El año pasado, Mozilla lanzó Quantum CSS para Firefox, la culminación de ocho años de desarrollo de Rust, un lenguaje de programación de sistemas amigable con la memoria. Tomó más de un año reescribir el componente principal del navegador en Rust.

Hasta ahora, todos los principales motores de navegador están escritos en C ++, principalmente por razones de eficiencia. Pero el gran rendimiento conlleva una gran responsabilidad: los programadores de C ++ deben administrar manualmente la memoria, lo que abre el cuadro de vulnerabilidad de Pandora. Rust no solo corrige dichos errores, sino que sus métodos también evitan las carreras de datos , lo que permite a los programadores implementar de manera más eficiente el código paralelo.

¿Qué es la seguridad de la memoria?

Cuando hablamos de crear aplicaciones seguras, a menudo mencionamos la seguridad de la memoria. Extraoficialmente, queremos decir que en ningún estado el programa puede acceder a memoria no válida. Causas de violaciones de seguridad:

• guardar el puntero después de liberar memoria (use-after-free);
  
• desreferenciar un puntero nulo;
  
• uso de memoria no inicializada;
  
• intento del programa para liberar la misma celda dos veces (doblemente libre);
  
• desbordamiento de búfer.

Para una definición más formal, vea Michael Hicks 'What is Memory Security' , así como un artículo científico sobre este tema.

Dichas violaciones pueden provocar un bloqueo inesperado o un cambio en el comportamiento esperado del programa. Consecuencias potenciales: fuga de información, ejecución de código arbitrario y ejecución remota de código.

Gestión de la memoria

La gestión de la memoria es crítica para el rendimiento y la seguridad de la aplicación. En esta sección, consideramos el modelo básico de memoria. Uno de los conceptos clave son los punteros . Estas son variables en las que se almacenan las direcciones de memoria. Si vamos a esta dirección, veremos algunos datos allí. Por lo tanto, decimos que el puntero es una referencia a estos datos (o los señala). Así como la dirección de la casa le dice a las personas dónde encontrarlo, la dirección de la memoria muestra al programa dónde encontrar los datos.

Todo en el programa se encuentra en direcciones de memoria específicas, incluidas las instrucciones de código. El uso incorrecto de los punteros puede generar serias vulnerabilidades, incluida la filtración de información y la ejecución de código arbitrario.

Asignación / Liberación

Cuando creamos una variable, el programa debe asignar suficiente espacio en la memoria para almacenar los datos de esta variable. Como cada proceso tiene una cantidad limitada de memoria, por supuesto, necesita una forma de liberar recursos. Cuando se libera la memoria, está disponible para almacenar nuevos datos, pero los datos antiguos permanecen allí hasta que se sobrescribe la celda.

Tampones

Un búfer es un área de memoria contigua en la que se almacenan varias instancias del mismo tipo de datos. Por ejemplo, la frase "Mi gato es Batman" se almacenará en un búfer de 16 bytes. Las memorias intermedias están determinadas por la dirección de inicio y la longitud. Para no dañar los datos en la memoria vecina, es importante asegurarse de que no leemos ni escribimos fuera del búfer.

Flujo de control

Los programas consisten en rutinas que se ejecutan en un orden específico. Al final de la subrutina, la computadora va al puntero almacenado a la siguiente parte del código (llamada dirección de retorno ). Cuando va a la dirección del remitente, ocurre una de tres cosas:

1. El proceso continúa normalmente (la dirección del remitente no cambia).
   
2. El proceso se bloquea (la dirección ha sido cambiada y apunta a memoria no ejecutable).
   
3. El proceso continúa, pero no como se esperaba (la dirección de retorno ha cambiado y el flujo de control ha cambiado).

Cómo los idiomas proporcionan seguridad de memoria

Todos los lenguajes de programación pertenecen a diferentes partes del espectro . Por un lado del espectro hay lenguajes como C / C ++. Son efectivos, pero requieren administración manual de memoria. Por otro lado, los idiomas interpretados con administración automática de memoria (por ejemplo, conteo de referencias y recolección de basura (GC)), pero dan resultado con el rendimiento. Incluso los idiomas con recolección de basura bien optimizada no se pueden comparar en rendimiento con los idiomas sin GC.

Gestión manual de memoria

Algunos lenguajes (por ejemplo, C) requieren que los programadores administren manualmente la memoria: cuándo y cuánta memoria asignar, cuándo liberarla. Esto le da al programador un control completo sobre cómo el programa usa los recursos, proporcionando un código rápido y eficiente. Pero este enfoque es propenso a errores, especialmente en bases de código complejas.

Errores que son fáciles de cometer:

• olvide que los recursos son gratuitos y trate de usarlos;
  
• no asigne suficiente espacio para el almacenamiento de datos;
  
• leer memoria fuera del búfer.

Instrucciones de seguridad adecuadas para quienes manejan la memoria manualmente

Punteros inteligentes

Los punteros inteligentes proporcionan información adicional para evitar la gestión incorrecta de la memoria. Se utilizan para la gestión automática de la memoria y la verificación de bordes. A diferencia de un puntero normal, un puntero inteligente puede autodestruirse y no esperará a que el programador lo elimine manualmente.

