Address Space Layout Randomization (ASLR) adalah teknik keamanan yang digunakan dalam sistem operasi, pertama kali diterapkan pada tahun 2001. Versi terkini dari semua sistem operasi utama (iOS, Android, Windows, macOS, dan Linux) dilengkapi dengan perlindungan ASLR. Tapi dalam seminggu terakhir, metode baru melewati ASLR telah ditemukan . Jadi, haruskah Anda khawatir?
Bagi mereka yang tidak memiliki latar belakang pemrograman level rendah, ASLR dapat membingungkan. Untuk memahaminya, Anda harus terlebih dahulu memahami memori virtual.
Apa Itu Memori Virtual?
Memori Virtual adalah teknik manajemen memori dengan banyak manfaat, tetapi ini terutama dibuat untuk membuat pemrograman lebih mudah. Bayangkan Anda memiliki Google Chrome, Microsoft Word, dan beberapa program lain yang dibuka di komputer dengan RAM 4 GB. Secara keseluruhan, program di komputer ini menggunakan lebih dari 4 GB RAM. Namun, tidak semua program akan aktif setiap saat, atau membutuhkan akses simultan ke RAM tersebut.
Sistem operasi mengalokasikan potongan memori ke program yang dipanggil . Jika tidak ada cukup RAM untuk menyimpan semua halaman sekaligus, halaman yang paling tidak dibutuhkan akan disimpan di hard drive yang lebih lambat (tetapi lebih luas). Saat halaman yang disimpan dibutuhkan, mereka akan bertukar ruang dengan halaman yang kurang diperlukan saat ini dalam RAM. Proses ini disebut paging, dan menggunakan namanya untuk file pagefile.sys di Windows .
Memori virtual memudahkan program untuk mengelola memorinya sendiri, dan juga membuatnya lebih aman. Program tidak perlu khawatir tentang di mana program lain menyimpan data, atau berapa banyak RAM yang tersisa. Mereka hanya dapat meminta sistem operasi untuk memori tambahan (atau mengembalikan memori yang tidak digunakan) seperlunya. Semua program melihat adalah satu potongan alamat memori terus menerus untuk penggunaan eksklusifnya, yang disebut alamat virtual. Program tidak diizinkan untuk melihat memori program lain.
Ketika sebuah program perlu mengakses memori, itu memberi sistem operasi alamat virtual. Sistem operasi menghubungi unit manajemen memori (MMU) CPU. MMU menerjemahkan antara alamat virtual dan fisik, mengembalikan informasi tersebut ke sistem operasi. Program tidak berinteraksi langsung dengan RAM.
Apa itu ASLR?
Address Space Layout Randomization (ASLR) terutama digunakan untuk melindungi dari serangan buffer overflow. Dalam buffer overflow, penyerang memberi makan fungsi sebanyak mungkin data sampah yang dapat ditangani, diikuti dengan muatan berbahaya. Payload akan menimpa data yang ingin diakses program. Instruksi untuk melompat ke titik lain dalam kode adalah muatan yang umum. Yang terkenal Metode JailbreakMe untuk melakukan jailbreak pada iOS 4 , misalnya, menggunakan serangan buffer overflow, yang meminta Apple menambahkan ASLR ke iOS 4.3.
Buffer overflows memerlukan penyerang untuk mengetahui di mana letak setiap bagian program di memori. Mengetahui hal ini biasanya merupakan proses trial and error yang sulit. Setelah menentukan itu, mereka harus menyusun muatan dan menemukan tempat yang cocok untuk menyuntikkannya. Jika penyerang tidak tahu di mana kode target mereka berada, akan sulit atau tidak mungkin untuk mengeksploitasinya.
ASLR bekerja berdampingan dengan manajemen memori virtual untuk mengacak lokasi berbagai bagian program dalam memori. Setiap kali program dijalankan, komponen (termasuk tumpukan, heap, dan perpustakaan) dipindahkan ke alamat berbeda di memori virtual. Penyerang tidak bisa lagi mengetahui dimana target mereka berada melalui trial and error, karena alamatnya akan berbeda setiap saat. Umumnya, aplikasi perlu dikompilasi dengan dukungan ASLR, tetapi ini menjadi default, dan bahkan diperlukan di Android 5.0 dan yang lebih baru.
Jadi Apakah ASLR Masih Melindungi Anda?
Selasa lalu, peneliti dari SUNY Binghamton dan University of California, Riverside, mempresentasikan makalah berjudul Jump Over ASLR: Menyerang Prediktor Cabang untuk Bypass ASLR . Makalah ini menjelaskan cara untuk menyerang Branch Target Buffer (BTB). BTB adalah bagian dari prosesor yang mempercepat pernyataan dengan memprediksi hasilnya. Dengan menggunakan metode penulis, dimungkinkan untuk menentukan lokasi instruksi cabang yang diketahui dalam program yang sedang berjalan. Serangan yang dimaksud dilakukan pada mesin Linux dengan prosesor Intel Haswell (pertama kali dirilis pada 2013), tetapi kemungkinan dapat diterapkan pada sistem operasi dan prosesor modern apa pun.
Meskipun demikian, Anda tidak perlu putus asa. Makalah ini menawarkan beberapa cara agar perangkat keras dan pengembang sistem operasi dapat mengurangi ancaman ini. Teknik ASLR yang lebih baru dan halus akan membutuhkan lebih banyak usaha dari penyerang, dan meningkatkan jumlah entropi (keacakan) dapat membuat serangan Jump Over menjadi tidak layak. Kemungkinan besar, sistem operasi dan prosesor yang lebih baru akan kebal terhadap serangan ini.
Jadi apa yang tersisa melakukan? Bypass Jump Over masih baru, dan belum terlihat di alam liar. Saat penyerang mengeksploitasinya, cacat tersebut akan meningkatkan potensi kerusakan yang dapat ditimbulkan oleh penyerang pada perangkat Anda. Tingkat akses ini belum pernah terjadi sebelumnya; Microsoft dan Apple hanya mengimplementasikan ASLR dalam sistem operasi mereka yang dirilis tahun 2007 dan yang lebih baru. Bahkan jika gaya serangan ini menjadi hal yang biasa, keadaan Anda tidak akan lebih buruk daripada saat Anda menggunakan Windows XP.
Perlu diingat bahwa penyerang masih harus mendapatkan kode mereka di perangkat Anda untuk melakukan kerusakan. Cacat ini tidak memberi mereka cara tambahan untuk menginfeksi Anda. Seperti biasa, Anda harus melakukannya ikuti praktik terbaik keamanan . Gunakan antivirus, jauhi situs web dan program yang tidak jelas, dan selalu perbarui perangkat lunak Anda. Dengan mengikuti langkah-langkah ini dan menjauhkan aktor jahat dari komputer Anda, Anda akan seaman sebelumnya.
Kredit Gambar: Steve / Flickr
