SecurePot: システムコールフックを利用した安全なソフトウェア実行系

2001/09/19 日本ソフトウェア科学会第１８回大会

1

SecurePot: システムコールフックを利用した安全なソフトウェア

実行系

大山恵弘（さきがけ研究２１）加藤和彦（筑波大学電子・情報工学系さきがけ研究２１）


2

背景悪意あるコードの氾濫

Code Red, Sircam, Anna Kournikova

コードの安全な実行への要請

一つの有効な対策 : sandbox システムの使用


3

Sandbox システムアプリケーションを「封じ込めて」実行

アプリケーションの挙動を監視許された操作のみを実行

例： Java

• 仮想機械を定義、実装 Janus, MAPbox, ASL

• 発行されるシステムコールを監視


4

本研究の目的システムコール監視型の sandbox シス

テムの使い勝手の向上セキュリティポリシーの記述を簡単化


5

発表のあらまし既存システムの問題 SecurePot の設計 SecurePot の実装関連研究今後の課題


6

システムコールフックを利用したsandbox システム

………

セキュリティポリシー

OS

sandbox

applicationシステムコール

実現方式• ユーザレベル• Kernel module• Kernel 改造


7

既存システムの問題ポリシー記述が面倒

試行錯誤しつつ繰り返しポリシーを書き換えることが必要

ポリシーの作成、閲覧、編集が直感的でない


8

問題 1: 繰り返されるポリシーの　　　　書き換え

ポリシー作成

実行

ポリシー違反強制終了

ポリシーを緩く書き換え


9

問題 2: 直感的でないポリシー記述

例： Janus のポリシーファイルの抜粋

basicputenv displaynet allow connect displaypath super-deny read,write,exec */.forwardpath allow read /dev/zero /dev/null

↑何をどうしたいのか？？？


10

SecurePot の設計思想ポリシーの記述を極力簡単に！

実行時の問い合わせ　＋　その答をポリシーファイルに反映

ポリシー作成用の GUI の導入


11

SecurePot の構成

OS

SecurePot

applicationconfigure

feedback

syscalls

X X

SecureFurnace

generate

…policy file…


12

SecurePot の使用例

% securepot tar.plc tar xvf foo.tarx foo.txt, 4 bytes, 1 tape blocks……

ポリシーファイルコマンド列

SecurePot = ユーザ権限で走る一般のプログラム


13

セキュリティポリシー制御対象

システムコール読み書きファイルパス通信相手の IP アドレスとポート番号

制御の選択肢 deny: 不許可 ignore, allow-and-print: 許可 ask: 問い合わせ


14

セキュリティポリシーの例•ファイル読み書きと通信の制限

…deny path allignore path r /dev/zeroignore path r /usr/lib/locale/ja/ja.so.1ignore path r /usr/lib/locale/ja/methods_ja.so.1ignore path r /usr/lib/locale/ja/LC_MESSAGES/…ignore path r /usr/lib/locale/ja/LC_TIME/…

deny sock all…


15


16

Incremental なポリシー作成の概要

実行前

実行中

実行後

•安全側に振ったポリシーを記述•怪しい操作の実行前に問い合わせるよう指示

•問い合わせ＋答の入力•問い合わせ後すぐポリシーを更新

•更新されたポリシーをダンプ•次回の実行ではダンプされたファイルを使用


17

Firewall ソフトウェアに学ぶ初期設定：全部（ or 大半）の通信を禁止通信が試みられる→ その通信を許可するかどうか問い合わせ


18

実行前ポリシーを安全側に振る ask の使用

# システムコールask allignore open, read, close

# パスask path allignore path r /dev/zero, /dev/null

# 通信ask sock all


19

実行中問い合わせに答えるopen(“/etc/hosts”, O_RDONLY) called.Continue?1. 　 Yes2. No3. Yes. And remove this hook…8. Yes. And ignore this hook when the arg is the samecommand? >

最初は多数の false alarm → 徐々に減少


20

実行後問い合わせの答を反映したポリシーを

ファイルにダンプ

…Policy updated.Update echo.plc?(y/n) > yUpdated.%


21

更新されたポリシーファイル

…# パスask path allignore path r /dev/zero, /dev/nullignore path r /etc/hosts…

•次回の実行で使用可•広く配布することも可


22


23

SecureFurnace: ポリシーファイル作成、閲覧、編集のためのＧＵＩ

メニュー、テキストボックス、チェックボックスの操作を通じてポリシー作成例 : 「ファイル削除不可」ボックスをチェック

という行を生成

cf. visual programming 現状 : どういうＧＵＩがよいかプロトタイプ上

で模作中

deny unlink


24

SecureFurnace プロトタイプ CGI+form


25


26

SecurePot の実装方式プロセスを生成

子プロセス : アプリケーションを実行親プロセス : 子プロセスを監視

Solaris の / proc filesystem を利用 / proc以下の子プロセス用ファイルを読み書

き⇔ 子プロセスの状態取得、実行制御


27

現在の実行時オーバヘッド 1MB のファイル一個のコピー

4% gcc-3.0.tar の展開

41%

類似システム : いずれも数％程度


28

他の機能 :ライブラリ関数の実行制御

例 : fprintf の実行を許可 /禁止

より粗粒度の制御が可能に

関数が「信頼できる」場合に有効

実装 : ブレークポイントの挿入


29

関連研究（１） Sandbox システム

Janus [Goldberg et al. ’96], MAPbox [Acharya et al. ’00], ASL [Sekar et al. ’99], SubDomain [Cowan et al. ’00]

ポリシーを incremental に作る機構なし

FMAC tools [Prevelakis ’01] 悪意がない入力でのアプリケーションの挙動を記録。

記録をもとにポリシー作成プログラムの実行時の挙動を手がかりにポリシーを

作る点が共通


30

関連研究（２） Java の permission 機構

宣言的ポリシー policytool: GUI ベースのポリシー編集ツール

システムコールラッパ GSW [Fraser et al. ’99],

SysGuard [榮楽ら ’ 01] 操作的なポリシー記述融通　⇔　記述量　のトレードオフ


31

今後の課題 SecureFurnace非プロトタイプ版の実

装

問い合わせの仕方を洗練

使い勝手をさらに向上させる機構の提案


32

まとめ Sandbox システムを使いやすくする機構

インクリメンタルなポリシー作成の機構を提案 GUI によるポリシー作成支援の構想を提示

SecurePot HP でソースを公開中

Documents

SecurePot: システムコールフックを利用した安全なソフトウェア実行系