Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 45_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

11.27 Mб

Скачать

☆

<<< < Предыдущая 1 23 / 123 4 5 6 7 8 9 10 11 12 > Следующая >>>

hang

NOW!

BUY

w Click

НАШ ЭКСПЕРТ

никновения в информационные сис-

df-xchan

темы. Я говорю о возможностях про-

Илья Медведовский - кандидат технических

никновения через почтовые системы

и через обычный веб-браузер (из-за

íàóê,

директор компании Digital

Security

избыточной функциональности и

(www.dsec.ru). Один из ведущих в России экс-

неправильной настройки последних),

пертов по информационной безопасности. Ав-

а также о современной технологии

тор серии книг "Атака на Интернет" и много-

реверсивных троянов - об этом не-

численных статей и публикаций в различных

давно писали в "Компьютерре"

(http://www.dsec.ru/articles/iexploiter.php). Ñî-

журналах. Ведущий разработчик системы ана-

вокупность этих факторов позволяет

лиза и управления информационными рисками

сегодня организовать успешную ата-

ÃÐÈÔ

(www.dsec.ru/soft/grif.php) è

системы

ку на корпоративную сеть, которую

управления политикой информационной безопасности КОНДОР

еще несколько лет назад можно бы-

(www.dsec.ru/soft/kondor.php).

ло бы справедливо считать абсолют-

но защищенной. С примером подоб-

ной, ставшей сегодня возможной ата-

взломанные компьютеры. Поэтому в

жется, что следующим "этапом эво-

ки, которую мы выполнили в процес-

первую очередь имеют место прокси

люции" станет появление средств ти-

се тестов на проникновение, можно

и трояны для рассылки спама и кар-

па "exploit builder", при помощи кото-

ознакомиться по ссылке

дерства. В связи с этим атаки все

рых любой желающий сможет

http://www.dsec.ru/services/pt_rep2.php. Äó-

больше приобретают автоматический

конструировать эксплоиты под свои

маю, этот пример говорит сам за себя.

характер и, с улучшением качества

нужды, обладая самыми минимальны-

Сейчас мы переживаем момент, когда

домашнего интернета, направлены на

ми познаниями в программировании

концепция централизованной сете-

наименее защищенную часть сети -

и сетевых технологиях, как это прои-

вой защиты периметра от удаленных

домашних пользователей. В области

зошло относительно недавно с

атак умерла. То есть наличие межсе-

атак на корпоративные сети процве-

конструкторами вирусов. Правда, та-

тевого экрана стало необходимым, но

тает промышленный шпионаж. С тех-

кой технологический прорыв будет

не достаточным условием надежной

нической точки зрения, развиваются

обоюдоострым: если методика поиска

сетевой защиты от внешних воздей-

два направления - атаки на клиен-

ошибок будет полностью формализо-

ствий. Сегодня свершилось то, о чем

тские компьютеры и использование

вана, ей с тем же успехом будут поль-

мы давно предупреждали бизнес, -

альтернативных методов доступа в

зоваться и разработчики. Другим не

пришло время для защиты от интер-

сеть, таких, как VPN, Wi-Fi и т.п. Атаку-

менее перспективным направлением

нет-атак заниматься обеспечением бе-

ющие все активнее используют те же

является социальная инженерия, ибо

зопасности каждой рабочей станции и

средства, что и лица, защищающие

глупость человеческая и доверчи-

учитывать человеческий фактор при

сеть: криптографию, стеганографию,

вость неистребимы. Кроме того, ис-

разработке эффективной политики

внедрение в TCB, туннелирование

пользование человеческого фактора

информационной безопасности.

трафика. Чего я уже давно жду, так

позволяет иногда проникнуть даже

это массового вируса, написанного с

за очень хорошо настроенный fire-

Меняется ли объект атак?

использованием технологий rootkit,

wall, когда чисто технические методы

подобного тому который описан в од-

оказываются бессильными.

Ç: Несомненно. Два-три года назад

ном рассказе

мишенью для большинства атак слу-

(http://www.securitylab.ru/43445.html). Èíòå-

ÈÌ: Парадокс в том, что сегодня

жили сетевые службы, и целью ата-

ресно будет посмотреть на лица про-

многие специалисты до сих пор не за-

ки, как правило, было получить пол-

изводителей антивирусных программ.

мечают, насколько изменился мир ин-

ный контроль над удаленной систе-

формационных технологий. Сейчас

мой. Проблемы безопасности на себе

ÂÌ: На мой взгляд, тенденции раз-

мы переживаем подлинную револю-

испытывали преимущественно корпо-

вития всех технологий примерно оди-

цию в области новых технологий про-

ративные пользователи. Сегодня ата- »

наковы: использование старых нара-

боток, унификация и сокращение

Мы переживаем подлинную революцию в

числа ручных операций за счет авто-

матизации. Как происходит среднес-

области новых технологий проникновения

татистический взлом? Для начала

взломщик изучает (при помощи раз-

в информационные системы.

личных сканеров, чаще всего, nmap)

установленный на интересующем его

объекте софт (операционка, откры-

тые порты, версии висящих на них

НАШ ЭКСПЕРТ

демонов и т.п.) и ищет готовый

эксплоит под него. К счастью, до-

Алексей Лукацкий (luka@infosec.ru) - руково-

вольно большой процент сходит с

дитель отдела интернет-решений компании "ИН-

дистанции уже на этом этапе, пос-

кольку либо не находит нужный

ФОРМЗАЩИТА" (www.infosec.ru). Автор книг

эксплоит, либо попросту не может

"Обнаружение

атак", "Атака

èç

Internet",

скомпилировать его из исходника. Ес-

"Protect Your

Information

With

Intrusion

ли воспользоваться старой наработ-

Detection", а также более 200 статей по инфор-

кой не удалось, то обладающий соот-

мационной безопасности. Является модератором

ветствующей квалификацией взлом-

щик попытается создать свой экспло-

эхи RU.SECURITY в сети FIDO и автором курсов

ит. Для этого не нужно быть гением -

"Введение в обнаружение атак", "Системы обнаружения атак" и

методика поиска buffer overflow дос-

"Реагирование на атаки". Сертифицированный инструктор по безо-

таточно подробно описана (есть даже

пасности компании Internet Security Systems (www.iss.net).

готовые утилиты), равно как и мето-

дика написания shell-кодов. Мне ка-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				O V E R F L O W
								O V E R F L O W
								B U F F E R

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
	O V E R F L O W			-xcha
	O V E R F L O W
	B U F F E R

20 ПРОЛОГ ”НЕУЯЗВИМЫХ СИСТЕМ НЕ СУЩЕСТВУЕТ!”