Hay varias opciones para tal construcción, que envuelve el puntero original en varias abstracciones útiles. Algunos punteros inteligentes cuentan referencias a cada objeto, mientras que otros implementan una política de alcance para limitar la vida útil del puntero a ciertas condiciones.

Al contar enlaces, los recursos se liberan cuando se elimina la última referencia al objeto. Las implementaciones básicas de conteo de referencias adolecen de bajo rendimiento, mayor consumo de memoria y son difíciles de usar en entornos de subprocesos múltiples. Si los objetos se refieren entre sí (enlaces circulares), el recuento de referencia para cada objeto nunca llegará a cero, por lo que se requieren métodos más complejos.

Recolección de basura

Algunos lenguajes (por ejemplo, Java, Go, Python) implementan la recolección de basura . Una parte del tiempo de ejecución llamada recolector de basura (GC) monitorea las variables e identifica recursos inaccesibles en el gráfico de enlaces entre objetos. Tan pronto como el objeto no esté disponible, el GC libera memoria base para su futura reutilización. Cualquier asignación y liberación de memoria ocurre sin un comando explícito del programador.

Aunque el GC garantiza que la memoria siempre se use correctamente, no libera la memoria de la manera más eficiente; a veces, el último uso de un objeto ocurre mucho antes de que el recolector de basura libere la memoria. Los costos de rendimiento son prohibitivos para aplicaciones de misión crítica: a veces es necesario usar 5 veces más memoria para evitar la degradación del rendimiento.

Posesión

Rust utiliza la propiedad para garantizar un alto rendimiento y seguridad de la memoria. Más formalmente, este es un ejemplo de mecanografía de afinidad . Todo el código Rust sigue ciertas reglas que permiten al compilador administrar la memoria sin perder tiempo de ejecución:

1. Cada valor tiene una variable llamada propietario.
   
2. Solo un propietario puede ser a la vez.
   
3. Cuando el propietario se mueve fuera del alcance, el valor se elimina.

Los valores pueden transferirse o tomarse prestados de una variable a otra. Estas reglas se aplican a una parte del compilador llamada verificador de préstamos.

Cuando una variable queda fuera de alcance, Rust libera esta memoria. En el siguiente ejemplo, las variables s1 y s2 van más allá del alcance, ambas intentan liberar la misma memoria, lo que conduce a un error de doble liberación. Para evitar esto, al transferir un valor de una variable, el propietario anterior se vuelve inválido. Si el programador intenta utilizar una variable no válida, el compilador rechazará el código. Esto se puede evitar creando una copia profunda de los datos o utilizando enlaces.

Ejemplo 1 : Transferencia de propiedad

 let s1 = String::from("hello"); let s2 = s1; //won't compile because s1 is now invalid println!("{}, world!", s1); 

Otro conjunto de reglas de verificación de préstamos se relaciona con la vida útil de las variables. Rust prohíbe el uso de variables no inicializadas y punteros colgantes a objetos inexistentes. Si compila el código del ejemplo a continuación, r se referirá a una memoria que se libera cuando x sale del alcance: se produce un puntero colgante. El compilador monitorea todas las áreas y verifica la validez de todas las transferencias, a veces requiere que el programador indique explícitamente la vida útil de la variable.

Ejemplo 2 : puntero colgante

 let r; { let x = 5; r = &x; } println!("r: {}", r); 

El modelo de propiedad proporciona una base sólida para el acceso correcto a la memoria, evitando comportamientos indefinidos.

Vulnerabilidades de memoria

Las principales consecuencias de la memoria vulnerable:

1. Bloqueo : acceder a memoria no válida puede provocar la finalización inesperada de la aplicación.
   
2. Fuga de información : provisión involuntaria de datos privados, incluida información confidencial, como contraseñas.
   
3. Ejecución de código arbitrario (ACE) : permite a un atacante ejecutar comandos arbitrarios en la máquina de destino. Si esto sucede a través de la red, lo llamamos Ejecución remota de código (RCE).

Otro problema es una pérdida de memoria cuando la memoria asignada no se libera después de que finaliza el programa. Por lo tanto, puede usar toda la memoria disponible: las solicitudes de recursos se bloquean, lo que provocará una denegación de servicio. Este es un problema de memoria que no se puede resolver a nivel de PL.

En el mejor de los casos, con un error de memoria, la aplicación se bloqueará. En el peor de los casos, un atacante obtiene el control de un programa a través de una vulnerabilidad (que podría conducir a más ataques).

Abusos de la memoria liberada (uso libre posterior, doble libre)

Esta subclase de vulnerabilidades se produce cuando se libera un recurso, pero aún se conserva un enlace a su dirección. Este es un poderoso método de hackers que puede conducir a un acceso fuera de rango, fuga de información, ejecución de código y mucho más.

