Un modello integrato control-flow e data-flow per il rilevamento ...

Recommendations

Info

28 3. Un modello che integra control flow e data flow molto aggiungendo la data flow analysis standard al modello e, sempre sfruttando l’overflow, è possibile condurre un attacco che sfugge anche ad un ipotetico IDS basato su execution graphs e data flow. chiedi_nome_file read main.22 main.24 main.25 g.10 put_msg.5 write Figura 3.3: Execution graph per il primo esempio. Supponiamo quindi di avere a disposizione un sistema IDS basato su execution graphs e data flow analisys. Quello che imparerebbe per questo programma è che i valori ammissibili come secondo parametro della write sono Hello, e world\n: buf@5 elementOf {“Hello,”, “world\n” } A livello di control flow invece imparerebbe, nel caso di EG, un automa (Figura 3.3) che ammette soltanto la seguente sequenza di stack: [main.22|chiedi_nome_file|read] [main.24|g.10|put_msg.5|write] [main.25|put_msg.5|write] Un ipotetico attacco dunque, per non essere scoperto, dovrebbe rispettare i seguenti vincoli: • eseguire una read seguita da due write • eseguire le chiamate di sistema facendo in modo che lo stack, durante la loro esecuzione, rispetti una certa struttura • eseguire le write con i parametri Hello, oppure world\n
3.1. Debolezze dei modelli esistenti 29 main main main.24 main main.25 main 0x1234 main 1 2 3 g.11 msg main.25 main 4 5 6 Figura 3.4: Passi dell’attacco al programma. Ci rimane quindi la possibilità di attaccare il programma in modo da far assomigliare la prima write alla seconda, facendole scrivere lo stesso messaggio. I passi per ottenere questo risultato sono illustrati nella Figura 3.4 e descritti di seguito (si veda ad esempio [1] per informazioni sulle convenzioni di chiamata in Unix/Intel): 1. è stato letto l’input da chiedi nome file(), quindi la read() è stata eseguita. Lo stack contiene solo il frame di main() 2. la f() parte e fa il setup del suo frame 3. la strcpy() copia la stringa puntata da path in buf e sovrascrive il return address di f(). conservato intatto È essenziale che il valore del frame pointer sullo stack sia 4. la f() è ritornata, il suo frame è stato distrutto e sta per essere eseguito il codice iniettato nel buffer 5. lo shellcode fa una push del return address per g() ed esegue: push %ebp mov %esp, %ebp Il finto stack frame per g() è al suo posto 6. lo shellcode fa la push dell’indirizzo di uno qualsiasi dei messaggi considerati validi per put msg() e del return address. Il punto di ritorno deve essere nell’epilogo di g() e precisamente a mov %ebp, %esp (o leave). Rimane da
Page 1: Università degli Studi di Udine Fa
Page 5 and 6: Ringraziamenti In questo percorso m
Page 7 and 8: Indice 1 Introduzione 1 1.1 Anomaly
Page 9 and 10: Elenco delle figure 1.1 Codice sema
Page 11 and 12: 1 Introduzione Dai tempi della “d
Page 13 and 14: 1.1. Anomaly detection e system cal
Page 15 and 16: 1.2. Obiettivo del lavoro 5 informa
Page 17 and 18: 1.3. Struttura della tesi 7 seconda
Page 19 and 20: 2 Modelli per l’anomaly detection
Page 21 and 22: 2.1. Modelli control flow 11 con un
Page 23 and 24: 2.1. Modelli control flow 13 • Vi
Page 25 and 26: 2.1. Modelli control flow 15 1 int
Page 27 and 28: 2.2. Modelli data flow 17 • se v
Page 29 and 30: 2.2. Modelli data flow 19 suo scopo
Page 31 and 32: 2.3. Discussione dei modelli studia
Page 33 and 34: 2.3. Discussione dei modelli studia
Page 35 and 36: 3 Un modello che integra control fl
Page 37: 3.1. Debolezze dei modelli esistent
Page 41 and 42: 3.1. Debolezze dei modelli esistent
Page 43 and 44: 3.1. Debolezze dei modelli esistent
Page 45 and 46: 3.2. Proposta 35 1 int main(void) 2
Page 47 and 48: 3.3. Costruzione del modello 37 mai
Page 49 and 50: 3.3. Costruzione del modello 39 Un
Page 51 and 52: 3.3. Costruzione del modello 41 Tra
Page 53 and 54: 3.3. Costruzione del modello 43 Par
Page 55 and 56: 3.3. Costruzione del modello 45 Tut
Page 57 and 58: 3.5. L’algoritmo per la verifica
Page 59 and 60: 3.5. L’algoritmo per la verifica
Page 61 and 62: 4 L’implementazione L’implement
Page 63 and 64: 4.2. Introduzione a DTrace 53 un ce
Page 65 and 66: 4.2. Introduzione a DTrace 55 1 sta
Page 67 and 68: 4.3. Implementazione del sistema 57
Page 69 and 70: 4.4. Costo computazionale del model
Page 71 and 72: 4.4. Costo computazionale del model
Page 73 and 74: 5 Conclusioni e sviluppi futuri La
Page 75 and 76: 5.2. Sviluppi futuri 65 5.2.1 L’u
Page 77 and 78: 5.2. Sviluppi futuri 67 sistemi. In
Page 79 and 80: Bibliografia [1] System V Applicati

Un modello integrato control-flow e data-flow per il rilevamento ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?