Философия Application Security

Философия Application Security
Владимир Кочетков
/Positive Technologies/Application Inspector/Team Lead
CodeFreeze в Москве, 28.04.2016

:~$ whoami && whonotme
• .NET-разработчик, руководитель группы разработки анализаторов
компилируемых приложений в Positive Technologies
• Участник Positive Development User Group
• Исследователь в области защищенности приложений
• Участник RSDN
• Оторванный от реальности теоретик
• Упоротый параноик
3

WTF “AppSec”?
Application Security – предметная область обеспечения защищенности
приложений на этапах:
― проектирования;
― разработки;
― развертывания;
― эксплуатации;
5

WTF “AppSec”?
Application Security – предметная область обеспечения защищенности
приложений на этапах:
― проектирования;
― разработки;
― развертывания;
― эксплуатации;
сегодняшняя тема
6

Agenda (чего НЕ будет)
7

Вопрос: почему
квалифицированные
разработчики допускают
уязвимости?
8

Причины разработки уязвимого кода
― Низкая квалификация
― Человеческий фактор
― Отсутствие системного подхода
― Шаблонное мышление
9

Agenda
Что?
Теоретический минимум, необходимый для осознанной разработки
защищенного кода;
разбор известных уязвимостей.
Зачем?
Перестать следовать культу карго и
шаблонному подходу к вопросам
обеспечения защищенности.
10

Главный вопрос Жизни,
Вселенной и всего
остального…
11

…что такое "уязвимость"?
12

Что такое "уязвимость"?
«Недостаток (слабость) программного (программно-технического) обеспечения
средства или информационной системы в целом, который (которая) может быть
использована для реализации угроз безопасности информации» - ГОСТ Р 56546-
2015
13

2015
«В чем сила, брат?» (с)
14

2015
«Набор входных данных, приводящий машину Тьюринга в запрещенную
конфигурацию» - Theoretical Computer Science
15

2015
«Набор входных данных, приводящий машину Тьюринга в запрещенную
конфигурацию» - Theoretical Computer Science
16

Существующие определения не
дают ни малейшего
представления о технической
сущности уязвимости
17

Правильный вопрос: в чем
разница между защищенным и
уязвимым кодом?
18

Внимание, белый ящик!
var cmd = new SqlCommand("SELECT Value FROM Discounts WHERE CouponCode LIKE '" +
Request["CouponCode"] + "'");
var connection = new SqlConnection(connectionString);
connection.Open();
cmd.Connection = connection;
var couponValue = cmd.ExecuteScalar();
...
19

var cmd = new SqlCommand("SELECT Value FROM Discounts WHERE CouponCode LIKE '" +
Request["CouponCode"] + "'");
connection.Open();
...
Атакующий имеет возможность нарушить целостность
выходного потока данных (кода SQL-запроса), манипулируя
потоком входных данных (параметром HTTP-запроса),
приходящим в операцию выполнения SQL-кода.
20

Шаблон: чтобы избежать
уязвимости к SQL-инъекции
необходимо использовать
параметризацию запросов
21

var cmd = new SqlCommand("SELECT Value FROM Discounts WHERE CouponCode LIKE
@CouponCode");
cmd.Parameters.AddWithValue("@CouponCode ", Request["CouponCode"]);
connection.Open();
...
22

var cmd = new SqlCommand("SELECT Value FROM Discounts WHERE CouponCode LIKE
@CouponCode");
cmd.Parameters.AddWithValue("@CouponCode ", Request["CouponCode"]);
connection.Open();
...
Атакующий имеет возможность нарушить целостность
выходного потока данных (параметра SQL-запроса),
манипулируя потоком входных данных (параметром HTTP-
запроса), приходящим в операцию выполнения SQL-кода,
что может привести к нарушению правил предметной
области приложения.
23

ORDER BY {0}",
);
/users/filter.aspx?field=password&min=a&max=a
25
Users
Id
Nickname
Rating
MessageCount
TopicCount
Password

ORDER BY {0}",
);
/users/filter.aspx?field=password&min=a&max=a
26
Users
Id
Nickname
Rating
MessageCount
TopicCount
Password
Атакующий имеет возможность
нарушить конфиденциальность
хранящегося потока данных,
манипулируя потоком входных
данных (параметром HTTP-запроса),
приводящим к нарушению правил
предметной области приложения.

