Abo
  • IT-Karriere:

C-Programmierung: Schutz für Code Pointer

Bugs in der Speicherverwaltung von C-Programmen gehören zu den häufigsten Sicherheitslücken. Da es aussichtslos sein dürfte, alle Lücken zu beheben, hat Mathias Prayer eine Strategie vorgestellt, mit der sich die meisten verhindern lassen.

Artikel veröffentlicht am , Hanno Böck
Die Speicherverwaltung von C-Programmen führt oft zu Sicherheitslücken.
Die Speicherverwaltung von C-Programmen führt oft zu Sicherheitslücken. (Bild: Levee)

Sogenannte Memory-Corruption-Lücken gehören zu den größten Problemen der IT-Sicherheit. Buffer Overflows und ähnliche Lücken werden zwar permanent gefixt, jedoch ist ihre Zahl so groß, dass es kaum realistisch ist, sie alle zu finden. Mathias Prayer hat auf dem 31C3 einen praktikablen Ansatz dargelegt, durch den sich die Ausnutzbarkeit von vielen C-Sicherheitslücken mit akzeptablen Performanceverlusten massiv eindämmen lässt.

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. Dataport, verschiedene Standorte

Der Grund für die meisten derartigen Sicherheitslücken ist die Speicherverwaltung von C und C++. Ein Programmierer muss selbst darauf achten, dass die Grenzen von Speicherbereichen eingehalten werden und nicht auf ungültige Speicherbereiche zugegriffen wird. In der Vergangenheit gab es bereits eine Reihe von Ansätzen, um das Ausnutzen von Memory-Corruption-Lücken zu erschweren. Dazu gehören etwa sogenannte Stack Canaries, Data Execution Prevention und die Randomisierung des Speicherlayouts (ASLR). Diese Ansätze werden in aktuellen Systemen bereits eingesetzt, doch sie lassen sich häufig umgehen und bieten daher keinen wirklichen Schutz.

Ganz auf C verzichten?

Vielfach wird empfohlen, wenn möglich ganz auf die Nutzung von C zu verzichten und Programmiersprachen mit einer sicheren Speicherverwaltung einzusetzen. Prayer setzt dem entgegen, dass man selbst dann auf große Mengen an C-Code angewiesen sei. Wer beispielsweise ein Programm unter Linux in Python entwickelt, benötigt weiterhin die Python-Laufzeitumgebung, die Glibc und den Linux-Kernel, die alle in C geschrieben sind. Ein System komplett ohne C-Code zu entwickeln, versucht derzeit das Projekt Mirage OS, das auf dem Kongress ebenfalls mit einem Vortrag präsent war.

Prayer und sein Forscherteam wollen die Probleme des Speicherzugriffs innerhalb von C lösen. Auch dazu gibt es bereits einige Ansätze, doch diese sind mit hohen Performanceverlusten verbunden und häufig inkompatibel mit bestehendem Code. So baut das Projekt Softbound + CETS durch eine Erweiterung des Clang-Compilers von LLVM zusätzliche Checks in den generierten Code ein, um Zugriffe außerhalb zulässiger Speicherbereiche zu unterbinden. Das funktioniert zwar, die Performanceverluste liegen jedoch bei über 100 Prozent. Einen etwas weniger aufwendigen Schutz bietet Address Sanitizer, das Teil von Gcc und Clang ist. Doch auch Address Sanitizer hat Performancekosten von etwa 70 Prozent. Für den praktischen Einsatz ist das kaum realistisch, es wird daher auch hauptsächlich als Debugging-Tool genutzt.

Die Idee von Prayers Team: Anders als bisherige Ansätze wollen sie nicht alle Speicherzugriffe schützen, sondern nur Funktionspointer. Denn bei der Ausnutzung von Memory-Corruption-Lücken wird in aller Regel versucht, den Programmablauf durch Überschreiben von Funktionspointern zu beeinflussen. Dadurch bleiben die Performancekosten im erträglichen Rahmen, die allermeisten Sicherheitslücken werden trotzdem verhindert.

Drei unabhängige Schutzmechanismen

Das Projekt Levee ist eine Erweiterung des Clang-Compilers von LLVM. Der Quellcode ist auf Github veröffentlicht. Dabei gibt es drei Schutzmechanismen, die unabhängig voneinander genutzt werden können. Auf dem Stack werden bei Funktionsaufrufen die Rücksprungadressen gespeichert, außerdem werden dort lokale Variablen abgelegt. Klassische Buffer Overflows versuchen häufig, diese Rücksprungadressen zu überschreiben. Der Strategie von Levee ist es daher, die Variablen von Code-Rücksprungadressen zu trennen und zwei separate Stacks zu nutzen. Die Performancekosten sind laut Prayer praktisch vernachlässigbar und sogar geringer als die von Stack Canaries, die bisher bereits eingesetzt werden.

Weitere Schutzmechanismen von Levee sind Code Pointer Security (CPS) und Code Pointer Integrity (CPI). Bei Code Pointer Security werden Funktionspointer auf dem Heap in einem abgetrennten Speicherbereich abgelegt. Die Performancekosten liegen bei wenigen Prozent. Bei Code Pointer Integrity werden zusätzlich alle Variablentypen geschützt, in denen in Zwischenschritten Funktionspointer abgelegt werden. Dadurch wird der Schutz deutlich vollständiger, die Performancekosten sind allerdings auch höher und liegen bei etwa zehn Prozent.

Die Schutzmechanismen funktionieren bereits auf Mac OS X, FreeBSD und Linux. Unter Linux läuft das System allerdings laut Prayer bisher weniger stabil. Auch werden bis jetzt nur x86- und x64-Architekturen unterstützt. In einem Test gelang es dem Team von Prayer, ein komplettes FreeBSD-System mit den Schutzmechanismen von Levee zu kompilieren. Auch wichtige sicherheitskritische Anwendungen wie OpenSSL oder Apache ließen sich damit betreiben. Als nächster Schritt der Entwicklung sollen erste Teile des Codes in den offiziellen LLVM-Code zurückfließen. Am weitesten ist dabei die Separierung des Stacks, diese könnte schon bald Teil des offiziellen Clang-Compilers sein.



Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. täglich neue Deals bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)

Cerdo 29. Dez 2014

Obwohl ich 3D-Drucker jetzt eher in den Maschinenbau-Bereich setzen würde.

Cerdo 29. Dez 2014

In C99 kannst du verwenden. Damit castest du automatisch zum längsten verfügbaren...

RobertFr 29. Dez 2014

Genau. Gut festgestellt.

RobertFr 29. Dez 2014

Das ist ja mal eine ganz neue Sichtweise. Du hast gar keine Ahnung von C++, oder...

Cerdo 28. Dez 2014

Du Fuchs ;-)


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

    •  /