ки на сетевые сервисы составляют лишь крайне небольшой процент, причем среди них большую часть занимают атаки на отказ в обслуживании. Большая часть инцидентов связана с клиентским программным обеспечением, и страдают, в основном, небольшие организации и частные пользователи. Следует отметить также то, что в большинстве атак в той или иной степени используются приемы социальной инженерии, при- чем именно эти приемы постоянно совершенствуются.

НАШ ЭКСПЕРТ

offtopic (offtopic@mail.ru) - специалист в области безопасности корпоративных сетей, постоянный автор и модератор форумов проекта www.securitylab.ru, сертифицированный системный инженер Microsoft (MCSE) по NT 4.0/2000/2003, сертифицированный преподаватель Microsoft (MCT).

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to	BUY
	w Click				to						m
	w Click										m
w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

С чем связана смена направленнос-

Обычно большая часть атак проводилась

òè àòàê?

либо из спортивного интереса,

Ç: Причин несколько. Во-первых, бе-

либо по каким-то личным мотивам.

зопасности серверных систем тради-

ционно уделяется больше внимания,

поэтому они не являются слабым

ресурсы), изменение номера модем-

шу. Сейчас "ресурс" этой ниши бли-

звеном. Во-вторых, меняется мотива-

ного соединения (развод пользовате-

зок к исчерпанию. Кроме того, произ-

ция атак. Любимые Голливудом атаки

ля на оплату междугородних разгово-

водители клиентского программного

- квалифицированный взломщик це-

ров по платному номеру), до хищения

обеспечения в корне изменили под-

ленаправленно получает доступ к за-

информации с кредитных карточках.

ход к его разработке, поставив тре-

секреченным документам какой-либо

Клиентское программное обеспече-

бования безопасности на одну из

компании - всегда были редки. Обыч-

ние становится идеальной мишенью

первых позиций (для серверных сис-

но большая часть атак проводилась

для атакующих, так как имеет широ-

тем тоже наблюдалось нечто подоб-

либо из спортивного интереса, либо

кое распространение, что позволяет

ное во второй половине 90-х), и,

по каким-то личным мотивам. Сейчас

взламывать огромное количество ма-

главное, стараются снять решение

подавляющая часть атак проводится

шин, которые зачастую еще и безгра-

этого вопроса с пользователя (даже

с целью получения прибыли. Взло-

мотно настроены. Кстати, во многих

до консервативного Microsoft нако-

манный компьютер может использо-

корпорациях меры по обеспечению

нец дошло, что не только средний

ваться как узелок в огромной сети,

безопасности клиентских систем час-

пользователь, а даже средний адми-

состоящей из десятков тысяч "зомби-

то ограничиваются только установ-

нистратор не может решить вопрос

рованных" машин, а сеть, в свою оче-

кой антивирусного ПО.

обеспечения безопасности в силу

редь, применяется для рассылки спа-

своей некомпетентности). Однако

ма, размещения нелегального кон-

Ведет ëè ýòî ê неминуемому êîíöó

пройдет еще достаточно много вре-

тента (например, порнографии) или

интернета, как предрекают некоторые

мени, прежде чем будут ощущаться

организации распределенных атак.

профессионалы?

результаты. Рискну предположить,

Существует большой рынок подоб-

что существенного роста количества

ных "зомбированных" машин, причем

Ç: Рано или поздно интернету в его

инцидентов в ближайшее время не

с очень большим спросом, так как

нынешнем виде придет конец, но

должно, при этом уже через год мож-

для рассылки спама, например, но-

вряд ли основной причиной станут

но ожидать его снижения, а вот че-

вые машины нужны постоянно. Могут

сетевые атаки. Причиной подобных

рез три года произойдет возврат на

быть и другие цели атаки - от относи-

прогнозов стала именно близору-

уровень двухгодичной давности.

тельно невинных, например, измене-

кость породивших их, так как за ко-

ние стартовой и поисковых страниц

личественными изменениями не бы-

Можно ли вывести из строя весь ин-

браузера (для накрутки посещаемос-

ли замечены качественные, о кото-

тернет или большую его часть?

ти сайта, впаривания рекламы и

рых идет речь, - атаки обрели моти-

привлечения посетителей на платные

вацию и нашли для себя новую ни-

ÄË: События последнего года пока-

зали, что технически такое вполне

возможно. Другое дело - вопрос мо-

Sasser и MSBlast вполне могли бы нанести

тивации атакующих. К примеру, если

говорить о вирусах, то Sasser и

значительно больший урон, если бы они

MSBlast вполне могли бы нанести

значительно больший урон, если бы

содержали деструктивные функции.

они содержали деструктивные функ-

ции. Но нынешним вирусмейкерам

уже не очень интересно заниматься

чистым деструктивом, тем более что

НАШ ЭКСПЕРТ

таким образом будет уничтожаться и

их среда существования. Вместо вы-

Владислав

Мяснянкин

(www.free-

ведения из строя сервера или поль-

зовательской системы гораздо про-

unices.org/~cybervlad) - эксперт по информацион-

дуктивнее заставить работать его на

ной безопасности. Специалист по защите теле-

себя, превратить его в зомби. И это

коммуникаций, криптографии и обманным систе-

второй источник проблем, едва ли не

мам. Автор ряда публикаций по различным аспек-

более опасный, чем атаки, использу-

там безопасности. Переводчик книги С. Гарфин-

ющие либо уязвимости в программах,

как Sasser, либо уязвимости в голо-

келя "Все под контролем".

вах, как большинство почтовых виру-

сов. Фактически в руках владельцев

ХАКЕРСПЕЦ 08(45) 2004

hang

NOW!

BUY

w Click

НАШ ЭКСПЕРТ

-xcha

ЗАРАЗА (3APA3A@security.nnov.ru) - профессионал в области безопасности корпоративных сетей. С 1996 года руководит поддержкой пользователей, консультационным направлением и аут- сорсинг-администрированием в одной из IT-ком- паний Нижнего Новгорода. В 1999 году организовал и практически в одиночку поддерживает про-

ект www.security.nnov.ru. К информационной безопасности относится как к хобби. Автор статей, посвященных сетевым атакам и защите от них, опубликованных во множестве печатных и онлайн-из- даний. Места обитания: Bugtraq, vuln-dev, full-disclosure, ru.nethack, ru.security, ru.net.soft, www.security.nnov.ru/board.