Какой из фрагментов кода уязвим?
1)
[Authorize(Roles = "Foo")]
public ActionResult SomeAction()
{
...
return View();
}
2)
[Authorize(Roles = "Bar, Qux")]
{
...
return View();
}
27

Какой из фрагментов кода уязвим?
1)
[Authorize(Roles = "Foo")]
{
...
return View();
}
2)
[Authorize(Roles = "Bar, Qux")]
{
...
return View();
}
Невозможно оценить защищенность кода,
не владея всеми предметными областями
приложения (в данном случае, правилами
предметной области контроля доступа).
28

Критерии уязвимости кода
определяются множеством
предметных областей
приложения
29

Предметные области
Второстепенные:
― защищенность;
― отказоустойчивость;
― опыт взаимодействия,
― производительность.
Основные:
― интернет-торговля;
― онлайн-банкинг;
― бухучет;
― … (тысячи их).
Каждое приложение реализует модели как основной предметной области, так и
множество моделей второстепенных предметных областей

Application Security –
второстепенная предметная
область
31

{Предметная область}
Application Security
32

Предметная область –
множество сущностей, их
инвариантов и отношений
33

Сущность
– абстракция объекта в некотором контексте, обладающая следующими
характеристиками:
• свойство – значимый атрибут абстрагируемого сущностью объекта;
• состояние– множество текущих значений всех свойств сущности;
• инвариант– множество допустимых состояний сущности.
Отношение – утверждение, определяющее взаимосвязь изменения состояний
сущностей.
34

Пример: логистика
Сущность: точки на карте города
• свойство: координаты – пара значений «широта-долгота»;
• инвариант: координаты принадлежат перекресткам города или строениям.
Сущность: маршрут
• свойство: путь - упорядоченное множество точек на карте города;
• инвариант: путь непрерывен, проходит по улицам города в соответствии с ПДД;
• отношение: оптимальность – длина пути минимальна для заданных начальной и
конечной точек.
Сущности: точка загрузки, точка доставки
• свойство: точка на карте города;
• инвариант: координаты принадлежат строениям.
35

Задача коммивояжёра
В терминах предметной области логистики:
построить оптимальный маршрут из точки
загрузки, проходящий через все точки доставки по
одному разу и возвращающийся в точку загрузки.
36

Задача коммивояжёра
В терминах предметной области логистики:
построить оптимальный маршрут из точки
загрузки, проходящий через все точки доставки по
одному разу и возвращающийся в точку загрузки.
В терминах предметной области теории графов:
Найти гамильтонов цикл минимального веса в
полном (дополненном ребрами бесконечной длины)
взвешенном графе.
37

Место действия: SSL/TLS
библиотека SecureTransport ->
sslKeyExchange.c
39

Процесс согласования соединения SSL/TLS
SSLProcessHandshakeRecord()
-> SSLProcessHandshakeMessage()
-> SSLProcessClientHello()
-> SSLProcessServerHello()
-> SSLProcessCertificate()
-> SSLProcessServerKeyExchange()
-> SSLDecodeSignedServerKeyExchange()
-> SSLDecodeXXKeyParams()
IF TLS 1.2 -> SSLVerifySignedServerKeyExchangeTls12()
OTHERWISE -> SSLVerifySignedServerKeyExchange()
40

sslKeyExchange.c:SSLVerifySignedServerKeyExchange
. . .
hashOut.data = hashes + SSL_MD5_DIGEST_LEN;
hashOut.length = SSL_SHA1_DIGEST_LEN;
if ((err = SSLFreeBuffer(&hashCtx)) != 0)
goto fail;
if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
err = sslRawVerify(...);
. . .
fail:
. . . 41

