Analyse de sécurité de logiciels système par typage statique

Contexte Modélisation Expérimentation Conclusion Analyse de sécurité de logiciels système par typage statique Application au noyau Linux Étienne Millon UPMC/LIP6 Airbus Group Innovations Sous la direction d Emmanuel Chailloux et Sarah Zennou 10 juillet 2014 Analyse de sécurité de logiciels système par typage statique Étienne Millon 1/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 2/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 3/44

L arnaque du serrurier S + = J appelle un serrurier Je l attends devant chez moi Il ouvre ma porte Je rentre chez moi Analyse de sécurité de logiciels système par typage statique Étienne Millon 4/44

L arnaque du serrurier S + = J appelle un serrurier Je l attends devant chez mon voisin Il ouvre sa porte Je rentre chez mon voisin Analyse de sécurité de logiciels système par typage statique Étienne Millon 4/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 5/44

Utilisateur et noyau Programmes utilisateur : navigateur,... Appels système Noyau : pilotes Instructions privilégiées Matériel : disque dur,... Analyse de sécurité de logiciels système par typage statique Étienne Millon 6/44

Mémoire utilisateur et noyau 0 3 Go 4 Go Programmes utilisateur Appels système Noyau Instructions privilégiées Matériel Analyse de sécurité de logiciels système par typage statique Étienne Millon 7/44

Utilisation correcte d un appel système struct timeval tv; struct timeval* ptv = &tv; int z = gettimeofday(ptv, NULL); 0 3 Go 4 Go ptv Analyse de sécurité de logiciels système par typage statique Étienne Millon 8/44

Utilisation détournée d un appel système struct timeval* ptv = 0xc2c12705; int z = gettimeofday(ptv, NULL); 0 3 Go 4 Go ptv Analyse de sécurité de logiciels système par typage statique Étienne Millon 9/44

Problème des pointeurs dans les appels système La copie simple n est pas suffisante : il faut vérifier tous les pointeurs 2 propriétés : Qui contrôle le pointeur? Dans quelle plage se trouve sa valeur? Invariant : les pointeurs contrôlés par l utilisateur pointent dans la mémoire utilisateur Fonctions non sûres : memcpy, strcpy Fonctions sûres : copy_from_user, copy_to_user copy_from_user memcpy memcpy copy_to_user memcpy Analyse de sécurité de logiciels système par typage statique Étienne Millon 10/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 11/44

Le projet Penjili Analyse de sécurité de logiciels système par typage statique Étienne Millon 12/44

Le projet Penjili Safespeak ptrtype Analyse par typage Analyse de sécurité de logiciels système par typage statique Étienne Millon 12/44

Le langage intermédiaire Newspeak Un langage adapté à l analyse statique : simple : il contient peu de constructions explicite : les effets de bords sont explicites expressif : tout programme C peut être converti en Newspeak Analyse de sécurité de logiciels système par typage statique Étienne Millon 13/44

Exemple int x; x = 0; while (x < 10) { } x++; int32 x; x =(int32) 0; do { while (1) { choose { --> guard((10 > x_int32)); --> guard(! (10 > x_int32)); goto lbl1; } x =(int32) coerce[-2**31,2**31-1] (x_int32 + 1); } } with lbl1: { } Analyse de sécurité de logiciels système par typage statique Étienne Millon 14/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 15/44

Safespeak Newspeak : bon front-end mais bas niveau Safespeak = restriction de C «bien typable» Pas de casts, arithmétique des pointeurs restreinte Différence de modèle mémoire : Newspeak : suite d octets Safespeak : ensemble structuré de valeurs Analyse de sécurité de logiciels système par typage statique Étienne Millon 16/44

Syntaxe Expressions Expressions e ::= c Constante e Opération unaire e e Opération binaire lv Accès mémoire lv e Affectation &lv Pointeur fun(x 1,..., x n ){i} Fonction e(e 1,..., e n ) Appel de fonction {l 1 : e 1 ;... ; l n : e n } Structure [e 1 ;... ; e n ] Tableau Analyse de sécurité de logiciels système par typage statique Étienne Millon 17/44

Syntaxe Instructions Instructions i ::= Pass Instruction vide i; i Séquence e Expression Decl x = e in{i} Déclaration de variable If(e){i}Else{i} Alternative While(e){i} Boucle Return(e) Retour de fonction Analyse de sécurité de logiciels système par typage statique Étienne Millon 18/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 19/44

Sémantique d évaluation Système de transitions entre états expression + mémoire e, m e, m expressions valeurs exemple : x, m 1, m si x vaut 1 dans m. Analyse de sécurité de logiciels système par typage statique Étienne Millon 20/44

