STACK OVERWRITING ATTACKS AND DEFENCES IN UNIX ENVIRONMENT

Työn tarkoituksena on tutkia pinon ylikirjoitukseen perustuvien hyökkäysten toimintaa ja osoittaa kokeellisesti nykyisten suojaustekniikoiden olevan riittämättömiä. Tutkimus suoritetaan testaamalla miten valitut tietoturvatuotteet toimivat eri testitilanteissa. Testatut tuotteet ovat Openwall, PaX, Libsafe 2.0 ja Immunix 6.2. Testaus suoritetaan pääasiassa RedHat 7.0 ympäristössä testiohjelman avulla. Testeissä mitataan sekä tuotteiden kyky havaita hyökkäyksiä että niiden nopeusvaikutukset. Myös erityyppisten hyökkäysten ja niitä vastaan kehitettyjen metodien toimintaperiaatteet esitellään seikkaperäisesti ja havainnollistetaan yksinkertaistetuilla esimerkeillä. Esitellyt tekniikat sisältävät puskurin ylivuodot, laittomat muotoiluparametrit, loppumerkittömät merkkijonot ja taulukoiden ylivuodot. Testit osoittavat, etteivät valitut tuotteet estä kaikkia hyökkäyksiä, joten lopuksi perehdytään myös vahinkojen minimointiin onnistuneiden hyökkäysten varalta.

This thesis studies the principles of stack overwriting attacks and proves existing security products inadequate. The research is done by testing four different software products against nine test cases. Chosen products are Openwall kernel patch 2.2.19, PaX kernel patch 2.2.18, Libsafe 2.0 and Immunix 6.2. The attack detection capability and performance effects of each product are measured and analyzed. Red Hat Linux 7.0 is used as test environment, but the methods and results apply to other operating systems as well. The techniques and principles of different types of attacks are explained with details using simplified examples. These methods include buffer overflows, format string attacks, non-terminated strings and array boundary overflows. The products are found to be only a partial solution to the problem and in addition to the evaluation the basic techniques to minimize the impact of successful attacks are covered.