Como parte diretamente relacionada ao contínuo trabalho de pesquisa na área de segurança, o desenvolvedor do FreeBSD, Robet Watson, membro do Core Team e pesquisador na Universidade de Cambridge apresentou neste 6 de Agosto, em Boston, durante o Primeiro WOOT (Workshop On Offensive Technologies) da USENIX, seu documento entitulado "Exploiting Concurrency Vulnerabilities in System Call Wrappers" (algo como "Explorando Vulnerabilidades por Concorrência em Interpoladores de Chamadas de Sistemas"), documento em que o pesquisador deixa claro que a presunção de "atomicidade" sobre chamadas de sistema é inverídica, e que tanto em sistemas monoprocessados quanto multiprocessados. é trivial criar condição de disputa entre diversos wrappers de chamadas de sistema e processos de usuários, de forma a passar por proteções do sistema.

A conclusão do documento aponta que qualquer método de imposição de segurança com base em wrappers de chamadas de sistema, de forma geral é uma péssima idéia, a não ser que o sistema operacional seja integralmente reescrito para usar passagem de mensagens (message-passing, comum e imperativo em ambiente de processamento paralelo), e que a solução mais clara e eficiente são sistemas que oferecerm recursos de segurança multi-camada, como previstos no POSIX.1e ou variações. Como previstos pelo POSIX.1e Watson menciona claramente o Framework MAC desenvolvido no FreeBSD e disponível para FreeBSD e também no Mac OS X Leopard, e como variação menciona o LSM (Linux Security Modules) e o kauth(9) criado pela Apple (portado para NetBSD).

Para ilustrar de forma prática o problema, Watson apresentou código de exemplo que permite a exploração como usuário não privilegiado de aplicações como o anti-virus COTS, o Systrace do OpenBSD e NetBSD, bem como GSWTK,e também o CerbNG.

Fica evidente a necessidade cada vez maior de dispositivos de segurança por camada e empilhamento serem incorporados em sistemas operacionais modernos, e preferencialmente que sejam frameworks extensíveis e completos, como indicado nas extensões de segurança POSIX. O único sistema operacional de servidores hoje, que conta com um framework funcional e com módulos rasoáveis no topo desse framework é de fato, o FreeBSD, enquanto o único Desktop, é o Mac OS X Leopard. O que nos remete indiretamente a esse excelente e conhecido "apanhado" das análises e conclusões conjuntas de Robert Watson e o autor do LSM, Chris Write Wright na comparação de MAC com LSM.

O paper e os slides da apresentação de Watson estão disponíveis em:

• http://www.watson.org/~robert/2007woot/
  

Comentrios

Muito bom paper. Por Joao Paulo - 0v3rm1nd em 10/08/2007 16:30:12 Li o paper inteiro, e achei muito bom, os detalhes dos problemas, e como eles so facilmente explorados. Fico pensando quantos race conditions desse tipo deria ser produzido por simples macros de suite office ou scripts interpretados pelo navegador, em visita a websites. Principalmente em sistemas Unix, de todo e qualquer tipo, afinal, o que tem mais potencial de race condition do que o /tmp?    Uma nota curiosa do Chris Wright (e nao Write, como na noticia) que no Linux, o port desse systrace torna o sistema tao vulneravel quanto, ainda que seja Fedora com LSM habilitado por padrao. Coisa seria :/

Duvida Por C em 11/08/2007 09:32:49 "O nico sistema operacional de servidores hoje, que conta com um framework funcional e com mdulos rasoveis no topo desse framework de fato, o FreeBSD, enquanto o nico Desktop, o Mac OS X Leopard"    O HP-UX e Solaris no possuem esse tipo de recurso?

Solaris tem algo, mas no um framework. Por Patrick Tracanelli em 11/08/2007 17:26:01 Solaris tem recursos excelentes; recursos que implementam at algum nvel do POSIX.1e, eu destacaria especialmente o RBAC (que entra na categoria de capabilities), tem Audit e BART (categoria de auditoria), talvez DTrace se encaixaria tambem nessa categoria. Tem tambem ACL, fiel ao POSIX.1e e tem ASET (que meio questionvel em relao confiabilidade).    Mas sobre algo prximo a segurana por empilhamento e camadas por classificao, como MAC, o Solaris tem um subconjunto de recursos pre-definidos, e permite que o administrador gerencie os labels pra associacao a esse conjunto de "policy enforcement" do tipo MAC. Mas nao eh um framework que permite empilhamento de novos recursos, como MAC do TrusteBSD ou at LSM do Linux. No solaris, est l, e o sysadmin gerencia os labels.

Por deydson em 27/11/2007 22:53:05 tah bacana  ta muito bom naum

Comente!*
Nome:
E-mail
Homepage
Ttulo:
Comentrio:
Cdigo:*