зомби появляется мощная распределенная система, способная эффективно решать самые различные зада- чи. Естественно, в первую очередь в голову приходят деструктивные возможности такой системы, примеров предложения услуг для выведения из строя неугодных серверов уже предостаточно. Но есть сильное подозрение, что гораздо выгоднее использовать ее для элементарной рассылки спама. Как я сказал выше, целенаправленное использование подобного инструмента для выведения из строя всей сети означает для атакующих выбивание почвы у себя изпод ног.

Ç: Да, все еще можно вывести из строя если и не весь интернет, то достаточно большую его часть. Однако и структура сервисов интернета тоже становится все более и более распределенной, а это позволяет исключить единую точку сбоя, атака на которую могла бы вывести из строя всю сеть.

ÌÊ: По моему мнению, вывести из строя интернет нельзя. Интернет - это совокупность интернет-провайдеров разного размера и уровня. Многие сегменты интернета обслуживаются крупными телекоммуникационными компаниями и являются важной сос-

тавляющей бизнеса этих компаний. Примерами таких компаний могут служить все известные телекоммуникационные компании, такие, как Бритиш Телеком, Дейтч Телеком, Спринт, Транстелеком. И подход к обеспече- нию работоспособности интернета у этих компаний соответствующий. У них существуют требования и шаблоны по правильной настройке оборудования с точки зрения защиты, отделы мониторинга и расследования инцидентов, специальные технические средства для обнаружения и блокирования атак типа "отказ в обслуживании". А вот маленькие операторы, обслуживающие небольшие кусочки низшего уровня нашей любимой всемирной сети, не в состоянии реализовать все вышеизложенное. Именно поэтому много проблем испытывают пользователи маленьких домашних сетей и мало - абоненты крупных операторов.

Почему до сих пор в сетевых протоколах находятся дыры, используемые для реализации атак?

ÌÊ: Вообще встречаются дыры двух основных типов. Первый - это ошибки реализации, а второй - недостаточная проработанность самих протоколов с точки зрения безопасности. Что касается первого типа,

Интернет - это совокупность интернетпровайдеров разного размера и уровня.

НАШ ЭКСПЕРТ

Михаил Кадер (mkader@cisco.com) - инженерконсультант компании Cisco Systems. Имеет статусы CCIE и CISSP.

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
	.								.c
		p	df					e
		p					g
						n
				-x cha
»

hang

NOW!

BUY

w Click

то, как говорил Брюс Шнайер, автор

но наступать на одни и те же грабли .

-xcha

известнейшего труда "Прикладная

с переполнением буфера или SQL

-x cha

криптография", современный прог-

Injection? Можно подумать, искоре-

раммист делает на 1000 строк ис-

нение их в своем коде - какое-то вы-

ходного кода 14 ошибок. Конечно, в

сокое искусство, а не элементарная

процессе отладки программных

техника программирования. Но даже

продуктов это количество удается

после их устранения останутся логи-

уменьшить, но полностью изба-

ческие ошибки, которые значитель-

виться ошибок даже теоретически

но труднее отловить, неудачная

невозможно. Относительно второго

оценка возможностей масштабиро-

типа тут дело в том, что практичес-

вания и, разумеется, человеческий

ки все сетевые протоколы разраба-

фактор, способный перечеркнуть

тывались для того, чтобы обеспе-

все усилия программистов. Если для

чить наиболее простое, удобное и

распространения вируса нужно, что-

легко реализуемое взаимодействие

бы получатель письма распаковал

между сетевыми абонентами. То

запароленный архив и вручную за-

есть, по сути дела, разработчики

пустил программу, и находятся люди,

стандартов вспомнили о функциях

которые все это проделывают, то о

безопасности в сетевых протоколах

каком устранении проблем с безо-

только тогда, когда было уже позд-

пасностью можно говорить?

но. Они попробовали исправить это

сразу в рамках работы над протоко-

Можно ли выделить основную проб-

лом IPv6, но пока такое возможно

лему с безопасностью в современных

только в далеком светлом будущем.

компаниях?

Поэтому сейчас существуют стан-

дарты, которые могут быть прило-

ÂÌ: Да, и она стара как мир, это че-

жены к существующим сетевым

ловеческий фактор. Лень и естест-

протоколам для повышения их бе-

венное желание человека упростить

зопасности. В первую очередь, это

себе жизнь делают дырявой самую

IPSsec, SSL/TLS и SSH. Использова-

совершенную систему технической

ние этих протоколов позволяет

защиты.

скрыть большинство недостатков

других протоколов в рамках стека

А можно ли создать систему, кото-

TCP/IP. При этом внедрение их

рая обнаруживала бы все возможные

сильно сдерживается как техничес-

атаки?

кими требованиями, например, тре-

бованиями по производительности

ÀË: Как говорится в рекламе, "нет,

и масштабируемости, так и слож-

сынок, это фантастика". Математичес-

ностями на 9-м уровне модели вза-

ки доказана как бесконечность мно-

имодействия открытых систем (ор-

жества атак, так и возможность соз-

ганизационно-политическом). Поэ-

дания атаки, которая не будет гаран-

тому продолжаться это будет веч-

тированно обнаружена средствами

но, так как в "войне щита и меча"

защиты. Например, несмотря на все

не может быть победителя в прин-

заявления производителей антивиру-

ципе. И основная задача любой

сов, стопроцентное обнаружение не-

системы безопасности в том, чтобы

известных вирусов в их системах - это

создание меча было экономически

миф. Если бы это действительно бы-

неэффективным, а создание щита -

ло так, то зачем было бы ежедневно

наоборот. А вот это уже вполне

обновлять свои антивирусные базы и

достижимо при грамотном исполь-

требовать ежегодную оплату подде-

зовании современных технологи-

ржки своих продуктов?

ческих наработок и решении проб-

лем 9-го уровня.

Можно ли поймать хакера, что назы-

вается, "за руку" и какими навыками

Можно ли сказать, что соблюдение

для этого надо обладать?

правил создания защищенного кода

снимет все проблемы с безопас-

ÂÌ: Этот вопрос относится к разря-

ностью?

ду вечных. С одной стороны, любое

действие оставляет следы. С другой -

ÄË: Это слишком оптимистичное

обнаружить, зафиксировать и пра-

утверждение. Правила создания за-

вильно интерпретировать эти следы -

щищенного кода могут помочь спра-

задача нетривиальная, особенно в

виться с глупыми типовыми ошибка-

интернете, где для этого может пот-

ми. В конце концов, сколько же мож-

ребоваться взаимодействие множе-

Разработчики стандартов вспомнили

о функциях безопасности в сетевых

протоколах только тогда,

когда было уже поздно.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Для взлома и защиты нужны разные навыки (как для диверсанта

и пограничника).

