Сегодня большинство популярных клиентских приложений использует функцию DEP
компании Microsoft, встроенную в семейство операционных систем Windows, в то
время, как около одной трети приложений работают с функцией случайного
распределения адресного пространства (ASLR).
Эти данные были опубликованы на прошлой неделе компанией Microsoft в докладе
об исследовании Security Development Lifecycle (SDL). Софтверный гигант изучил
настройки DEP и ASLR в 41 популярном стороннем приложении, чтобы оценить уровень
использования этих технологий безопасности. Функция ASLR не применяется в 70%
плагинов для браузеров: а это значит, что даже если браузер поддерживает
функцию ASLR, а плагин нет, то ASLR не полностью функционирует.
Цикл SDL компании Microsoft, процесс внедрения в программное обеспечение
строгих стандартов безопасности и конфиденциальности, является обязательным для
всех продуктовых Microsoft с 2004 года. В 2007 году Microsoft выпустила в массы
инструменты SDL, а также
документацию в целях содействия безопасному кодированию. DEP и ASLR являются
двумя функциями безопасности Microsoft, добавленными в Windows.
Джеф Джонс, директор Microsoft
Trustworthy Computing, говорит, что неравенство использования в приложениях
функций DEP и ASLR, вероятно, связано с тем, что DEP является доступной дольше
(со времен XP Service Pack 2), так же как является "более простой для
понимания". DEP предотвращает прямое использование эксплоитом исполняемого код
из области памяти, помеченной как "только для данных".
"Функция безопасности DEP существует довольно долго, и достаточно просто
активизируется", - поясняет Джонс. Технология
ASLR впервые
вышла в свет вместе с Windows Vista. ASLR в основном является функцией
безопасности операционных систем Vista и Windows 7, она защищает системы
от эксплойта, пытающегося вызвать системные функции. Она располагает код в
случайных областях памяти, а это усложняет успешную
эксплуатацию уязвимостей на
компьютере злоумышленником.
Хотя технология ASLR в полной мере работает в 34% исследуемых приложений, она
частично функционирует в 46% коммерческих приложений. Около 20 процентов вовсе
не используют ASLR.
Сотрудник компании Microsoft Джонс говорит, что процент использования
является значительным. "Я был приятно удивлен. Восемьдесят процентов приложений
либо полностью, либо частично используют эту функцию безопасности, что является
хорошим результатом", - говорит он.
Гари МакГроу, технический директор Cigital, также считает, что новые данные
Microsoft по использованию DEP и ASLR являются хорошими новостями. "Эта скорость
внедрения чертовски хороша ... поскольку [технология] является относительно
новой", - рассказывает технический директор Cigital Гари МакГроу.
"Но использование только функций ASLR и DEP не полностью обеспечивает
безопасность приложения", - добавляет он. "Если вы полагаетесь только на эти две
функции безопасности, то не получите безопасного приложения. Также вы должны
принимать во внимание все остальное, [включая] статический анализ, pen testing,
и остальные [шаги] SDL".
"Когда приложения лишь частично выполняют ASLR, это приводит к тому, что не
все библиотеки компилируются с ASLR, что может позволить злоумышленнику обойти
DEP", - отмечает Томас Кристенсен, технический директор компании Secunia.
Те приложения, которые поддерживают только DEP или только ASLR, либо просто
частично поддерживают что-то одно, не полностью получают преимущества
безопасности, объясняют эксперты.
"Одна функция DEP менее эффективна, чем ASLR, поскольку существует гораздо
более простые способы победить DEP, чем ASLR. Использование DEP и ASLR вместе
приводит к наиболее эффективной защите", - говорит Чаоуки Бекрар, генеральный
директор и глава отдела исследований VUPEN.
"Некоторые разработчики приложений избегают DEP, поскольку она может привести
к сбою", - подмечает Кристенсен из Secunia. "Так, конечно, не очень хорошо, но
естественно выбрать меньше безопасности и больше стабильности", - говорит он.
Несмотря на это, DEP и ASLR не являются неприступными.
Исследователи
безопасности нашли и
показали способы обхода DEP. "Есть способы, позволяющие обойти каждую из
функций в отдельности, но объединение двух делает защиту более эффективной и
значительно менее уязвимой", - заявляет Кристенсен.
