مروری بر روش‌های قدیمی و جدید گوگل برای محافظت از هسته Linux

طراحان سامانه‌عامل اندروید با همراهی تیم امنیتی با بررسی لایه‌های مختلف این سامانه‌عامل طی هفته گذشته اقدامات گوگل برای محافظت از هسته لینوکس را تشریح کردند.

جف واندر استوپ در یک پست در وبگاه امنیتی گوگل برخی اقدامات انجام‌شده در نسخه Nougat که نسخه بعدی اندروید می‌باشد را مطرح کرده و همچنین برخی از اقدامات انجام‌شده در طی چند سال گذشته برای جلوگیری از بروز حملات به هسته این سامانه‌عامل را برشمرد.

وی در این پست ۳ سازوکار اصلی طراحی‌شده برای محافظت از هسته لینوکس را بیان کرد. یکی از این سازوکارها نشان دادن حافظه به عنوان یک پرونده فقط خواندنی و یا غیرقابل اجرا می‌باشد که کمک می‌کند هسته حافظه به چند بخش تقسیم شود.

سازوکار دوم ارائه مجوزهای دستیابی به صفحات به صورت محدود برای هر بخش است. برخی بخش‌ها به عنوان یک بخش فقط خواندنی و قابل‌اجرا به حساب می‌آیند و در عین حال برخی دیگر از بخش‌ها غیرقابل اجرا هستند و به دو نوع فقط خواندنی و خواندن-نوشتن تبدیل می‌شوند.

سازوکار سوم، هسته را از دستیابی مستقیم به فضای حافظه کاربری ممانعت می‌کند و به این ترتیب از هسته محافظت می‌کند. واندر استوپ در این خصوص معتقد است که با جداسازی دسترسی به هسته، نفوذگران باید برای اجرای حملات خود بیشتر تلاش کنند، زیرا در این شرایط کنترل کمتری بر هسته قابل‌اجرای حافظه وجود دارد.

وی همچنین در خصوص سه روشی که اندروید برای کاهش حملات سطحی علیه هسته خود انجام می‌دهد، اطلاعاتی را بیان کرد. یکی از این روش‌ها، مثلث Stack-protector-strong است که از سال ۲۰۱۴ مورد استفاده قرار گرفته و باعث محافظت از سرریز بافر پشته‌ای می‌شود. طبق ادعای واندر استوپ، این روش با مدل ابتدایی خود متفاوت است و تغییرات مثبتی را داشته است.

یکی دیگر از روش‌های محافظت از هسته، کاهش نقاط ورود است و یکی از انواع این روش‌ها دستیابی پیش‌فرض به بخش‌های اشکال‌یابی است؛ به عبارت دیگر، میزان دسترسی موجود برای perf که یک ابزار معروف مورداستفاده طراحان است، در نسخه بعدی اندروید کاهش خواهد یافت. در اندروید Nougat، سامانه‌عامل دستگاه دسترسی به ابزار تحلیل عملکرد را در سامانه‌های دارای لینوکس نسخه‌های بالاتر از ۲.۶ را قطع خواهد کرد. واندر استوپ همچنین یادآور شد که ابزار perf مفید است اما در عین حال باعث افزایش حملات سطحی برای بیشتر کاربران اندروید می‌شود.

نسخه Nougat در بخش دیگری از اقدامات خود محدودیت‌هایی را وضع کرده است که دسترسی به برنامه‌ها را از طریق دستورات بخش کنترل ورودی و خروجی محدود می‌کند. واندر استوپ در توضیح بیشتر در این خصوص گفت که تنها یک فهرست کوتاه از دستورات این بخش برای برنامه‌ها باز خواهند بود. دلیل این امر آن است که بیشتر آسیب‌پذیری‌های هسته در راه‌اندازها مشاهده می‌شود و با استفاده از فراخوان سامانه در بخش کنترل ورودی و خروجی از آن‌ها سوءاستفاده می‌شود. این اقدامات به طور کلی باعث سنگین شدن سامانه‌عامل می‌شود. واندر استوپ در این خصوص معتقد است: «برخی دستورات بخش کنترل ورودی و خروجی برای برخی برنامه‌های غیر اصلی لازم هستند و بنابراین دسترسی به این دستورات را می‌توان با حفظ عاملیت اصلی سامانه، محدود کرد.»

نسخه Nougat اندروید همچنین دستگاه‌ها را ملزم به استفاده از حالت رایانش امن می‌کند. این حالت در حقیقت ویژگی است که در آن یک برنامه مکانیسم‌های جعبه شنی یا سَندباکس را دارا می‌باشد. این نسخه از اندروید مانند روش کاهش فراخوان‌های سامانه‌ای بخش کنترل ورودی و خروجی، می‌تواند در رفع کامل این فراخوان‌ها نیز مفید باشد. این مسئله باعث می‌شود که هیچ حمله سطحی ناشی از درخواست‌های حالت رایانشی امن رخ ندهد.

شرکت گوگل دو هفته پیش در ادامه این مباحث اطلاعاتی را در مورد نسخه Nougat منتشر کرد و در این اطلاعات بیان داشت که در تلاش است روش مدیریت مرجع صدور گواهی دیجیتال را در سامانه‌عامل خود تغییر دهد. این اقدام باعث کاهش حملات مردِ میانی می‌شود. سامانه‌عامل جدید این شرکت به طراحان این امکان را می‌دهد که در مورد نحوه اطمینان برنامه‌ها مرجع صدور گواهی دیجیتال و اتصال به دامنه‌های مشخص، خود تصمیماتی را اتخاذ کنند.

شرکت گوگل همچنین به صورت مرتب آسیب‌پذیری‌هایی که ممکن است منجر به بهره‌برداری از هسته شود را رفع می‌کند. این شرکت برای این منظور از ارائه‌ی وصله‌های اندروید به صورت مرتب در هر ماه استفاده می‌کند. از آنجایی‌که هسته لینوکس بخشی از مدل اصلی امنیتی اندروید بوده و به صورت مستمر با Mediaserver ارتباط دارد، یکی از اهداف اصلی نفوذگران است. Mediaserver یک موتور جانبی است که در سال گذشته تعداد زیادی آسیب‌پذیری در آن مشاهده شده است.

گوگل همچنین در ماه جاری یک آسیب‌پذیری ارتقاء امتیاز را در سامانه پرونده هسته را وصله کرد که در صورت حمله نفوذگران می‌توانست برای اجرای یک برنامه مخرب و اجرای کد ناگهانی در هسته مورد سوءاستفاده واقع شود.

گوگل همچنین در ماه ژوئن اشکالات مهمی را در راه‌اندازهای Qualcomm رفع کرد که در صورت عدم رفع، مشکلات مشابهی مانند آسیب‌پذیری قبلی ایجاد می‌شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap