プロフィール

大山恵弘

  • Author:大山恵弘
  • 公式なサイトはこちら

最近の記事

最近のコメント

最近のトラックバック

月別アーカイブ

ブロとも申請フォーム

ブログ内検索

RSSフィード

リンク

FC2カウンター

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【システムコールサンドボックス】 Authenticated System Calls 【バイナリ変換】

In DSN '05.
http://www.cs.arizona.edu/solar/

「認証つきシステムコール」の提案。システムコールに引数を追加する。追加引数には、その呼び出しのポリシーと、そのポリシーのインテグリティを保証するMACを与える。

カーネルは追加引数の情報を利用して、システムコールの安全性を検査する。

信頼できるインストーラが、アプリケーションのバイナリを静的解析してポリシーを生成する。そして、バイナリを、認証つきシステムコールを呼び出すようなものに変換する。

ポリシーとしては記述できるものは、各システムコールを呼び出してよいプログラムポイントとか、各システムコールで許される/許されない引数とか。

実装はLinux上。PLTOをいうバイナリ変換ツールを利用。

ポリシーをシステムコールの引数にのせるってアイデアが新しいのと、ポリシーのインテグリティを守るための暗号情報もシステムコールの引数にのせるってアイデアが新しいと思う。それ以外は普通のシステムコールフックサンドボックスといったかんじ。

第一著者はアリゾナの人。といってもデブレイ氏は著者に入ってない。からんでるのはトレバージム。サイクロンの人がこんな研究もしてますみたいな。

ユーザプログラムとカーネルが暗号的な情報を共有し、攻撃コードが変なやり方でシステムコールを呼び出すと復号が失敗して攻撃が検出される、という方法は、このへんにもあります。
スポンサーサイト

<< 【セキュリティ】 Secure and Practical Defense Against Code-injection 【乱数化】 | ホーム | 【仮想化】 Unix as an Application Program 【マイクロカーネル】 >>


コメント

コメントの投稿


管理者にだけ表示を許可する

 BLOG TOP 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。