Mejorando la gestión de la memoria en C++ para mejorar la seguridad

Punteros C y su pariente cercano, C++, sufren problemas de seguridad derivados de la gestión manual de memoria. No sólo ellos, claro, sino muchos otros por el simple hecho de que sus compiladores/intérpretes/herramientas están programados en estos lenguajes.

En Retrofitting Temporal Memory Safety on C++ nos cuentan los esfuerzos de Google para aliviar estos problemas.

Nos hablan de la ‘cuarentena’ de la memoria, que consiste en marcar la memoria liberada en algún momento y no permitir su utilización (no está disponible) hasta que se cumplen algunas condiciones que garantizan la seguridad.

Over the last decade, another approach has seen some success: memory quarantine. The basic idea is to put explicitly freed memory into quarantine and only make it available when a certain safety condition is reached. nos cuentan los esfuerzos de Google para aliviar estos problemas.

Nos hablan de la ‘cuarentena’ de la memoria, que consiste en marcar la memoria liberada en algún momento y no permitir su utilización (no está disponible) hasta que se cumplen algunas condiciones que garantizan la seguridad.

Over the last decade, another approach has seen some success: memory quarantine. The basic idea is to put explicitly freed memory into quarantine and only make it available when a certain safety condition is reached. nos cuentan los esfuerzos de Google para aliviar estos problemas.

Nos hablan de la ‘cuarentena’ de la memoria, que consiste en marcar la memoria liberada en algún momento y no permitir su utilización (no está disponible) hasta que se cumplen algunas condiciones que garantizan la seguridad.

Over the last decade, another approach has seen some success: memory quarantine. The basic idea is to put explicitly freed memory into quarantine and only make it available when a certain safety condition is reached. nos cuentan los esfuerzos de Google para aliviar estos problemas.

Nos hablan de la ‘cuarentena’ de la memoria, que consiste en marcar la memoria liberada en algún momento y no permitir su utilización (no está disponible) hasta que se cumplen algunas condiciones que garantizan la seguridad. Se utiliza en su navegador, Chrome, pero también hay alguna aproximación similar en el kernel de Linux.

Over the last decade, another approach has seen some success: memory quarantine. The basic idea is to put explicitly freed memory into quarantine and only make it available when a certain safety condition is reached.

La condición de seguridad se basa en verificar que no hay punteros que hagan referencia a esta memoria, mediante la intercepción de las llamadas de petición de memoria.

The main idea behind assuring temporal safety with quarantining and heap scanning is to avoid reusing memory until it has been proven that there are no more (dangling) pointers referring to it. To avoid changing C++ user code or its semantics, the memory allocator providing new and delete is intercepted.

En el artículo se habla de las formas de hacerlo, los compromisos alcanzados, e incluso de algunos apoyos de la arquitectura hardware (ARM v8.5A).

Interesante.

Explicando los fallos en el arranque seguro de un Google Nest

Bolas chinas concéntricas Seguimos con las entradas veraniegas. Esperamos que sirvan para hacerse una idea (no es necesario comprender todos los detalles) de lo complejos que pueden llegar a ser algunos fallos y los ataques correspondientes.

En este caso hablamos de Breaking Secure Boot on Google Nest Hub (2nd Gen) to run Ubuntu.

Las técnicas son variadas y utilizan algo de lo que hemos hablado de vez en cuando, el fuzzing, por ejemplo. No se trata de una contaminación a lo loco, sino con objetivos bastante concretos.

We build a fuzzing harness that injects data in blk_dread (function that reads data from a block device), and triggers execution by calling fat_read_file.

Luego, siguen con la técnica para probar con parámetros que un atacante podría controlar.

In a second phase, we extend the fuzzing to the initialized state since some parameters can be controlled by the attacker. For example, the USB Mass Storage driver sets multiple parameters in structure blk_desc that describe the detected block device in initialized state.

Y algunas cosas más, claro.

En las conclusiones nos cuentan cómo todo este proceso les llevó a encontrar un puerto USB inesperado. Desde allí se podía arrancar con un dispositivo externo, y luego aprovechar otros fallos existentes.

Hardware exploration led to uncovering an unexpected USB port. Software exploration revealed that it can boot from an USB Mass Storage device. Bug hunting exposed a stack overflow vulnerability in the DOS partition parser.

