適宜覚書さんより

本日付けで Threat Modeling Tool の新版、v1.0.1637.18511 がリリースされた。Windows用のバイナリが無料ダウンロード可能。

Threat Modeling とは、Microsoftがセキュリティ欠陥のないソフトウェアを作成するために、ソフトウェアの設計・分析手法として使用しているもの。Writing Secure Code (ASIN:0735617228)で簡単に紹介されている。この7月に専門書(ASIN:0735619913)が発売される予定だ。

上記のソフトウェアは、Threat Modeling をサポートするためのCASEツールのようなもの。ただ、まだかなり試作品っぽいんですよね〜。

Fedora Core 2 のkernelには、exec-shield という、セキュリティ強化のパッチが組み込まれています。インストール直後の状態で、それがちゃんと機能しているか調べてみました。

まずその(1)、アドレススペースのrandomize機能です。これはデフォルトでばっちり効いていますね。buffer overflow などによる exploit が困難になります。

# cat /proc/sys/kernel/exec-shield-randomize 
1

どのように働いているのか、小さなコードを書いてチェックしてみました。

$ cat > print_stack_address.cpp
  #include <cstdio>
  unsigned long get_esp(void) {
    __asm__("movl %esp, %eax");
  }
  int main(void) {
    std::printf("esp: 0x%08lx\n", get_esp());
  }
^D

$ g++ print_stack_address.cpp
$ ./a.out 
esp: 0xfeef05b8
$ ./a.out 
esp: 0xfef833b8

毎回スタックポインタの値が変化しています。ぱっと見、下位20〜22ビットくらいは完全にランダムですね。攻撃者は、buffer overflow などで関数のリターンアドレスを適切に書き換えるのが難しくなります。

# echo "0" > /proc/sys/kernel/exec-shield-randomize 
$ ./a.out 
esp: 0xfefffa48
$ ./a.out 
esp: 0xfefffa48

無効にしてみると、このように固定値になります。ただ、見慣れた 0xbfffffxx 付近のアドレスにはならないようで、その理由はちょっとわかりません。

ランダム化しているのはスタックの開始アドレスだけではありませんが詳細は略。