Русская Википедия:Безопасность доступа к памяти

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Безопасность доступа к памяти — концепция в разработке программного обеспечения, целью которой является избежание программных ошибок, которые ведут к уязвимостям, связанным с доступом к оперативной памяти компьютера, таким как переполнения буфера и висячие указатели.

Языки программирования с низким уровнем абстракций, такие как Си и Си++, поддерживающие непосредственный доступ к памяти компьютера (произвольную арифметику указателей, выделение и освобождение памяти) и приведение типов, но не имеющие автоматической en (Bounds checking) массивов, не являются безопасными с точки зрения доступа к памяти[1][2]. C и C++, тем не менее, содержат инструменты (такие как умные указатели), позволяющие повысить безопасность доступа к памяти. Этой же цели служат техники управления памятью[3]. Тем не менее, избежать ошибок доступа к памяти, особенно в сложных системах, зачастую не удаётся[4].

Уязвимости, связанные с доступом к памяти

Одним из наиболее распространённых классов уязвимостей программного обеспечения являются проблемы безопасности памяти[5][6]. Данный тип уязвимости известен с 1980-х годов[7]. Безопасность памяти подразумевает предотвращение попыток использовать или модифицировать данные, если это не было намерено разрешено программистом при создании программного продукта[8].

Множество критических с точки зрения производительности программ реализованы на языках программирования c низким уровнем абстракций (Си и Си++), которые склонны к появлению уязвимостей данного типа. Отсутствие защищенности этих языков программирования позволяет атакующим получить полный контроль над программой, изменять поток управления, иметь несанкционированный доступ к конфиденциальной информации[9]. На данный момент предложены различные решения проблем, связанных с доступом к памяти. Механизмы защиты должны быть эффективны одновременно как с точки зрения безопасности, так и с точки зрения производительности[10].

Первую огласку ошибки памяти получили в 1972 году[11]. И далее они являлись проблемой многих программных продуктов, средством, позволяющим применять эксплоиты. Например, червь Морриса использовал множество уязвимостей, часть из которых была связана с ошибками работы с памятью[12].

Типы ошибок памяти

Различают несколько видов ошибок памяти (уязвимостей), которые могут возникать в некоторых языках программирования:[13][14][15]

