Stelle ein (siehe Abbildung 4.4.c). Das Listing C.1 im Anhang C.1 zeigt die vom Microsoft Compiler eingebundenen Prolog- und Epilog-Routinen zur Überwachung des Stacks. [9, 38]. • Global-Ret-Stack Method: Der Compiler generiert ebenfalls Prolog- und Epilog-Routinen. Die Prolog-Routine sichert beim Eintritt in die Funktion die Rücksprungadresse in einem eigenen Speicherbereich auf dem Heap. Vor dem Verlassen der Funktion vergleicht die Epilog-Routine die Rücksprungadresse auf dem Stack mit der zuvor gesicherten Adresse. Zur Anwendung kommt diese Technik z.B. bei der für den GCC verfügbaren Compiler-Erweiterung StackShield 30 oder bei LibSafe 31 , einer Bibliothekserweiterung für Unix-basierte Systeme.[4, 31] • Ret-Range-Check Method: Bei diesem Verfahren wird in einer Epilog-Routine geprüft, ob die Rücksprungadresse auf dem Stack in das nicht manipulierbare 29 Für diese Arbeit wurde der Microsoft C/C++ Compiler, Version 8.00.50727.762 verwendet. http://www.angelfire.com/sk/stackshield/ 31 http://http://directory.fsf.org/libsafe.html 30 4. Lokalisierung potentieller Schwachstellen 65 Text- bzw. Code-Segment der Applikation zeigt. Auch diese Technik kommt bei StackShield zur Anwendung.[31] Die auf Cookies basierenden Methoden wie StackShields Canary Words oder Microsofts Security Cookies können eine zweistufige Attacke, wie sie in der Einführung der Heap Overflows gezeigt wurde, weder erkennen noch verhindern. Dabei wird zwar auch die auf dem Stack gespeicherte Rücksprungadresse manipuliert, jedoch nicht als Folge eines Stack Overflows (vlg. auch [46]). Einzig zusätzliche Sicherungsmethoden, wie in StackShield verwendet, detektieren auch derartige Fehler und Manipulationen. Function Return Address Saved Frame Pointer Local declared Variables and Buffers Optional Process Data (a) Function Parameters Function Return Address Canary Word Saved Frame Pointer Local declared Variables and Buffers Optional Process Data (b) Previous Stack Frames Function Stack Frame Function Parameters Previous Stack Frames Function Stack Frame Function Stack Frame Previous Stack Frames Function Parameters Function Return Address Saved Frame Pointer Security Cookie Local declared Variables and Buffers Optional Process Data (c) Abbildung 4.4: Stackschutzmechanismen: (a) Unmodifizierter Stack Frame; (b) StackGuard Modifikation mit einem Canary Word; (c) Microsoft Compiler Option /GS Modifikation mit einem Security Cookie Für den Test einer Applikation auf Stabilität erscheint dies weniger relevant, da es sehr unwahrscheinlich ist, dass zufällig Fehler zu einer derartigen Problemstellung führen. Für Sicherheitstests ist diese Einschränkung wichtig, da es sich trotzdem um eine potentielle Schwachstelle handelt und über andere Methoden behoben werden muss. 4.4.3 Überwachung von Funktionen Zur Überwachung der von einer Applikation verwendeten Funktionen kommen verschiedene Methoden zur Anwendung, welche in der Regel durch zusätzliche Bibliotheken 4. Lokalisierung potentieller Schwachstellen 66 oder Bibliothekserweiterungen unterstützt werden. Der Vorteil dieser Bibliotheken ist hauptsächlich der, dass die überwachte Applikation nicht neu kompiliert werden muss und somit auch der Sourcecode nicht zur Verfügung stehen muss. Spezielle Bibliotheken wie z.B. LibFormat oder LibSafe auf Unix-basierten Betriebssystemen tauschen beim dynamischen Nachladen von API-Funktionen unsichere Funktionen gegen sichere aus und binden zusätzliche Parameter- und Zeigerüberprüfungen in Funktionsaufrufe ein. LibSafe 32 erweitert bestimmte als unsicher ausgewiesene Funktionen um spezielle Prologund Epilog-Funktionen, welche Prüf- und Überwachungsaufgaben übernehmen. LibFormat 33 verwendet die gleichen Methoden und überwacht vor allem Funktionen mit möglichen Format-String Schwachstellen. Im Prolog dieser Funktionen wird der als Parameter übergebene Format-String einer genauen Überprüfung unterzogen und nur dann die Bibliotheksfunktion aufgerufen, wenn die Überprüfung die Unbedenklichkeit der Parameter ergeben hat. Im Verdachts- oder Fehlerfall wird die Applikation mit einer entsprechenden Fehlerbehandlung abgebrochen. Das Einschleusen von Code über Format-Strings wird dadurch deutlich erschwert. FormatGuard 34 erweitert die Gnu C Library (GLibc) und kapselt alle Format-String Funktionen ab. In diesem Fall muss die Applikation jedoch neu übersetzt werden. [4, 17, 31] 4.4.4 Überwachung des Heaps Viele Bibliotheken und Compiler bieten eine Überwachung des Speichers auf dem Heap und Stack während der Laufzeit an. Manchmal sind diese zusätzlich in das Programm eingebundenen Überwachungsfunktionen auf die Debug-Version 35 beschränkt, manchmal verbleiben diese Überwachungsfunktionen auch in der endgültigen und für den Kunden bestimmten Release-Version. Typische Erweiterungen sind Funktionen zur 32 http://directory.fsf.org/libsafe.html http://www.securityfocus.com/tools/1818 34 http://www.securityfocus.com/tools/1844 35 Eine Debug-Version ist eine während der Entwicklung speziell für Testzwecke kompilierte Version. Sie wird oft mit zusätzlichen Funktionen und Informationen versehen, die es dem Entwickler einfacher machen, Fehler aufzudecken bzw. die fehlerhaften Stellen im Code zu lokalisieren. Debug-Versionen werden in C/C++ meist mit einem gesetzten DEBUG-Flag kompiliert, welches den Precompiler anweist, speziellen Code einzubinden. Sie sind aufgrund der erweiterten Funktionen oft umfangreicher und deutlich langsamer in ihrer Ausführungsgeschwindigkeit als die für den Endkunden bestimmten Release-Versionen. 33 4. Lokalisierung potentieller Schwachstellen 67 Überwachung des Heaps (Memory Allocation Tracing) und der auf dem Heap allokierten Speicherblöcke (Memory Overflow Detection). Weiters bieten viele Bibliotheken auch die Möglichkeit, nicht freigegebene Speicherblöcke am Ende einer Funktion oder der Applikation (Memory Leak Detection) aufzufinden. Eine einfache und wirkungsvolle Methode für C++ Programme, die mit jedem C++konformen Compiler funktioniert, ist das Überschreiben der globalen new- und deleteOperatoren. Wird ein Objekt mit dem Operator new erzeugt, wird dafür die globale ::operator new()-Funktion aufgerufen. Wird ein Objekt vom Typ T erzeugt, wird dafür die T::operator new()-Funktion aufgerufen. Gleiches gilt beim Löschen eines Objekts über delete, bei dem die globale operator delete()- oder T::operator delete()-Funktion aufgerufen wird.[52] Wie im Anhang vereinfacht dargestellt, werden in der include-Datei (siehe Listing C.2) neue new- und delete-Operatoren deklariert. Ist das DEBUG-Flag gesetzt (siehe Listing C.3), werden beim nächsten Kompilierdurchgang die new- und delete-Operatoren überschrieben. Im gezeigten Beispiel aus dem Listing C.3 wird die Operatorfunktion void* operator new[](size_t nSize, char* pFileName, int nLine) aufgerufen, welche eine erweiterte Speicherverwaltung implementiert. Wird der Speicher freigegeben, wird dabei die Funktion void operator delete(void* p) aufgerufen und die implementierte Speicherverwaltung gibt den Speicher frei. Durch das Überladen der beiden Operatoren new und delete können neben der Speicherallokation zusätzliche Aufgaben zur Sicherung des Speichers ausgeführt werden.[48] Abbildung 4.5: Fehlermeldung nach der Detektion eines Heap Overflows 4. Lokalisierung potentieller Schwachstellen 68 Microsoft verwendet in den Bibliotheken der Microsoft Foundation Classes (MFC) ebenfalls eine einfache Erweiterung zur Überwachung des Speichers, welche das Prinzip des Operator Overloadings nutzt. Die Funktionen der MFC allokieren einige Bytes mehr als angefordert und versehen die Speicherblöcke mit zusätzlichen Security Cookies. Wird ein Speicherblock freigegeben (siehe Anhang Listing C.3, Zeile 13), werden die Security Cookies auf eine mögliche Manipulation überprüft. Je nachdem, welches Cookie verändert wurde, kann damit ein Buffer Overflow oder Buffer Underflow festgestellt werden. Wird eine Manipulation festgestellt, so wird eine Exception ausgelöst und eine Fehlermeldung, wie in der Abbildung 4.5 dargestellt, gezeigt. Zusätzlich überprüfen die für die Speicherverwaltung zuständigen Afx-Funktionen der MFC am Ende der Applikation, ob alle angeforderten Speicherblöcke von der Applikation freigegeben wurden. Ist dies nicht der Fall, so weist dies auf vergessene Speicherfreigaben (sogenannte Memory Leaks) hin. Memory Leaks werden von der MFC beim Terminieren einer Applikation wie folgt protokolliert: Detected memory leaks! Dumping objects -> {127} normal block at 0x003598E0, 10 bytes long. Data: <ABCDEFGHI > 41 42 43 44 45 46 47 48 49 00 Object dump complete. Neben derartigen in den Code integrierten Prüfungen können auch Funktionen eingefügt werden, die mit zusätzlichen Tools kooperieren und kommunizieren. Dabei kann es sich um einfache Tracer, aber auch um Funktionen handeln, die in Kombination mit speziellen Debuggern und Überwachungsprogrammen Verwendung finden. 4.4.5 Bewertung der integrierten Methoden Nachdem sowohl die Analyse des Quellcodes als auch die Analyse der Binaries und der Runtimedaten einen zusätzlichen Aufwand darstellt, geht der Trend eindeutig zu automatisch in eine Sprache, Laufzeitumgebung oder die fertige Applikation integrierte Sicherheitsroutinen. Diese erfordern vom Softwareentwickler weder spezielles Knowhow, noch einen zusätzlichen Aufwand. Es wird dabei versucht, einserseits Fehler schon in frühen Entwicklungsstadien zu entdecken, andererseits die möglichen Auswirkungen 4. Lokalisierung potentieller Schwachstellen 69 etwaiger Fehler zu minimieren. Eine ständige Überwachung der Software auf ein Fehlverhalten ist naheliegend. Fest in die Software integrierte Analyse- und Überwachungsfunktionen haben den Vorteil, im fertigen Programm verbleiben zu können und zur Laufzeit keine speziellen Werkzeuge und Konfigurationen zu benötigen. Diese Routinen als Teil der fertigen Applikation überwachen eine Software fortwährend und auf jedem System. Sie reagieren beim Auftreten von kritischen oder fehlerhaften Zuständen mit der Auslösung einer Ausnahmebehandlung. Fest in die Software integrierte Funktionen zur Überwachung von Stack- oder Heapmanipulationen sind schon sehr ausgereift. Deren Anwendung ist mittlerweile üblich, wie die Default-Einstellungen des Microsoft C++ Compilers zeigen. Berichte von Attacken und Artikel über etwaige Schwächen diverser Sicherungsmethoden beweisen aber immer wieder, dass auch diese zusätzlichen Hürden mitunter überwindbar sind (vgl. [46]). 5 Vermeidung potentieller Schwachstellen Die beste Absicherung eines Computersystems ist die Entwicklung fehlerfreier Software ohne sicherheitskritische Schwachstellen. Aus diesem Grund beschäftigt sich dieses Kapitel damit, mit welchen Methoden im Design und der Implementierung sicherheitskritische Fehler verhindert werden können. Dabei werden Methoden diskutiert, die kritische Mängel schon während der Testphase aufzeigen und fatale Auswirkungen etwaiger Fehler verhindern. Beachtung finden dabei auch typische sicherheitskritische Designfehler (Security Flaws), wenngleich der Fokus der Arbeit auf sicherheitskritischen Implementierungsfehlern (Security Bugs) liegt. 5.1 Allgemeines Die sicherheitsorientierte Softwareentwicklung favorisiert mittlerweile eine mehrschichtige Verteidigungsstrategie durch das Errichten mehrerer Verteidigungslinien. Dies bedeutet, dass Sicherheit auf allen Ebenen integraler Bestandteil ist. Sowohl die Architektur als auch alle Teile der Implementierung haben den Prinzipien der sicherheitsorientierten Softwareentwicklung zu folgen. Jedes Modul, jede Schicht der Architektur, jede Funktion ist für sich für ihre eigene Sicherheit verantwortlich.[25, 26] 70 5. Vermeidung potentieller Schwachstellen 71 Sichere Software zu entwickeln bedeutet in erster Linie, die Sicherheit durch sicheres Design (Security by Design) und sichere Implementierung (Security by Implementation) zu gewährleisten. Keinesfalls kann Sicherheit durch Geheimhaltung (Security by Obscurity) erreicht werden. Dies kann einen Angriff vielleicht verzögern, wirkungsvoll verhindern jedoch kaum. 5.2 Sicheres Design Softwaresicherheit ist ohne entsprechende Planung und ohne ein darauf ausgerichtetes Design nicht möglich [26]. Oft sind Einzelteile eines Programms technisch korrekt ausgeführt und fehlerfrei. Im Zusammenwirken und in der geplanten Umgebung (Environment) können sie trotzdem potentiell sicherheitskritische Mängel aufweisen. Oft sind eine fehlende Planung oder ein falsches Sicherheitsdesign dafür verantwortlich [22]. Typische Designfehler, welche zu einer potentiellen Schwachstelle führen, sind (siehe auch Kapitel 3.1): • fehlende oder schwache Eingabe- und Parameterprüfung • fehlende oder schwache Authentisierung und Authentifizierung • fehlende oder schwache Verschlüsselung und Datensicherung • fehlende Verwaltung der Zugriffs- und Ausführungsberechtigungen • unsichere Anwendungs- und Systemkonfiguration • fehlende oder fehlerhafte Fehlerbehandlung Selbst heute wird noch ein Großteil der Software ohne vorherige detaillierte Beschreibung des Softwaredesigns, der Datenflüsse, einer konkreten Zielsetzung bezüglich Sicherheit und der Modellierung eines Bedrohungsmodells entwickelt. Dabei ist die Entwicklung einer sicheren Software ohne Berücksichtigung im Design nicht möglich. Wie Michael Howard et al. in [26] wiederholt betonen, ist Softwaresicherheit kein Softwarefeature und keinesfalls nachträglich zu implementieren, sondern Teil des Gesamtkonzepts und eine begleitende Anforderung während aller Phasen eines Softwareprojekts. Mit der Modellierung einer Softwarearchitektur beginnt auch die Modellierung des Umgangs mit den Gefahren, denen eine zukünftige Applikation ausgesetzt sein wird. 5. Vermeidung potentieller Schwachstellen 5.2.1 72 Threat Modeling Die Entwicklung sicherer Software muss schon bei der Modellierung eines Softwaresystems beginnen. Ein Teil der Planung einer sicheren Software ist die Modellierung eines Bedrohungsmodells mit dem sog. Thread Modeling. Die Idee hinter dieser Modellierung ist die Sammlung und Dokumentation aller Bedrohungen, denen eine Software ausgesetzt sein könnte. Mit den gewonnenen Erkenntnissen werden sicherheitskritische Fehler im Design der Software schon vor der Implementierung erkannt. Dadurch kann das Gesamtrisiko verringert werden. Am Ende dieses Prozesses steht die Entwicklung eines modul- und systemübergreifenden Sicherheitskonzepts. Bedrohungen lassen sich nach Howard und LeBlanc im sogenannten STRIDE-Modell klassifizieren. STRIDE ist ein Akronym der ersten Buchstaben der folgenden sechs Bedrohungskategorien (vgl. [25] und [53]): • Spoofing Identity: Vortäuschen einer falschen Identität, z.B. die Fälschung von Authentifizierungsdaten • Tampering with Data: Fälschen von Daten, z.B. Änderung von Dateien • Repudiation: Verweigerung, z.B. Unterzeichnung einer Quittung • Information Disclosure: Preisgeben von Daten, z.B. ungesicherte Dateien • Denial of Service: Verweigern eines Dienstes, z.B. Dienste (Webserver, usw.) sind aufgrund von Angriffen nicht erreichbar • Elevatation of Privilege: Höherstufen der Rechte, z.B. ein Benutzer kann die Rechte eines priviligierten Benutzers erlangen In der Praxis sollte das Thread Modeling erst nach der Definition aller Funktionen (Features) stattfinden. Nachdem alle Features definiert wurden und die funktionalen Komponenten feststehen, werden alle Entry Points und Datenflüsse der Applikation identifiziert und die zu erwartenden Bedrohungen auf das System ermittelt. Die einzelnen Bedrohungen werden bewertet und für jeden Entry Point die beste technologische Lösung zur Abwehr der Bedrohung diskutiert. Neben einer vollständigen Dokumentation ist die Erstellung von speziellen Testplänen, welche die identifizierten Bedrohungen berücksichtigen, ebenfalls Teil des Threat Modeling Prozesses (vgl.[53] und [26]). 5. Vermeidung potentieller Schwachstellen 5.3 73 Defensive Programmierung Die Erstellung von robustem Code war das vorrangige Ziel der 90er Jahre. Standardwerke (vgl. [35] und [36]) haben sich ausführlich damit auseinandergesetzt, ohne explizit sicherheitstechnische Aspekte zu diskutieren. Erst neuere Auflagen werden entsprechend ergänzt. Bei der Erstellung von solidem Code sucht man im Allgemeinen die Balance zwischen [36]: • Robustheit: die Software kann auch mit Fehlern umgehen; oberste Priorität ist die Lauffähigkeit der Software • Korrektheit: die Software bricht bei Fehlern kontrolliert ab; oberste Priorität ist die Richtigkeit der Ergebnisse Sicherheitskritische Applikationen legen im Allgemeinen mehr Wert auf Korrektheit ” als auf Robustheit“, schreibt Steve McConnell in [36, S. 206]. Dies mag z.B. für Geräte im medizinischen Bereich gelten, im Consumerbereich wird der Robustheit im Allgemeinen der Vorrang gegeben. Solider Code, der beide Ziele verfolgt, ist die Basis einer sicheren und stabilen Software. Einige der für die Sicherheit von Softwaresystemen wesentlichsten Regeln wurden schon in den 90er Jahren unter der Bezeichnung Defensive Programmierung eingeführt. Die im Folgenden diskutierten defensiven Programmierregeln von damals gelten heute mehr denn je. Viele Programmierer gehen davon aus, dass der Programmablauf ungestört ist, die Daten einer Applikation ohne Fehler sind, die Infrastruktur bzw. Umgebung einer Applikation den Vorgaben entspricht und ein Fehler nur einen Ausnahmefall darstellt. Die Defensive Programmierung geht umgekehrt von der Annahme aus, dass die Daten jederzeit ungültig sein können und widrige Ereignisse und Fehler immer möglich sind. Mit einer derartigen Annahme ausgestattet, ist das Ergebnis einer defensiven Programmierung ein robusterer Code, weil die Berücksichtigung möglicher Fehlerszenarien Teil der Planung und der Implementierung ist. Können Fehler immer auftreten, so müssen auch die Daten immer auf Richtigkeit überprüft werden und zu jeder Zeit Verfahren für das Auftreten eines Fehlers definiert sein. 5. Vermeidung potentieller Schwachstellen 5.3.1 74 Überprüfung der Ein- und Ausgabedaten Alle Funktionen, welche Daten von Außen entgegennehmen und verarbeiten, sind als potentielle Sicherheitsschwachstellen einzustufen und einer genauen Codeprüfung (Code Review ) zu unterziehen. Wird eine Funktion aufgerufen, so sollte eine Vorbedingung (Pre-Condition) und eine Nachbedingung (Post-Condition) zwischen dem Aufrufer und der Funktion formuliert worden sein. Dies kann auch Teil der Dokumentation sein. Über die Vorbedingungen werden die Parameter, also die Eingangsdaten in die Funktion, festgelegt und nur wenn diese Bedingungen exakt eingehalten werden, arbeitet die Funktion korrekt. Die Nachbedingung definiert, wie das Ergebnis einer Funktion bei einer korrekten Ausführung aussehen muss. Defensive Programmierung verlangt die Überprüfung der Datenflüsse in beide Richtungen. In der Praxis bedeutet dies, dass jede Funktion am Beginn ihrer Ausführung die Eingangsdaten überprüft und auf Fehler entsprechend reagiert (siehe Beispiel im Anhang, Listing C.4). Ebenso hat der Aufrufer einer Funktion die Ergebnisdaten zu prüfen, bevor er sie weiterverwendet. Kompromittierende Daten können sowohl über einfache Benutzereingaben als auch über Dateien oder über ein Netzwerk empfangene Datenpakete in das System gelangen. In [26] bringen Michael Howard und David LeBlanc den notwendigen Umgang mit Dateneingaben mit der einfachen Annahme All input is evil until proven otherwise.”[26, ” S. 341] zum Ausdruck. Nicht nur den eigentlichen Programmdaten ist dabei Beachtung zu schenken, sondern ebenfalls den Infrastrukturdaten (z.B. Konfigurationsdateien, angeschlossene Geräte) sollte immer misstraut werden. Die Behandlung von Ein- und Ausgabedaten über Interfaces und Funktionen kann auf einige wichtige Good Practices zusammengefasst werden, welche im Anhang E.1 aufgelistet sind. 5.3.2 Sichere Zeiger- und Speicherverwaltung Bei der Defensiven Programmierung wird davon ausgegangen, dass jeder Zeiger auf einen ungültigen Speicherbereich zeigen kann, die Daten im Speicher ungültig sein können und der belegte Speicher von anderen Applikationen später wiederverwendet 5. Vermeidung potentieller Schwachstellen 75 werden könnte. Nur solange sensible Daten im System gespeichert werden, sind sie auch angreifbar. Das Speichern dieser Daten ist, wenn irgendwie möglich, grundsätzlich zu vermeiden [26]. Lässt es sich nicht vermeiden, so sollten nicht mehr benötigte Daten sofort gelöscht werden. Die Freigabe nicht mehr benötigten Speichers entlastet zudem das System und verhindert in der Folge Memory Leaks. Ein kurzes Beispiel im Listing C.5 zeigt eine mögliche Umsetzung defensiver Programmierung bei der Behandlung von Zeigern und Speicher.[59] Eine weitere Fehlerquelle bei der Verwendung von Zeigern und Speicherblöcken variabler Größe ist oftmals in einer fehlerhaften Zeigerarithmetik zu suchen. Grundsätzlich sollte jede Funktion, welche mit einem Puffer arbeitet, auch die Längeninformation dazu erhalten und verarbeiten. Viele der unsicheren POSIX-Funktionen (siehe Kapitel 5.3.5.2 und Anhang A) wurden um zusätzliche Parameter erweitert, welche die Länge von Datenpuffern beschreiben. Eigene Funktionen sollten als Parameter neben einem Zeiger ebenso immer die Länge des Puffers erhalten (siehe Listing C.5, Zeile 10). Die Behandlung der Zeiger und Speicherblöcke kann auf einige wichtige Good Practices zusammengefasst werden, welche im Anhang E.2 aufgelistet sind. 5.3.3 Fehlerbehandlung Wie in der Einführung dieses Kapitels schon erwähnt, ist die Korrektheit und die Robustheit einer Software die Voraussetzung für deren Sicherheit. Viele Angriffe zielen in erster Linie darauf ab, die Software in einen Fehlerzustand zu treiben, um dann das geschwächte System zu kompromittieren. Dabei gibt es Methoden, die sich neben der Manipulation der Daten auch der Manipulation der Systemressourcen bedienen. Stresstests sind künstlich erzeugte Testszenarien, bei denen eine Software einer fehlerbehafteten Umgebung ausgesetzt wird, um die Behandlung der Fehler zu überprüfen. Defensive Programmierung hat zum Ziel, das System zu jedem Zeitpunkt vor Fehlern zu schützen, welche im Regelbetrieb nicht erwartet werden. In einer schichtbasierten Software-Architektur zum Beispiel kann die Fehlerbehandlung auf bestimmte Ebenen (Levels) eingeschränkt werden. Die Funktionen der darunter liegenden Ebenen (LowLevel-Functions) müssen in diesem Fall die Fehler weitermelden und dürfen keinesfalls 5. Vermeidung potentieller Schwachstellen 76 Falschergebnisse oder Systemabstürze erzeugen. Demnach ist in jeder Schicht für sich ein Fehlermanagement festzulegen, auch wenn nur der Code der obersten Schicht (HighLevel-Code) die Fehler dem Benutzer meldet oder in Logdateien schreibt. Die meisten Programmiersprachen erlauben es, Fehlercodes in Form von Rückgabewerten einfach zu ignorieren. In der Tat ist es sehr aufwändig, jeden Rückgabewert einer Funktion explizit zu prüfen. Defensives Programmieren verlangt diese Prüfung jedoch. Ein weiterer Mechanismus zur Meldung von Fehlern und Ausnahmezuständen sind sogenannte Ausnahmen (Exceptions). Tritt innerhalb einer Funktion eine Ausnahmesituation ein, welche an dieser Stelle nicht behandelt werden kann, so wirft der betroffene Code eine Ausnahme (to throw an exception). Beim Werfen einer Exception wird die betreffende Funktion sofort abgebrochen. Darüberliegende Softwareschichten sollten immer Codeteile zur Verfügung stellen, welche Ausnahmen der darunterliegenden Funktionen abfangen (to catch an exception). Ausnahmen können in fast allen Hochsprachen mit geringem Programmieraufwand abgefangen werden. In C++1 stehen zum Werfen der Ausnahmen das Schlüsselwort throw und zum Fangen der Ausnahmen spezielle Schlüsselwortkombinationen wie try-catch-finally zur Verfügung. Viele Systeme bieten auch Möglichkeiten an, nicht-abgefangene Ausnahmen zu verarbeiten (z.B. in C++ die Funktion std::unexpected()). Diese Funktionen bieten oft die letzte Möglichkeit, Dateien und Speicher zu sichern und zu bereinigen, bevor die Applikation terminiert wird. Jede Applikation sollte einen Mechanismus anbieten, der unbehandelte Ausnahmen bearbeitet und ein kontrolliertes Terminieren der Applikation veranlasst.[36] Die Behandlung der Fehler und Ausnahmen kann auf einige wichtige Good Practices zusammengefasst werden, welche im Anhang E.3 aufgelistet sind. 5.3.4 Hilfen zur Fehlersuche Nachdem eine defensive Programmierung vom Auftreten beliebiger Fehler ausgeht, sollten auch Mechanismen vorgesehen werden, welche die Fehlersuche und Tests der Software unterstützen. Rätzmann schreibt in [45] sogar von einem testorientierten 1 C, C# und Java bieten ähnliche Möglichkeiten. 5. Vermeidung potentieller Schwachstellen 77 Anwendungsdesign, welches Entwickler und Tester während der Entwicklungszyklen unterstützen. Gerade während der Entwicklung hilft zusätzlicher Code (Debug Code) alle außergewöhnlichen Zustände aufzudecken und dem Entwickler oder Tester weitere Informationen über Probleme zu melden. Die Überprüfung der Integrität der Daten und die ständige Überwachung des Systems erfordern Systemressourcen und können sich dadurch auch während der Laufzeit deutlich bemerkbar machen. Dies ist auch der Grund dafür, dass diese zusätzlichen Routinen oft nicht in der Endversion einer Software verbleiben. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 #define DEBUG [...] switch( iValue ) { case INCASE_A: [...] // do something here break; case INCASE_B: [...] // do something here break; default: // this should not happen #ifdef DEBUG // additional debug code should be here [...] // and assert to exit the application assert("Variable iValue=%d. Variable is out-of-range.", iValue); #endif // if it happens log the error LogBadValue("Illegal value in switch-case.") } Listing 5.1: Erweiterung zur Fehlersuche in einer DEBUG-Version Realisiert wird die Einbindung von Debugcode mit Präprozessoren, wie sie auch in C und C++ zur Anwendung kommen. Wird eine Applikation zum Beispiel mit dem DEBUG-Flag kompiliert, werden zusätzliche Prüfroutinen, Code zur Fehlerbehandlung, assert-Meldungen und Logdateieinträge erzeugt (siehe Beispiel im Listing 5.1). 5. Vermeidung potentieller Schwachstellen 78 McConnell beschreibt Methoden der sogenannten offensiven Programmierung“[36, ” S.215ff.], welche auch von Howard et al. in [26] diskutiert werden. Offensives Programmieren ist nicht als das Gegenstück zur Defensiven Programmierung zu sehen, sondern vielmehr eine Ergänzung dazu. Eine offensive Programmierung während der Entwicklung fordert in Applikationen im Debugmode zusätzliche Funktionen, um Fehler schneller zu finden, zu provozieren oder einzugrenzen. Eingebunden werden diese Codeteile auch über den Präprozessor, wie es im Listing 5.1, Zeile 12 gezeigt wird.[45] Die Methoden der Defensiven und der Offensiven Programmierung erlauben nicht nur die Entwicklung fehlerfreierer Applikationen, sondern eignen sich im selben Maße auch zur Entwicklung sicherer Applikationen. Je früher diese Methoden in die Entwicklung eingeführt werden, desto hilfreicher sind sie und desto fehlerfreier wird der Code letztendlich werden. Die Methoden zur Erleichterung der Fehlersuche können auf einige wichtige Good Practices zusammengefasst werden, welche im Anhang E.4 aufgelistet sind. 5.3.5 Sichere Bibliotheksfunktionen Defensive Programmierung bedeutet die Erstellung von sicherem Code und sicheren Funktionen. Werden Bibliotheken benutzt, so besteht nicht immer die Möglichkeit, die Bibliotheksfunktionen den defensiven Programmierrichtlinien anzupassen oder den Code auf Sicherheit zu überprüfen. Von der Änderung fremden oder zugekauften Quellcodes ist auch deshalb abzuraten, weil dadurch unter Umständen später erhältliche Bugfixes2 und Erweiterungen der Hersteller nicht ohne weiteres übernommen werden können. In diesem Fall empfiehlt sich vielmehr die Vermeidung aller als unsicher geltenden Funktionen, die Einführung von Bibliothekserweiterungen oder die Erstellung von Ersatzfunktionen. 2 to fix (engl.) = reparieren, ausbessern. Mit Bugfix wird die Behebung eines Programmfehlers bezeichnet, indem eine korrigierte Version verfügbar gemacht wird. 5. Vermeidung potentieller Schwachstellen 5.3.5.1 79 Fehlerfreie Bibliotheksfunktionen Bibliotheksfunktionen benötigen besondere Sicherheitsvorkehrungen, da bei der Programmierung dieser Funktionen kaum klar ist, in welchem Kontext die Funktionen später eingesetzt werden. In einer komplexen Softwarearchitektur ist jede Ebene für die Sicherung der eigenen Daten und Schnittstellen verantwortlich. Der Programmierer von Bibliotheksfunktionen kann nicht annehmen, dass in anderen Ebenen der Architektur die Daten gesichert oder überprüft wurden. Hier gilt also umso mehr die Annahme, alle Daten und Parameter als potentiell unsicher anzusehen. Die Daten sind eigenen Sicherungsmethoden zuzuführen. Eine Fehlerbehandlung ist so vorzunehmen, wie es für die Bibliotheksfunktion selbst am besten ist. Es kann nicht davon ausgegangen werden, dass die aufrufende Funktion die Fehlerbehandlung übernimmt. Zur Behandlung der Fehler bieten sich zwei Möglichkeiten an: • Wird eine stabile Implementierung bevorzugt, so reicht es, die Bibliotheksfunktionen kontrolliert zu verlassen. Ein entsprechender Status- oder Fehlercode signalisiert dabei die Gültigkeit der Funktionsergebnisse oder die Art des aufgetretenen Fehlers (siehe Beispiel im Listing C.8). C und C++ Funktionen der Standardbibliotheken und Betriebssysteme sind auf Stabilität ausgelegt. • Wird eine stabile und korrekte Implementierung bevorzugt, so wird eine Exception ausgelöst und die Funktion an der Stelle des Fehlers abgebrochen (siehe Beispiel im Listing C.9). Die Bibliotheken moderner Programmiersprachen, z.B. für Java und C#, melden Fehler meist über das Auslösen von Exceptions. Fehler werden somit mit einem Funktionsabbruch quittiert und Ergebnisse nur dann zurückgegeben, wenn die Funktionen zur Gänze fehlerfrei ausgeführt werden konnten. Grundsätzlich gilt die Signalisierung von Fehlern über Exceptions als sicherer. Erstens, weil diese vom Entwickler nicht einfach ignoriert werden können, sondern in jedem Fall 5. Vermeidung potentieller Schwachstellen 80 Fehler behandelnden Code verlangen. Zweitens, weil Exceptions nicht so einfach manipuliert werden können wie etwa die Signalisierung von Fehlern mit globalen Variablen und Error Codes 3 . 