Los idiomas con recolección de basura y conteo de referencias evitan el uso de punteros inválidos, destruyendo solo objetos inaccesibles (que pueden conducir a la degradación del rendimiento), y los lenguajes controlados manualmente son susceptibles a esta vulnerabilidad (especialmente en bases de código complejas). La herramienta de verificación de préstamos en Rust no permite que los objetos se destruyan mientras se hace referencia, por lo que estos errores se eliminan en la etapa de compilación.

Variables no inicializadas

Si la variable se usa antes de la inicialización, estos datos pueden contener cualquier dato, incluyendo basura aleatoria o datos previamente descartados, lo que conduce a una fuga de información (a veces se los llama punteros no válidos ). Para evitar estos problemas, los lenguajes de administración de memoria a menudo usan el procedimiento de inicialización automática después de asignar memoria.

Como en C, la mayoría de las variables en Rust no se inicializan inicialmente. Pero a diferencia de C, no puede leerlos antes de la inicialización. El siguiente código no se compila:

Ejemplo 3 : uso de una variable no inicializada

 fn main() { let x: i32; println!("{}", x); } 

Punteros nulos

Cuando una aplicación desreferencia un puntero que resulta ser nulo, generalmente solo accede a la basura y provoca un bloqueo. En algunos casos, estas vulnerabilidades pueden conducir a la ejecución de código arbitrario ( 1 , 2 , 3 ). Rust tiene dos tipos de punteros: enlaces y punteros sin formato. Los enlaces son seguros, pero los punteros sin formato pueden ser un problema.

Rust evita la desreferenciación de un puntero nulo de dos maneras:

1. Evite punteros anulables.
   
2. Evite desreferenciar punteros sin formato.

Rust evita punteros nulos al reemplazarlos con el Option especial. Para cambiar el valor nulo posible en el tipo Option , el lenguaje requiere que el programador maneje explícitamente el caso con un valor nulo; de lo contrario, el programa no se compilará.

¿Qué hacer si no se pueden evitar los punteros que permiten un valor nulo (por ejemplo, al interactuar con el código en otro idioma)? Intenta aislar el daño. La desreferenciación de punteros sin procesar debe ocurrir en un bloque inseguro aislado. Afloja las reglas Rust y resuelve algunas operaciones que pueden causar un comportamiento indefinido (por ejemplo, desreferenciar un puntero sin formato).


"Todo sobre el chekcer prestado ... ¿qué pasa con ese lugar oscuro?"
- Este es un bloque inseguro. Nunca vayas, Simba

Desbordamiento de búfer

Discutimos vulnerabilidades que pueden evitarse restringiendo el acceso a la memoria indefinida. Pero el problema es que el desbordamiento del búfer no accede correctamente a la memoria indefinida, sino legalmente asignada. Al igual que el error use-after-free, dicho acceso puede ser un problema porque accede a la memoria liberada, que aún contiene información confidencial que ya no debería existir.

Los desbordamientos del búfer simplemente significan acceso fuera de los límites. Debido a la forma en que se almacenan las memorias intermedias en la memoria, a menudo filtran información que puede contener datos confidenciales, incluidas contraseñas. En casos más graves, las vulnerabilidades ACE / RCE son posibles sobrescribiendo el puntero de instrucción.

Ejemplo 4: desbordamiento de búfer (código C)

 int main() { int buf[] = {0, 1, 2, 3, 4}; // print out of bounds printf("Out of bounds: %d\n", buf[10]); // write out of bounds buf[10] = 10; printf("Out of bounds: %d\n", buf[10]); return 0; } 

La protección más simple contra los desbordamientos del búfer es exigir siempre controles de borde al acceder a los elementos, pero esto conduce a un bajo rendimiento .

¿Qué hace el óxido? Los tipos de búfer integrados en la biblioteca estándar requieren controles de bordes para cualquier acceso aleatorio, pero también proporcionan API de iterador para acelerar las llamadas secuenciales. Esto asegura que leer y escribir fuera de los límites no sea posible para estos tipos. Rust promueve patrones que requieren controles de borde solo en lugares donde es casi seguro que tenga que colocarlos manualmente en C / C ++.

La seguridad de la memoria es solo la mitad de la batalla

Las infracciones de seguridad conducen a vulnerabilidades como la fuga de datos y la ejecución remota de código. Hay varias formas de proteger la memoria, incluidos punteros inteligentes y recolección de basura. Incluso puede probar formalmente la seguridad de la memoria . Si bien algunos idiomas han llegado a un acuerdo con la degradación del rendimiento en aras de la seguridad de la memoria, el concepto de propiedad de Rust proporciona seguridad y minimiza los gastos generales.

Desafortunadamente, los errores de memoria son solo una parte de la historia cuando hablamos de escribir código seguro. En el próximo artículo, consideraremos la seguridad de subprocesos y los ataques a código paralelo.

Explotación de vulnerabilidades de memoria: recursos adicionales

• Montón de memoria y explotación
  
• Destrucción de una pila desde una posición de hacker
  
• Analogías de seguridad de la información
  
• Introducción a las vulnerabilidades de uso libre