Abo
  • Services:

C-Programmierung: Schutz für Code Pointer

Bugs in der Speicherverwaltung von C-Programmen gehören zu den häufigsten Sicherheitslücken. Da es aussichtslos sein dürfte, alle Lücken zu beheben, hat Mathias Prayer eine Strategie vorgestellt, mit der sich die meisten verhindern lassen.

Artikel veröffentlicht am , Hanno Böck
Die Speicherverwaltung von C-Programmen führt oft zu Sicherheitslücken.
Die Speicherverwaltung von C-Programmen führt oft zu Sicherheitslücken. (Bild: Levee)

Sogenannte Memory-Corruption-Lücken gehören zu den größten Problemen der IT-Sicherheit. Buffer Overflows und ähnliche Lücken werden zwar permanent gefixt, jedoch ist ihre Zahl so groß, dass es kaum realistisch ist, sie alle zu finden. Mathias Prayer hat auf dem 31C3 einen praktikablen Ansatz dargelegt, durch den sich die Ausnutzbarkeit von vielen C-Sicherheitslücken mit akzeptablen Performanceverlusten massiv eindämmen lässt.

Stellenmarkt
  1. Hochschule Albstadt-Sigmaringen, Albstadt
  2. Drachen-Propangas GmbH, Frankfurt am Main

Der Grund für die meisten derartigen Sicherheitslücken ist die Speicherverwaltung von C und C++. Ein Programmierer muss selbst darauf achten, dass die Grenzen von Speicherbereichen eingehalten werden und nicht auf ungültige Speicherbereiche zugegriffen wird. In der Vergangenheit gab es bereits eine Reihe von Ansätzen, um das Ausnutzen von Memory-Corruption-Lücken zu erschweren. Dazu gehören etwa sogenannte Stack Canaries, Data Execution Prevention und die Randomisierung des Speicherlayouts (ASLR). Diese Ansätze werden in aktuellen Systemen bereits eingesetzt, doch sie lassen sich häufig umgehen und bieten daher keinen wirklichen Schutz.

Ganz auf C verzichten?

Vielfach wird empfohlen, wenn möglich ganz auf die Nutzung von C zu verzichten und Programmiersprachen mit einer sicheren Speicherverwaltung einzusetzen. Prayer setzt dem entgegen, dass man selbst dann auf große Mengen an C-Code angewiesen sei. Wer beispielsweise ein Programm unter Linux in Python entwickelt, benötigt weiterhin die Python-Laufzeitumgebung, die Glibc und den Linux-Kernel, die alle in C geschrieben sind. Ein System komplett ohne C-Code zu entwickeln, versucht derzeit das Projekt Mirage OS, das auf dem Kongress ebenfalls mit einem Vortrag präsent war.

Prayer und sein Forscherteam wollen die Probleme des Speicherzugriffs innerhalb von C lösen. Auch dazu gibt es bereits einige Ansätze, doch diese sind mit hohen Performanceverlusten verbunden und häufig inkompatibel mit bestehendem Code. So baut das Projekt Softbound + CETS durch eine Erweiterung des Clang-Compilers von LLVM zusätzliche Checks in den generierten Code ein, um Zugriffe außerhalb zulässiger Speicherbereiche zu unterbinden. Das funktioniert zwar, die Performanceverluste liegen jedoch bei über 100 Prozent. Einen etwas weniger aufwendigen Schutz bietet Address Sanitizer, das Teil von Gcc und Clang ist. Doch auch Address Sanitizer hat Performancekosten von etwa 70 Prozent. Für den praktischen Einsatz ist das kaum realistisch, es wird daher auch hauptsächlich als Debugging-Tool genutzt.

Die Idee von Prayers Team: Anders als bisherige Ansätze wollen sie nicht alle Speicherzugriffe schützen, sondern nur Funktionspointer. Denn bei der Ausnutzung von Memory-Corruption-Lücken wird in aller Regel versucht, den Programmablauf durch Überschreiben von Funktionspointern zu beeinflussen. Dadurch bleiben die Performancekosten im erträglichen Rahmen, die allermeisten Sicherheitslücken werden trotzdem verhindert.

Drei unabhängige Schutzmechanismen

Das Projekt Levee ist eine Erweiterung des Clang-Compilers von LLVM. Der Quellcode ist auf Github veröffentlicht. Dabei gibt es drei Schutzmechanismen, die unabhängig voneinander genutzt werden können. Auf dem Stack werden bei Funktionsaufrufen die Rücksprungadressen gespeichert, außerdem werden dort lokale Variablen abgelegt. Klassische Buffer Overflows versuchen häufig, diese Rücksprungadressen zu überschreiben. Der Strategie von Levee ist es daher, die Variablen von Code-Rücksprungadressen zu trennen und zwei separate Stacks zu nutzen. Die Performancekosten sind laut Prayer praktisch vernachlässigbar und sogar geringer als die von Stack Canaries, die bisher bereits eingesetzt werden.

Weitere Schutzmechanismen von Levee sind Code Pointer Security (CPS) und Code Pointer Integrity (CPI). Bei Code Pointer Security werden Funktionspointer auf dem Heap in einem abgetrennten Speicherbereich abgelegt. Die Performancekosten liegen bei wenigen Prozent. Bei Code Pointer Integrity werden zusätzlich alle Variablentypen geschützt, in denen in Zwischenschritten Funktionspointer abgelegt werden. Dadurch wird der Schutz deutlich vollständiger, die Performancekosten sind allerdings auch höher und liegen bei etwa zehn Prozent.

Die Schutzmechanismen funktionieren bereits auf Mac OS X, FreeBSD und Linux. Unter Linux läuft das System allerdings laut Prayer bisher weniger stabil. Auch werden bis jetzt nur x86- und x64-Architekturen unterstützt. In einem Test gelang es dem Team von Prayer, ein komplettes FreeBSD-System mit den Schutzmechanismen von Levee zu kompilieren. Auch wichtige sicherheitskritische Anwendungen wie OpenSSL oder Apache ließen sich damit betreiben. Als nächster Schritt der Entwicklung sollen erste Teile des Codes in den offiziellen LLVM-Code zurückfließen. Am weitesten ist dabei die Separierung des Stacks, diese könnte schon bald Teil des offiziellen Clang-Compilers sein.



Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)

Cerdo 29. Dez 2014

Obwohl ich 3D-Drucker jetzt eher in den Maschinenbau-Bereich setzen würde.

Cerdo 29. Dez 2014

In C99 kannst du verwenden. Damit castest du automatisch zum längsten verfügbaren...

RobertFr 29. Dez 2014

Genau. Gut festgestellt.

RobertFr 29. Dez 2014

Das ist ja mal eine ganz neue Sichtweise. Du hast gar keine Ahnung von C++, oder...

Cerdo 28. Dez 2014

Du Fuchs ;-)


Folgen Sie uns
       


Hyundai Ioniq - Test

Wir sind den elektrisch angetriebenen Hyundai Ioniq ausgiebig Probe gefahren.

Hyundai Ioniq - Test Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

    •  /