5.3.5.2 Bibliothekserweiterungen In den letzten Jahren wurden eine Reihe der C-Standard- und POSIX-Funktionen als unsicher eingestuft. Vor allem String- und Format-String Funktionen erlangten durch Buffer Overflow Attacken traurige Bekanntheit. C/C++ Zeichenketten werden mit keiner Längeninformation versehen, sondern ein 0-Byte schließt diese Zeichenketten ab. Aus diesem Grund verwenden die C-Standardfunktionen keine expliziten Längenangaben, sondern verlassen sich darauf, dass die Zeichenketten richtig terminiert sind. Stringfunktionen kopieren Zeichenketten in einen Puffer, ohne dessen Größe zu überprüfen. Einige typische Vertreter dieser unsicheren Funktionen sind: char * strcpy( char *dest, const char *source); char * strcat( char *dest, const char *source); char * gets(char* buffer); int sprintf(char* buffer, const char*format,...); Insgesamt wurden weit mehr als hundert Funktionen als unsicher eingestuft. Verschiedene Funktionen der Betriebssystem-API gelten mittlerweile ebenso als unsicher. Das ISO/IEC Committee4 schlägt die Entwicklung und Verwendung alternativer Funktionen und Methoden vor, um diese Sicherheitslücken zu schließen. Für alle als unsicher geltenden Funktionen wurden Ersatzfunktionen definiert, welche die Schwächen der alten Funktionsprototypen beheben. Eigene als unsicher geltende Funktionen sollten ebenfalls, dem Modell der ISO/IEC Empfehlungen folgend, gegen sichere Funktionen ausgetauscht werden. Berücksichtigt wurden in den Empfehlungen des Dokuments ISO/IEC TR 24731 aus dem Jahr 2005 [12] vor allem String- und StringformatFunktionen, Dateioperationen, Sortier- und Suchfunktionen, Zeitfunktionen und die Verarbeitung von Multibyte-Characters. 3 Die Win32 Funktion GetLastError() gibt nur den Wert einer globalen Win32-Variablen zurück, die mit SetLastError() gesetzt werden kann. Gelingt es einem Angreifer z.B. in einer Multi-Threading Umgebung in einem anderen Thread den Wert mit SetLastError() beliebig zu manipulieren, so kann er Fehlersignalisierungen beliebig unterdrücken oder auslösen. 4 http://www.open-std.org 5. Vermeidung potentieller Schwachstellen 81 Die neuen nach ISO definierten Funktionen verarbeiten zusätzliche Längenangaben bei Strings und Puffern, geben einen Fehlercode zurück und brechen bei falschen Parametern die Funktion ab. Die Prototypen der Ersatzfunktionen für die oben als Beispiel gezeigten Funktionen lauten wie folgt (vgl. [13, 12]): errno_t strcpy_s( char *dest, size_t bufferSize, const char *source); errno_t strcat_s( char *dest, sizte_t bufferSize, const char *source); char * gets_s(char* buffer, size_t bufferSize); int sprintf_s(char* buffer, size_t bufferSize, const char*format,...); Eine Liste aller unsicheren POSIX-Funktionen der Standardbibliotheken, für die Ersatzfunktionen definiert wurden, ist im Anhang A.1, die Empfehlungsdokumente der ISO/IEC sind unter [12] und [13] zu finden. Unsichere Funktionen sind in jedem Fall zu meiden bzw. gegen sichere Ersatzfunktionen zu tauschen, außer sie werden niemals direkt aufgerufen, sondern ausschließlich über Wrapper. 5.3.5.3 Wrapper Ein Wrapper bezeichnet in der Informatik eine Hülle über eine Klasse, eine Schnittstelle oder Daten. Wrapper bilden eine Barrikade (Barricade) um ein zu schützendes oder zu kontrollierendes Objekt. Ein Wrapper ist eine Art Zwischenschicht, welche zwischen einen Aufrufer (Sender) und einen Aufgerufenen (Empfänger) geschoben wird. Werden z.B. die unsicheren Methoden einer Klasse über eine öffentliche Schnittstelle einer Wrapperklasse aufgerufen, so übernehmen die Methoden der Wrapperklasse die Sicherung der Daten und den Aufruf der unsicheren Methoden. Sie können bei Bedarf die Daten prüfen und korrigieren, bevor sie die unsicheren Methoden aufrufen. Nach Erhalt der Ergebnisse können sie diese wiederum validieren, bei Bedarf konvertieren und dann erst an die aufrufende Funktion weitergeben. Ein wesentlicher Vorteil dieser Methode ist, dass damit der Fluss von fehlerhaften Daten (unsauberen Daten) bereinigt werden kann und die Auswirkungen von Fehlern weitgehend eingedämmt werden können.[36] Ein Grund für die höhere Stabilität von .NET-Applikationen verglichen mit nativen Windows-Applikationen ist die konsequente Verwendung der Wrapper-Technologie. In 5. Vermeidung potentieller Schwachstellen 82 den .NET-Bibliotheken der Common Language Runtime (CLR) werden alle Parameter und Datenflüsse zwischen den Applikationen und der Windows-API einer strikten Überprüfung zugeführt. Funktionsaufrufe und Daten, welche zu Fehlern und Buffer Overflow Schwachstellen führen, sind damit kaum möglich, da sie die Barrikaden der .NET Bibliotheken nur noch schwer durchbrechen können. 5.4 Sicherere Programmiersprachen Die Defensive Programmierung verlangt vom Softwareentwickler eine aktive Teilnahme am Sicherungsprozess einer Software. Dies wiederum setzt entsprechende Kenntnisse und ein entsprechendes Sicherheitsbewusstsein der Entwickler voraus. Viele der in dieser Arbeit besprochenen Sicherheitsmängel basieren auf C und C++ spezifischen Möglichkeiten der Speicherverwaltung und -manipulation. Weitere Möglichkeiten potentielle Schwachstellen in Programmen zu vermeiden, sind der bewusste Verzicht der direkten Speichermanipulation innerhalb von C/C++ Programmen, die Verwendung alternativer und als sicherer geltender Programmiersprachen oder die Kapselung der Programme in geschützten Umgebungen. Als sicherere Programmiersprachen gelten die Sprachen der .NET Technologie und Java, welche ohne Zeiger auskommen und lediglich mit verwaltetem Speicher und Code arbeiten. 5.4.1 Sichereres C und C++ Wie in der technischen Einführung und im Kapitel 3 angeführt, sind Zeigerfehler und eine fehlerhafte Stringverwaltung oft die typischen Gründe für eine Softwaresicherheitsschwachstelle. Ein falscher Datenzeiger erlaubt mitunter die Manipulation von Speicher auf dem Stack und Heap und die Änderung einer Sprungadresse. Ein Pufferüberlauf überschreibt andere Speicherbereiche und ein fehlender 0-Character zum Abschluss eines Strings kann Bibliotheksfunktionen zum Absturz bringen. Die Fehleranfälligkeit der C-Funktionen und der Aufwand, der notwendig ist, um C-Programme fehlertolerant zu machen, wurden schon früh als Schwächen der Programmiersprache C erkannt. Mit dem Verzicht auf die direkte Speichermanipulation 5. Vermeidung potentieller Schwachstellen 83 und auf Zeiger scheint eine mögliche Lösung gefunden zu sein. Einige Programmiersprachen (Java, C#) verzichten ganz auf Zeiger, andere setzen auf entsprechende Erweiterungen und Ersatzlösungen. Als objektorientierte Weiterentwicklung von C bieten C++ und seine C++ Standardbibliotheken zusätzliche Typen, Klassen und Methoden an. Die Standard Template Library 5 (STL) bietet generische Container, Iteratoren, Algorithmen und Funktionen zur Verwaltung von Daten in Listen, Arrays, Sets, Maps, usw.. In der später aus der STL hervorgegangenen und standardisierten C++ Standardbibliothek 6 wurde auch der Typ string eingeführt, um die Speicherung und Manipulation von Zeichenketten zu erleichtern. Die Klasse string verwaltet den Speicher und die Länge des Strings. Stringfehler aufgrund fehlender 0-Character sind damit also nicht mehr möglich (siehe Listing C.6, Zeilen 6ff). Zur Verwaltung von Zeigern wurden sogenannte Smart-Pointer, in der STL mit dem Template auto_ptr implementiert (siehe Listing C.6, Zeile 22), eingeführt. Smart-Pointer übernehmen die intelligente Verwaltung der Zeiger und die Freigabe der Ressourcen (z.B. Speicher, Handles). Verlässt ein Smart-Pointer den Gültigkeitsbereich, so wird automatisch der Destruktor des Pointers aufgerufen und darin der allokierte Speicher freigegeben. All diese Sprach- und Bibliothekserweiterungen haben das gemeinsame Ziel, den Softwareentwicklern effiziente und getestete Funktionen zur Verwaltung von Daten anzubieten und fehleranfällige Routinen durch Standardroutinen zu ersetzen. Mit den Klassen und Templates der C++ Standardbibliothek kann auf Zeiger und die direkte Bearbeitung von Speicher weitgehend verzichtet werden. 5.4.2 Managed Code und Managed Memory Die Verwendung von string, auto_ptr und einer Reihe weiterer Features der STL und von C++ erlauben die Entwicklung von Applikationen, die deutlich stabiler und 5 http://www.sgi.com/tech/stl/ Die heute gültige C++ Standardbibliothek hat die ursprünglich von Hewlett-Packard seit 1971 entwickelte STL nicht zur Gänze übernommen, sondern nur Teile davon. In einigen Details unterscheidet sich die C++ Standardbibliothek von der ursprünglichen STL, die im Jahr 1993 dem C++ Standardisierungskomitee zur Verfügung gestellt wurde. Weiters hat erst die C++ Standardbibliothek Klassen zur Verwaltung von Zeichenketten (Strings) und Ein- und Ausgabeströme (Streams) aufgenommen. 6 5. Vermeidung potentieller Schwachstellen 84 sicherer sind. Die Entwickler können diese Features wahlweise nutzen, eine defensive Programmierung, die Verwendung einer STL oder sicherer Typen sind in C++ aber letztendlich freiwillig. Anders ist dies bei höheren Programmiersprachen, wie z.B. Pascal, Modula-2 und Oberon. Sie unterstützen ein Bounds Checking während der Compile- oder Run-Time. In Java und C# fehlen Zeiger gänzlich und Daten können nur in Collections 7 verwaltet werden. Zusätzlich laufen Programme dieser Sprachen in einem streng kontrollierten Prozessraum ab. Jeder Zugriff auf Daten außerhalb legaler Grenzen führt ausnahmslos zu einer Ausnahme. Den Code dazu erzeugen die Compiler automatisch. Speicherüberläufe oder Array Indexing Overflows, wie einer im Listing C.7 gezeigt wird, quittiert die .NET CLR mit folgender Exception: ’OverrunApp.vshost.exe’ (Managed): Loaded ’[...]\OverrunApp.exe’, Symbols loaded. A first chance exception of type ’System.IndexOutOfRangeException’ occurred in OverrunApp.exe In der Java Virtual Machine (JVM) und unter .NET sind alle Speicherzugriffe und Manipulationen streng kontrolliert. JVM als auch .NET mit seiner Language Runtime Infrastructure (standardisiert nach ISO/IEC 23271:20068 oder Standard ECMA-3359 ) verwalten den Speicher selbständig und bieten eine mehrstufige Garbage Collection, bei der unbenutzter Speicher selbständig freigegeben wird und somit Memory Leaks wirkungsvoll verhindert werden. Um diese Code- und Speicherkontrolle zu gewährleisten, arbeiten sowohl Java als auch das .NET Framework nach dem sogenannten Write Once Run Anywhere (WORA)Prinzip. Dabei wird vom Compiler ein plattformunabhängiger Zwischencode (Common Intermediate Language - CIL) erzeugt, der erst unmittelbar vor der Ausführung von einem Just-in-Time (JIT) Compiler in plattformabhängigen Code übersetzt wird. Diese Vorgehensweise erlaubt die maximale Kontrolle sowohl über den verwalteten Code (Managed Code) als auch über den Speicher der Applikation. 7 Collections entsprechen den Containern der STL. Bei Java und C# haben sich aber etwas andere Terminologien durchgesetzt. In beiden wird z.B. nicht von Templates gesprochen, sondern von sogenannten Generics. In der Anwendung sind diese Konzepte durchaus ähnlich, auch wenn C++ Templates leistungsfähiger sind. 8 http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42927 9 http://www.ecma-international.org/publications/files/ECMA-ST/Ecma-335.pdf 5. Vermeidung potentieller Schwachstellen 5.5 85 Zusätzliche Techniken Neben der Absicherung der Software auf Codebasis und einem sicheren Design gibt es noch eine Reihe weiterer Methoden und Einflussgrößen, welche die Sicherheit einer Software fördern oder beschränken. Diese werden im Rahmen dieser Arbeit nicht ausführlicher behandelt, sollten aber dennoch nicht gänzlich unerwähnt bleiben. Dazu gehören [25, 26, 45]: • Code Reviews: z.B. Prüfungen, ob die Regeln des defensiven Programmierens eingehalten wurden, nur sichere API-Funktionen verwendet wurden, die Sicherheitsvorgaben entsprechend umgesetzt wurden. • Softwaretests: z.B. spezielle Unit-, Modul- und Integrationstests, Stresstests, Tests der Rechte- und Zugriffsverwaltung, spezielle Sicherheitstest. • Dokumentation: z.B. Dokumentation der Security Requirements, der Threat Models, Nachrichten, Privilegien, Dateiformate und -rechte; Dokumentation von Best Practices für Entwickler, Administratoren und Benutzer. • Softwareinstallation und -konfiguration: z.B: Einhaltung des Prinzips der minimalen Rechte, vollständige Installation und Deinstallation, Installationsvoraussetzungen. • Patch-Management und Bug-Fixing: z.B. in welchen Zyklen und wie Sicherheitslücken gehandhabt werden. Die Entwicklung und der Betrieb sicherer Software steht oder fällt nicht allein mit der Sicherheit einer Applikation. Sicherheit muss im Kontext des Gesamtsystems und des gesamten Entwicklungszyklus gesehen und gewährleistet werden und kann nicht isoliert betrachtet werden. Demnach umfasst sie immer den gesamten Entwicklungsund Lebenszyklus einer Software (vgl. [26]). Einige weitere Techniken befassen sich mit der Einführung einer Softwaresicherung, bei der die Software mit in das Betriebs- oder Laufzeitsystem integrierte Methoden nachträglich abgesichert wird. Aus der Sicht des Softwareentwicklers handelt es sich dabei um eine passive Sicherung, da diese nicht Teil des Softwarekonzepts oder einer 5. Vermeidung potentieller Schwachstellen 86 aktiven Implementierung sind. Einige dieser Methoden (z.B. der nachträgliche Austausch von Bibliotheken, zusätzliche Wrapper) wurden auch im Kapitel 4.4 schon besprochen. Hierbei handelt es sich oft nur um die Minimierung eines etwaigen Schadens. Nachdem dabei nicht von einer wirklichen Vermeidung von Schwachstellen gesprochen werden kann, wurde diese Form der Sicherung in dieser Arbeit nicht weiter verfolgt (siehe dazu auch Kapitel 6.3). 