ства людей в разных точках планеты. Американская домохозяйка, чей подключенный к интернету по ADSL Windows взломали и использовали в качестве анонимного прокси, или старшеклассник из Новопропойска, поставивший Linux опять-таки с тор- чащими наружу прокси, вряд ли смогут помочь, даже если захотят. Поэтому остается надеяться на собственные силы и ресурсы (логи фаервола и приложений), систему обнаружения атак и т.п. Существует мнение, что защитник должен обладать навыками не хуже, чем у атакующего. На самом деле для взлома и защиты нужны разные навыки (как для диверсанта и пограничника). Для поимки "за руку", кроме чисто компьютерных знаний, нужно иметь аналити- ческие способности и владеть основами законодательства, поскольку, даже если картина "электронного боя" однозначно ясна пострадавшему админу, не факт, что собранные им распечатки логов и выводы будут приняты судом.

Кстати, что касается Windows. Правда ли, что на решениях Microsoft можно построить защищенную от взлома систему?

Î: Нет. Обман, пропаганда Билли Гейтса :). Конечно же, можно, в рамках определенного технического задания и сметы. В целом, выбор платформы при построении защищенной системы - далеко не решающий фактор. Более того, обычно он не входит в компетенцию специалиста в области безопасности. То есть ты защищаешь систему на основе каких-то продуктов, а не выбираешь, из чего бы такого "защищенного по умолчанию" ее построить. Я с группой товарищей (3APA3ой и Pig Killer) давно собираюсь организовать конкурс по взлому веб-сервера на основе "непатченного" W2K+IIS 5.0 или W2K3+IIS 6.0, в образовательных целях :).

Что надо сделать для защиты Windows-системы?

Î: Для большинства ситуаций достаточно прочитать, осмыслить и выполнить рекомендации, опубликованные на сервере Microsoft (www.microsoft.com/technet/security/default.m spx). Домашнему пользователю вполне хватит рекомендаций типа "Три шага для защиты вашего компьютера" (www.microsoft.com/Rus/Security/Protect/Defau lt.mspx), хотя я бы дополнительно по-

советовал либо отказаться от IE, либо выполнить в нем Lockdown зоны безопасности My Computer. Естественно, не стоит слепо следовать любым, даже самым лучшим рекомендациям.

Правда ли, что фаерволы и другие самостоятельные средства защиты скоро исчезнут, а им на смену придут защищенные ОС, маршрутизаторы и т.д., то есть средства защиты станут неотъемлемой частью IT-инфраст- руктуры?

ÌÊ: "Смешно ли это? Ответа нету"

(С) Кирпичи. Нельзя забывать о том, что помимо функциональных возможностей существуют вопросы простоты внедрения, администрирования, построения отказоустойчи- вых дизайнов, необходимость разделения полномочий и т.п. Пример: за серверы отвечает департамент автоматизации, за межсетевые экраны - департамент информационной безопасности. Вопросы: кто будет отвечать за функционирование программных межсетевых экранов, работающих непосредственно на серверах и как построить регламент взаимодействия? Или другой пример: мы знаем, что наши серверы в центре обработки данных не должны обслуживать протокол FTP. У этой задачи два варианта решения. Настраиваем фильтры (межсетевые экраны) на каждом сервере. И сразу всплывает парочка недостатков. Первый из них - фильтрация будет жрать ресурсы сервера, нужные нам для других задач. Второй - изменение политик безопасности будет требовать перенастройки множества серверов, желательно быстро. Установка перед этими серверами межсетевого экрана позволяет поднять производительность и снизить расходы на администрирование. Поэтому особой веры в то, что защищенные операционные системы заменят специализированные средства обеспечения безопасности, нет. А вот интеграцию специализированных средств безопасности непосредственно в сетевую инфраструктуру надо признать свершившейся. Именно это позволяет максимально эффективно реализовать механизмы контроля доступа сразу на границе сети, а также обеспечить построение различных зон безопасности и эффективную защиту центров обработки данных. E

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
	.								.c
		p	df					e
		p					g
						n
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w						Content:
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

24 Доверяй, но проверяй

Учимся грамотной работе с памятью

26 Integer Overflow

Числа как одна из первопричин возникновения ошибок

30 МАССИВное переполнение

А ты знаешь, что такое Array Overflow?

32 Дерни printf за хвост

Форматированный вывод под прицелом

36 Ломаем структуры

Структура не всегда критерий целостности

40 Десятка самых-самых

Обзор хитовых переполнений

ОСНОВЫ

24 ОСНОВЫ ДОВЕРЯЙ, НО ПРОВЕРЯЙ

Косякин Антон (deil@gameland.ru)

ДОВЕРЯЙ, НО ПРОВЕРЯЙ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

УЧИМСЯ ГРАМОТНОЙ РАБОТЕ С ПАМЯТЬЮ

Óщерб от ошибок и недосмотров программистов при работе с памятью огромен. Взять хотя бы всем известный MS Windows (R): в последнее время

большая часть патчей к нему связана как раз с устранением последствий кривой работы с памятью и переполнения буфера. Давай попробуем во всем разобраться, чтобы в будущем этого избежать.

	»	НЕПРАВИЛЬНЫЙ			Рассмотрим функцию strlen, которая подс-
		ДОСТУП И		читывает количество символов в строке.