Лишний безусловный переход на
метку `fail` приводил к
нарушению правил предметной
области протокола SSL/TLS
42

Предметная область {Application}
Security
43

«Трясина Тьюринга» - не только
об эзотерических языках
44

Применимость теоремы Райса к
реальным системам – такая же
теоретизация, как и идея
описывать приложение в виде
конечного автомата
45

Приложение можно
рассматривать, как поток
управления, обрабатывающий
множество потоков данных
46

Потоки управления
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
47

string str1;
{
{
}
else
{
}
}
48

string str1;
{
{
}
else
{
}
}
49

string str1;
{
{
}
else
{
}
}
50

string str1;
{
{
}
else
{
}
}
51

string str1;
{
{
}
else
{
}
}
52

string str1;
{
{
}
else
{
}
}
53

string str1;
{
{
}
else
{
}
}
54

string str1;
{
{
}
else
{
}
}
55

string str1;
{
{
}
else
{
}
}
56

string str1;
{
{
}
else
{
}
}
57

string str1;
{
{
}
else
{
}
}
58

string str1;
{
{
}
else
{
}
}
59

string str1;
{
{
}
else
{
}
}
60

string str1;
{
{
}
else
{
}
}
61

Потоки управления всегда
являются производными от
потоков данных
62

Место действия: библиотека
OpenSSL -> ssl/t1_lib.c ->
tls1_process_heartbeat()
64

tls1_process_heartbeat()
3972 /* Read type and payload length first */
3973 hbtype = *p++;
3974 n2s(p, payload);
3975 pl = p;
. . .
3984 unsigned char *buffer, *bp;
3985 int r;
3986
3987 /* Allocate memory for the response, size is 1 bytes
3988 * message type, plus 2 bytes payload length, plus
3989 * payload, plus padding
3990 */
3991 buffer = OPENSSL_malloc(1 + 2 + payload + padding);
3992 bp = buffer;
. . .
3994 /* Enter response type, length and copy payload */
3995 *bp++ = TLS1_HB_RESPONSE;
3996 s2n(payload, bp);
3997 memcpy(bp, pl, payload);
65

Атакующий имел возможность,
манипулируя потоком входных
данных, нарушить целостность
выходного потока данных …
66

…, включая в него содержимое
до 64Kb кучи SSL-сервера
непосредственно за payload
67

Потоки данных
string str1;
{
{
}
else
{
}
}
69

string str1;
{
{
}
else
{
}
}
70

string str1;
{
{
}
else
{
}
}
71

string str1;
{
{
}
else
{
}
}
72

string str1;
{
{
}
else
{
}
}
73

string str1;
{
{
}
else
{
}
}
74

string str1;
{
{
}
else
{
}
}
75

string str1;
{
{
}
else
{
}
}
76

string str1;
{
{
}
else
{
}
}
77

string str1;
{
{
}
else
{
}
}
78

string str1;
{
{
}
else
{
}
}
79
str1 ∈ {
Encoding.UTF8.GetString(Convert.FromBse64String(Request.Params["parm"])),
"Wrong Key!"
}

Множества значений всех
потоков данных в конкретной
точке потока выполнения
определяют состояние
80

Граф переходов между
состояниями приложения
определяет все возможные
потоки вычисления
81

Граф потоков вычисления
является семантически-
эквивалентной моделью
82

Предметная область Application
{Security}
83

Театр начинается с вешалки, а
уязвимость – с недостатка
84

Недостаток
- неэффективная реализация моделей предметных областей приложения и
контролей инвариантов их сущностей
Примеры контролей Application Security:
• предварительная обработка потоков данных;
• подтверждение аутентичности потоков вычисления;
• проверка прав доступа к потокам данных;
• обеспечение соответствия потока вычисления модели функциональной
предметной области;
• …
85