Structure de la mémoire Locales n 0 n 1 Globales a 2 b 3.14 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 } Cadre de pile z 2 Analyse de sécurité de logiciels système par typage statique Étienne Millon 21/44

Valeurs gauches ex : x.f[2] 3 valeurs gauches (lvalues) chemins ϕ Chemins ϕ ::= (x) Globale (n, x) Locale ϕ.l Accès à un champ ϕ[n] Accès à un élément ϕ v, m v, m[ϕ v] Comment définir m[ϕ] et m[ϕ v]? Analyse de sécurité de logiciels système par typage statique Étienne Millon 22/44

Lentilles Relation entre objet et sous-objet L Lens R,A { get L = L : R A put L : (A R) R get L ( ) = put L (, ) = Analyse de sécurité de logiciels système par typage statique Étienne Millon 23/44

Composition de lentilles get L1 get L1 put L2 get L2 put L1 L 1 L 2 Analyse de sécurité de logiciels système par typage statique Étienne Millon 24/44

Lentilles pour les structures de données I(n) : lentille «n e élément d une liste» put I(2) (5, [4; 8; 15; 16]) = [4; 5; 15; 16] L(k) : lentille «élément associé à k» d une liste d association get L(b) ([(a, 23); (b, 42)]) = 42 T (n) et F (k) : équivalents de I(n) et F (k) sur les valeurs tableaux et structures Analyse de sécurité de logiciels système par typage statique Étienne Millon 25/44

Fonctionnement des lentilles n 0 n 1 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 } a 2 b 3.14 ϕ = L = z 2 Analyse de sécurité de logiciels système par typage statique Étienne Millon 26/44

Fonctionnement des lentilles n 0 n 1 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 } a 2 b 3.14 ϕ = ( L = fst z 2 Analyse de sécurité de logiciels système par typage statique Étienne Millon 26/44

Fonctionnement des lentilles n 0 n 1 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 } a 2 b 3.14 ϕ = (2, L = fst I(2) z 2 Analyse de sécurité de logiciels système par typage statique Étienne Millon 26/44

Fonctionnement des lentilles n 0 n 1 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 z 2 } a 2 b 3.14 ϕ = (2, x) L = fst I(2) L(x) Analyse de sécurité de logiciels système par typage statique Étienne Millon 26/44

Fonctionnement des lentilles n 0 n 1 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 z 2 } a 2 b 3.14 ϕ = (2, x).f L = fst I(2) L(x) F (f) Analyse de sécurité de logiciels système par typage statique Étienne Millon 26/44

Fonctionnement des lentilles n 0 n 1 n 2 { f : [1; 6; 1; 8] x g : 3 y 4 z 2 } a 2 b 3.14 ϕ = (2, x).f[2] L = fst I(2) L(x) F (f) T (2) Analyse de sécurité de logiciels système par typage statique Étienne Millon 26/44

Définition de Φ Φ Path Lens Mem,V al Φ((x)) = snd L(x) Φ((n, x)) = fst I(n) L(x) Φ(ϕ.l) = Φ(ϕ) F (l) Φ(ϕ[n]) = Φ(ϕ) T (n) m[ϕ] def == get Φ(ϕ) (m) m[ϕ v] def == put Φ(ϕ) (v, m) Analyse de sécurité de logiciels système par typage statique Étienne Millon 27/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 28/44

Système de types Type t ::= Int Entier Float Flottant Unit Unité t Pointeur noyau t @ Pointeur utilisateur t [ ] Tableau {l 1 : t 1 ;... ; l n : t n } Structure (t 1,..., t n ) t Fonction Analyse de sécurité de logiciels système par typage statique Étienne Millon 29/44

Deux types de pointeurs Pointeurs noyau : t valeur fixée à la compilation ou par le runtime ex : &x, malloc(n) peuvent être déréférencés (*p, memcpy()) Pointeurs utilisateur : t @ valeur provient d un utilisateur non privilégié ex : paramètres d appels systèmes peuvent être copiés uniquement par des fonctions sûres (copy_*_user) Analyse de sécurité de logiciels système par typage statique Étienne Millon 30/44

Règles de typage Γ lv : t Γ &lv : t (Addr) Γ e : t Γ e : t (Lv-Deref) Γ e d : t Γ e s : t @ Γ copy_from_user( e d, e s ) : Int (User-Get) Γ e d : t @ Γ e s : t Γ copy_to_user( e d, e s ) : Int (User-Put) Analyse de sécurité de logiciels système par typage statique Étienne Millon 31/44

Exemple : gettimeofday Comment copier l heure calculée par le noyau à l adresse ptv? Version naïve : memcpy( ptv, time ) ; Γ memcpy( e d, e s ) : Int Version correcte : copy_to_user( ptv, time ) ; Γ copy_to_user( e d, e s ) : Int Analyse de sécurité de logiciels système par typage statique Étienne Millon 32/44

Sûreté du typage Théorème (Progrès) Supposons que Γ e : t. Soit m un état mémoire tel que Γ m. Alors l un des cas suivants est vrai : v Ω, e = v (e, m ), e, m e, m Ω {Ω div, Ω array, Ω ptr }, e, m Ω Analyse de sécurité de logiciels système par typage statique Étienne Millon 33/44

Sûreté du typage Théorème (Préservation) Soient Γ un environnement de typage et m un état mémoire tels que Γ m. Soit e une expression telle que Γ e : t. Alors, si e, m e, m, on a Γ e : t et Γ Cleanup(m ). Analyse de sécurité de logiciels système par typage statique Étienne Millon 34/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 35/44

L analyseur ptrtype Liste de sources Safespeak ptrtype Analyse par typage Analyse de sécurité de logiciels système par typage statique Étienne Millon 36/44

Traduction Code C int f (int* x) { return (*x + 1); } Safespeak let f = fun (x) -> return (*x + 1) Analyse de sécurité de logiciels système par typage statique Étienne Millon 37/44

Traduction Code C int f (int* x) { return (*x + 1); } Safespeak + types inférés let f : Int* -> Int = fun (x : Int*) -> return ((((*x) : Int) + (1 : Int)) : Int) Analyse de sécurité de logiciels système par typage statique Étienne Millon 37/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 38/44

Example: freedesktop.org bug #29340 Code avec bug int radeon_info_ioctl(struct drm_device *dev, void *data, struct drm_file *filp) { /*!npk userptr_fieldp data value*/ struct drm_radeon_info *info = data; uint32_t *value_ptr = (uint32_t *) ((unsigned long)info->value); uint32_t value = *value_ptr; /*... */ } Inference output error: 05-drm.c:17#10 05-drm.c:17#10 - - Type Type clash clash between between : : KPtr KPtr (_a15) (_a15) UPtr UPtr (_a8) (_a8) But if we replace last line by the following: Analyse de sécurité de logiciels système par typage statique Étienne Millon 39/44

Code corrigé 05-drm.c:17#10 - Type clash between : KPtr (_a15) UPtr (_a8) But if we replace last line by the following: if (copy_from_user(&value, value_ptr, sizeof(value))) return -14; Inference output fully annotated program: (06-drm-ok.c:17#6)^{ Int Inttmp_cir!0; (06-drm-ok.c:17#6)^tmp_cir!0 <- <- copy_from_user (( &(value) :: KPtr (d), value_ptr_uptr (d) :: UPtr (d), 44 :: Int); }} Bibliography Analyse de sécurité de logiciels système par typage statique Étienne Millon 40/44

1 Contexte L arnaque du serrurier Isolation entre utilisateur et noyau Penjili & Newspeak 2 Modélisation Safespeak Sémantique d évaluation Système de types 3 Expérimentation Analyseur statique Utilisation sur le noyau Linux 4 Conclusion Analyse de sécurité de logiciels système par typage statique Étienne Millon 41/44

Contributions Safespeak : un langage impératif bien typé Règles de codage pour avoir une sémantique de haut niveau Une sémantique basée sur les lentilles Permet une notation simple pour manipuler la mémoire Un système de types abstraits Alternative : sous-typage (CQual) Un prototype d analyseur statique Intégré dans l outillage industriel du projet Penjili Analyse de sécurité de logiciels système par typage statique Étienne Millon 42/44

Conclusion Problème réel : bug de ptrace sur Blackfin Janvier 2014 : «Linux 3.4+ : arbitrary write with CONFIG_X86_X32 (CVE-2014-0038)» Application du typage à la sûreté mémoire : délicat nécessite des restrictions mais fonctionne! Analyse de sécurité de logiciels système par typage statique Étienne Millon 43/44

Perspectives Automatiser l annotation : repérer les appels système Allocation dynamique Faire collaborer Penjili et ptrtype Autres propriétés : size_t et int : memset(p, 0, n) memset(p, n, 0) Types abstraits : permettre au programmeur de définir ses propres analyses Analyse de sécurité de logiciels système par typage statique Étienne Millon 44/44