5.6 Bewertung der Methoden Die gewonnene Sicherheit aufgrund defensiver Programmierung, Wrapper und der Verwendung sicherer Klassen und Funktionen ist groß. Automatische, durch den Compiler eingefügte Sicherungsroutinen, spezielle Bibliotheken und kontrollierte Umgebungen erhöhen die Sicherheit weiter, ohne dass die Entwickler dafür einen zusätzlichen Aufwand treiben müssten. Sichere Konzepte und Programmiersprachen (z.B. Java, C#) verzichten auf besonders unsichere und fehleranfällige Konstruktionen wie Zeiger und eine direkte Speichermanipulation. Bei der Einführung einer konsequenten defensiven Implementierung zeigt sich schnell, dass die Wirkung einer aktiven Sicherung von Software als Teil des Entwicklungsprozesses deutlich größer ist, als durch spätes Hinzufügen externer Sicherungsmethoden. Dies bedarf natürlich eines entsprechenden Aufwands sowohl in der Designphase als auch in der Implementierung, sowie der Ausbildung der Entwickler. Zusätzliche Überprüfungen und weitere Softwareschichten verlangen zusätzliche Ressourcen. Performanceverluste und ein erhöhter Speicherbedarf wegen zusätzlichem Code treten aber aufgrund steigender Leistung der Systeme immer mehr in den Hintergrund. Nichtsdestotrotz ist gerade bei Systemen mit geringen Ressourcen der Einsatz komplexer Bibliotheken, von Managed Code und moderner Programmiersprachen nicht möglich. Im Bereich der Entwicklung von Embedded Systems sind C und C++ derzeit noch immer die Programmiersprachen der ersten Wahl. In diesen Fällen können sich Entwickler nicht auf zusätzliche Sprachfeatures und virtuelle Umgebungen verlassen. Hier ist die Defensive Programmierung, ein sicheres Design und ein entsprechendes Maß an Misstrauen noch immer die einzige Möglichkeit, sichere Software zu entwickeln. 5. Vermeidung potentieller Schwachstellen 87 Dass sich dies bald ändern könnte, zeigen die letzten Entwicklungen des .NET Micro Frameworks 10 , welches die .NET CLR speziell für Embedded Systems adaptiert hat und sogar als Betriebssystemersatz verwendet werden kann. 10 http://msdn2.microsoft.com/en-us/embedded/bb267253.aspx 6 Zusammenfassung und Ausblick Im Rahmen dieser Arbeit wurde untersucht, mit welchen Methoden und Werkzeugen Sicherheitsschwachstellen lokalisiert und vermieden werden können. Die folgende Zusammenfassung gibt einen Überblick über die Erkenntnisse der Untersuchungen. Der darauf folgende Ausblick schließt mit Vorschlägen ab, wie eine weiterführende Arbeit zu diesem Thema aussehen könnte. 6.1 Zusammenfassung Die Lokalisierung potentieller Sicherheitsschwachstellen (Kapitel 4) mittels manueller Audits erfordert eine hohe fachliche Qualifikation der Entwickler und Auditoren. Manuelle Audits sind fehleranfällig und aufwändig. Quelltextbasierte und statische Analysen (Kapitel 4.2) mit Werkzeugen haben gezeigt, dass es zumindest einer semantischen Prüfung bedarf, um gute Ergebnisse zu erhalten. Mit ausschließlich lexikalischen Analysen des Quelltextes sind komplexe Mängel nicht aufzuspüren. Die meisten Schwachstellen konnte Splint und der Microsoft C/C++ Compiler aufdecken, der Rest der getesteten Werkzeuge konnte nicht wirklich überzeugen. Keines der getesteten Analysewerkzeuge erkannte alle Schwachstellen und die meisten Race Conditions blieben von den getesteten Source Code Analyzern weitgehend unentdeckt. Binärcodebasierte und dynamische Analysen (Kapitel 4.3) einer Software führten dann zum Erfolg, wenn 88 6. Zusammenfassung und Ausblick 89 gezielt nach bestimmten Schwachstellen geforscht wurde. Dies erfordert von den Auditoren sehr gute Fachkenntnisse über Systemarchitekturen und Softwaredesign. Werkzeuge gibt es für beliebige Anwendungsfälle. Erschwerend kommt hinzu, dass sich nur bestimmte Analysen automatisieren lassen. Untersuchungen mit einem Debugger bleiben weitgehend Handarbeit auf hohem Niveau. Sicherheitstests mittels Fault Injection lassen sich hingegen gut automatisieren und Unit Tests sind schon früh und einfach in den Entwicklungsprozess integrierbar. Die Vermeidung von Sicherheitsschwachstellen (Kapitel 5) erfordert ein sicheres Design (Kapitel 5.2) und die Entwicklung einer fehlerfreien Implementierung. Die Defensive Programmierung (Kapitel 5.3), welche Fehler während des Programmablaufs bewusst annimmt, erweist sich gerade in Bezug auf die Entwicklung sicherer Software als unverzichtbar, wenngleich auch als aufwendig. Die Überprüfung aller Eingaben ist genauso wichtig, wie ein kontrollierter Ablauf im Ausnahmefall. Sicherere Programmiersprachen (Kapitel 5.4) und abgesicherte Bibliotheken verlagern Teile der defensiven Strategien in von Compilern generierten Code und in Laufzeitumgebungen. Dies inkludiert meist auch den Verzicht von Zeigern. Das Ergebnis ist eine wesentlich stabilere und sicherere Software, wie gerade Java und .NET Programme zeigen. Die durch ein sicheres Design und durch eine konsequente defensive Programmierung gewonnene Sicherheit kann durch nachträglich installierte Sicherheitspakete, Stack- und Speicherüberwachungen und Compilererweiterungen (Kapitel 4.4) kaum erreicht werden. Diese Methoden basieren fast immer auf der Detektion von Fehlern erst während der Laufzeit und der nachträglichen Einschränkung negativer Auswirkungen. Wirkungsvolle Sicherheit ist aber vorweg in die Software zu integrieren und im Quellcode abgebildet. Dass die Entwicklung sicherer Software ein ganzheitliches Konzept voraussetzt, welches alle Entwicklungszyklen umfasst, wurde im Kapitel 5.5 einmal mehr betont. Die Frage, ob mit den heutigen Methoden fehlerfreie und sichere Software entwickelt werden kann, ist mit einem Ja-Aber“ zu beantworten. Ja, es ließe sich auch heute ” schon fehlerfreie und sichere Software entwickeln, aber nur mit großem technischen und personellen Einsatz. Dies lässt viele Softwareproduzenten untätig zuwarten. 6. Zusammenfassung und Ausblick 6.2 90 Ausblick Die Untersuchungen haben gezeigt, dass die Ergebnisse quelltextbasierter Analysewerkzeuge mehrheitlich unbefriedigend sind. Die einfachen Quelltexte der fiktiven Testszenarien entsprechen in ihrer Komplexität kaum denen realer Software. Dementsprechend gering sind die Treffer bei der Analyse einer realen Anwendung. Es ist zu befürchten, dass ein großer Teil sicherheitskritischer Fehler somit unentdeckt bleibt. Ein vergleichender Test der Werkzeuge ist derzeit nicht möglich. Wie unter Kapitel 4.2.3 schon begründet, muss vorher ein umfangreicher und standardisierter Pool realistischer Testszenarien geschaffen werden, um die Analysewerkzeuge objektiv bewerten zu können. Der Schwerpunkt dieser Arbeit beschäftigt sich mit der Analyse von Quelltext und mit der Vermeidung von Fehlern im Quelltext einer Applikation. Geht man davon aus, dass zukünftige Applikationen vermehrt mit sichereren Programmiersprachen für gemanagte Laufzeitumgebungen entwickelt werden, so werden die typischen Implementierungsfehler deutlich abnehmen und Designfehler dementsprechend an Bedeutung gewinnen. Zukünftige Testszenarien müssten sich mehr noch mit Thread Modeling, Security Flaws und Black Box Tests beschäftigen, denn diese sind vermutlich die verbleibenden Sicherheitsschwachstellen der näheren Zukunft. 6.3 Trends Zur Erstellung sicherer Software ist technologisch bereits viel möglich. In alle Systeme haben diese Technologien aber noch nicht Einzug gefunden. Einige der wesentlichen Entwicklungen zeigen die Trends bei der Sicherung der Softwaresysteme: • Managed Code - Mit der Einführung von Java und der Java Virtual Machine (JVM) und später mit den .NET Sprachen und der .NET Common Language Infrastructure (ISO/IEC 23271:2006151 oder Standard ECMA-335162 ) wurden sicherere Speicherverwaltungen mit einer Garbage Collection etabliert. 1 2 http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42927 http://www.ecma-international.org/publications/files/ECMA-ST/Ecma-335.pdf 6. Zusammenfassung und Ausblick 91 • Virtuelle Umgebungen und Sandboxes - Sie kapseln und schützen ganze Betriebssystemumgebungen (z.B. VMWare3 ), ausgewählte Applikationen und ihre Daten (z.B. Altiris Software Virtualization Solution4 ) oder Applikationen, welche in speziellen Programmiersprachen geschrieben wurden (z.B. Java mit der JVM, C# mit der CLI). • Nicht-ausführbarer Speicher - In speziell markierten Speichersegmenten wird die Ausführung von Code verhindert. Diese Methode erschwert die Ausführung von eingeschleustem Code (umgesetzt z.B. in Non-executable Stack in OpenWall5 , Non-executable Pages in PaX6 , ExecShield7 ). • Schutz der Prozessumgebung - Der Zugriff auf Systemobjekte und -ressourcen wird kontrolliert oder verhindert (z.B. Mandatory Access Control (MAC) implementiert in SELinux8 , AppArmor9 , TrustedBSD10 ). • Hardware basierte Schutzmethoden - Markierung von Segmenten oder Teilen des Speichers als Non-executable (z.B. für moderne x86- Architekturen (32/64 bit) unterstützt AMD die No-Execute-Bits und Intel die Execute-Disable-Bits)[28]. Mittlerweile unterstützen alle modernen Betriebssysteme das hardwarebasierte Address Space Layout Randomization (ASLR). • Managed Betriebssysteme - Einige Hersteller und Forscher arbeiten heute schon an möglichen Betriebssystemen von morgen. Nach deren Vorstellung sollten diese nur noch aus Managed Code bestehen (z.B. Microsofts Singularity11 ) und auf Basis virtualisierter Systeme arbeiten. Die steigende Komplexität der Softwaresysteme legt nahe, dass die Entwicklung dieser immer mehr automatisiert und dem Computer überlassen werden wird. Automatisch generierter Code, Komponententechnologien, neue Programmiersprachen und 3 http://www.vmware.com http://www.altiris.com 5 http://www.openwall.com 6 http://pax.grsecurity.net 7 http://www.redhat.com 8 http://www.nsa.gov/selinux 9 http://de.opensuse.org/Apparmor 10 http://www.trustedbsd.org 11 http://research.microsoft.com/os/singularity/ 4 6. Zusammenfassung und Ausblick 92 -konzepte und virtualisierte Umgebungen sollen die Sicherheit erhöhen. Auffallend dabei ist, dass sich ein wesentlicher Teil der heutigen Lösungsansätze mehr mit der Minimierung der Auswirkungen von Fehlern beschäftigt als mit den eigentlichen Ursachen der Probleme. Offensichtlich erscheint die Entwicklung fehlerfreier Software heute noch vielen unmöglich. Es ist anzunehmen, dass neben Buffer Overflows auch die unmanaged Sprachen, Umgebungen und manuellen Methoden mehr und mehr der Vergangenheit angehören werden. Ob die Designer und Entwickler gänzlich von der Aufgabe entbunden werden können sichere Software zu entwickeln, ist fraglich. Ausgenommen von allen Betrachtungen in dieser Arbeit bleibt der Unsicherheitsfaktor Mensch. Ein Großteil der Angriffe auf Computersysteme basiert immer noch auf Social Engineering. Die notwendige Veränderung in Richtung eines Sicherheitsbewusstseins betrifft also nicht nur Administratoren, Designer und Entwickler, sondern auch den einfachen Benutzer. Literaturverzeichnis [1] Aleph One (Pseudonym): Smashing The Stack For Fun And Profit. Phrack, 7(49), November 1996. URL: http://www.phrack.org/archives/49/P49-14 (Stand: 1. Marz 2007). [2] Anonymous: hacker’s guide - Sicherheit im Internet und im lokalen Netz. Markt & Technik, Buch- und Software-Verlag, Haar bei München, 1999, ISBN 3827254604. [3] Bachfeld, D.: Die Axt im Walde - Einführung in Fuzzing Tools. Heise Security, August 2006. URL: http://www.heise.de/security/artikel/76512 (Stand: 13. Juni 2007). [4] Baratloo, A., N. Singh, and T. Tsai: Libsafe: Protecting critical elements of stacks, December 1999. URL: http://pubs.research.avayalabs.com/pdfs/ALR-2001-019-whpaper. pdf (Stand: 19. April 2007). [5] Bishop, M.: Race Conditions, Files, and Security Flaws; or the Tortoise and the Hare Redux, 1995. URL: http://citeseer.ist.psu.edu/bishop95race.html (Stand: 18. Mai 2007). [6] Bishop, M. and M. Dilger: Checking for Race Conditions in File Accesses. Computing Systems, 9(2):131–152, 1996. URL: http://citeseer.ist.psu.edu/article/bishop96checking.html (Stand: 18. Mai 2007). 93 Literaturverzeichnis 94 [7] Blanc, B. and B. Maaraoui: Endianness or Where is Byte 0? - White Paper, 2005. URL: http://3bc.bertrand-blanc.com/endianness05.pdf (Stand: 1. Mai 2007). [8] Bray, B.: Compiler Security Checks In Depth - Anatomy of the x86 Stack. Visual Studio Technical Article, 2002. URL: http://msdn2.microsoft.com/en-us/library/aa290051(VS.71).aspx# vctchcompilersecuritychecksindepthanchor3 (Stand: 7. April 2007). [9] Bray, B.: Compiler Security Checks In Depth - Run-Time Checks & What /GS Does. Visual Studio Technical Article, 2002. URL: http://msdn2.microsoft.com/en-us/library/aa290051(VS.71).aspx# vctchcompilersecuritychecksindepthanchor4 (Stand: 21. Februar 2007). [10] Chess, B. and G. McGraw: Static analysis for security. IEEE Security and Privacy, 2(6):76–79, 2004, ISSN 1540-7993. [11] Committee, ISO/IEC: ISO/IEC 9899:TC2 - Programming languages - C (ISO/IEC Comittee Draft 2005). ISO/IEC Committee, May 2005. URL: http://www.open-std.org/jtc1/sc22/wg14/www/docs/n1124.pdf (Stand: 12. Februar 2007). [12] Committee, ISO/IEC: ISO/IEC TR 24731 -Extension to the C Library, Part I: Bounds-checking interfaces (Document WG14 N1114). ISO/IEC Committee, April 2005. URL: http://www.open-std.org/jtc1/sc22/wg14/www/docs/n1173.pdf (Stand: 18. Mai 2007). [13] Committee, ISO/IEC: Specification for Safer, More Secure C Library Functions (ISO/IEC Draft Technical Report, Ref.: TR 24731). ISO/IEC Committee, September 2005. URL: http://www.open-std.org/jtc1/sc22/wg14/www/docs/n1135.pdf (Stand: 25. April 2007). Literaturverzeichnis 95 [14] Committee, TIS: Tool Interface Standard (TIS), Executable and Linking Format (ELF), Specification, Version 1.2. TIS Committee, May 1995. URL: http://refspecs.freestandards.org/elf/elf.pdf (Stand: 29. April 2007). [15] Conover, M. and w00w00 Security Team: w00w00 on heap overflows, 1999. URL: http://www.w00w00.org/files/articles/heaptut.txt (Stand: 11. April 2007). [16] Corporation, Microsoft: Microsoft Portable Executable and Common Object File Format Specification, Revision 8.0. Microsoft Corporation, May 2006. URL: http://www.microsoft.com/whdc/system/platform/firmware/PECOFF. mspx (Stand: 29. April 2007). [17] Cowan, C., M. Barringer, S. Beattie, G. Kroah-Hartman, M. Frantzen, and J. Lokier: FormatGuard: Automatic Protection From printf Format String Vulnerabilities. In Usenix Security Symp., pages 191–200, August 2001. URL: http://citeseer.ist.psu.edu/cowan01formatguard.html (Stand: 19. April 2007). [18] Cowan, C., C. Pu, D. Maier, J. Walpole, P. Bakke, S. Beattie, A. Grier, P. Wagle, Q. Zhang, and H. Hinton: StackGuard: Automatic Adaptive Detection and Prevention of Buffer-Overflow Attacks. In Proc. 7th USENIX Security Conference, pages 63–78, San Antonio, Texas, January 1998. URL: http://citeseer.ist.psu.edu/cowan98stackguard.html (Stand: 3. März 2007). [19] Evans, D.: Splint