C-Programmierung: Schutz für Code Pointer

Bugs in der Speicherverwaltung von C-Programmen gehören zu den häufigsten Sicherheitslücken. Da es aussichtslos sein dürfte, alle Lücken zu beheben, hat Mathias Prayer eine Strategie vorgestellt, mit der sich die meisten verhindern lassen.

Artikel veröffentlicht am , Hanno Böck
Die Speicherverwaltung von C-Programmen führt oft zu Sicherheitslücken.
Die Speicherverwaltung von C-Programmen führt oft zu Sicherheitslücken. (Bild: Levee)

Sogenannte Memory-Corruption-Lücken gehören zu den größten Problemen der IT-Sicherheit. Buffer Overflows und ähnliche Lücken werden zwar permanent gefixt, jedoch ist ihre Zahl so groß, dass es kaum realistisch ist, sie alle zu finden. Mathias Prayer hat auf dem 31C3 einen praktikablen Ansatz dargelegt, durch den sich die Ausnutzbarkeit von vielen C-Sicherheitslücken mit akzeptablen Performanceverlusten massiv eindämmen lässt.

Stellenmarkt
  1. Referat Organisationsmanagement, Abteilung Informations- und Kommunikationstechnik
    Stadtverwaltung Kaiserslautern, Kaiserslautern
  2. Projektleitung (m/w/d) Dienstleistung Immobilienbranche
    BRUNATA Wärmemesser Hagen GmbH & Co KG, Hamburg
Detailsuche

Der Grund für die meisten derartigen Sicherheitslücken ist die Speicherverwaltung von C und C++. Ein Programmierer muss selbst darauf achten, dass die Grenzen von Speicherbereichen eingehalten werden und nicht auf ungültige Speicherbereiche zugegriffen wird. In der Vergangenheit gab es bereits eine Reihe von Ansätzen, um das Ausnutzen von Memory-Corruption-Lücken zu erschweren. Dazu gehören etwa sogenannte Stack Canaries, Data Execution Prevention und die Randomisierung des Speicherlayouts (ASLR). Diese Ansätze werden in aktuellen Systemen bereits eingesetzt, doch sie lassen sich häufig umgehen und bieten daher keinen wirklichen Schutz.

Ganz auf C verzichten?

Vielfach wird empfohlen, wenn möglich ganz auf die Nutzung von C zu verzichten und Programmiersprachen mit einer sicheren Speicherverwaltung einzusetzen. Prayer setzt dem entgegen, dass man selbst dann auf große Mengen an C-Code angewiesen sei. Wer beispielsweise ein Programm unter Linux in Python entwickelt, benötigt weiterhin die Python-Laufzeitumgebung, die Glibc und den Linux-Kernel, die alle in C geschrieben sind. Ein System komplett ohne C-Code zu entwickeln, versucht derzeit das Projekt Mirage OS, das auf dem Kongress ebenfalls mit einem Vortrag präsent war.

Prayer und sein Forscherteam wollen die Probleme des Speicherzugriffs innerhalb von C lösen. Auch dazu gibt es bereits einige Ansätze, doch diese sind mit hohen Performanceverlusten verbunden und häufig inkompatibel mit bestehendem Code. So baut das Projekt Softbound + CETS durch eine Erweiterung des Clang-Compilers von LLVM zusätzliche Checks in den generierten Code ein, um Zugriffe außerhalb zulässiger Speicherbereiche zu unterbinden. Das funktioniert zwar, die Performanceverluste liegen jedoch bei über 100 Prozent. Einen etwas weniger aufwendigen Schutz bietet Address Sanitizer, das Teil von Gcc und Clang ist. Doch auch Address Sanitizer hat Performancekosten von etwa 70 Prozent. Für den praktischen Einsatz ist das kaum realistisch, es wird daher auch hauptsächlich als Debugging-Tool genutzt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die Idee von Prayers Team: Anders als bisherige Ansätze wollen sie nicht alle Speicherzugriffe schützen, sondern nur Funktionspointer. Denn bei der Ausnutzung von Memory-Corruption-Lücken wird in aller Regel versucht, den Programmablauf durch Überschreiben von Funktionspointern zu beeinflussen. Dadurch bleiben die Performancekosten im erträglichen Rahmen, die allermeisten Sicherheitslücken werden trotzdem verhindert.

