Jak zapobiec wywołaniu wywołania systemowego za pomocą ptrace

Question

Pracuję nad systemem podobnym do Ideone, w którym niezaufany kod użytkownika musi działać w trybie piaskownicy.

Po to szukałem możliwości ptrace dla pierwszej warstwy ochrony. Jednak po kilku eksperymentach wydaje się, że:

• Potrafię przechwycić wywołanie systemowe przed jego wywołaniem i zmodyfikować argumenty wejściowe.
• Potrafię przechwycić wywołanie systemowe po wywołaniu i zmienić wartość zwracaną.
• Jednak wydaje się, że nie ma sposobu, aby uniemożliwić wykonanie połączenia w ogóle (z wyjątkiem zabicia całej aplikacji).

Chcę przechwycić niektóre wywołania systemowe i zwrócić fałszywy kod wyniku bez faktycznego połączenia. Czy istnieje sposób na wdrożenie tego?

Answer 1

można przeskoczyć instrukcję, która wykonuje wywołanie systemowe, zwiększając IP (wskaźnik instrukcji), w ten sposób wywołanie nie zostanie wykonane i można ustawić wartość zwracaną w zwykły sposób.

Edit:

Jest wrapper ptrace nazywa pinktrace, które powinny ułatwić zadanie, także trochę więcej informacji tutaj:

https://security.stackexchange.com/questions/8484/wrapping-system-call-in-reliable-and-secure-way

Answer 2

Proszę pamiętać, że sandbox może tylko być bezpiecznym, jeśli kod, który uruchamia, nie jest wielowątkowy. Będziesz musiał również zachować szczególną ostrożność, aby nie dopuścić do rozwidlenia się piaskowanego kodu.

Patrz, na przykład, następujące omówienie papierze o problemach Roberta Watson:

Exploiting races in system call wrappers

Papier jest związana w tym artykule, ale będę oferują link tutaj bezpośrednio jako dobrze:

"Exploiting Concurrency Vulnerabilities in System Call Wrappers"

lepszym rozwiązaniem wydaje się być nadal jak jest zalecane przez Watsona: uwzględniać ramy bezpieczeństwa całkowicie do jądra i zająć się jego stosowania w celu uniknięcia concu problemy z walutami. Linux i NetBSD i Mac OS X oraz inne systemy zorientowane na bezpieczeństwo już zapewniają takie struktury, a więc wszystko, co konieczne, jeśli używasz tych systemów, to implementacja twoich polityk w ramach istniejących struktur. To znaczy. nawet nie próbuj implementować swoich zasad bezpieczeństwa w opakowaniach zawinięć systemowych lub innych mechanizmach interpolacji wywołań systemowych.