manual (2002), 2002. URL: http://citeseer.ist.psu.edu/evans02splint.html (Stand: 2. Juni 2007). [20] Evans, D. and D. Larochelle: Improving security using extensible lightweight static analysis. IEEE Software, 19(1):42–51, 2002. URL: http://citeseer.ist.psu.edu/evans02improving.html (Stand: 2. Juni 2007). Literaturverzeichnis 96 [21] Flake, H.: Third Generation Exploitation - Smashing the Heap under Win2k, 2002. URL: https://www.blackhat.com/presentations/win-usa-02/ halvarflake-winsec02.ppt (Stand: 12. März 2007). [22] Gallagher, T., L. Landauer, and B. Jeffries: Hunting Security Bugs. Microsoft Press, Redmond, Washington, USA, 2006, ISBN 073562187X. [23] Herold, H. und J. Arndt: C-Programmierung unter Linux. Beispiele, Anwendung und Programmiertechniken. SuSE Press, Nürnberg, Germany, 2001, ISBN 3935922086. [24] Hoglund, G. and G. McGraw: Exploiting Software: How to Break Code (AddisonWesley Software Security Series). Addison-Wesley Professional, Boston, USA, 2004, ISBN 0201786958. [25] Howard, M. und D. LeBlanc: Sichere Software programmieren. Microsoft Press Deutschland, Unterschleissheim, Germany, 2002, ISBN 386063674X. [26] Howard, M. and D.C. LeBlanc: Writing Secure Code, Second Edition. Microsoft Press, Redmond, Washington, USA, 2nd edition, 2002, ISBN 0735617228. [27] IEEE: The Open Group Base Specifications Issue 6 (IEEE Std 1003.1, 2004 Edition). Institute of Electrical and Electronics Engineers, Inc., 2004. URL: http://www.opengroup.org/onlinepubs/009695399/mindex.html (Stand: 29. April 2007). [28] Intel Corporation: Intel 64 and IA-32 Architectures Software Developer’s Manuals, 2007. URL: http://www.intel.com/products/processor/manuals/index.htm (Stand: 16. März 2007). [29] Kaplan, Y.: API Spying Techniques for Windows 9x, NT and 2000, 2000. URL: http://www.internals.com/articles/apispy/apispy.htm (Stand: 13. Juni 2007). Literaturverzeichnis 97 [30] Karsten, G. und T. Zilm: Bash 3.0 GE-PACKT. Mitp-Verlag, Landsberg, 2. Auflage, 2005, ISBN 3826615549. [31] Klein, T.: Buffer Overflows und Format-String-Schwachstellen. Funktionsweisen, Exploits und Gegenmaßnahmen. dpunkt Verlag, Heidelberg, Germany, 2003, ISBN 3898641929. [32] Klog (Pseudonym): The Frame Pointer Overwrite. Phrack, 9(55), September 1999. URL: http://www.phrack.org/archives/55/P55-08 (Stand: 3. Mai 2007). [33] Lee, K. and S. Chapin: Buffer Overflow and Format String Overflow Vulnerabilities. Software Practice Experience, 33(5):423–460, 2003, ISSN 0038-0644. URL: http://citeseer.ist.psu.edu/lhee02buffer.html (Stand: 12. März 2007). [34] Litchfield, D.: Windows 2000 Format String Vulnerabilities, 2001. URL: http://www.nextgenss.com/papers/win32format.doc (Stand: 7. Mai 2007). [35] Maguire, S.: Writing Solid Code: Microsoft’s Techniques for Developing Bug-Free C Programs (Microsoft Programming Series). Microsoft Press, Redmond, Washington, USA, 1993, ISBN 1556155514. [36] McConnell, S.: Code Complete - Deutsche Ausgabe der Second Edition. Mi- crosoft Press Deutschland, Unterschleissheim, Germany, 2. Auflage, 2005, ISBN 386063593X. [37] McKay, E.: Writing Error Messages for Security Features. MSDN - Security Technical Articles, 2002. URL: http://msdn.microsoft.com/library/default.asp?url=/library/ en-us/dnsecure/html/securityerrormessages.asp (Stand: 15. Juni 2007). [38] Microsoft: .NET Framework and Language Features - C++ Runtime Security Checks. Visual Studio Professional Guided Tour, 2006. Literaturverzeichnis 98 URL: http://msdn.microsoft.com/vstudio/tour/vs2005_guided_tour/ VS2005pro/Framework/CPlusRuntimeSecurity.htm (Stand: 10. April 2007). [39] Microsoft Corporation: MSDN Library - Run-Time Library Reference - Deprecated CRT Functions, 2005. URL: http://msdn2.microsoft.com/en-us/library/ms235384(VS.80).aspx (Stand: 11. April 2007). [40] Microsoft Corporation: MSDN Library - Run-Time Library Reference - Security Enhancements in the CRT, 2005. URL: http://msdn2.microsoft.com/en-us/library/8ef0s5kh(VS.80).aspx (Stand: 11. April 2007). [41] Microsoft Corporation: WHDC Home - WDK and Developer Tools - Testing Tools - PREfast Annotations, 2007. URL: http://www.microsoft.com/whdc/DevTools/tools/annotations.mspx (Stand: 29. Mai 2007). [42] Microsoft Corporation: WHDC Home - WDK and Developer Tools - Testing Tools - PREfast for Drivers, 2007. URL: http://www.microsoft.com/whdc/devtools/tools/PREfast.mspx (Stand: 29. Mai 2007). [43] Microsoft Lab: Writing Secure Native Code with Visual C++. In Microsoft Tech*Ed 2006, page 16ff, May 2006. URL: http://download.microsoft.com/download/7/0/9/ 70964f31-bac7-4379-b8bf-17ef35301ace/TECHEDSEA2006_SLIDES/HOL/ DEV011_Manual.doc (Stand: 12. März 2007). [44] Nick, J.: List of tools for static code analysis, May 2007. URL: http://en.wikipedia.org/wiki/User:Nickj/List_of_tools_for_ static_code_analysis (Stand: 17. Mai 2007). [45] Rätzmann, M.: Software-Testing - Rapid Application Testing, Softwaretest, Agiles Qualitätsmanagement. Galileo Press, Bonn, 2004, ISBN 3898422712. Literaturverzeichnis 99 [46] Richarte, G.: Four different tricks to bypass StackShield and StackGuard protection, 2002. URL: http://downloads.securityfocus.com/library/StackGuard.pdf (Stand: 16. Februar 2007). [47] Schmaranz, K.: Softwareentwicklung in C. Springer, Berlin, Heidelberg, New York, 2001, ISBN 3540419586. [48] Schmaranz, K.: Softwareentwicklung in C++. Springer, Berlin, Heidelberg, New York, 2003, ISBN 3540443436. [49] Shankar, U., K. Talwar, J.S. Foster, and D. Wagner: Detecting Format String Vulnerabilities with Type Qualifiers. In Proceedings of the 10th USENIX Security Symposium, 2001. URL: http://www.usenix.org/publications/library/proceedings/sec01/ shankar.html (Stand: 3. Juni 2007). [50] sloth@nopninjas.com (Pseudonym): Bughunter Security Papers - Format String Exploitation Techniques, 2001. URL: http://doc.bughunter.net/format-string/technique.html (Stand: 7. Mai 2007). [51] Srinivasan, S.: Advanced Perl Programming. O’Reilly Media, Inc., Cambridge, 1st edition, 1997, ISBN 1565922204. [52] Stroustrup, B.: Die C ++ Programmiersprache. 2.überarbeitete Auflage. Addison Wesley Verlag, Bonn München Paris, 2. Auflage, 1992, ISBN 3893193863. [53] Swiderski, F. and W. Snyder: Threat Modeling (Microsoft Professional). Microsoft Press, Redmond, Washington, USA, 2004, ISBN 0735619913. [54] Viega, J., J.T. Bloch, Y. Kohno, and G. McGraw: ITS4: A static vulnerability scanner for C and C++ code. acsac, 00:257, 2000, ISSN 1063-9527. [55] Voas, J.: Fault injection for the masses. ISSN 0018-9162. Computer, 30(12):129–130, 1997, Literaturverzeichnis 100 URL: http://www.cigital.com/papers/download/fi-masses.ps (Stand: 12.März 2007). [56] Vromans, J.: Perl - kurz & gut. O’Reilly, Köln, Paris, Cambridge, 4. Auflage, 2003, ISBN 3897212471. [57] Wheeler, D.: Flawfinder Documentation, 2004. URL: http://www.dwheeler.com/flawfinder/flawfinder.pdf (Stand: 12. März 2007). [58] Wilander, J. and M. Kamkar: A Comparison of Publicly Available Tools for Static Intrusion Prevention. In Proceedings of the 7th Nordic Workshop on Secure IT Systems, pages 68–84, Karlstad, Sweden, November 2002. URL: http://citeseer.ist.psu.edu/wilander02comparison.html (Stand: 5. April 2007). [59] Wolf, J.: C++ von A bis Z. Das umfassende Handbuch. Galileo Press, Bonn, 2006, ISBN 3898428168. [60] Younan, Y., W. Joosen, and F. Piessen: Code Injection in C and C++: A Survey of Vulnerabilities and Countermeasures. Technical Report CW386, Departement Computerwetenschappen, Katholieke Universiteit Leuven, 2004. URL: http://www.cs.kuleuven.ac.be/publicaties/rapporten/cw/CW386. abs.html (Stand: 9. Jänner 2007). [61] Younan, Y., W. Joosen, F. Piessen, and H. van den Eynden: Security of Memory Allocators for C and C++. Technical Report CW419, Departement Computerwetenschappen, Katholieke Universiteit Leuven, 2005. URL: http://citeseer.ist.psu.edu/younan05security.html (Stand: 9. Jänner 2007). Abkürzungsverzeichnis ANSI . . . . . . . . . . . . . . . . . . American National Standards Institute API . . . . . . . . . . . . . . . . . . . Application Programming Interface ASCII . . . . . . . . . . . . . . . . . American Standard Code for Information Interchange ASLR . . . . . . . . . . . . . . . . . Address Space Layout Randomization BSS . . . . . . . . . . . . . . . . . . . Block Started by Symbol CIL . . . . . . . . . . . . . . . . . . . . Common Intermediate Language CLI . . . . . . . . . . . . . . . . . . . . Common Language Infrastructure CLR . . . . . . . . . . . . . . . . . . . Common Language Runtime COFF . . . . . . . . . . . . . . . . . Common Object File Format CPU . . . . . . . . . . . . . . . . . . . Central Processing Unit CRT . . . . . . . . . . . . . . . . . . . C Run-Time Library DDK . . . . . . . . . . . . . . . . . . Device Driver Kit DIN . . . . . . . . . . . . . . . . . . . DIN Deutsches Institut für Normung e. V. DLL . . . . . . . . . . . . . . . . . . . Dynamic Link Library ELF . . . . . . . . . . . . . . . . . . . Executable and Linking Format EN . . . . . . . . . . . . . . . . . . . . Europäische Norm ETSI . . . . . . . . . . . . . . . . . . European Telecommunications Standards Institute GNU . . . . . . . . . . . . . . . . . . GNU’s Not Unix GPR . . . . . . . . . . . . . . . . . . . General Purpose Registers HTML . . . . . . . . . . . . . . . . . Hyper Text Markup Language IA . . . . . . . . . . . . . . . . . . . . . Intel-Architektur IAT . . . . . . . . . . . . . . . . . . . . Import Address Table IEC . . . . . . . . . . . . . . . . . . . . International Electrotechnical Commission IEEE . . . . . . . . . . . . . . . . . . Institute of Electrical and Electronics Engineers 101 Abkürzungsverzeichnis 102 ISO . . . . . . . . . . . . . . . . . . . . International Organization for Standardization JVM . . . . . . . . . . . . . . . . . . . Java Virtual Machine LIFO . . . . . . . . . . . . . . . . . . Last In First Out MAC . . . . . . . . . . . . . . . . . . Mandatory Access Control MFC . . . . . . . . . . . . . . . . . . Microsoft Foundation Classes MMU . . . . . . . . . . . . . . . . . . Memory Management Unit PE . . . . . . . . . . . . . . . . . . . . Portable Executeable Format POSIX . . . . . . . . . . . . . . . . Portable Operating System Interface SDK . . . . . . . . . . . . . . . . . . . Software Development Kit STL . . . . . . . . . . . . . . . . . . . Standard Template Library SQL . . . . . . . . . . . . . . . . . . . Structured Query Language SWIFI . . . . . . . . . . . . . . . . . Software Implemented Fault Injection TC . . . . . . . . . . . . . . . . . . . . Technical Committee TIS . . . . . . . . . . . . . . . . . . . . Tool Interface Standard WORA . . . . . . . . . . . . . . . . Write Once Run Anywhere WWW . . . . . . . . . . . . . . . . . World Wide Web XML . . . . . . . . . . . . . . . . . . Extensible Markup Language XSS . . . . . . . . . . . . . . . . . . . Cross Site Scripting Anhang 103 A APIs und Bibliothekserweiterungen In den letzten Jahren wurden eine Reihe von Erweiterungen und Überarbeitungen der POSIX1 - und CRT2 -Libraries veröffentlicht, welche Sicherheitslücken in den Bibliotheksfunktionen schließen sollen. Ein Großteil der Funktionen konnte aufgrund der gegebenen Prototypen nicht sicherer gemacht werden, stattdessen wurden Ersatzfunktionen, Makros oder Templates vorgeschlagen bzw. implementiert. [13, 39] A.1 Die Standardbibliotheken Einige Funktionen aus der C-Standardbibliothek wurden als unsicher ausgewiesen und sollten in neuen Applikationen vermieden bzw. aus bestehenden Applikationen entfernt werden. Für diese Funktionen stehen in den meisten Fällen Ersatzfunktionen mit einem an den ursprünglichen Funktionsnamen angehängten _s als Suffix zur Verfügung. A.1.1 Unsichere POSIX C-Funktionen Aus den Portable Operating System Interface (POSIX ) Bibliotheken sind in erster Linie alle stringverarbeitenden Funktionen, eine Reihe von Eingabe- und Ausgabefunktionen und alle davon abgeleiteten Funktionen betroffen. Viele Funktionen werden nicht explizit angeführt, gelten jedoch ebenfalls als kritisch, weil sie wiederum Funktionen der POSIX-Libraries verwenden (z.B. syslog, etc.). Die folgende Tabelle A.1 zeigt die als unsicher ausgewiesenen Basisfunktionen in alphabetischer Reihenfolge [39]: 1 Das Portable Operating System Interface (POSIX) ist eines von der IEEE und der Open Group hpts. für Unix entwickeltes und standardisiertes Interface als Schnittstelle zwischen den Applikationen und dem Betriebssystem. Der Standard ist unter der Bezeichnung DIN/EN/ISO/IEC 9945 veröffentlicht, wobei im Abschnitt P1003.1 [27] der Betriebssystemkern und die C-Bibliotheken beschrieben werden. 2 Microsoft kürzt seine C Run-Time Libraries mit CRT ab und meint damit eine Reihe von statisch oder dynamisch zu Applikationen gelinkte Bibliotheken mit Windows oder C-Standardfunktionen. 