  • en (Bounds checking) — выражение, индексирующее массив, выходит из диапазона значений, установленного при определении этого массива. Отдельно выделяется особый подтип — ошибка неучтённой единицы[16]. Встречается при отсутствии проверок границ массивов и строк (Си, Си++)[17].
    • Переполнение буфера — запись за пределами выделенного в памяти буфера. Возникает при попытке записи в буфер блока данных, превышающего размер этого буфера. В результате переполнения могут быть испорчены данные, расположенные рядом с буфером[18], либо программа вовсе изменит своё поведение, вплоть до интерпретации записанных данных как исполняемого кода[19]. Использование данной уязвимости является одним из наиболее популярных способов взлома компьютерных систем[20].
    • en (Buffer over-read) — чтение за пределами выделенного в памяти буфера. Последствиями могут служить нарушения безопасности системы (утрата конфиденциальности), нестабильное и неправильное поведение программы, ошибки прав доступа к памяти[21]. Эта уязвимость входит в список наиболее распространённых и опасных ошибок в программном обеспечении[22].
  • Ошибки при работе с динамической памятью — неправильное распоряжение динамически выделяемой памятью и указателями. В данном случае выделение памяти под объекты осуществляется во время выполнения программы[23], что может повлечь за собой ошибки времени исполнения. Данной уязвимости подвержены языки программирования с низким уровнем абстракций, поддерживающие непосредственный доступ к памяти компьютера (Си, Си++)[24].
    • Висячий указатель[25] — указатель, не ссылающийся на допустимый объект соответствующего типа. Данный вид указателей возникает, когда объект был удалён (или перемещён), но значение указателя не изменили на нулевое. В данном случае он всё ещё указывает на область памяти, где находился данный объект. В некоторых случаях это может стать причиной получения конфиденциальной информации злоумышленником; либо, если система уже перераспределила адресуемую память под другой объект, доступ по висячему указателю может повредить расположенные там данные[26]. Особый подтип ошибки — использование после освобождения (use after free) (обращение к освобожденной области памяти) — является распространённой причиной ошибок программ[27], например, уязвимостей веб-обозревателей[28].
    • Обращение по нулевому указателю. Нулевой указатель имеет специальное зарезервированное значение, показывающее, что данный указатель не ссылается на допустимый объект[29]. Обращение по нулевому указателю будет причиной исключительной ситуации[30] и аварийной остановки программы.
    • Освобождение ранее не выделенной памяти — попытка освободить область оперативной памяти, которая не является на данный момент выделенной (то есть свободна). Наиболее часто это проявляется в двойном освобождении памяти[31], когда происходит повторная попытка освободить уже освобождённую память. Данное действие может вызвать ошибку менеджера памяти[32]. В Си это происходит при повторном вызове функции Шаблон:Mono с одним и тем же указателем, без промежуточного выделения памяти.
    • Использование различных менеджеров памяти — ошибка, заключающаяся в разрыве связки аллокатор-деаллокатор памяти и использованием различных средств для работы с одним сегментом. Например, в Си++ использованием Шаблон:Mono для участка памяти, выделенного с помощью Шаблон:Mono или, аналогично, использованием Шаблон:Mono после Шаблон:Mono. Стандарт Си++ не описывает какую-либо связь между Шаблон:Mono / Шаблон:Mono и функциями работы с динамической памятью из Си, хотя Шаблон:Mono / Шаблон:Mono в общем случае реализованы как обёртки Шаблон:Mono / Шаблон:Mono[33][34]. Смешанное использование может стать причиной неопределённого поведения[35].
    • Потеря указателя — утеря адреса выделенного фрагмента памяти при перезаписи его новым значением, который ссылается на другую область памяти[36]. При этом адресуемая предыдущим указателем память более недосягаема. Такой тип ошибки приводит к утечкам памяти, так как выделенная память не может быть освобождена. В Си это может случиться при повторном присваивании результата функции Шаблон:Mono одному и тому же указателю, без промежуточного освобождения памяти.
  • en (Uninitialized variable) — переменные, которые были объявлены, но не установлены в какое-либо значение, известное до времени их использования. Переменные будут иметь значение, но, в общем случае, труднопредсказуемое. Уязвимость для памяти могут возникнуть при наличии неинициализированных («диких») указателей[37]. Эти указатели в своём поведении схожи с висячими указателями, попытка обращения по ним в большинстве случаев будет сопровождаться ошибками доступа или повреждением данных. Однако, возможно получение конфиденциальной информации, которая могла остаться в данной области памяти после предыдущего использования[38][39].
  • Ошибки нехватки памяти — проблемы, возникающие при недостатке количества доступной памяти для данной программы.
    • Переполнение стека — превышение программой количества информации, которое может находиться в стеке вызовов (указатель вершины стека выходит за границу допустимой области). При этом программа аварийно завершается[40]. Причиной ошибки может быть глубокая (или бесконечная) рекурсия, либо выделение большого количества памяти для локальных переменных на стеке[41].
    • en (Out of memory) — попытка программы выделить большее количество памяти, чем ей доступно. Является следствием частого (Java[42]) и зачастую неправильного обращения с динамической памятью. В случае возникновения ошибки, операционная система завершит наиболее подходящий с её точки зрения для этого процесс (часто, вызвавший ошибку, но иногда — произвольный[43]).

Обнаружение ошибок

Возможные ошибки работы с памятью могут быть установлены как во время компиляции программы, так и во время исполнения (отладки).

Помимо предупреждений со стороны компилятора, для обнаружения ошибок до момента сборки программы используются статические анализаторы кода. Они позволяют покрыть значительную часть опасных ситуаций, исследуя исходный код более подробно, чем поверхностный анализ компилятора. Статические анализаторы могут обнаружить:[44][45][46][47]

  • Выход за границы массивов
  • Использование висячих (а также нулевых или неинициализированных) указателей
  • Неправильное использование библиотечных функций
  • Утечки памяти, как следствие неправильной работы с указателями

Во время отладки программы могут использоваться специальные менеджеры памяти. В данном случае вокруг аллоцированных в куче объектов создаются «мёртвые» области памяти, попадая в которые отладчик позволяет обнаружить ошибки[48]. Альтернативой являются специализированные виртуальные машины, проверяющие доступ к памяти (Valgrind). Обнаружить ошибки помогают системы инструментирования кода, в том числе обеспечиваемые компилятором (Sanitizer[49]).

