Buffer Overflow en Linux

Modelo de Memoria en Linux

Linux utiliza el formato de archivo ELF (Executable and Linkable Format) para sus ejecutables y bibliotecas compartidas. Este formato organiza la memoria del programa en diferentes secciones, como .text (código ejecutable), .data (datos inicializados), y .bss (datos no inicializados). El formato ELF proporciona una estructura clara y flexible para la ejecución y el enlace de programas, facilitando la gestión de la memoria y la aplicación de técnicas de seguridad.

Gestión de Memoria Transparente

Una de las características distintivas de Linux es su gestión de memoria transparente, que permite a los usuarios y administradores acceder a información detallada sobre el uso de la memoria a través del sistema de archivos /proc. Este sistema de archivos virtual proporciona una visión detallada del estado del sistema y de cada proceso, incluyendo:

• Mapa de Memoria: /proc/[pid]/maps muestra las direcciones de memoria asignadas a un proceso específico, permitiendo ver la disposición de las diferentes secciones de un programa.

• Estadísticas de Uso de Memoria: /proc/[pid]/status proporciona información sobre el uso de la memoria por un proceso, incluyendo las secciones de pila y heap.

Protecciones en Linux

1. Data Execution Prevention (DEP):

   • Descripción: DEP, conocido como NX (No-eXecute) en Linux, marca ciertas regiones de la memoria, como la pila y el heap, como no ejecutables. Esto previene la ejecución de código inyectado en estas áreas.

   • Implementación: En Linux, esta protección se activa utilizando el bit NX en procesadores compatibles, impidiendo la ejecución de código en segmentos de datos.

2. Address Space Layout Randomization (ASLR):

   • Descripción: ASLR aleatoriza las direcciones de memoria donde se cargan las bibliotecas, el heap y la pila, haciendo más difícil para un atacante predecir las ubicaciones de la memoria necesarias para explotar un buffer overflow.

   • Impacto: ASLR en Linux añade una capa de seguridad significativa al aumentar la incertidumbre en la disposición de la memoria del programa, dificultando la explotación de vulnerabilidades.

3. Stack Smashing Protector (SSP):

   • Descripción: SSP, también conocido como ProPolice, es una característica integrada en el compilador GCC que añade canarios de pila para detectar buffer overflows. Los canarios son valores especiales insertados antes de las direcciones de retorno en la pila.

   • Funcionamiento: Al retornar de una función, el canario es verificado. Si ha sido alterado, el programa detecta el buffer overflow y aborta la ejecución, previniendo la explotación.

   • Uso: SSP es activado por defecto en muchas distribuciones de Linux al compilar software con GCC, proporcionando una protección adicional contra desbordamientos de buffer.

Herramientas y Técnicas Adicionales

1. Fortificación del Código:

   • Funciones Seguras: Al igual que en Windows, Linux promueve el uso de funciones seguras para manejar cadenas y memoria, como strncpy en lugar de strcpy, y snprintf en lugar de sprintf.

   • Opciones de Compilación: Opciones como -fstack-protector y -fstack-protector-all en GCC habilitan la inserción de canarios de pila en las funciones para proteger contra buffer overflows.

2. SELinux y AppArmor:

   • Políticas de Seguridad: SELinux (Security-Enhanced Linux) y AppArmor proporcionan controles de acceso obligatorios que restringen las capacidades de los procesos, limitando el impacto potencial de una explotación exitosa de buffer overflow.