104 A. APIs und Bibliothekserweiterungen access cabs cgets chdir chmod chsize close cprintf cputs creat cscanf cwait dup dup2 ecvt eof execl execle execlp execlpe execv execve execvp execvpe fcloseall fcvt fdopen fgetchar filelength fileno flushall fputchar gcvt getch getche getcwd getpid getw hypot inp inpw isascii isatty iscsym iscsymf itoa j0 j1 jn kbhit lfind locking lsearch lseek 105 ltoa memccpy memicmp mkdir mktemp open outp outpw putch putenv putw read rmdir rmtmp setmode sopen spawnl spawnle spawnlp spawnlpe spawnv spawnve spawnvp spawnvpe strcmpi strdup stricmp strlwr strnicmp strnset strrev strset strupr swab tell tempnam toascii tzset ultoa umask ungetch unlink wcsdup wcsicmp wcsicoll wcslwr wcsnicmp wcsnset wcsrev wcsset wcsupr write y0, y1 yn Tabelle A.1: Unsichere POSIX-Funktionen A.1.2 Unsichere Windows CRT-Funktionen Auch Microsoft hat Teile der Windows C Run-Time Libraries (CRT ) überarbeitet oder Ersatzfunktionen in ihre aktuellen Entwicklungsumgebungen eingepflegt. Microsoft dokumentiert für die mit Visual Studio 2005 ausgelieferten CRT Security Enhancements folgende Änderungen und Erweiterungen [40]: • Parameter Validation - Überprüfung der den Funktionen der CRT übergebenen Funktionsparameter auf Null-Zeiger, deren allgemeine Gültigkeit (enumerated validity) und deren Gültigkeitsbereiche (range validity) • Sized Buffers - Zwingende Übergabe und Überprüfung der Puffergrößen an die CRT Funktionen • Null Termination - Null-Terminierung von Strings • Enhanced Error Reporting - Erweiterte Errorcodes zum leichteren Auffinden von Fehlern • Filesystem Security - Sichere Dateifunktionen mit sicheren Defaulteinstellungen • Windows Security - Sicheres Prozessmanagement (Secure Process Policies) A. APIs und Bibliothekserweiterungen 106 • Format-String Syntax Checking - Erkennung von Format-String Fehlern oder fehlenden Parametern bei printf-Formatangaben Folgende Teile der CRT-Libraries (in der Tabelle A.2 in alphabetischer Reihenfolge gelistet) wurden von Microsoft als unsicher und veraltet markiert (der Compiler meldet deprecated functions) und bieten entsprechende Ersatzfunktionen an [39]: _alloca asctime _cgets, _cgetws _chsize _controlfp _creat _cscanf _cscanf_l ctime _ctime32 _ctime64 _cwscanf _cwscanf_l _ecvt _fcvt fopen freopen fscanf _fscanf_l fwscanf _fwscanf_l _gcvt getenv gets _getws gmtime _gmtime32 _gmtime64 _i64toa _i64tow _itoa _itow localtime _localtime32 _localtime64 _ltoa, _ltow _mbccpy _mbccpy_l _mbscat _mbscpy _mbslwr _mbslwr_l _mbsnbcat _mbsnbcat_l _mbsnbcpy _mbsnbcpy_l _mbsnbset _mbsnbset_l _mbsncat _mbsncat_l _mbsncpy _mbsncpy_l _mbsnset _mbsnset_l mbsrtowcs _mbsset _mbsset_l _mbstok _mbstok_l mbstowcs _mbstowcs_l _mbsupr _mbsupr_l memcpy memmove _mktemp _open scanf _scanf_l _searchenv setbuf _snprintf _snprintf_l _snscanf _snscanf_l _snwprintf _snwprintf_l _snwscanf _snwscanf_l _sopen _splitpath sprintf _sprintf_l sscanf _sscanf_l strcat strcpy _strdate strerror _strerror _strlwr _strlwr_l strncat _strncat_l strncpy _strncpy_l _strnset _strnset_l _strset _strset_l _strtime strtok _strtok_l _strupr _strupr_l swprintf _swprintf_l swscanf _swscanf_l tmpfile _ui64toa _ui64tow _ultoa _ultow _umask vsnprintf _vsnprintf _vsnprintf_l _vsnwprintf _vsnwprintf_l vsprintf _vsprintf_l vswprintf _vswprintf_l __vswprintf_l _wasctime _wcreat wcrtomb wcscat wcscpy _wcserror __wcserror _wcslwr _wcslwr_l wcsncat Tabelle A.2: Unsichere Windows CRT-Funktionen wcsncat_l _wcsncpy _wcsncpy_l _wcsnset _wcsnset_l wcsrtombs _wcsset _wcsset_l wcstok _wcstok_l wcstombs _wcstombs_l _wcsupr_l _wcsupr _wctime _wctime32 _wctime64 wctomb _wctomb_l _wfopen _wfreopen _wgetenv wmemcpy wmemmove _wmktemp _wopen _wscanf _wscanf_l _wsearchenv _wsopen _wsplitpath _wstrdate _wstrtime A. APIs und Bibliothekserweiterungen 107 Für eine Reihe weiterer unsicherer Funktionen (siehe Tabelle A.3) bietet die Microsoft Entwicklungsumgebung sichere Template Overloads an [39]: _cgets _cgetws gets _getws _itoa _i64toa _ui64toa _itow _i64tow _ui64tow _ltoa _ltow _mbsnbcat _mbsnbcat_l _mbsnbcpy _mbsnbcpy_l mbsrtowcs mbstowcs _mbstowcs_l _mktemp _wmktemp _searchenv _wsearchenv _snprintf _snprintf_l _snwprintf _snwprintf_l sprintf _sprintf_l swprintf _swprintf_l __swprintf_l strcat wcscat _mbscat _mbsncat_l strcpy strncpy wcscpy _strncpy_l _mbscpy wcsncpy _strdate _wcsncpy_l _wstrdate _mbsncpy _strlwr _mbsncpy_l _wcslwr _strtime _mbslwr _wstrtime _strlwr_l _strupr _wcslwr_l _strupr_l _mbslwr_l _mbsupr strncat _mbsupr_l _strncat_l _wcsupr_l wcsncat _wcsupr wcsncat_l _ultoa _mbsncat _ultow vsnprintf _vsnprintf _vsnprintf_l _vsnwprintf _vsnwprintf_l vsprintf _vsprintf_l vswprintf _vswprintf_l __vswprintf_l wcrtomb wcsrtombs wcstombs _wcstombs_l Tabelle A.3: Template Overloads für unsichere Windows CRT-Funktionen B Protokolle B.1 B.1.1 Lexikalische Quelltextanalysen grep Protokoll Der folgende Auszug1 aus einem Grep Protokoll zeigt die unter Anwendung der einfachen Suchmaske printf|scanf|gets|strcpy gefundenen Quelltextzeilen. Nachdem es sich bei Grep um ein einfaches Programm zur Suche und Filterung definierter Zeichenketten in beliebigen Dateien handelt, gibt Grep keinerlei Zusatzinformationen zu den gefunden Schwachstellen aus. [dau]$ grep -nE printf|scanf|gets|strcpy"*.c [...] badsource.c:66: notice that the argument to strcpy is a constant string badsource.c:77: strcpy(buffer, foo); [...] badsource.c:157: fprintf (stderr, "%s not a normal file\n", argv[1]); [...] badsource.c:533: printf("Please enter your user id :"); badsource.c:534: fgets(buffer, 1024, stdin); badsource.c:540: strcpy(errormsg, "that isn’t a valid ID"); [...] badsource.c:712: fgets(buffer, 1024, stdin); [...] stattest.c:7: printf("hello\n"); [...] stattest.c:20: printf(bf, x); [...] [dau]$ 1 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. 108 B. Protokolle B.1.2 109 ITS4 Analyseprotokoll Der folgende Auszug2 aus einem ITS4 Protokoll zeigt die von ITS4 gefundenen kritischen Quelltextzeilen. ITS4 beschreibt etwaige Methoden zur Vermeidung der gefundenen Schwachstellen. Es prüft nicht nur das Vorkommen bestimmter sicherheitskritischer Funktionen, sondern warnt auch vor leichtfertiger Anwendung bestimmter Funktionen. Ebenso gibt ITS4 zu jeder gefundenen möglichen Schwachstelle eine Bewertung in Form einer errechneten Risikostufe aus. [dau]$ its4 badsource.c badsource.c:144:(Urgent) fprintf badsource.c:148:(Urgent) fprintf [...] Non-constant format strings can often be attacked. Use a constant format string. ---------------badsource.c:533:(Urgent) printf [...] Non-constant format strings can often be attacked. Use a constant format string. ---------------badsource.c:669:(Very Risky) stat Potential race condition on: argv["1"] Points of concern are: badsource.c:669: stat badsource.c:147: open [...] badsource.c:777: fopen Manipulate file descriptors, not symbolic names, when possible. ---------------badsource.c:77:(Very Risky) strcpy [...] This function is high risk for buffer overflows Use strncpy instead. ---------------badsource.c:160:(Risky) fdopen [...] Can be involved in a race condition if you open things after a poor check. For example, don’t check to see if something is not a symbolic link before opening 2 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. B. Protokolle 110 it. Open it, then check bt querying the resulting object. Don’t run tests on symbolic file names... Perform all checks AFTER the open, and based on the returned object, not a symbolic name. ---------------badsource.c:259:(Risky) fopen [...] Can be involved in a race condition if you open things after a poor check. For example, don’t check to see if something is not a symbolic link before opening it. Open it, then check bt querying the resulting object. Don’t run tests on symbolic file names... Perform all checks AFTER the open, and based on the returned object, not a symbolic name. ---------------badsource.c:151:(Risky) fstat [...] Can lead to process/file interaction race conditions (TOCTOU category C) Manipulate file descriptors, not symbolic names, when possible. ---------------badsource.c:139:(Risky) open [...] Can be involved in a race condition if you open things after a poor check. For example, don’t check to see if something is not a symbolic link before opening it. Open it, then check bt querying the resulting object. Don’t run tests on symbolic file names... Perform all checks AFTER the open, and based on the returned object, not a symbolic name. ---------------badsource.c:255:(Risky) umask [...] Setting a liberal umask can be bad when you exec an untrusted process. Reset the umask to something sane before execing. ---------------badsource.c:293:(Some risk) read [...] Be careful not to introduce a buffer overflow when using in a loop. Make sure to check your buffer boundries. ---------------- B. Protokolle B.1.3 111 RATS Analyseprotokoll Der Auszug3 aus einem RATS Protokoll zeigt die von RATS gefundenen kritischen Quelltextzeilen. RATS beschreibt etwaige Methoden zur Vermeidung der gefundenen Schwachstellen. Es findet bei gleichem Quelltext zwar weniger kritische Zeilen als ITS4, weist aber ebenso auf mögliche TOCTOU4 Schwachstellen hin. RATS bewertet die gefundenen möglichen Schwachstellen auch mit einer Risikostufe (High, Medium, Low). [dau]$ rats badsource.c Entries in perl database: 33 Entries in python database: 62 Entries in c database: 336 Entries in php database: 55 Analyzing badsource.c badsource.c:30: High: fixed size local buffer [...] Extra care should be taken to ensure that character arrays that are allocated on the stack are used safely. They are prime targets for buffer overflow attacks. badsource.c:77: High: strcpy [...] Check to be sure that argument 2 passed to this function call will not copy more data than can be handled, resulting in a buffer overflow. badsource.c:255: High: umask [...] umask() can easily be used to create files with unsafe priviledges. It should be set to restrictive values. badsource.c:439: High: strncat [...] Consider using strlcat() instead. badsource.c:439: High: strncat [...] Check to be sure that argument 1 passed to this function call will not copy 3 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. 4 TOCTOU sowie gelegentlich auch TOCTTOU steht für die engl. Bezeichnung Time of Check to ” Time of Use“ B. Protokolle 112 more data than can be handled, resulting in a buffer overflow. badsource.c:555: High: fprintf [...] Check to be sure that the non-constant format string passed as argument 2 to this function call does not come from an untrusted source that could have added formatting characters that the code is not prepared to handle. badsource.c:293: Medium: read [...] Check buffer boundaries if calling this function in a loop and make sure you are not in danger of writing past the allocated space. badsource.c:669: Medium: stat A potential TOCTOU (Time Of Check, Time Of Use) vulnerability exists. the first line where a check has occured. The following line(s) contain uses that may match up with this check: 147 (open) Total lines analyzed: 1261 Total time 0.002426 seconds 519785 lines per second This is B. Protokolle B.1.4 113 Flawfinder Analyseprotokoll Der Auszug5 aus einem Flawfinder Protokoll zeigt die von Flawfinder gefundenen möglichen kritischen Quelltextzeilen. Flawfinder gibt etwaige zusätzliche Hilfestellungen zur Vermeidung der gefundenen Schwachstellen und am Ende des Protokolls eine Zusammenfassung der Analyse. [dau]$ flawfinder badsource.c Flawfinder version 1.26, (C) 2001-2004 David A. Wheeler. Number of dangerous functions in C/C++ ruleset: 158 Examining badsource.c badsource.c:77: [4] (buffer) strcpy: Does not check for buffer overflows when copying to destination. Consider using strncpy or strlcpy (warning, strncpy is easily misused). [...] badsource.c:555: [4] (format) fprintf: If format strings can be influenced by an attacker, they can be exploited. Use a constant for the format specification. [...] badsource.c:30: [2] (buffer) char: Statically-sized arrays can be overflowed. Perform bounds checking, use functions that limit length, or ensure that the size is larger than the maximum possible length. [...] badsource.c:139: [2] (misc) open: Check when opening files - can an attacker redirect it (via symlinks), force the opening of special file type (e.g., device files), move things around to create a race condition, control its ancestors, or change its contents?. [...] badsource.c:259: [2] (misc) fopen: Check when opening files - can an attacker redirect it (via symlinks), force the opening of special file type (e.g., device files), move things around to create a race condition, control its ancestors, or change its contents?. [...] badsource.c:719: [2] (buffer) strcat: Does not check for buffer overflows when concatenating to destination. Consider using strncat or strlcat (warning, strncat is easily misused). 5 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. B. Protokolle Risk is low because the source is a constant string. [...] badsource.c:33: [1] (buffer) strncpy: Easily used incorrectly; doesn’t always \0-terminate or check for invalid pointers. badsource.c:190: [1] (buffer) strlen: Does not handle strings that are not \0-terminated (it could cause a crash if unprotected). [...] badsource.c:255: [1] (access) umask: Ensure that umask is given most restrictive possible setting (e.g., 066 or 077). badsource.c:293: [1] (buffer) read: Check buffer boundaries if used in a loop. [...] badsource.c:857: [1] (buffer) read: Check buffer boundaries if used in a loop. [...] badsource.c:1107: [1] (access) umask: Ensure that umask is given most restrictive possible setting (e.g., 066 or 077). [...] Hits = 84 Lines analyzed = 1260 in 0.64 seconds (9082 lines/second) Physical Source Lines of Code (SLOC) = 955 Hits@level = [0] 0 [1] 48 [2] 28 [3] 0 [4] 8 [5] 0 Hits@level+ = [0+] 84 [1+] 84 [2+] 36 [3+] 8 [4+] 8 [5+] 0 Hits/KSLOC@level+ = [0+] 87.9581 [1+] 87.9581 [2+] 37.6963 [3+] 8.37696 [4+] 8.37696 [5+] 0 Minimum risk level = 1 Not every hit is necessarily a security vulnerability. There may be other security vulnerabilities; review your code! 114 B. Protokolle B.2 B.2.1 115 Semantische Quelltextanalysen Microsoft C/C++ Compiler Analyseprotokoll Der Auszug6 aus einem Compile Protokoll zeigt die vom Microsoft C++ Compiler gefundenen möglichen kritischen Quelltextzeilen. 1>---- Build started: Project: CompilerTest, Configuration: Debug Win32 ---1>Compiling... 1>CompilerTest.cpp 1>compilertest.cpp(13) : warning C4996: ’strcpy’: This function or variable may be unsafe. Consider using strcpy_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details. 1> string.h(74) : see declaration of ’strcpy’ 1>compilertest.cpp(16) : warning C4996: ’gets’: This function or variable may be unsafe. Consider using gets_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details. 1> stdio.h(270) : see declaration of ’gets’ 1>compilertest.cpp(17) : warning C4313: ’printf’ : ’%d’ in format string conflicts with argument 2 of type ’const char *’ 1>compilertest.cpp(5) : warning C4100: ’argc’ : unreferenced formal parameter 1>compilertest.cpp(8) : warning C4189: ’j’ : local variable is initialized but not referenced 1>compilertest.cpp(13) : warning C6204: Possible buffer overrun in call to ’strcpy’: use of unchecked parameter ’argv[...]’ 1>compilertest.cpp(16) : warning C6202: Buffer overrun for ’szBuffer’, which is possibly stack allocated, in call to ’gets’: length ’4294967295’ exceeds buffer size ’10’ 1>compilertest.cpp(16) : warning C6031: Return value ignored: ’gets’ 1>compilertest.cpp(17) : warning C6271: Extra argument passed to ’printf’: parameter ’3’ is not used by the format string 1>compilertest.cpp(16) : warning C6386: Buffer overrun: accessing ’argument 1’, the writable size is ’10’ bytes, but ’4294967295’ bytes might be written: Lines: 7, 8, 9, 10, 12, 13, 14, 15, 16 1>compilertest.cpp(17) : warning C6001: Using uninitialized memory ’i’: Lines: 7, 8, 9, 10, 12, 13, 14, 15, 16, 17 1>compilertest.cpp(13) : warning C6387: ’argument 1’ might be ’0’: this does not adhere to the specification for the function ’strcpy’: Lines: 7, 8, 9, 10, 12, 13 6 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. B. Protokolle 116 1>compilertest.cpp(15) : warning C6387: ’argument 1’ might be ’0’: this does not adhere to the specification for the function ’gets_s’: Lines: 7, 8, 9, 10, 12, 13, 14, 15 1>compilertest.cpp(17) : warning C4700: uninitialized local variable ’i’ used [...] 