Korumalı alana alma

Korumalı Alan Oluşturma, kodun, sınırları dışındaki kaynaklara erişmesini önleyen, kısıtlı bir ortamda çalıştırma uygulamasıdır. Korumalı alan hangi dosyaları okuyabileceğini, hangi ağ bağlantılarını yapabileceğini, hangi diğer işlemlerle iletişim kurabileceğini ve hangi sistem çağrılarını çağırabileceğini sınırlar. Kodun kötü amaçlı veya hatalı olduğu ortaya çıkarsa hasar kontrol altına alınır.

Korumalı alan oluşturma neden önemlidir

Modern bilgi işlem, tamamen güvenmediğimiz kodun çalıştırılmasına bağlıdır:

• Tarayıcınızın ziyaret ettiği herhangi bir web sitesinden JavaScript
• Uygulama mağazalarındaki mobil uygulamalar (incelenmiş ancak resmi olarak değil)
• Tarayıcı uzantıları, IDE eklentileri, kodunuzdaki bağımlılıklar
• Belgelerdeki makrolar, e-postaya eklenen komut dosyaları
• Bulut altyapısındaki kapsayıcı iş yükleri

Korumalı alan oluşturma olmasaydı, bunların her biri gerçekleşmeyi bekleyen bir kimlik bilgisi hırsızlığı saldırısı olurdu. Korumalı alan oluşturma, modelin çalışmasını sağlar.

Korumalı alanlar nasıl oluşturulur

Katmanlı uygulama teknikleri:

• İşlem yalıtımı. Modern bir tarayıcıdaki her sekme, ayrı bir işletim sistemi işlemidir. Tarayıcı çekirdeği, işlemin ne yapmasına izin verildiğine karar verir. Linux'ta
• seccomp-bpf — üzerinde sistemin bir işlemi çağırabileceği çekirdek tarafından uygulanan filtre. Korumalı alan ihtiyaç duyduğu sistem çağrılarını bildirir (okuma, yazma, mmap vb.) ve çekirdek diğer her şeyi reddeder.
• Ad alanları ve yeteneklerLinux'ta — dosya sisteminin, süreçlerin, ağın vb. yalıtılmış görünümleri. Kapsayıcılar bu temel öğelerden oluşturulmuştur.
• MacOS/iOS'te Uygulama Korumalı Alanı — bir uygulamanın hangi yeteneklere ihtiyaç duyduğunu (kamera erişimi, ağ, belirli yollar) açıklayan bildirim temelli yetkiler. Yetkileri olmayan uygulamalar bu özelliklere erişemez.
• AppContainer / Windows Sandbox — Microsoft'un eşdeğer izolasyon modeli.
• Chrome ve Firefox'ta Site Yalıtımı — kaynak başına ayrı işlemler, çekirdek düzeyinde bir istismar olsa bile bir sitenin JavaScript'inin başka bir sitenin belleğini okumasını engeller. Bulundu.

Ayrıntılı olarak tarayıcı sanal alanları

Tarayıcı, bilgi işlem alanında en genel, en çok saldırıya uğrayan sanal alandır. Tarayıcı çekirdeği güvenilir bir işlem olarak çalışır. Her bir oluşturucu işlemi (sekme başına bir veya daha fazla) minimum düzeyde yetenekle güvenilmeyen bir işlem olarak çalışır. Oluşturucu şunları yapabilir:

• Bellek tahsis edebilir
• Çok özel işlemler için IPC aracılığıyla tarayıcı çekirdeğiyle iletişim kurabilir
• Grafik arabelleğine işleyebilir
• JavaScript ve WebAssembly'yi çalıştırabilir

It yapamaz:

• Dosyaları kendi korumalı alan dizininin dışında aç
• Rastgele ağ hedefleriyle konuşun (tarayıcı çekirdeği bu bağlantıları yapar)
• Diğer süreçleri oluşturur
• Diğer süreçlerin belleğini okuyun

Tarayıcı satıcıları hata ödülleri olarak on milyonlarca dolar öder özellikle korumalı alandan kaçış güvenlik açıkları için. Chrome'daki en kazançlı tek ödül (200.000 ABD dolarının üzerinde), korumalı alandan kaçan tam zincir için geçerli.

Mobil uygulama korumalı alanı

iOS ve Android, korumalı alanı mantıksal uç noktasına taşıyor: her uygulama kendi UID'sinde çalışır, kendi dosya sistemi görünümünü görür ve diğer uygulamalarla yalnızca dar, işletim sistemi aracılı IPC kanalları (Intents on Android, URL şemaları ve iOS'ta Uygulama Uzantıları). İşletim sistemi, çalışma zamanında kullanıcıdan yetenek tarzı izinler (kamera, mikrofon, kişiler) ister. Sonuç: Telefondaki kötü amaçlı yazılım, masaüstündekinden çok daha sıkı bir şekilde kontrol altına alınır.

WebAssembly ve yeni sandbox

WebAssembly, birinci sınıf bir özellik olarak sandboxing ile baştan tasarlandı. Bir WASM modülünün kendine ait sistem çağrıları yoktur; her şeyin ana bilgisayar ortamı tarafından sağlanması gerekir (sistem çağrısı tarzı API'ler için WASI, tarayıcılardaki web API'leri). Bu, WASM'yi güvenilir uygulamalar içinde güvenilmeyen eklentileri çalıştırmak için güçlü bir aday haline getiriyor; bu, daha önce yoğun süreç izolasyonu gerektiren bir kullanım durumuydu. Wasmtime ve wasmer gibi araçlar bu modeli kullanır.

Sandbox'lar başarısız olduğunda

Sandbox kaçış güvenlik açıkları gerçektir ve değerlidir. Tekrarlanan arıza modları:

• Çekirdek yüzeyindeki hatalar. Seccomp ile kısıtlanmış işlemler bile bazen izin verilen sistem çağrıları yoluyla ulaşılabilen çekirdek hatalarından yararlanabilir.
• IPC hataları. Korumalı alanın aracı işlemiyle konuşmak için kullandığı arayüzlerin kendileri saldırı yüzeyidir.
• Yan kanallar. Spectre ve Meltdown, CPU optimizasyonlarının süreç sınırlarının ötesine veri sızdırabileceğini gösterdi. Modern sanal alanlar bu durumu hafifletir, ancak altta yatan sorun donanım düzeyinde bir sorun olmaya devam etmektedir.
• Sandbox profil hataları. Operatörler bazen yazılımın çalışmasını sağlamak için sandbox profillerini gevşetir ve kazara delikler açar.

Sandboxing olasılıklı bir savunmadır; istismar için çıtayı yükseltir, ortadan kaldırmaz. Derinlemesine savunma, korumalı alan oluşturmayı diğer önlemlerle (bellek açısından güvenli diller, temizleyiciler, saldırı yüzeyi azaltma) birleştirir.

Korumalı alanın sizin için anlamı nedir

Son kullanıcılar için korumalı alan oluşturma çoğunlukla görünmezdir. Pratik sonuç: Sandbox kaçışları en yüksek öncelikli güvenlik düzeltmeleri olduğundan tarayıcıları ve işletim sistemlerini güncel tutun. Sonuçlarını anlamadığınız sürece korumalı alan özelliklerini devre dışı bırakmaktan kaçının (bazı Linux kullanıcıları seccomp profillerini kapatır, bazı uzman kullanıcılar Chrome'un korumalı alan bayraklarını devre dışı bırakır). Tarayıcılar varsayılan olarak güçlendirilmiş olarak gönderilir; varsayılan neredeyse tüm kullanıcılar için doğrudur.