		ПЕРЕПОЛНЕНИЯ		Предположим, что она перебирает символы



			Рассмотрим для примера		до тех пор, пока не встретит ноль - он будет



		функцию, добавляющую одну			означать, что строка закончилась. Также бу-
	строку в конец другой, strcat(s1, s2). Допус-				дем считать, что у нас есть указатель на
тим, в начале программы мы сделали так:					строку s1, для которой мы выделили сто байт.
	char *s1 = malloc(2); memset(s1, 0, 2), выделив				Давай забудем проинициализировать выде-
	строке s1 два байта и обнулив их. Теперь, ес-				ленную память нулями. Затем сделаем str-
	ли, например, strcat(s1, "j00 r 0wn3d"), функ-				cpy(s1, "hello world") и посчитаем длину на-
	ция честно скопирует строку "j00 r 0wn3d"				шей строки: strlen(s1) честно пробежится по
	по адресу, на который указывает s1. Ведь str-				словосочетанию "hello world" и пойдет счи-
	cat не знает о том, что наша программа выде-				тать дальше, пока не встретит ноль. В луч-
	лила всего два байта под s1! Поэтому она				шем случае программа выдаст неправильное
просто перезапишет чужие данные, запол-					значение и все дальнейшие расчеты будут,
нив их куском нашей строки. В данном слу-					мягко говоря, неточны :-). А в худшем?
	чае это не очень критично.				Наша бравая функция смело пробежит вы-
Однако вот такой код уже может прилично					деленные строке 100 б и пошлепает дальше,
	навредить:				где наверняка в один прекрасный момент по-
					пытается прочитать байт, на чтение которого
	typedef struct _test {				она прав не имеет. Любая система тотчас не-
	char s1[2];				одобрительно отреагирует на подобную наг-
	char s2[10];				лость, а UNIX-система сразу же пошлет про-
	} test_t;				цессу сигнал SIGSEGV и грохнет его. В ре-
					зультате чего пользователь увидит заветное
	test_t t;				"Segmentation fault".
	strcpy(t.s2, "hello world");
	strcpy(t.s1, "j00 r 0wn3d");				Теперь обсудим такой пример:
Отличие данного варианта от описанного					float *pi;
	выше в том, что в здесь s2 будет указывать				*pi = 3.141592654;
	на область, следующую сразу же за s1. И по-				printf("pi is %f", *pi);
	этому strcat(s1, "j00 r 0wn3d") с радостью пе-
	резапишет строку, хранящуюся в s2, даже не
	заметив этого :-).				Догадываешься, что может тут случиться?
	В таком случае опасность не особо велика				В начале программы создастся указатель на
	и заключается только в том, что пользова-			вещественное число, но мы его нарочно не
	тельские данные могут быть утеряны и прог-			проинициализировали. Выполнение такого
	рамма просто начнет себя странно вести. Но				кода в большинстве случаев приведет к
	могут произойти и более занятные вещи.

Такую программу ничто не спасет

"Segmentation fault" òóò êàê òóò

ХАКЕРСПЕЦ 08(45) 2004

hang

NOW!

BUY

w Click

-xcha

Большинство проблем возникает из-за того, что программа пытается получить доступ к памяти, лежащей вне доступных ей адресов.

"Segmentation fault" или появлению окошечка с ошибкой.

Резюмируем все вышесказанное. Большинство проблем возникает изза того, что программа пытается полу- чить доступ к памяти, лежащей вне доступных ей адресов. Такие попытки операционная система пресекает в корне, прибивая процесс.

Также, если не контролировать длины буферов, случается, что одни данные программы затирают другие. Это приводит ко всяким противным последствиям. Во избежание их в случае со строками были введены функции strn*, имеющие дополнительный параметр - максимальное число символов для обработки. Их использование значительно безопаснее.

Еще одним багом в работе программы является неинициализированная нулями память, что особенно заметно при работе со строками. Чтобы не наткнуться на этот баг, следует использовать вместо malloc функцию calloc, которая не только выделит память, но и обнулит ее.

ОСВОБОЖДЕНИЕ ПАМЯТИ

Вспомним объектно-ориентиро- ванные языки программирования, например Java с ее сборщиком мусора. Мы знаем, что, когда объект нам становится не нужен, вызывается деструктор и вся занимаемая им (объектом) память освобождается. Однако если во время работы программы некоторый объект динамически выделяет необходимую ему память (например, под буферы, масси-

вы), то после вызова деструктора все указатели на выделенные блоки памяти исчезнут, но память так и останется неосвобожденной. Таким образом, программа будет хранить данные, которые ей абсолютно не нужны и к которым даже нет доступа. В больших программах это может привести не только к замедлению их работы, но и к зависанию или даже краху системы. Именно поэтому мы и поговорим сейчас на тему освобождения памяти.

Смотри:

while (true) { malloc(1);

};

Запусти и увидишь, во что может вылиться такое безобидное действие, как выделение одного байта. И, к тому же, я уверен, что с каждой итерацией цикла количество используемой программой памяти будет возрастать далеко не на один байт.

Кстати, о выделении памяти. Когда делаешь это с помощью функций типа malloc, обязательно проверяй указатель на равенство NULL. Ведь может так случиться, что по определенным причинам система сумела выделить память и вернула NULL. А если обратишься по нулевому указателю, то неминуемо получишь окошечко с сообщением о завершении программы. Также стоит аккуратно обращаться с указателями на массивы, передавае-

мыми в функцию. Поясню:

dmalloc.com - скажи утечкам памяти НЕТ

int some_func(int *m) { while (*m != 0) {

printf("%d\n", *m); m++;

};

}

Эта функция принимает указатель на массив целых и выводит его (массива) содержимое на экран. Так делать нельзя. Кто знает, сколько в этом массиве чисел. Понятно, что эту программу пишешь ты, а уж ты заведомо знаешь, что чисел будет 17486, причем последнее из них является нулем, и все будет хорошо. А вдруг ты захочешь что-нибудь изменить? Вдруг ты решишь сделать 17 чисел, и последнее будет единицей? А функцию исправить забудешь. Или через пару месяцев столкнешься с аналогичной задачей и просто скопируешь часть кода в новую программу? Всякое бывает. Как говорил Петя Нортон, "backup often". В данном случае будь предусмотрительнее.

Чтобы описанная выше функция стала безопасной, необходимо добавить в нее второй параметр - количе- ство элементов массива, а также сделать проверку указателя на NULL.

НАПУТСТВИЕ

Если ты пишешь на Visual C++, то могу посоветовать тебе очень полезную программу NuMega Bounds Checker. Она встраивается в VC, отслеживает все выделения ресурсов и памяти, их освобождение, а по завершении работы программы выдает от- чет о том, где и сколько было взято, а сколько положено обратно :-). В свое время она помогла мне вылечить программу, которая, являясь сетевым сервисом, при больших нагрузках на- чинала "поедать" оперативную память со скоростью несколько мегабайт в секунду! С тех пор я осознал, что контроль за выделяемой памятью и ее освобождение - не только хороший тон, но и необходимость.

В случае если ты программируешь под Linux, советую смотреть в сторону библиотек наподобие dmalloc, Electric Fense. Такие библиотеки заменяют системные функции работы с памятью своими аналогами и ведут учет наподобие Bounds Checker'а. E

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				O V E R F L O W
								O V E R F L O W
								B U F F E R

Выделил память - не забудь освободить!

