Re: "ProPolice-Stackschutz" auch bei FreeBSD?

From: Oliver Fromme <olli(at)secnetix.de>
Date: Thu, 1 May 2003 15:18:49 +0200 (CEST)



Patrick Hess <patrick_hess(at)t-online.de> wrote:


 > heute wurde ja OpenBSD 3.3 released. Sehr interessant finde ich da


 > den im Betreff genannten Schutz vor Buffer Overflows. Bin mal


 > gespannt, ob sich das in der Praxis als tauglich heraus stellt,


 > wird man in den nächsten Wochen abwarten müssen.



Sowas muß man mit Vorsicht genießen.  In der Werbung von


OpenBSD hört sich das natürlich toll an, zumal die meisten


gar nicht so genau wissen, was dieser Mechanismus überhaupt


genau macht.



Natürlich hilft sowas gegen eine Menge typische Fälle, aber


halt nicht gegen alle.  Man sollte sich da nicht in trüge-


rischer Sicherheit wiegen.



Um hundertprozentige Sicherheit gegen sowas zu haben, müßte


man schon das Betriebssystem und sämtliche Programme in ei-


ner Programmiersprache schreiben, die Bufferoverflows erst


gar nicht ermöglicht, z.B. im C-Dialekt »Cyclone«:


http://www.cs.cornell.edu/projects/cyclone/


(Die Version in den Ports ist leider veraltet.)  Programme,


die in dieser Sprache geschrieben wurden, können per-se


keine Bufferoverflows machen, nur auf selbst belegten Spei-


cher zugreifen, keine ungültigen Pointer dereferenzieren


usw.; Segmentation-Faults sind unmöglich.



Neben Bufferoverflows gibt es natürlich eine Reihe anderer


Möglichkeiten, die Exploits, Virenbefall usw. ermöglichen.


Kein noch so ausgeklügeltes System schützt einen vor unfä-


higen Programmierern, die keinerlei Sinn für Sicherheit ha-


ben.  Die Möglichkeiten, die die Jail-Infrastruktur von


FreeBSD bietet, halte ich da schon für universeller wirk-


sam:  Ganz gleich _wodurch_ ein Exploit geschehen kann


(Bufferoverflow oder sonstwas), werden seine Auswirkungen


auf das Jail begrenzt.  Auch die Entwicklungen, die bei


TrustedBSD stattfinden und nach und nach in FreeBSD zurück-


fließen, sind sehr vielversprechend (z.B. Mandatory-Access-


Control).



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Now that the Internet has the full spectrum of humanity as users,
the technology is showing its weakness: it was designed to be used by
friendly, smart people. Spammers, as an example of a class, are neither
friendly nor smart." -- Paul Vixie in an interview with Sendmail.net
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 01 May 2003 - 15:18:54 CEST













search this site