Способы обеспечения безопасности

Большинство языков высокого уровня решают эти проблемы с помощью удаления из языка арифметики указателей, ограничением возможностей приведения типов, а также введением сборки мусора, как единственной схемы управления памятью[50]. В отличие от низкоуровневых языков, где важна скорость, высокоуровневые в большинстве своём осуществляют дополнительные проверки[51], например проверки границ при обращениях к массивам и объектам[52].

Чтобы избежать утечек памяти и ресурсов, обеспечить безопасность в плане исключений, в современном Си++ используются умные указатели. Обычно они представляют из себя класс, имитирующий интерфейс обыкновенного указателя и добавляющего дополнительную функциональность[53], например проверку границ массивов и объектов, автоматическое управление выделением и освобождением памяти для используемого объекта. Они помогают реализовать идиому программирования Получение ресурса есть инициализация (RAII), заключающуюся в том, что получение объекта неразрывно связано с его инициализацией, а освобождение — с его уничтожением[54].

При использовании библиотечных функций следует уделять внимание возвращаемым ими значениям, чтобы обнаружить возможные нарушения в их работе[55]. Функции для работы с динамической памятью в Си сигнализируют об ошибке (нехватке свободной памяти запрашиваемого размера), возвращая вместо указателя на блок памяти нулевой указатель[56]; в Си++ используются исключения[57]. Правильная обработка данных ситуаций позволяет избежать неправильного (аварийного) завершения программы[58].

Повышению безопасности способствуют проверки границ при использовании указателей. Подобные проверки добавляются во время компиляции и могут замедлять работу программ; для их ускорения были разработаны специальные аппаратные расширения (например, Intel MPX[59]).

На нижних уровнях абстракций существуют специальные системы, обеспечивающие безопасность памяти. На уровне операционной системы это менеджер виртуальной памяти, разделяющий доступные области памяти для отдельных процессов (поддержка многозадачности), и средства синхронизации для поддержания многопоточности[60]. Аппаратный уровень также, как правило, включают некоторые механизмы, такие как кольца защиты[61].

Наиболее надёжным, но и более дорогим методом обеспечения безопасности доступа к памяти является формальная верификация. Например, с использованием формализмов логики разделения, подходящей для моделирования кучи[62].

Примечания

Шаблон:Примечания

Литература

Ссылки

Общие публикации

Тематические публикации

Шаблон:Добротная статья

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. Шаблон:Статья / «Language features that break memory safety include …»
  2. Шаблон:Статья / «Memory corruption bugs in software written in low-level languages like C or C++ are one of the oldest problems in computer security.»
  3. Шаблон:Cite web
  4. Шаблон:Cite web / «Clearly, if your code has new operations, delete operations, and pointer arithmetic all over the place, you are going to mess up somewhere and get leaks, stray pointers, etc. This is true independently of how conscientious you are with your allocations: eventually the complexity of the code will overcome the time and effort you can afford.»
  5. Шаблон:Статья / «… and still rank among the top 3 most dangerous software errors.»
  6. Шаблон:Статья / «In fact, after configuration errors, implementation errors are probably the largest single class of security errors exploited in practice.»
  7. Шаблон:Статья / «This problem has existed for more than 30 years …»
  8. Шаблон:Статья / «… preventing attackers from reading or writing to memory locations other than those intended by the programmer.»
  9. Шаблон:Статья / «Applications written in low-level languages like C or C++ are prone to these kinds of bugs. The lack of memory safety … enables attackers to exploit memory bugs by maliciously altering the program’s behavior or even taking full control over the control-flow.»
  10. Шаблон:Статья / «… in finding the balance betweeneffectiveness(security)andefficiency.»
  11. Шаблон:Статья / «Memory errors were first publicly discussed in 1972 by the Computer Security Technology Planning Study Panel.»
  12. Шаблон:Статья / «The Internet Worm exploited a number of vulnerabilities, including memory error-related ones.»
  13. Шаблон:Статья
  14. Шаблон:Статья
  15. Шаблон:Статья
  16. Шаблон:Статья / «… the use of the other three conventions has been a constant source of clumsiness and mistakes …»
  17. Шаблон:Статья / «One response to this analysis is to discard C, since this lack of efficient checkability is responsible for many software failures.»
  18. Шаблон:Книга
  19. Шаблон:Книга
  20. Шаблон:Книга / «Buffer overflows are an extremely common and dangerous security flaw …»
  21. Шаблон:Cite web / «This typically occurs when the pointer or its index is incremented to a position beyond the bounds of the buffer …»
  22. Шаблон:Cite web
  23. Шаблон:Cite web / «The runtime environment defines not only how memory is allocated and freed …»
  24. Шаблон:Книга
  25. Шаблон:Статья
  26. Шаблон:Cite web / «… уязвимости, к которым может привести неправильное использование указателей и ссылок.»
  27. Шаблон:Cite web / «Referencing memory after it has been freed can cause a program to crash, use unexpected values, or execute code.»
  28. Шаблон:Статья / «Use-after-free vulnerabilities are rapidly growing in popularity, especially for exploiting web browsers.»
  29. Шаблон:Cite web / «The language definition states that for each pointer type, there is a special value …»
  30. Шаблон:Cite web / «Thrown when an application attempts to use null in a case where an object is required.»
  31. Шаблон:Cite web / «When a program calls free() twice with the same argument …»
  32. Шаблон:Cite web / «If free(p) has already been called before, undefined behavior occurs.»
  33. Шаблон:КнигаШаблон:Недоступная ссылка / «… it is usually implemented as a thin wrapper around the C heap allocator …»
  34. Шаблон:Cite web / «For example, the GNU C++ compiler’s new operator actually invokes the C runtime malloc() function.»
  35. Шаблон:Cite web / «The C++ operators new and delete guarantee proper construction and destruction … The C-style functions … don’t ensure that.»
  36. Шаблон:Cite web
  37. Шаблон:Cite web / «Ничто так не беспокоит, как „дикие“ указатели!»
  38. Шаблон:Cite web / «We’re looking at the following situation then …»
  39. Шаблон:Cite web / «An attacker can sometimes control or read these contents.»
  40. Шаблон:Cite web
  41. Шаблон:Cite web / «The two most common causes for a stack overflow …»
  42. Шаблон:Статья / «An „out of memory“ error can be catastrophic for a program, especially one written in a language such as Java that uses memory allocation frequently.»
  43. Шаблон:Cite web / «… you can no longer allocate more memory and the kernel kills a task (usually the current running one).»
  44. Шаблон:Статья
  45. Шаблон:Cite web / «Detect various kinds of bugs in your code …»
  46. Шаблон:Cite web / «Programs with pointers can commit a variety of errors in accessing memory …»
  47. Шаблон:Cite web
  48. Шаблон:Статья
  49. Шаблон:Cite web
  50. Шаблон:Cite web / «Manual memory management can be avoided by …»
  51. Шаблон:Статья / «… an unsolved problem despite a long history of work on detecting array bounds violations or buffer overruns, because the best existing solutions to date are either far too expensive for use in deployed production code …»
  52. Шаблон:Книга / «Both arrays and containers guarantee that you can’t abuse them. Whether you’re using an array or a container, you’ll get a RuntimeException if you exceed the bounds, indicating a programmer error.»
  53. Шаблон:Статья / «Smart pointers are class objects that behave like built-in pointers but also manage objects that you create …»
  54. Шаблон:Cite web / «Они чрезвычайно важны для идиомы программирования RAII или Resource Acquisition Is Initialialization …»
  55. Шаблон:Cite web / «The software does not check the return value from a method or function, which can prevent it from detecting unexpected states and conditions.»
  56. Шаблон:Cite web / «malloc возвращает нетипизированный указатель на выделенную область памяти или NULL, если недоступно достаточно памяти.»
  57. Шаблон:Cite web / «throws std::bad_alloc or another exception derived from std::bad_alloc (since C++11) on failure to allocate memory»
  58. Шаблон:Книга
  59. Шаблон:Cite web
  60. Шаблон:Cite web
  61. Шаблон:Статья
  62. Шаблон:Cite book
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Безопасность_доступа_к_памяти&oldid=9131475