Início / unix / Perguntas / 410056
Accepted
Peter
Asked: 2017-12-11 06:28:14 +0800 CST

Qual é a promessa do OpenBSD em resumo?

  • 772

Alguém pode descrever, para um não programador, mas para uma pessoa de TI, o que é penhor ?

Ex.: existe um programa, ex.: "xterm". Como o penhor pode torná-lo mais seguro? Ele promete dentro do código dos programas, ou fora no próprio SO?

Onde está o penhor? Está no código do programa; ou o sistema operacional possui uma lista de binários que só podem invocar xy syscalls?

security openbsd

3 respostas

  1. Best Answer

    O que é Promessa?

    pledgeé uma chamada do sistema.

    Chamar pledgeum programa é prometer que o programa usará apenas determinados recursos.

    Outra maneira de dizer é limitar a operação de um programa às suas necessidades, por exemplo,

    "Eu me comprometo a não usar nenhuma outra porta, exceto port 63"
    "Eu me comprometo a não usar nenhuma outra chamada de sistema, exceto lseek()e fork()"

    Como isso torna um programa mais seguro?

    Limita a operação de um programa. Exemplo:

    • Você escreveu um programa chamado xyzque só precisa da readchamada do sistema.
    • Então você adiciona pledgepara usar apenas read, mas nada mais.
    • Então, um usuário mal-intencionado descobriu que em seu programa existe uma vulnerabilidade pela qual se pode invocar um rootshell.
    • Explorar seu programa para abrir um rootshell fará com que o kernel mate o processo com SIGABRT(que não pode ser capturado/ignorado) e gere um log (que você pode encontrar com dmesg).

    Isso acontece porque antes de executar outros códigos do seu programa, primeiro pledgenão use nada além da readchamada do sistema. Mas abrir rooto shell chamará várias outras chamadas do sistema, o que é proibido porque já foi prometido não usar nenhum outro, exceto read.

    Onde está o Juramento?

    Geralmente está em um programa. Uso da página de manual do OpenBSD 6.5 :

    #include <unistd.h>

int pledge(const char *promises, const char *execpromises);

    Exemplo de código: exemplo de código de catcomando de cat.c

    ........
#include <unistd.h>
........
int ch;
if (pledge("stdio rpath", NULL) == -1)
    err(1, "pledge");

while ((ch = getopt(argc, argv, "benstuv")) != -1)
..........
    • 18

  2. Um programa normalmente faz uso de apenas um determinado conjunto de chamadas de sistema ou biblioteca. Com pledgevocê pode restringir o conjunto de chamadas de sistema permitidas apenas para este conjunto. Por exemplo, se um programa não precisar ler o banco de dados de senhas, você pode proibir a chamada da getpwnam()função.

    Como isso é útil? É uma linha extra de defesa contra vulnerabilidades. Se o programa contiver um bug, alguém poderá explorar o bug para alterar o fluxo de execução do programa ou injetar algum código extra no processo. O bug pode ser, por exemplo, um erro de estouro de buffer em um daemon voltado para a rede, que o invasor pode acionar enviando ao programa mais dados do que ele pode manipular, possivelmente fazendo com que o programa leia e envie o conteúdo do /etc/passwdarquivo pelo rede.

    • 6

  3. Seu programa "compromete-se" a usar apenas a funcionalidade {A,B,C}

    Se um hacker puder injetar código em seu processo prometido e tentar a funcionalidade D, o sistema operacional travará seu programa

    Por exemplo, digamos que você tenha um servidor NTP. Ele se comprometeu a usar apenas a funcionalidade DNS e CLOCK. Mas tem uma falha que permite a execução remota de código. Hacker pede para WRITE FILE. Mas pledgeirá detectar isso e desligar o programa e registrar o erro

    • 5

relate perguntas