Un análisis de los fallos que permitían infectar teléfonos de NSO

Dibujos Este invierno estuvimos muy ocupados pensando en Pegasus y cómo permitía atacar teléfonos de personas importantes para obtener su información. Rápidamente salieron análisis de algunos fallos que permitían estos ataques y, por ejemplo, en A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution . Me pareció una delicia leerlo y cómo es el nivel de sofisticación de este tipo de ataques: un mensaje recibido a través de iMessage, que aprovechan que el programita muestra en ciclo sin fin algunas animaciones en formato GIF, pero utiliza un método auxiliar al que le pasa la imagen; este método trata de averiguar el formato del fichero, independientemente de la extensión y, por lo tanto esto abre la puerta a que alguien pueda mandar un fichero con extensión .gif que no lo sea y provocar que el iMessage haga algo con él.

En este caso, se utilizaba un fichero PDF porque el subsistema en cuestión tenía un fallo que permitía aprovecharlo para … ejecutar Javascript. Puede que haya alguien que esté ya perdido, pero la cosa es todavía más compleja, porque se aprovechan ciertos trucos de compresión de PDFs y algún truco más.

Lo dicho, una lectura muy entretenida.

Errores en Java por falta de verificación... ¿multiplícate por cero?

Techo y sus refuerzos

En Oracle Java wins ‘crypto bug of the year’ for bypass flaw nos hablan de un fallo de Java (versiones entre la 15 y la 18) en la validación de ls firmas ECDSA que permitiría a los ‘malos’ firmar ficheros como si fueran legítimos.

Java versions 15 to 18 contain a flaw in its ECDSA signature validation that makes it trivial for miscreants to digitally sign files and other data as if they were legit organizations.

ECDSA es Elliptic Curve Digital Signature Algorithm (criptografía sobre curvas elípticas.

Y el problema parece ser que no se hace una comprobación de que los datos son correctos (concretamente, que la coordenada x aleatoria y la prueba de firma son distintas de cero. Una firma de (0,0) validaría cualquier mensaje.

ECDSA doesn't sanity check that the random x coordinate and signature proof are nonzero; a (0,0) signature validates any message.

El problema es que este fallo es muy fácil de explotar (además de un fallo evidente de programación).

What’s particularly interesting about this issue is that it’s incredibly easy to exploit, and an obvious programming error.

Las firmas ECDSA son una pareja de números (r,s), y para verificar la firma se realizan operaciones matenáticas que incluyen un hash (huella) de los datos, la clave pública de la organización o persona que firma los datos, que son estos valores r y s. En un lado de la ecuación está la r y en el otro la r y la s. Ambos lados deben dar el mismo resultado para pasar la prueba.

Both sides of this computation must equal for the signature check to pass.

Por lo tanto, para que una firma sea válida no puede tener los valores 0 porque en las operaciones hay multiplicaciones por estos valores.

In theory, for a signature to be valid, (r, s) cannot be (0, 0) because some of the math involves multiplying these numbers with other values.

Pero cuando hay ceros y multiplicaciones o divisiones (este caso es todavía peor, porque la división por cero no produce errores aquí). En el caso de las multiplicaciones el resultado es cero.

You don’t need to know a lot of mathematics to know that anything multiplied by zero equals zero. One part of the calculation involves dividing by s - but, unfortunately, in a way that doesn’t generate an error if you divide by zero.

El diablo está en los detalles.

La documentación de las APIs. El caso de gov.uk

Centro de Exposiciones del Centro de Conocimiento sobre servicios públicos electrónicos. Telegramas y avisador. Los sitios del Gobierno de Gran Bretaña son un ejemplo de gestión de la información, apertura y muchas más cosas. En [ Documenting APIs. Structuring, designing and publishing your API documentation]}(https://www.gov.uk/guidance/how-to-document-apis) hablan de sus APIs y cómo estructuran, diseñan y publican la documentación relevante.

No voy a entrar en detalles pero el índice habla de comprender las necesidades de los usuarios, estructurar la documentación, escribirla, ayudar a los usuarios a navegar por ella, publicarla y comprobarla.

Muy interesante.