Используй при работе со строками вместо функции malloc функцию calloc, которая не только выделит память, но и обнулит ее.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

26 ОСНОВЫ INTEGER OVERFLOW

Мысла Владислав aka DigitalScream (digitalscream@real.xakep.ru)

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

O V E R F L O W

INTEGER OVERFLOW

B U F F E R

ЧИСЛА КАК ОДНА ИЗ ПЕРВОПРИЧИН ВОЗНИКНОВЕНИЯ ОШИБОК

Îн мог с легкостью написать эксплоит к 0day-уязвимости, он быстро стал известным в узких кругах и одним из первых узнавал о новых изъянах… Однажды ему принесли исходник, украденный у крупной фирмы. Это была

реализация клиентской части для банковского персонала. Работенка предстояла не из легких…

Арифмети- ческое целочисленное переполнение - это непредусмотренный переход значения какого-либо целого числа через ноль или смена его знака вследствие арифмети- ческих операций над этим числом.

Ñвзломщики научились находить лазейки в са-

мых безобидных, на первый взгляд, местахтечением времени

программы. Атаки, цель которых - повлиять на память приложения, уже давно эволюционировали от класси- ческих переполнений стека до использования целых систем технологий. Причина эволюции очень проста - с каждым днем программисты получа- ют все больше и больше информации о возможных причинах возникновения ошибки и способах их устранения. А поскольку растет грамотность разработчиков, то и ошибок они делают меньше. Но все же некоторые потенциально опасные места остаются незамеченными. Чаще всего это цепочка мелких ошибок, которые не несут явной опасности и поэтому игнорируются. А ведь очень часто именно такие ошибки и дают взломщику возможность проникновения.

ПРИСТУПИМ…

Давай для начала вспомним кое- что из теории представления чисел в IA32. Для работы с числами на уровне машинных кодов используются 8-, 16битные и т.д. регистры. Количество используемых бит зависит от того, с ка-

ПРИМЕР 1

bool Protocol::CheckPassword( int intUserID, char* szPassword, int intPasswordSize ) {

char* szOriginalPassword = GetPassword( intUserID );

bool bCorrect = FALSE;
if( intPasswordSize < 1 ) {	[1]
WriteToLog( "Password is less as 1 char" ); }
else { bCorrect = TRUE;	[2]
intPasswordSize++;	[3]
int intOffset = 0;
while( intOffset < intPasswordSize ) {	[4]
if ( szPassword[intOffset] !=
szOriginalPassword[intOffset] ) {
bCorrect = false;
break; } intOffset++; }
} return bCorrect; }

кими типами программа имеет дело. А поскольку для хранения значений численных переменных отводится ограниченное количество разрядов (битов), то появляются такие понятия, как максимальное и минимальное значения для каждого из типов.

Можно заметить, что максимальное значение типа определяется не только количеством его разрядов. Если идет речь о числах со знаком, то диапазон принимаемых значений уменьшается ровно в два раза. То есть, если для беззнакового типа byte диапазон значений от 0 до 255, то для знакового варианта он будет от -127 до +127. На машинном уровне число считается положительным, если его самый старший разряд равен нулю, и отрицательным в противоположном случае. Таким образом, старший разряд используется для служебных целей, а для представления числа остаются свободными 7 бит, которыми можно описать только 0x7F значений. В тоже время для беззнаковых чисел такого ограничения нет, и поэтому они используют все 8 разрядов. Это утверждение справедливо для всех остальных целочисленных типов, разница заклю- чается только в разрядности типа.

Поехали дальше. Следующее, что нужно помнить, - числа носят цикли- ческий характер. Это значит, что если взять беззнаковую переменную типа long, которая равна единице, и увели- чивать ее до тех пор, пока переменная не достигнет максимального значения 0xFFFFFFFF (4294967295), то после следующего инкремента ее значение будет равно нулю, потом единице и т.д. Если же мы используем знаковый тип, то при достижении максимального положительного значения 0x7FFFFFFFF(2147483647) следующий шаг увеличит значение до 0x80000000. А это уже отрицательное число, потому как оно больше половины из 0xFFFFFFFF на 1, и новым значением переменной будет 2147483648. При каждой итерации значение переменной будет расти. Но оно будет стремиться к нулю (ведь - 2147483648 < 0), а когда значение станет равным 0xFFFFFFFF (-1), то следую-

Òèï	Размер	Max (áåç	Max (ñî
Òèï	Размер	знака)	знаком)
		знака)	знаком)

byte	8 bit	0xFF	0x7F

short	16 bit	0xFFFF	0x7FFF

long	32 bit	0xFFFFFFFF	0x7FFFFFFF

Таблица размеров для данных разных типов

Сравнение поведения знаковых и беззнаковых чисел (на примере типа byte)

щий шаг установит значение переменной в нуль. После чего повторяется заново. Как ты мог убедиться, числам не стоит особо доверять. Они имеют способность радикально изменять свои значения в самых непредсказуемых блоках программы. Причем результаты могут быть фатальны для сохранения целостности реализованной системы безопасности, приводя к возникновению других более опасных уязвимостей. А причин может быть множество, каждая из которых - проявление специфических особенностей представления целочисленных типов.

ПЕРЕХОД ПОЛОЖИТЕЛЬНОГО ЧИСЛА В ОТРИЦАТЕЛЬНОЕ

Более глубокое понимание технологий, с помощью которых можно добиться каких-либо результатов, манипулируя лишь одними числами, придет после анализа уязвимых блоков программы, а также попыток их использования. Начинать изучение я предлагаю с примера 1.

Его идея проста: функции передается идентификатор пользователя, введенный пароль и его длина. Задача же функции - определить, правильно ли введен пароль. В плане программы это решается очень примитивно: идет простое посимвольное сравнение введенного и настоящего паролей. Чтобы

ХАКЕРСПЕЦ 08(45) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	w								o
	.		df			n			.c		Шестнад-
		p	df			n					Шестнад-
		p					g
				-xcha				e
				-xcha					Òèï		цатерич-	Значение	Значение
											цатерич-	Значение	Значение
											íîå çíà-	без знака	со знаком
											íîå çíà-	без знака	со знаком
											чение

											1
											1
											1
									long		1	286331153	286331153
									long		1	286331153	286331153
											1
											1
											1
									short		1	4369	4369
											1
											1
											1
									byte			17	17
											1
											1
											0
											0
											0
									long		1	65536	65536
									long		0	65536	65536
											0
											0
											0

									short		0	0	0
											0
											0
											0
											0
									byte			0	0
											0
											0
											F
											F
											F
									long		F	4294967295	-1
									long		F	4294967295	-1
											F
											F
											F
									short		F	65535	-1
											F
											F
											F

									byte			255	-1
											F
											F
											0
											0
											0
									long		F	983041	983041
									long		0	983041	983041
											0
											0
											1
									short		0	1	1
											0
											0
											1
									byte			1	1
											0
											1

											F
											0
											0
									long		0	4026593520	-268373776
									long		F	4026593520	-268373776
											0
											F
											0
									short		F	61680	-3856
											F
											0
											F
											0
									byte			240	-16
											F
											0
									Сравнение поведения знаковых и без-
									знаковых чисел (на примере типа byte)

найти целочисленное переполнение, можно проанализировать ход исполнения программы, выделяя недостатки

èположительные черты алгоритма:

1.Проверка длины введенного пароля (длина больше нуля):

+ пароль не может быть пустым (см. [1]) + длина не может быть отрицатель-

íîé (ñì. [1])

- нет ограничений на максимальный размер (см. [1])

2.Посимвольная проверка пароля:

- если введенный пароль прошел проверку #1, то он считается правильным, пока не найдено хотя бы одно отличие между ним и настоящим (см. [2]).

Собственно говоря, этих недостатков хватит, чтобы войти в систему, не зная правильного пароля. Цикл построен таким образом, что он проверяет пароль от начала и до конца (или первой ошибки), но кроме текста пароля делается дополнительная проверка на завершающий ноль строки (это делается для остановки сравнения, если достигнут конец любой из сверяемых строк), и именно она поможет обойти проверку. Дело в том, что, если нужно проверить и завершающий ноль, то количество проверок должно быть равно intPasswordSize (длине пароля) + 1(ноль) (см. [3]). Поэтому перед нача- лом проверки значение intPasswordSize увеличивается на единицу. Если вспомнить, что ограни- чения на длину вводимого пароля нет (кроме проверки на отрицательность и ноль), то максимальная длина, которую можно указать, - это 0x7FFFFFFF. А поскольку используемый тип для хранения длины (int) - целое 32-бит-

ное знаковое число, увеличение его (2147483647) на единицу приведет к целочисленному переполнению и переменная intPasswordSize будет равна отрицательному числу 0x80000000 (-2147483648). Это произойдет после проверки длины и перед проверкой самого пароля, а ведь именно в этом месте переменная bCorrect (флаг правильности пароля) устанавливается в истину (см. [2]), и, если пароли не совпадают при последующей проверке, то он устанавливается в ложь (пароль неверный). Но нам это неважно, поскольку длина - отрицательное число, а intOffset (индекс символа в пароле) имеет начальное значение 0 и условие для входа в цикл не исполнится (см. [4]). А если программа не заходит в блок проверки пароля, а флаг bCorrect говорит о том, что пароль правильный, то функция CheckPassword вернет истину, тем самым предоставив возможность авторизации без правильного пароля.

Этот пример очень прост для понимания, но в реальной жизни все обстоит гораздо сложнее. Чаще всего уязвимости такого класса преследуют одну цель - нарушить работу приложения в местах записи или чтения из памяти. Это делается, чтобы получить возможность внедрения shell-кода и/или перезаписи указателей на функции, данные и т.д. И, чтобы какнибудь повлиять на процессы записи в память, иногда можно прибегнуть к целочисленным переполнениям. Основная идея атаки остается прежней, просто делаются попытки повлиять

на переменные, хранящие размер бу- »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				O V E R F L O W
								O V E R F L O W
								B U F F E R

Потеря зна- чимых разрядов - это ситуация, которая может возникнуть при копировании чисел с большей разрядностью в числа с меньшей, при этом старшие разряды будут потеряны для приемника.

Помни: неправильно выбранные числовые типы могут привести к непредсказуемым результатам!

ПРИМЕР 2

const int MAX_SIZE = 0xFF; const int ZERO_AT_EOS = 0x01;

.....

int Protocol::GetMaxStrSize( int intMaximalSize, int intReservedSize ) {

return intMaximalSize - ( intReservedSize + ZERO_AT_EOS ); }

char* Protocol::GenerateFullName( char* szUserName ,
int intUserNameSize ) {
unsigned short shUserNameSize = intUserNameSize;
char* szDomainName = GetDomainName();
if( shUserNameSize >	[1]
GetMaxStrSize( MAX_SIZE, strlen(szDomainName ) ) ) {
WriteToLog( "UserName is too long" ); }
else { char* szResult = new char[MAX_SIZE];
memcpy( szResult, szUserName, intUserNameSize );	[2]
memcpy( szResult + intUserNameSize,
szDomainName, strlen( szDomainName ) );
szResult[ intUserNameSize +
strlen( szDomainName ) ] = '\x00'; } }

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
	O V E R F L O W			-xcha
	O V E R F L O W
	B U F F E R

Все, что ты прочел в этой статье, носит только информативный характер и не должно использоваться в незаконных целях. Статья рас- считана на программистов, которые решили повысить уровень безопасности в своих приложениях.

28 ОСНОВЫ INTEGER OVERFLOW

фера, его длину и все, что с этим связано. Хотя арифметические переполнения и могут привести к переполнениям памяти, на практике чаще можно встретить уязвимости, несущие несколько другой характер.

ПРОБЛЕМА ПОТЕРИ ЗНАЧИМЫХ РАЗРЯДОВ

Взгляни на пример 2 (в нем функция получает имя пользователя и возвращает его полное имя, включа- ющее также название домена) и попытайся понять, что в нем не так.

На первый взгляд, проблем в функции нет, но это только кажется. Дело в том, что функция GenerateFullName получает два параметра: имя пользователя (указатель на строку) и длину этого же имени (32-битное число). При входе

âфункцию происходит проверка, поместится ли полное имя пользователя

âстроку-результат (см. [1]). И если полное имя превосходит по размерам некий максимальный размер MAX_SIZE, то копирование не производится. Всегда ли это так? Сравнение длины производится относительно переменной shUserNameSize, а не intUserNameSize, причем они должны быть равны друг другу. На самом деле, последнее утверждение не всегда справедливо. И это связано с разрядностью разных типов данных, что приводит к обрезанию зна- чений переменных.