Drei unabhängige Schutzmechanismen

Das Projekt Levee ist eine Erweiterung des Clang-Compilers von LLVM. Der Quellcode ist auf Github veröffentlicht. Dabei gibt es drei Schutzmechanismen, die unabhängig voneinander genutzt werden können. Auf dem Stack werden bei Funktionsaufrufen die Rücksprungadressen gespeichert, außerdem werden dort lokale Variablen abgelegt. Klassische Buffer Overflows versuchen häufig, diese Rücksprungadressen zu überschreiben. Der Strategie von Levee ist es daher, die Variablen von Code-Rücksprungadressen zu trennen und zwei separate Stacks zu nutzen. Die Performancekosten sind laut Prayer praktisch vernachlässigbar und sogar geringer als die von Stack Canaries, die bisher bereits eingesetzt werden.

Weitere Schutzmechanismen von Levee sind Code Pointer Security (CPS) und Code Pointer Integrity (CPI). Bei Code Pointer Security werden Funktionspointer auf dem Heap in einem abgetrennten Speicherbereich abgelegt. Die Performancekosten liegen bei wenigen Prozent. Bei Code Pointer Integrity werden zusätzlich alle Variablentypen geschützt, in denen in Zwischenschritten Funktionspointer abgelegt werden. Dadurch wird der Schutz deutlich vollständiger, die Performancekosten sind allerdings auch höher und liegen bei etwa zehn Prozent.

Die Schutzmechanismen funktionieren bereits auf Mac OS X, FreeBSD und Linux. Unter Linux läuft das System allerdings laut Prayer bisher weniger stabil. Auch werden bis jetzt nur x86- und x64-Architekturen unterstützt. In einem Test gelang es dem Team von Prayer, ein komplettes FreeBSD-System mit den Schutzmechanismen von Levee zu kompilieren. Auch wichtige sicherheitskritische Anwendungen wie OpenSSL oder Apache ließen sich damit betreiben. Als nächster Schritt der Entwicklung sollen erste Teile des Codes in den offiziellen LLVM-Code zurückfließen. Am weitesten ist dabei die Separierung des Stacks, diese könnte schon bald Teil des offiziellen Clang-Compilers sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Cerdo 29. Dez 2014

Obwohl ich 3D-Drucker jetzt eher in den Maschinenbau-Bereich setzen würde.

Cerdo 29. Dez 2014

In C99 kannst du verwenden. Damit castest du automatisch zum längsten verfügbaren...

RobertFr 29. Dez 2014

Genau. Gut festgestellt.

RobertFr 29. Dez 2014

Das ist ja mal eine ganz neue Sichtweise. Du hast gar keine Ahnung von C++, oder...

Cerdo 28. Dez 2014

Du Fuchs ;-)



Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Laserbeamer: Xiaomis Kurzdistanzprojektor kostet unter 1.500 Euro
    Laserbeamer
    Xiaomis Kurzdistanzprojektor kostet unter 1.500 Euro

    Der Fengmi R1 kann aus der Nähe Bilder von 50 bis 200 Zoll aufspannen und kostet relativ wenig. Dafür macht er bei der Auflösung Abstriche.

  2. Betriebssystem: Einige Windows-11-Apps funktionieren nicht ohne Internet
    Betriebssystem
    Einige Windows-11-Apps funktionieren nicht ohne Internet

    Um Platz zu sparen, müssen sich einige vorinstallierte Windows-11-Apps mit dem Internet verbinden. Auch ein Microsoft-Konto ist dafür nötig.

  3. Weihnachtsgeschäft: Amazon benötigt wieder 10.000 Saisonkräfte
    Weihnachtsgeschäft
    Amazon benötigt wieder 10.000 Saisonkräfte

    Amazon stellt im Weihnachtsgeschäft wieder viele Befristete ein und zahlt angeblich 12 Euro brutto.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • Gaming-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /