Programinio kodo saugumas

Transcription

1 Programinio kodo saugumas Rolandas Griškevičius MSN: R. Griškevičius, Saugus programavimas, VGTU,

2 Kodo malėjas A code grinder as defined by the hacker community reference, the Jargon Dictionary ( is a developer who lacks creativity and is bound by rules and primitive techniques. Developers who become code grinders rarely do so because of lack of ambition; code grinders are born from an environment that struggles with freedom at a developer level. Dažnai yra blogo kodo šaltinis R. Griškevičius, Saugus programavimas, VGTU,

3 Assert / Trace Many compilers offer an assert() macro. The assert() macro returns TRUE if its parameter evaluates TRUE and takes some kind of action if it evaluates FALSE. Many compilers will abort the program on an assert() that fails; others will throw an exception One powerful feature of the assert() macro is that the preprocessor collapses it into no code at all if DEBUG is not defined. It is a great help during development, and when the final product ships there is no performance penalty nor increase in the size of the executable version of the program. TRACE makrosas = IF ( DEBUG ) THEN PRINTF (...) R. Griškevičius, Saugus programavimas, VGTU,

4 Assert 2 1: //ASSERTS 2: #define DEBUG 3: #include <iostream.h> 4: 5: #ifndef DEBUG 6: #define ASSERT(x) 7: #else 8: #define ASSERT(x) \ 9: if (! (x)) \ 10: { \ 11: cout << "ERROR!! Assert " << #x << " failed\n"; \ 12: cout << " on line " << LINE << "\n"; \ 13: cout << " in file " << FILE << "\n"; \ 14: } 15: #endif 16: 17: 18: int main() 19: { 20: int x = 5; 21: cout << "First assert: \n"; 22: ASSERT(x==5); 23: cout << "\nsecond assert: \n"; 24: ASSERT(x!= 5); 25: cout << "\ndone.\n"; 26: return 0; 27: } R. Griškevičius, Saugus programavimas, VGTU,

5 Exception Galingas klaidų apdorojimo mechanizmas Pagrindinė išimčių programavimo klaida netvarkingas gaudymas Išimtys turi būti pagaunamos kuo arčiau galimos jų generavimo vietos: Stabilesnis programos veikimas Pilna informacija apie klaidą GPF klaidas taip pat galima gaudyti, bet reikia specialiai programoje pakeisti standartinių išimčių gaudyklę API SetUnhandledExceptionFilter R. Griškevičius, Saugus programavimas, VGTU,

6 Kodo maskavimas angl. literatūroje - obfuscation Ypatingai daug yra PHP Google php obfuscator Mokamas: ZendGuard Nemokami google R. Griškevičius, Saugus programavimas, VGTU,

7 Primityvi php obfuskacija eval( gzuncompress( base64_decode( 'enplj1dvwjaahp9mpngicgcqekv5yg/mxi9vhjmgczsd+puftworvxdpp7tpo g4jhpblyptsjcsawxh/bqjpbr4avrbgbntrhh4x34aet3iguj+picjjgca/weg 6Co0X8Xtp+s8icdI4o4QxYFuMqMqHS5zUJYDlNKfAo8Ry/yJkVYMCfx90rWevc z1n4uno02qjw3yvygonb/nxujj3pfvih+xj1hcl3v6pqoaq5zpl0xrwupqwgzi8 wlc73v5/mbynj9pzfigxq/vmu9sfjqezztsu8fwgvfyjoemzg2v5uvb3xxojkq w01zam1xo8hnagprwb30pq+ataxf8l' ))); R. Griškevičius, Saugus programavimas, VGTU,

8 Kintamujų inicializacija Kalbose, kur kintamieji yra polimorfiniai, ir reikšmės priskyrimas inicializuoja kintamąjį, pvz. php, vbs, python, dažnai galima sutikti kodą: $param1 = ""; if(... ) $param1 = "a" else $param1 = "b"; Tačiau suteikiant default reikšmę kintamajam iš karto sutrumpėja kodas ir padidėja aiškumas: $param1 = "b"; if(... ) $param1 = "a"; R. Griškevičius, Saugus programavimas, VGTU,

9 All input is evil Taikoma visur, kur tik sutinkami įvesties duomenys: WWW puslapiai SQL injekcija, XSS ir t.t. Įvairūs GUI Mažiau pavojinga, jei vartotojas dirba su lokalia sistema Jei GUI yra nutolusios sistemos interfeisas, galioja taisyklės, panašios į WWW aplikacijų saugumo Parametriniai ir duomenų failai Tikrinti, ar vartotojas negali pakišti savo perdaryto failo Parametruose apriboti vartotojui keisti kritines parametrų sekcijas Parametrai su nuoroda į failus Tikrinti failo tipą: Windows pagal plėtinį, Unix file komanda Tiktai santykinės nuorodos į failus! R. Griškevičius, Saugus programavimas, VGTU,

10 Koks bus rezultatas? #include <stdio.h> int main( int argc, char** argv ) { int i = 0; int j = 0; int k = 0; } for( i = 0; i < 10; i++ ) j++, k++; printf( "j=%d k=%d\n", j, k ); R. Griškevičius, Saugus programavimas, VGTU,

11 C kablelis C kablelis yra dažnai užmirštamas, todėl kartais gali būti naudojamas savotiškai kodo obfuskacijai. Kodas dešinėje suveikia nelauktai : #include <stdio.h> int main( int argc, char** argv ) { int i = 0; int j = 0; int k = 0; } for( i = 0; i < 10; i++ ) j++, k++; printf( "j=%d k=%d\n", j, k ); mygentoo> /tmp $ gcc test_comma.c -o test_comma mygentoo> /tmp $./test_comma j=10 k=10 mygentoo /tmp $ R. Griškevičius, Saugus programavimas, VGTU,

12 C ir C++ smulkmenos Neinicializuota C nuoroda potenciali skylė Operatorius new: new delete new[] delete[] pt = new myclass[3]; delete[] pt; R. Griškevičius, Saugus programavimas, VGTU,

13 Html validacija Siekiant, kad puslapis atrodytų švarus ir kultūringas, patartina jo kodą validuoti, pvz Validavimas taip pat gali padėti pamatyti klaidas ten kur html tag'ai yra generuojami programiniu būdu, t.y. programos kode. Prieš validuojant reikia prisiminti, kad kai kurie html tag'ai yra laikomi pasenusiais ir validatorius jiems meta klaidą: align, alink, background, bgcolor, color, hspace, link, size, text, type, vlink, vspace visi šie keičiami į CSS parametrus R. Griškevičius, Saugus programavimas, VGTU,

14 Kodo auditas Rankinis Gali identifikuoti klaidas/pažeidžiamumus, kurių neidentifikuos automatinės priemonės Tačiau reikalingas patyręs auditorius Penetration testing Sistemos streso testas simuliuojant piktavališką veikimą Metodika varijuoja nuo pilnai juodos dėžės iki baltos dėžės principo. Ypatingai tinka WEB aplikacijoms, kadangi http protokolas yra lengvai simuliuojamas Automatinė (statinė) kodo analizė Daug įvairių įrankių Vienas ar kitas įrankis veikia tik tam tikroms prg. kalboms R. Griškevičius, Saugus programavimas, VGTU,

15 Automatinio kodo audito įrankiai 1 RATS (Rough Auditing Tool for Security) / C++, PHP, Python, Ruby, C#, ColdFusion, Java, JSP, PL/SQL, T-SQL, XML, VB.NET Windows, *nix Mokamas, daugiau nei 1K$ už licenziją Yasca Atviras kodas (BSD licenzija) Windows, *nix PHP variklis C++, Java,.NET, ASP, Perl, PHP, Python, Cobol, etc Turi savo varikliukus, kitais atvejais pasijungia išorinius, pvz. Java atveju pasijungia sau JLint R. Griškevičius, Saugus programavimas, VGTU,

16 Automatinio kodo audito įrankiai 2 Cppcheck cppcheck.wiki.sourceforge.net Atminties nutekėjimai (memory leak), buferio perpildymas, senos funkcijos ir t.t. GUI priklausomas nuo QT interfeiso graudit elementarus tikrinimo scenarijus pasitelkiant bash, grep, sed GUI nėra Atviras kodas, Windows, *nix asp, jsp, perl, php, python R. Griškevičius, Saugus programavimas, VGTU,

17 SWAAT Automatinio kodo audito įrankiai 3 XML išvestis Pagal nutylėjimą turi bazes Python, Perl, PHP, C++ Bazės nuolat pildomos Atviras kodas, Unix aplinkose veikia su Mono, kadangi parašyta C# PHP bug scanner raz0r.name/releases/php-bug-scanner Laisvas naudojimas, Windows Rusų chakerių kūrinys, instrukcijos, puslapis rusiški R. Griškevičius, Saugus programavimas, VGTU,

18 Pixy Automatinio kodo audito įrankiai 4 pixybox.seclab.tuwien.ac.at Laisvas naudojimas, Unix, Windows Veikimas skiriasi nuo analogų: kuriamas duomenų srautų grafas ir sekami duomenų srautai. Skirtas daugiausia XSS ir SQL injekcijos aptikimui Grafai pateikiami vaizdžiai Klockwork Insight Shareware, Windows C, C++, Java, C# (beta) Integruojasi su VS ir Eclipse C++, C#, Java R. Griškevičius, Saugus programavimas, VGTU,

19 Automatinio kodo audito įrankiai 5 Coverity Prevent Static Analysis Shareware, Windows C, C++, Java, C# Vienas populiariausių ir plačiausiai žinomų Integracija su gcc ir MS kompiliatoriais ir aplinkomis Eclipse, VS OWASP Code Crawler Java Pilnas pažeidžiamumo aprašymas R. Griškevičius, Saugus programavimas, VGTU,

20 Automatinio kodo audito įrankiai 6 Grendel Scan Juodos dėžės WEB skaneris, penetration test įrankis, fuzz testavimo įrankis Veikia Java 5 aplinkoje Windows, *nix Vidinis proxy http srauto kontrolei http fuzz eris paslėptų katalogų paieška, duomenų apie nutolusią sistemą surinkimo modulis CSRF skaneris R. Griškevičius, Saugus programavimas, VGTU,

21 Kai reikia įrodinėti pažeidžiamumą Metasploit Framework Pagalba: Metasploit pagalbiniai aprašymai (tutorials) ir video medžiaga: R. Griškevičius, Saugus programavimas, VGTU,