対策2 カナリア値チェックによるスタック保護
充希
これだけで充分じゃないですか?
先生
ところが、リターンアドレスの書き換え自体が起きてしまっている。できればこれも防ぎたい
充希
確かに
先生
それにASLRはOS側の機能だから、OS側でASLRを無効化されていれば無防備だ。そこで、もう一つの対策がある。カナリア値チェックによるスタック保護だ
充希
カナリア値
先生
さっきのサンプルコードを、保護機能を無効にせず、普通にコンパイルするぞ
先ほどとは異なり、-fno-stack-protectorオプションを外して、コンパイルします。これによりスタック保護機能が有効なプログラムとなります。
$ gcc sample8.c -o ./sample8
先生
そして実行する
$ ./sample8 mainが呼び出されました Address of main: cf 23 bb af ba 7f 00 00 Address of A: a2 23 bb af ba 7f 00 00 Address of B: 75 23 bb af ba 7f 00 00 Address of C: 9b 22 bb af ba 7f 00 00 Address of D: 84 22 bb af ba 7f 00 00 Aが呼び出されました Bが呼び出されました Cが呼び出されました メモリの内容 before: 00 00 00 00 00 57 3a 3e 5c 11 26 dc 20 0a 8f c7 ff 7f 00 00 93 23 bb af 何か入力してください: 12345 メモリの内容 after: 31 32 33 34 35 00 3a 3e 5c 11 26 dc 20 0a 8f c7 ff 7f 00 00 93 23 bb af *** stack smashing detected ***: terminated Aborted (core dumped)
充希
5文字入力したら落ちました
先生
stack smashing detectedとエラーになっている。スタックが破壊されたという意味だ
スタックについては割愛しますが、ここでは「ローカル変数の領域を越えて書き込みが行なわれた」ことが検出されたと考えてください。
そして、この境界を越えて書き込みが行なわれたことを検知するのが、カナリア値です。
アイデアはとても簡単です。
まず、ローカル変数の領域とその次の領域の間の境界にランダムな値を置いておきます。もし、その部分がバッファオーバーフローで上書きされたら、元の値とは変わってしまいます。
つまり、実行前のカナリア値と実行後のカナリア値を比較して、値が変わっていれば、境界を越えた書き込みが起きたと判断できるわけです。
before/afterに注目して見ましょう。
メモリの内容 before: 00 00 00 00 00 57 3a 3e 5c 11 26 dc 20 0a 8f c7 ff 7f 00 00 93 23 bb af
メモリの内容 after: 31 32 33 34 35 00 3a 3e 5c 11 26 dc 20 0a 8f c7 ff 7f 00 00 93 23 bb af
バッファオーバーフローにより、「00 57 3a 3e」が「35 00 3a 3e」に書き換わってしまいました。これこそが、カナリア値の変化です。これを検知して、プログラムがエラーとなったというわけです。
充希
……ところで、なんでカナリアなんですか?
先生
昔、炭鉱でカナリアが毒ガス検知器として使われていた。それが由来だそうだ
充希
カナリアかわいそう
先生
まあ、保護機能は保護機能に過ぎない。あくまでも、バッファオーバーフローを起こさないようなプログラムを組むことが大切だ。今時の過保護なプログラミング言語に慣れていると、C言語を触ったときに火傷するぞ
充希
C言語触らないようにします
先生
積極性の評価を1にするぞ
充希
や、やめてください
先生
冗談だ