1>CompilerTest - 0 error(s), 14 warning(s) B. Protokolle B.2.2 117 GCC Compiler Analyseprotokoll Der Auszug7 aus einem Compile Protokoll zeigt die vom GCC Compiler gefundenen möglichen kritischen Quelltextzeilen. Im Vergleich zum Microsoft C++ Compiler (siehe Protokoll im Anhang B.2.1) ist bei gleichem Quelltext die Anzahl der bemängelten Quelltextzeilen sehr gering. [dau]$ gcc -Wall CompilerTest.cpp CompilerTest.cpp: In function ’int main(int, char**)’: CompilerTest.cpp:15: error: ’gets_s’ was not declared in this scope CompilerTest.cpp:17: warning: too few arguments for format CompilerTest.cpp:8: warning: unused variable ’j’ 7 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. B. Protokolle B.2.3 118 Splint Analyseprotokoll Der Auszug8 aus einem Splint Analyseprotokoll zeigt die von Splint gefundenen möglichen kritischen Quelltextzeilen. [dau]$ splint CompilerTest.c Splint 3.1.1 --- 03 Nov 2006 CompilerTest.c: (in function main) CompilerTest.c:13:12: Possibly null storage pBuffer passed as non-null param: strcpy (pBuffer, ...) A possibly null pointer is passed as a parameter corresponding to a formal parameter with no /*@null@*/ annotation. If NULL may be used for this parameter, add a /*@null@*/ annotation to the function parameter declaration. (Use -nullpass to inhibit warning) CompilerTest.c:12:14: Storage pBuffer may become null CompilerTest.c:15:4: Unrecognized identifier: gets_s Identifier used in code has not been declared. (Use -unrecog to inhibit warning) CompilerTest.c:15:4: Variable pBuffer used after being released Memory is used after it has been released (either by passing as an only param or assigning to an only global). (Use -usereleased to inhibit warning) CompilerTest.c:14:9: Storage pBuffer released CompilerTest.c:16:4: Use of gets leads to a buffer overflow vulnerability. Use fgets instead: gets Use of function that may lead to buffer overflow. (Use -bufferoverflowhigh to inhibit warning) CompilerTest.c:16:4: Return value (type char *) ignored: gets(szBuffer) Result returned by function call is not used. If this is intended, can cast result to (void) to eliminate message. (Use -retvalother to inhibit warning) CompilerTest.c:17:24: Variable i used before definition An rvalue is used that may not be initialized to a value on some execution path. (Use -usedef to inhibit warning) CompilerTest.c:17:4: No argument corresponding to printf format code 2 (%d): "i=%d j=%d" Types are incompatible. (Use -type to inhibit warning) CompilerTest.c:17:20: Corresponding format code CompilerTest.c:18:4: Format string parameter to printf is not a compile-time constant: argv[2] Format parameter is not known at compile-time. This can lead to security 8 Aus Platzgründen wurde nicht das komplette Protokoll, sondern jedes Vorkommen einer bestimmten Warnung nur einmal gelistet. Mehrfach protokollierte Warnungen wurden entfernt und stattdessen durch [. . . ] ersetzt. B. Protokolle 119 vulnerabilities because the arguments cannot be type checked. (Use -formatconst to inhibit warning) CompilerTest.c:8:9: Variable j declared but not used A variable is declared but never used. Use /*@unused@*/ in front of declaration to suppress message. (Use -varuse to inhibit warning) CompilerTest.c:5:14: Parameter argc not used A function parameter is not used in the body of the function. If the argument is needed for type compatibility or future plans, use /*@unused@*/ in the argument declaration. (Use -paramuse to inhibit warning) Finished checking --- 10 code warnings C Listings C.1 Absicherung des Stacks über Security Cookies Das folgende Beispiel im Listing C.1 zeigt die Absicherung des Stacks über Security Cookies, wie sie der Microsoft C/C++ Compiler über die Option /GS einbindet. Im Programm wird die Ausgabe in einen auf dem Stack liegenden lokalen Puffer kopiert. Nachdem keine Sicherheitsüberprüfungen stattfinden, kann es dabei leicht zu einem Stack Overflow oder zu einer gezielten Stackmanipulation kommen. Der Compiler fügt am Beginn der Funktion main das Security Cookie auf dem Stack ein. Vor dem Verlassen der Funktion main wird die Funktion __security_check_cookie aufgerufen, welche das Cookie auf seine Richtigkeit überprüft. Wird dabei eine Manipulation bzw. ein Stack Overflow festgestellt, wird eine Ausnahmebehandlung ausgelöst, ansonsten kehrt die Funktion zurück und von main aus wird mit ret auf die gesicherte Rücksprungadresse zurückgesprungen. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 // int main(int argc, char* argv[]) // { 00401000 push ebp 00401001 mov ebp,esp 00401003 sub esp,58h 00401006 mov eax,dword ptr [___security_cookie (403000h)] 0040100B xor eax,ebp 0040100D mov dword ptr [ebp-4],eax 00401010 push ebx 00401011 push esi 00401012 push edi // char szBuffer[20]; // sprintf(szBuffer, argv[1]); 00401013 mov eax,dword ptr [ebp+0Ch] 00401016 mov ecx,dword ptr [eax+4] 00401019 push ecx 120 C. Listings 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 0040101A lea 0040101D push 0040101E call 00401024 add // return 0; 00401027 xor // } 00401029 pop 0040102A pop 0040102B pop 0040102C mov 0040102F xor 00401031 call 00401036 mov 00401038 pop 00401039 ret 121 edx,[ebp-18h] edx dword ptr [__imp__sprintf (4020A8h)] esp,8 eax,eax edi esi ebx ecx,dword ptr [ebp-4] ecx,ebp __security_check_cookie (401040h) esp,ebp ebp Listing C.1: Prolog- und Epilog-Erweiterungen zur Behandlung von Security Cookies C. Listings C.2 122 Einfache Speicherüberwachung in C++ Das folgende Beispiel zeigt, wie unter C++ eine eigene Speicherverwaltung aktiviert werden kann. Im folgenden Listing C.2 werden die globalen new- und delete-Operatoren überladen. Diese neuen Operatoren unterstützen zusätzliche Parameter zur einfachen Fehlersuche beim Auftreten etwaiger Memory Leaks. 1 2 [...] #if defined(DEBUG) 3 4 #define MY_NEW new(__FILE__, __LINE__) 5 6 7 8 9 10 11 // Memory tracking allocation void* operator new(size_t nSize, LPCSTR lpszFileName, int nLine); void operator delete(void* p); [...] #endif [...] Listing C.2: Include-Datei zum Überladen des new-Operators Wird nun wie im Listing C.3 ein Speicher mit dem Operator new allokiert und mit delete freigegeben, so werden die eigenen Speicherverwaltungsroutinen aufgerufen. 1 2 3 #ifdef _DEBUG #define new MY_NEW #endif 4 5 6 7 8 9 10 11 12 13 [...] m_pBuffer1 = new char[10]; strcpy(m_pBuffer1, "ABCDEFGHI"); [...] m_pBuffer2 = new char[20]; // erzeugt aufgrund des #define den Code // m_pBuffer = new(__FILE__, __LINE__)char[20]; strcpy(m_pBuffer2, "01234567890123456789012"); [...] delete [] m_pBuffer2; Listing C.3: Quelltext mit Buffer Overflow und Memory Leak Fehler C. Listings C.3 Defensive Programmierung C.3.1 Überprüfung der Eingabedaten 123 Typisches Merkmal der Defensiven Programmierung ist die Überprüfung aller Eingangsdaten in eine Funktion. Das Beispiel zeigt eine Funktion aus der .NET Standard Library, erstellt mit dem .NET Reflector1 . 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 public virtual int Read([In, Out] char[] buffer, int index, int count) { if (buffer == null) { throw new ArgumentNullException("buffer", Environment.GetResource... } if (index < 0) { throw new ArgumentOutOfRangeException("index", Environment.GetResource... } if (count < 0) { throw new ArgumentOutOfRangeException("count", Environment.GetResource... } if ((buffer.Length - index) < count) { throw new ArgumentException( Environment.GetResourceString... } int num = 0; [...] // regulärer Funktionscode, der nur ausgeführt wird, // wenn alle Eingangsdaten gültig sind return num; } Listing C.4: Defensive Programmierung innerhalb der .NET Standard Library 1 http://www.aisto.com/roeder/dotnet/ C. Listings C.3.2 124 Zeiger und Speicherbehandlung Typisches Merkmal der Defensiven Programmierung ist die explizite Überprüfung aller Zeiger, aller Rückgabewerte von Funktionen und empfangenen Daten. Werden sensible Daten gespeichert, wird der Speicher vor dem Freigeben überschrieben und dann erst freigegeben. 1 2 3 // Allocate a buffer void* pSecData = malloc(SIZEOFSECDATA); 4 5 6 7 // 1. Check if pointer is valid (not null, valid segment,...) if( !IsPointerValid(pSecData) ) throw "Invalid pointer"; 8 9 10 11 // 2. Get data and check if the function failed if( GetData(pSecData, SIZEOFSECDATA) != SIZEOFSECDATA ) throw "Retrieving data failed"; 12 13 14 15 // 3. Check if data is valid (checksum, header,...) if( !IsDataValid(pSecData) ) throw "Invalid data"; 16 17 [...] // do something with data 18 19 20 // 4. Overwrite data buffer memset(pSecData, 0, SIZEOFSECDATA); 21 22 23 // 5. Free the buffer it is not further used free(pSecData); Listing C.5: Zeiger- und Speicherbehandlung bei defensiver Programmierung C. Listings C.4 125 Sichere Programmiersprachen C.4.1 Sicheres C++ C++ gilt nicht grundsätzlich als sichere Programmiersprache, bietet aber Klassen und Templates, welche den Verzicht auf einfache Zeiger unterstützen. Im folgenden Listing C.6 werden als Beispiel die sichere string-Klasse und ein auto_ptr der Standard Template Library (STL) verwendet. 1 2 #include <memory> #include <string> 3 4 using namespace std; 5 6 7 8 9 10 11 string foo1(const string url) { string dir; [...] // do something here return url + "/" + dir; } 12 13 14 15 16 int foo2(int* pBuffer, size_t size) { [...] // do something here } 17 18 19 20 21 22 int main() { string sUrl = "http://www.esplines.com"; string sServer = foo1(sUrl); auto_ptr<int> pBuffer( new int[SIZEOFDATA] ); 23 foo2(pBuffer.get(), SIZEOFDATA); [...] 24 25 26 } Listing C.6: Auszug aus einem STL Programm mit Smart-Pointers und Strings C. Listings C.4.2 126 Automatisches Bounds Checking in C# Die Ausführung des C# Programms aus dem Listing C.7 führt aufgrund der automatischen Überprüfung der Arraygrenzen beim Durchlauf i==10 in Zeile 15 zu einer Ausnahme (Exception). 1 2 3 using System; using System.Collections.Generic; using System.Text; 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 namespace OverrunApp { class Program { static void Main(string[] args) { Random rnd = new Random(); int[] buffer = new int[10]; for (int i = 0; i <= 10; i++) { buffer[i] = rnd.Next(int.MaxValue); } } } } Listing C.7: C# Programm mit einem Array Indexing Fehler Die von der Exception generierte Trace-Meldung sieht wie folgt aus: ’OverrunApp.vshost.exe’ (Managed): Loaded ’[...]\OverrunApp.exe’, Symbols loaded. A first chance exception of type ’System.IndexOutOfRangeException’ occurred in OverrunApp.exe C. Listings C.5 C.5.1 127 Sichere Bibliotheksfunktionen Sicherung der Funktionen über Return Codes Mit dem Windows Platform SDK könnte die Abfrage des Status- und Fehlercodes einer I/O Routine z.B. über den Rückgabewert und GetLastError() erfolgen. Diese kann wie das folgende Beispiel im Listing C.8 aussehen: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 // I/O Funktion BOOL bReturn = ReadFileEx( hFile, szBuffer, dwAmount, &tOverlapped, FileIOCompletionRoutine); // Überprüfung des Rückgabewertes ob Funktion erfolgreich if( !bReturn ) { // Abfrage des Fehlercodes DWORD err = GetLastError(); // Auswertung des Fehlercodes if( err == ERROR_INVALID_USER_BUFFER || err == ERROR_NOT_ENOUGH_QUOTA || err == ERROR_NOT_ENOUGH_MEMORY ) { // Fehlerbehandlung für schweren Fehler return MYERR_FATAL_ERROR; } // Ein weiterer Versuch continue; } // ok, Funktion erfolgreich [...] Listing C.8: Fehlerauswertung mittels GetLastError() C. Listings C.5.2 128 Sicherung von Funktionen über Exceptions Die Bibliotheken moderner Programmiersprachen, z.B. für Java und C#, melden Fehler meist über das Auslösen von Exceptions. Fehler werden mit einem Abbruch quittiert und Ergebnisse nur dann zurückgegeben, wenn die Funktionen fehlerfrei ausgeführt werden konnten. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 try { int nBytesRead = fs.Read(ByteBuffer, 0, Amount); [...] } catch(IOException ex) { // Fehlerbehandlung für schweren Fehler throw new MyFatalErrorException(MYERR_FATAL_ERROR, ex); } catch(Exception ex) { [...] } Listing C.9: Fehlerbehandlung über Exceptions in einem korrekten C# Code D Sicherheits-Tools und Bibliotheken In diesem Teil des Anhangs werden einige hilfreiche Werkzeuge und Bibliotheken zur Lokalisierung und Vermeidung von Sicherheitsschwachstellen aufgezählt. Ein Teil dieser Werkzeuge ist kostenlos und oft mit dem Quelltext verfügbar, andere sind proprietäre, kostenpflichtige Produkte oder Teil einer kommerziellen integrierten Entwicklungsumgebung (IDE). In den letzten Jahren ist der Druck des Marktes auf die Software produzierende Industrie enorm gestiegen, fehlerfreie und sichere Software auszuliefern. Demzufolge ist auch das Angebot der Tools mittlerweile entsprechend groß geworden, wenngleich kaum ein einzelnes Tool allen Anforderungen eines Entwicklers genügt. Die meisten dieser Werkzeuge decken nur einen Teil und spezielle Aufgaben ab. D.1 Statische Analysewerkzeuge Analyzer Beschreibung / Bezugsquelle BOON BOON ist ein frei verfügbarer C Source Code Anylyzer, welcher auf Buffer Overflow Schwachstellen spezialisiert ist. URL: http://www.cs.berkeley.edu/~daw/boon/ (Stand: 20. Mai 2007) C/C++ Code Statisches Source Code Analyse Tool zur Entwicklung sicherer Analyzer Windows Applikationen. Dieses Werkzeug ist in die Visual Studio 2005 IDE integriert und über das Compiler Flag /analyze (Enable Code Analysis for C/C++) aufrufbar. URL: http://msdn2.microsoft.com/en-us/library/ d3bbz7tz(VS.80).aspx (Stand: 17. April 2007) 129 D. Sicherheits-Tools und Bibliotheken Flawfinder 130 Ein in Python geschriebener, frei verfügbarer lexikalischer Source Code Analyzer, der die gefundenen potentiellen Schwachstellen nach Risiko sortiert ausgibt. URL: http://www.dwheeler.com/flawfinder/ (Stand: 18. Mai 2007) FxCop Dieses Analyse Tool des Microsoft .NET Frameworks überprüft den Managed Code auf die Einhaltung der .NET Framework Design Guidelines und sicherheitsrelevanter Vorschriften. FxCop ist sowohl in die Visual Studio 2007 IDE integriert als auch als eigenständiges Tool frei verfügbar. URL: www.gotdotnet.com/Team/FxCop/ (Stand: 4. März 2007) MOPS MOPS ist ein frei verfügbares Tool für sicherheitsrelevante Prüfungen auf Basis von C Quellcode. URL: http://www.cs.berkeley.edu/~daw/mops/ (Stand: 18. Mai 2007) .NET Das frei verfügbare Tool .NET Reflector ist sowohl ein Decompi- Reflector ler für .NET Managed Code als auch ein Class Browser und Code Analyzer. Es eignet sich besonders zur Überprüfung von .NET Assemblies, deren Code nicht verfügbar ist. URL: http://www.cs.berkeley.edu/~daw/mops/ (Stand: 4. April 2007) PREfast PREfast ist Teil von Visual Studio 2007 oder als eigenständiges Tool als Teil des Windows Device Driver Kits (DDK) verfügbar. URL: http://www.microsoft.com/whdc/devtools/tools/ PREfast.mspx (Stand: 18. Mai 2007) D. Sicherheits-Tools und Bibliotheken RATS 131 RATS spürt die wichtigsten sicherheitsrelevanten Programmierfehler, wie Buffer Overflows und Race