Suchen

Rootkit-ähnliches Framework erlaubt Schwachstellen-Analyse im Kernel Security-Tool RE:trace entdeckt und stoppt Pufferüberlauf in Echtzeit

| Redakteur: Stephan Augsten

Buffer Overflows in Anwendungen unter Mac OS X und anderen Unix-artigen Betriebssystemen lassen sich neuerdings mithilfe eines Ruby-basierten Frameworks aufdecken. Dazu werden Funktionen des Performance-Monitoring-Tools DTrace genutzt, das Apple in sein Leopard-OS integriert hat. Zwei Security-Experten haben das Tool erweitert und die Lösung „RE:trace“ getauft.

Firmen zum Thema

Auf Basis von DTrace aus Mac OS X Leopard entstand das Vulnerability Analysis Tool RE:trace.
Auf Basis von DTrace aus Mac OS X Leopard entstand das Vulnerability Analysis Tool RE:trace.
( Archiv: Vogel Business Media )

Eigentlich können Reverse-Engineering- und Security-Spezialisten mit DTrace Fehler im Heap- und Stack-Speicher ausfindig machen und beheben. Auf diese Weise sollte das Tool von Sun Microsystems dabei helfen, Apllikationen und Betriebssysteme zu bereinigen. Doch nun dient es Security-Spezialisten auch zu anderen Zwecken.

Die Sicherheitsexperten Tiller Beauchamp und David Weston haben auf der Black Hat Conference ihr Tool RE:trace öffentlich vorgestellt. Dabei haben sie gezeigt, wie sie nicht nur Overflows in Heap und Stack sondern auch Pufferüberläufe aufdecken können.

Ein Buffer Overflow lässt sich anschließend stoppen, bevor die betroffene Anwendung abstürzt. „Damit wird die Zeit für eine Schwachstellen-Analyse erheblich verkürzt“, verdeutlicht Weston. Außerdem sei es mithilfe des Frameworks möglich, Daten während ihrer Verarbeitung durch eine Anwendung zu tracken.

Security-Experten nutzen Rootkit-artige Funktionen

„DTrace arbeitet im Kernel und hat damit Zugriff auf das komplette Betriebssystem“, erläuterte Weston auf der Black Hat Conference. Damit sei es ein „gutmütiges, programmierbares Rootkit“. Allerdings sei DTrace nicht speziell fürs Reverse Engineering entwickelt worden und beinhalte somit auch nicht alle Funktionen, die hierfür nötig seien.

Aus diesem Grund haben Weston und Beauchamp mithilfe der Programmiersprache Ruby einige solcher Funktionen implementiert. Zu den neuen Features gehören unter anderem

  • die Möglichkeit, eine Suche in den Hauptspeicher auszulagern,
  • die Funktionen einer Anwendungen objektorientiert abzubilden oder auch
  • Feedback über die Aktionen einer Anwendung einzuholen.

Beispielsweise kann RE:trace dem Anwender zeigen, wer jedes einzelne Speicher-Bit nutzt, wie viel Speicher während einer Attacke übergelaufen ist oder ob ein Speicherbereich jemals freigegeben wurde.

Weston und Beauchamp wollen ihre Arbeit an RE:trace fortsetzen. Weitere Funktionen sollen also in den kommenden Monaten folgen.

(ID:2011033)