Inserire un "canary" (canarino)

Un canary è un valore nello stack il cui valore viene verificato prima del ritorno.

void funzione(...) {
   int canary;
   char buf[MAX_SIZE]; // seguono altre dichiarazioni
   canary = VALORE_CANARY;
   gets(buf);    // o qualche altra operazione pericolosa
   ...
   if(canary != VALORE_CANARY)
      exit;
   return;
}

Ruolo del canary: Il canary funge da segnaposto. Prima del ritorno dalla funzione, viene verificato se il valore del canary è rimasto invariato. Se il canary è stato alterato, può indicare un overflow di buffer. In tal caso, il programma può decidere di terminare l'esecuzione (exit).

Un canary è un valore casuale (difficile da indovinare per l'attaccante) o un valore composto da diversi terminatori di stringa (CR, LF, Null, -1). L'obiettivo è rendere difficile per un attaccante indovinare il valore del canary durante un attacco.

Implementazioni per i compilatori GCC e Microsoft Visual C++ Esistono attacchi noti (vedi Pincus/Baker)

Programmazione difensiva

• Evitare funzioni di libreria non sicure, ad esempio strcpy, gets, ...
  • Sostituire con varianti sicure, ad esempio strncpy, fgets, ...
  • Ad esempio, sostituire strcpy(dst, src) con strncpy(dst, src, dimensione_dst-1).
• Verificare i limiti degli array: È fondamentale controllare sempre i limiti degli array durante l'iterazione su di essi per evitare potenziali overflow di buffer o altri errori di accesso fuori limite.
  • Meccanismi di verifica:
    • Programmazione attenta
    • Squadre di audit
    • Utilizzare grep o strumenti più sofisticati
  • Limitazioni: Viene sottolineato che questi approcci hanno limitazioni, in quanto sono propensi agli errori e richiedono tempo per le attività di audit. Tuttavia, l'adozione di pratiche di programmazione difensiva è importante per migliorare la sicurezza del software.

BUG Non utilizzare mai gets(). Poiché è impossibile stabilire senza conoscere i dati in anticipo quanti caratteri gets() leggerà e poiché gets() continuerà a memorizzare caratteri oltre la fine del buffer, è estremamente pericoloso usarlo. È stato utilizzato per violare la sicurezza informatica. Utilizzare invece fgets(). — Dalla pagina del manuale di gets(3)

Verifica automatica dei limiti degli array

Approccio: il compilatore aggiunge automaticamente un controllo esplicito ad ogni accesso a un array

I controlli vengono inseriti durante la generazione del codice. Esempio: miglioramenti di GCC di Jones&Kelly.

Svantaggi

• Può essere difficile determinare i limiti di un array
• La perdita di prestazioni può essere sostanziale, ad esempio, un fattoriale 10-30!
• Alcuni compilatori verificano solo riferimenti espliciti agli array, come buf[n], ma non i riferimenti dei puntatori *(buf+n)

Evita C (++)