Conditions im Quelltext von C, C++, PHP, Perl und Phthon Programmen auf. RATS ist frei verfügbar. URL: http://www.fortifysoftware.com/security-resources/ rats.jsp (Stand: 18. Mai 2007) Splint Frei verfügbare Weiterentwicklung eines der ältesten und ersten statischen Code-Analyse Programme zum Aufspüren gefährlicher Codestellen oder möglicher Fehler. In Kenntnis heutiger Bedrohungsszenarien werden nur noch einfache Überprüfungen des Quelltextes vorgenommen. URL: http://www.splint.org (Stand: 18. Mai 2007) Tabelle D.1: Auswahl einiger Werkzeuge zur statischen Quelltextanalyse Eine wesentlich ausführlichere Liste statischer Quelltext-Analyse-Werkzeuge sortiert nach Programmiersprachen und Plattformen findet sich in [44]. D. Sicherheits-Tools und Bibliotheken D.2 132 Dynamische Analysewerkzeuge Werkzeug Beschreibung / Bezugsquelle APISpy32 APISpy32 ist ein frei verfügbares Werkzeug, welches API-Aufrufe aktiver Prozesse und ihrer DLLs protokolliert und überwacht. URL: http://www.internals.com (Stand: 26. Juli 2007) AppVerifier Das AppVerifier ist ein freies Tool von Microsoft zur Überprüfung von Applikationen auf Windows XP Kompatibilität. In diesem Zusammenhang überwacht es die zu testenden Applikationen auch auf Speichermanagementfehler, unsichere StackManipulationen und API-Aufrufe, Low Resource Handling, uvm.. URL: http://support.microsoft.com/?scid=kb%3Ben-us% 3B286568&x=14&y=13 (Stand: 26. Juli 2007) Dependency Microsofts freies Werkzeug Dependency Walker zeigt die Walker Abhängigkeiten von Applikationen und DLLs zu anderen DLLs. Dieses Tool dient in erster Linie dazu, Konflikte beim dynamischen Laden von Bibliotheken aufzuspüren und aufzuzeigen, welche Bibliotheken benötigt werden. URL: http://www.dependencywalker.com (Stand: 22. Juni 2007) Detours Detours ist eine frei verfügbare Bibliothek zur Manipulation von API Aufrufen und Datensegmenten während der Laufzeit. Mit Hilfe von Detours können eigene Überwachungsfunktionen in eine Software integriert werden. URL: http://research.microsoft.com/sn/detours/ (Stand: 26. Juli 2007) D. Sicherheits-Tools und Bibliotheken FileMon 133 Das Tool FileMon überwacht Dateisystemaktivitäten auf einem Windows-System in Echtzeit. Es generiert Trace-Protokolle oder Logdateien, welche zur Auswertung noch sortiert oder gefiltert werden können. URL: http://www.microsoft.com/germany/technet/ sysinternals/utilities/Filemon.mspx (Stand: 26. Juli 2007) Gflags Das Werkzeug Global Flags (GFlags) aus den Microsoft Driver Development Tools ist ein Werkzeug zur Steuerung von systeminternen Debugging- und Überwachungsfunktionen unter Windows. URL: http://technet2.microsoft.com/windowsserver/en/ library/b6af1963-3b75-42f2-860f-aff9354aefde1033.mspx? mfr=true (Stand: 22. Juni 2007) IDA Pro IDA Pro ist ein kostenpflichtiger High End Disassembler und Debugger für verschiedenste Plattformen und Prozessoren. Er bietet weit mehr Möglichkeiten als die gängigen Debugger der freien SDKs und arbeitet mit einer graphischen Benutzeroberfläche. Eine Besonderheit von IDA Pro ist die graphische Aufbereitung von Ablaufplänen und Funktionsdiagrammen. URL: http://www.datarescue.com/idabase/ (Stand: 26. Juli 2007) Microsoft Die Microsoft Debugging Tools sind eine Ansammlung verschie- Debugging denster Debugging Werkzeuge für Windows 32-Bit und Windows Tools for 64-Bit Versionen. Sie sind Teil der Windows SDKs, DDKs und Windows Customer Support Diagnostics CD. URL: http://www.microsoft.com/whdc/DevTools/Debugging/ default.mspx (Stand: 26. Juli 2007) D. Sicherheits-Tools und Bibliotheken 134 Process Der Process Explorer zeigt eine Übersicht der aktuellen Prozesse Explorer und ihrer verwendeten DLLs. Weiters zeigt der Process Explorer Informationen über die Speicherbelegung, die Prozessorauslastung, Dateizugriffe, verwendete Handles auf Systemressourcen, Berechtigungen, Datenströme, uvm.. URL: http://www.microsoft.com/germany/technet/ sysinternals/utilities/ProcessExplorer.mspx (Stand: 26. Juli 2007) Registry RegMon ist ein Programm zur Überwachung der Windows Re- Monitor gistry. Es zeigt an, welche Applikationen mit welchen APIFunktionen schreibend oder lesend auf die Registry zugreifen. Neben den Datenflüssen kann damit auch die Handhabung der Zugriffsberechtigungen auf bestimmte Regionen der Registry überwacht werden. URL: http://www.microsoft.com/germany/technet/ sysinternals/utilities/Regmon.mspx (Stand: 26. Juli 2007) Spy++ Spy++ ist ein Programm zur Überwachung und Protokollierung der System Messages bzw. GUI Messages unter Windows. Ferner können Informationen zu den grafischen Elementen (Controls, Windows, usw.) der laufenden Programme ermittelt werden. Spy++ ist Teil der Visual Studio Installation. Für Managed Code bietet Microsoft das frei verfügbare Diagnose Werkzeug Managed Spy an. URL: http://msdn.microsoft.com/msdnmag/issues/06/04/ ManagedSpy/ (Stand: 26. Juli 2007) D. Sicherheits-Tools und Bibliotheken WinDbg 135 WinDbg ist ein weiterer Debugger für Microsoft Windows. Es ermöglicht im Vergleich zum in Visual Studio 2005 integrierten Debugger komplexere Debuggingszenarien, welche vor allem in der Treiber- und Serviceentwicklung auf systemnächster Softwareebene zur Anwendung kommen. WinDbg ist Teil der Debugging Tools for Windows. URL: http://www.microsoft.com/whdc/devtools/debugging/ installx86.mspx (Stand: 26.Juli 2007) WinSpector Eine Erweiterung von Spy++ stellt das Werkzeug WinSpector dar, welches neben den Funktionen von Spy++ noch eine Reihe weiterer und nützlicher Funktionen zur Überwachung eines Windows-Systems zur Verfügung stellt. URL: http://www.windows-spy.com/ (Stand: 26. Juli 2007) Tabelle D.2: Auswahl einiger Werkzeuge zur dynamischen Softwareanalyse D. Sicherheits-Tools und Bibliotheken D.3 136 Sonstige Werkzeuge Werkzeug Beschreibung / Bezugsquelle Threat Die Threat Modeling Tools von Michael Howard (siehe Referenz Modeling [26]) stellen eine Sammlung einfachster Applikationen zur Erstel- Tools lung eines Threat Model in der Designphase einer Applikation dar. URL: http://www.microsoft.com/ downloads/details.aspx?FamilyID= 62830f95-0e61-4f87-88a6-e7c663444ac1&displaylang=en (Stand: 13. Juli 2007) Tabelle D.3: Werkzeug zum Thema Softwaresicherheit E Good Practices für sichere Software E.1 Ein- und Ausgabedaten • Allen einer Funktion übergebenen Daten sollte misstraut werden und sie sollten entsprechend behandelt werden. Dazu zählen auch Konfigurationsdaten, die Daten angeschlossener Geräte, usw.. • Alle einer Funktion übergebenen Daten sollten typisiert werden. Untypisierte Daten (void, object, usw.) sind zu vermeiden. • Alle einer Funktion übergebenen Werte sollten auf ihre Gültigkeit geprüft werden (Gültigkeitsbereich, usw.). • Alle einer Funktion übergebenen Zeiger sollten innerhalb der Funktion auf ihre Gültigkeit überprüft werden. • Allen einer Funktion übergebenen Puffern sollte neben der Adresse noch eine Längenangabe hinzugefügt werden. • Alle einer Funktion übergebenen Daten sollten auf ihre Gültigkeit überprüft werden (Checksumme, Plausibilisierung, Headers, usw.) • Alle datenverarbeitenden Funktionen sollten einen Status der Bearbeitung liefern (z.B. als Rückgabewert der Funktion). • Alle von einer Funktion erhaltenen Daten sollten auf ihre Gültigkeit überprüft werden (Checksumme, Plausibilisierung, usw.) • Alle über öffentliche Schnittstellen übertragenen Daten sollten gesichert werden. • Alle über eine Schnittstelle übertragenen sensiblen Daten sollten verschlüsselt werden. 137 E. Good Practices für sichere Software E.2 138 Zeiger- und Speicherbehandlung • Alle Zeiger sollten vor ihrer Verwendung auf Gültigkeit überprüft werden (Nullzeiger, Speicherbereich, usw.). • Allen einer Funktion übergebenen Zeigern sollte eine Längeninformation über den Puffer hinzugefügt werden. • Alle Daten eines Puffers sollten nach deren Erhalt auf Gültigkeit überprüft werden. • Alle sensiblen Daten sollten vor deren Speicherfreigabe überschrieben werden. • Alle sensiblen Daten sollten wenn möglich nicht gespeichert werden. Für Passwörter reicht z.B. der Vergleich der CRC zur Prüfung der Richtigkeit. • Alle sensiblen Daten sollten, wenn überhaupt notwendig, nur verschlüsselt im Speicher gehalten werden. • Alle sensiblen Daten sollten nur so lange im System gehalten werden wie notwendig. E.3 Fehlerbehandlung • Alle Codeteile einer Applikation sollten durch eine Fehlerbehandlung abgesichert sein. Entweder wird diese direkt in der jeweiligen Funktion implementiert oder ein darüberliegender Mechanismus behandelt die Fehler. • Alle datenverarbeitenden Funktionen sollten ihren Status über Rückgabewerte melden. Funktionen vom Typ void geben entweder keine Daten zurück oder sollten jeden Fehler über Exceptions melden. • Alle Funktionen sollten mit Hilfe von Ausnahmen andere Programmteile über Fehler benachrichtigen, welche keinesfalls ignoriert werden dürfen. • Alle Ausnahmen sollten nur wirkliche Fehler, also außergewöhnliche Bedingungen melden, keinesfalls jedoch Status- oder andere Informationen. • Alle Ausnahmen melden von der auslösenden Funktion nicht behandelbare Fehler. Exceptions sollten nicht dazu verwendet werden, eine Problembehandlung E. Good Practices für sichere Software 139 zu delegieren. Bedingungen, die von der Funktion selbständig behandelt werden können, werden nicht über Exceptions weitergegeben. • Alle Funktionstypen, welche eine einfache Fehlermeldung mittels einer Exception nicht unterstützen (z.B. Konstruktoren und Destruktoren), sollten Exception auslösenden Code vermeiden. • Alle Ausnahmen sollten der jeweiligen Abstraktionsebene entsprechen. • Alle gefangenen Ausnahmen sollten auch behandelt werden. Funktionslose catchBlöcke sind in jedem Fall zu vermeiden. • Alle Ausnahmen sollten unter Berücksichtigung der Datensicherheit all jene Informationen aufnehmen, welche den Grund der Ausnahme erklären1 . • Alle Ausnahmebehandlungen sollten innerhalb einer Software konsistent sein. • Alle Codeteile zur Behandlung von Fehlern sollten zusammengefasst und minimiert werden. • Für alle Entwürfe und Codeteile sollte festgelegt werden, ob Robustheit oder Korrektheit ausschlaggebend ist. • Für alle Teile der Architektur sollten schon im Entwurf die jeweiligen Fehlerbehandlungstechniken festgelegt werden (Rückgabewert, Fehlercode, Exceptions, usw.). • Für alle Level einer Architektur sollten die gleichen Fehlerbehandlungstechniken zur Anwendung kommen. • Jede Applikation sollte einen Mechanismus anbieten, der unbehandelte Ausnahmen bearbeitet und kontrolliertes Terminieren der Applikation veranlasst. 1 Moderne Programmiersprachen (z.B. C#, Java) unterstützen die Ausgabe von umfangreichen Systeminformationen im Fehlerfall. Die Ausgabe von Stack Traces und Memory Dumps ist deshalb keine Seltenheit. Auch wenn diese Vorgangsweise für den Softwareentwickler hilfreich sein mag, sollten Applikationen auf sicherheitskritischen Systemen diese Informationen keinem Standardbenutzer zugänglich machen. Erweiterte Fehler- und Systeminformationen sind vor unbefugtem Zugriff zu schützen. E. Good Practices für sichere Software E.4 140 Hilfe zur Fehlersuche Während der Entwicklung sollten Programme mit dem sogenannten DEBUG-Flag kompiliert und im Debug-Mode getestet werden. Spezieller Code erkennt Fehler und gibt im Fehlerfall zusätzliche Informationen aus. • Während der Entwicklung sollte über Präprozessoren spezieller Code eingebunden werden, welcher zusätzliche Daten- und Parameterprüfungen vornimmt und gegebenenfalls Ausnahmen auslöst. • Während der Entwicklung sollte der Debugcode über DEBUG-Flags ein- und ausgeblendet werden können. • Während der Entwicklung sind alle Fehler konsequent auszugeben. • Während der Entwicklung sind die Programme im Fehlerfall abzubrechen. Der Softwareentwickler und Tester sollte erst gar nicht die Möglichkeit bekommen, den Fehler zu ignorieren, auch wenn in der Endversion dieser Fehlertyp übergangen werden könnte. • Während der Entwicklung sind alle case-default- und if-else-Fälle abzuhandeln und mit einer Fehlermeldung zu versehen. • Während der Entwicklung sind alle Speicherblöcke vom Anfang bis zum Ende zu befüllen, um Speicherfehler schneller aufzudecken. • Während der Entwicklung sind der Speicher und die Objekte mit unsinnigen Daten zu befüllen, bevor sie gelöscht werden. • Während der Entwicklung sollten alle Fehlerinformationen (Dumps, Logfiles, usw.) automatisch protokolliert und an den Entwickler weitergeleitet werden. • Während der Entwicklung sollten Versionskontrolltools und Buildtools verwendet werden, um konsistente Programmversionen erstellen zu können. • Während der Entwicklung sollte nur soviel Code zusätzlich eingebaut werden, wie notwendig ist, um alle Fehler zu entdecken. • Die fertige Release-Version sollte im Fehlerfall nur noch Informationen liefern, welche sicherheitstechnisch unbedenklich sind. F Weiterführende Online-Quellen F.1 Dokumente und Links zu Codesicherheit • Apple Inc., Secure Coding Guide, Mai 2006. URL: http://developer.apple.com/documentation/Security%/Conceptual/ SecureCodingGuide/SecureCodingGuide.pdf (Stand: 20. April 2007) • Build Security In., URL: https://buildsecurityin.us-cert.gov/daisy/bsi/home.html (Stand: 12. April 2007) • CERT, Secure Coding, März 2007. URL: http://www.cert.org/secure-coding/ (Stand: 12. April 2007) • The Honeynet Project - To Learn the Tools, Tactics and Motivities involved in Computer and Network Attacks URL: http://project.honeynet.org (Stand: 16. Mai 2007) • Microsoft Developer Network - Security (General) URL: http://msdn2.microsoft.com/en-us/library/bb545118.aspx (Stand: 15. Juni 2007) F.2 News, Newsletter und Mailing-Listen und RSSFeeds zu Softwaresicherheit • CVE - Common Vulnerabilities and Exposures URL: http://cve.mitre.org/ (Stand: 28. Mai 2007) • Bugtraq URL: http://www.securityfocus.com/archive/1 (Stand: 15. April 2007) 141 F. Weiterführende Online-Quellen 142 • United States Department of Justice, Computer Crime & Intellectual Property Section URL: http://www.cybercrime.gov (Stand: 3. April 2007) • Full-Disclosure URL: http://lists.openwall.net/full-disclosure (Stand: 15. April 2007) • ISS - IBM Internet Security Systems URL: http://xforce.iss.net/ (Stand: 14. Mai 2007) • SANS, Computer Security Newsletters and Digests URL: http://www.sans.org/newsletters (Stand: 15. April 2007) • Heise Security - News Dienste und Hintergrundinformationen zum Thema Sicherheit URL: http://www.heise.de/security (Stand: 14. April 2007) • SecurityFocus URL: http://www.securityfocus.com/bid (Stand: 14. April 2007) • SecurityTracker URL: http://www.securitytracker.com (Stand: 15. April 2007) • US-CERT - United States Computer Emergency Readiness Team US-CERT Channels URL: http://www.us-cert.gov/channels (Stand: 15. Mai 2007)