Угроза
- обусловленная недостатком возможность нарушить состояние защищенности
потока вычисления, лишив его одного из свойств:
• конфиденциальности;
• целостности;
• доступности;
• авторизованности;
• аутентичности;
• аппелируемости;
• подотчетности;
• достоверности;
• <нужное вписать>
86

Конфиденциальность
Свойство-состояния потока вычисления, при котором доступ к нему
осуществляется только сущностями, имеющими на это право.
87

Целостность
Свойство-состояние потока вычисления, при котором изменения в нем
осуществляются только сущностями, имеющими на это право.
88

Доступность
Свойство-состояние потока вычисления, при котором доступ к нему могут
осуществить все сущности, имеющие на это право.
89

Авторизованность
Свойство-состояние потока вычисления, при котором его источниками являются
только сущности, имеющие на это право.
90

Аутентичность
Свойство-состояние потока вычисления, при котором подтверждена подлинность
его источника.
91

Аппелируемость
Свойство-состояние потока вычисления, при котором его источник не может
отказаться от того, что он является таковым.
92

Уязвимость – состояние
приложения, в котором возможна
реализация угрозы
93

Невозможность реализации
угрозы в каждой точке потока
вычисления* является
инвариантом защищенности
94
* …пересекающего границу доверия

Уязвимость бизнес-логики–
состояние реализации угрозы
через нарушение правил
основной предметной области
95

То, что может сделать с потоками вычисления атакующий, нарушив инварианты
сущностей предметных областей, называется угрозой (threat)
То, где и благодаря чему он может это сделать, называется уязвимостью
(vulnerability), обусловленной недостатком (weakness)
То, как он может это сделать, называется атакой (attack)
То, с какой вероятностью у него это удастся и какие последствия может повлечь,
называется риском (risk)
Иными словами…
96

То, что не позволяет атакующему
провести атаку, обеспечивает
защищенность (security)
97

То, что минимизирует риск,
обеспечивает безопасность
(safety)
98

Акцентировать внимание
необходимо на причинах*, а не
на следствиях**!
* недостатки
** уязвимости, атаки или риски
99

Причинно-следственные связи
Недостаток Угроза
Уязвимость Атака
Риск
Незащищенность
Небезопасность
100

Промежуточные итоги
Разработка защищенного кода сводится к реализации контроля инвариантов
всех сущностей основной предметной области и области защищенности
Анализ защищенности кода сводится к оценке эффективности реализованных
контролей
Ни то, ни другое – невозможно без досконального изучения основной
предметной области и области защищенности приложения
101

Классификация
Классификация уязвимостей возможна по:
― предметной области; // защищенность приложения
― недостатку; // неэффективная предварительная обработка
потоков данных
― потоку вычисления; // интерпретация потока данных в поток выполнения
― угрозе; // нарушение целостности
// уязвимость к атакам инъекций (в зависимости от интерпретатора потока
данных: XSS, SQLi, XMLi,XPATHi, Path Traversal, LINQi,XXE и т.п.)

Формальные признаки уязвимостей к инъекциям
Дано: потенциально уязвимая операция (точка потока выполнения) PVO(text):
операция прямой или косвенной интерпретации текста text на формальном
языке.
Пусть text = transform(argument), где argument – поток данных множества
аргументов точки входа EP, а transform – функция промежуточных
преобразований.
Тогда приложение уязвимо к атаке инъекции в точке PVO, если существует и
достижимо хотя бы одно множество vector таких значений элементов EP, при
которых происходит изменение структуры синтаксического дерева текста text, не
предусмотренное правилами прочих предметных областей приложения.
103

Для защиты от атак инъекций в
любой язык необходимо и
достаточно обеспечить для
transform инвариант «vector –
пустое множество»
104

Место действия: интерпретатор
BASH
106

BASH использует окружение и
для хранения переменных
состояния, и для передачи
дочерним процессам текущих
определений функций
107

env var_fn='() { <your function> }'
108

Ошибка разбора и импорта
определения функции приводила
к выполнению кода, следующего
за определением функции прямо
во время импорта
109

env var_fn='() { <your function> }; <attacker
code here>'
110

Переменные состояния часто
являются производными потоков
входных данных
111

env var_fn='() { ignore this;}; echo vulnerable'
bash -c /bin/true
112

Проще перечислить, какие
системы/сервисы не были
подвержены Shellshock
113

― недостатку; // неэффективное подтверждение аутентичности
источника потока вычисления
― потоку вычисления; // интерпретация HTTP-запроса, приводящего к
изменению состояния приложения
― угрозе; // нарушение аутентичности
// уязвимость к атакам CSRF

― предметной области; // онлайн-торговля
― недостатку; // неэффективный контроль использования погашенных
купонов на скидку
― потоку вычисления; // транзакция оплаты заказа
― угрозе; // нарушение авторизованности
// уязвимость к атакам на бизнес-логику (повторное использование купонов на
скидку)

― недостатку; // неэффективный контроль операций прямой записи
пользовательских потоков данных или их производных в память
― потоку вычисления; // интерпретация внутренних данных на стеке или
куче
― угрозе; // нарушение целостности
// уязвимость к атакам переполнения буфера

Место действия: GNU C Library
(glibc) -> nss/digits_dots.c ->
__nss_hostname_digits_dots()
118

nss/digits_dots.c
36 __nss_hostname_digits_dots (const char *name, struct hostent *resbuf,
37 char **buffer, size_t *buffer_size,
38 size_t buflen, struct hostent **result,
39 enum nss_status *status, int af, int *h_errnop)
. . .
85 size_needed = (sizeof (*host_addr)
86 + sizeof (*h_addr_ptrs) + strlen (name) + 1);
. . .
101 *buffer_size = size_needed;
102 new_buf = (char *) realloc (*buffer, *buffer_size);
. . .
121 host_addr = (host_addr_t *) *buffer;
122 h_addr_ptrs = (host_addr_list_t *)
123 ((char *) host_addr + sizeof (*host_addr));
124 h_alias_ptr = (char **) ((char *) h_addr_ptrs + sizeof (*h_addr_ptrs));
125 hostname = (char *) h_alias_ptr + sizeof (*h_alias_ptr);
. . .
157 resbuf->h_name = strcpy (hostname, name); 119

Манипулируя потоком входных
данных, атакующий имел
возможность нарушить
целостность потоков данных на
стеке или в куче приложения
120

Дополнительные условия
― hostname должен состоять из цифр и точек;
― первый символ hostname должен быть цифрой;
― последний символ hostname не должен быть точкой;
― hostname должен быть достаточной длины, чтобы вызвать переполнение;
― hostname должен успешно разбираться как IPv4 адрес функцией inet_aton();
121

С учетом всех ограничений, был
разработан экплоит, для Exim,
позволяющий обойти механизмы
защиты ASLR и PIE и выполнить
произвольный код в системе
https://www.qualys.com/2015/01/27/cve-2015-0235/exim_ghost_bof.rb
122

Резюмируя: как разрабатывать
защищенные приложения, не
сходя при этом с ума?
123

Перестать следовать шаблонам
Обеспечить адекватный контроль
всех инвариантов Application
Security и предметной области
приложения 125

Вопросы?
Владимир Кочетков
vkochetkov@ptsecurity.com
@kochetkov_v
/Positive Technologies/Application Inspector/Team Lead

Философия Application Security

Recommended

More Related Content

What's hot (20)

Viewers also liked (8)

Similar to Философия Application Security (20)

Философия Application Security