Таким образом, если аргумент функции intUserNameSize будет больше, чем 0xFFFF, то в shUserNameSize запишутся только последние 16 разрядов. Например, если указать, что дли-

ПРИМЕР 3

.....

char* Protocol::GenerateFullName( char* szUserName , int intUserNameSize ) {

char* szDomainName = GetDomainName(); if( intUserNameSize > [1]

GetMaxStrSize( MAX_SIZE, strlen(szDomainName ) ) ) {

WriteToLog( "UserName is too long" ); } else { char* szResult = new char[MAX_SIZE];

memcpy( szResult, szUserName, intUserNameSize ); [2]

memcpy( szResult + intUserNameSize, szDomainName, strlen( szDomainName ) ); szResult[ intUserNameSize +

strlen( szDomainName ) ] = '\x00'; } }

ПРИМЕР 4

.....

If ( ( intUserNameSize + intDomainNameSize ) > GetMaxStrSize( MAX_SIZE, 0 ) ) {

WriteToLog( "UserName is too long" ); } else {

..... }

Операция			Знаковое	Беззнаковое
-128	+	0	-128	128
127	+ -128		-1	255
127	+	127	-2	254
-129	+	1	- 128	128
-128	-	-128	0	0
-128	/	-1	-128	128
-128	*	-1	-128	128

Примеры обрезания значимой части чи- сел при их конвертировании

на имени составляет 0х10001 (65537), в проверке произойдет сравнение требуемой длины строки с длиной имени 0х0001 (1). 0х0001 - потому, что первая единичка отбрасывается, так как она не входит в младшие 16 разрядов. Естественно, что в таком слу- чае проверка на максимальную длину строки не сработает и выполнение функции будет продолжено. Но самое интересное! При записи используется переменная intUserNameSize (см. [2]), и поэтому вместо копирования одного байта происходит копирование 0х10001 байт. А это уже не что иное, как переполнение, которое может быть успешно эксплуатировано.

ПРОБЛЕМА ПРИОБРЕТЕНИЯ СТАРШИХ РАЗРЯДОВ

Часто бывает так, что для того чтобы обезопасить функцию от получения отрицательных значений, программисты ошибочно используют конвертирование знаковой переменной в беззнаковую. Этот подход требует дополнительной проверки переменной перед конвертированием, потому что эта операция может привести к вращению вокруг нуля. Такие проверки делаются очень редко и поэтому могут стать причиной возникновения ошибок. Еще более интересная особенность проявляется при преобразовании числа из типа с меньшим количеством разрядов в тип с большим (например, из char в short). Дело в том, что если источник был типа char, то при переводе его в short значение приобретет дополнительных 8 разрядов. И если значе- ние char было отрицательным (>0x7F), то эти разряды станут равными единице (0xFF). (см. скрин).

Давай рассмотрим проблему конвертирования типов на следующем примере:

char chValue = 0x80; // chValue = -128

short shValue = chValue; // shValue = 0xff80 ( -128 )

unsigned short ushValue = shValue;// ushValue = 0xff80 ( 65408 ) [1]

Таким образом, переменная shValue получит правильное значение (за счет заполнения верхних разрядов в 0xFF), но проблема возникает при переводе со знакового слова в беззнаковое (см. [1]). Переменная ushValue приобретает значение 65408, а это уже далеко не -128.

hang

NOW!

BUY

w Click

ПРОБЛЕМА

ОПРЕДЕЛЕНИЯ ТИПА

-x cha

Если более детально изучить пример 2, то можно выделить еще одну проблему относительно параметра intUserNameSize (длины строки). Более того, в примере 4 она присутствует тоже, хотя в нем нет преобразований типов, так же, как и нет математических операций, которые могли бы привести к переполнению intUserNameSize. Условие [1] создано, чтобы запретить запись в буфер строк, которые превосходят его по длине.

Принцип проверки прост - длина источника меньше размера приемника. Если она превышает допустимый размер, то функция прекращает свою работу. Но проблема заключается в том, что при сравнении чисел учитывается их знак. А это значит, что если передать intUserNameSize с отрицательным зна- чением, то проверка будет проигнорирована, так как отрицательное число будет всегда больше положительного результата, возвращаемого функцией GetMaxStrSize. Самое интересное, что по идее функция memcpy должна проигнорировать отрицательный объем для копирования (см. [2]). А на самом деле все происходит иначе - она обрабатывает аргумент длины как беззнаковую переменную. Таким образом, ей передается очень большое число (больше, чем 0x7FFFFFFF), и она должна попытаться скопировать строку этой длины в буфер результата. Но это приведет к тому, что приложение аварийно закончит свою работу. Эта техника хороша для обхода разного рода условий, но для эксплуатации в чистом виде она не может быть использована. Более интересно, если memcpy передаются переменные типа byte(char) или даже word(short), потому как их максимальное значение не столь велико, а это дает возможность эксплуатировать функции, которые принимают строки, без явного указания их длины в аргументах.

Также не стоит забывать о том, что проверка, реализованная в примере 4, тоже является некорректной, поскольку при сложении двух положительных чисел результат может оказаться отрицательным. Посмотри на таблицу, чтобы убедиться, что результат арифмети- ческой операции не всегда такой, каким он должен получиться на самом деле. Числа - это загадка, тем более когда речь идет о компьютерных технологи-

ях. Ты можешь написать грамотное приложение, но если неправильно выбраны числовые типы, то это может привести к непредсказуемым результатам! Представь себе, условия не работают корректно, ограничения на размер буфера сняты! Это достаточ- ное условие для хакера, и, поверь, если он знает о числах столько же, сколько и ты сейчас, то он с легкостью взломает твою программу! Необходимо запомнить эти тонкости, и тогда ты сможешь без особого труда находить ошибки такого класса. E

ХАКЕРСПЕЦ 08(45) 2004

<<< < Предыдущая 1 23 / 123 4 5 6 7 8 9 10 11 12 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202418.16 Mб14Специальный выпуск 40_Optimized.pdf
#
20.04.202415.74 Mб14Специальный выпуск 41_Optimized.pdf
#
20.04.202412.4 Mб15Специальный выпуск 42_Optimized.pdf
#
20.04.202412.23 Mб15Специальный выпуск 43_Optimized.pdf
#
20.04.202410.68 Mб16Специальный выпуск 44_Optimized.pdf
#
20.04.202411.27 Mб14Специальный выпуск 45_Optimized.pdf
#
20.04.202412.65 Mб13Специальный выпуск 46_Optimized.pdf
#
20.04.202411.92 Mб15Специальный выпуск 47_Optimized.pdf
#
20.04.20249.21 Mб15Специальный выпуск 48_Optimized.pdf
#
20.04.20249.67 Mб13Специальный выпуск 49_Optimized.pdf
#
20.04.20249.14 Mб14Специальный выпуск 50_Optimized.pdf