Home Explore Help
Sign In
unidan
/
internship-report-vlc
Watch 1
Star 0
Fork 0
Files Issues 4 Pull Requests 0 Wiki
Tree: a99450a444
Branches Tags
internship-r...
/
chapters
/
why_sandboxing.tex

why_sandboxing.tex 5.3 KB
History Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293 
  1. \section{Objectifs}
    2. 

  2. 

  3. Dans la partie précédente, nous avons détaillé ce qu'était le sandboxing,
    4. 

  4. apparaissant comme dernière mesure une fois l'application corrompue par une
    5. 

  5. attaque. On peut alors se demander s'il ne vaut pas mieux concentrer ses efforts
    6. 

  6. sur l'audit et le renforcement du reste du code. On pourrait par exemple
    7. 

  7. imaginer la réécriture de l'ensemble du code de VLC dans un langage apportant
    8. 

  8. plus de garanties de sécurité. Après tout, s'il n'y a pas de faille possible, il
    9. 

  9. n'y a pas besoin de se protéger de ses failles.
    10. 

  10. 

  11. Dans le monde réel, ces deux objectifs de sécurité, le sandboxing et la
    12. 

  12. réduction des failles, sont totalement orthogonaux et les deux efforts doivent
    13. 

  13. être réalisés en même temps. Corriger des brêches dans la sécurité de
    14. 

  14. l'application permet de s'assurer que le samdboxing fonctionne plus
    15. 

  15. efficacement, tandis qu'isoler les différentes parties de l'application permet
    16. 

  16. de limiter l'impact d'une faille potentielle avant qu'elle soit corrigée.
    17. 

  17. 

  18. Le sandboxing joue ici le rôle de réduction de la surface d'attaque, qui est un
    19. 

  19. mécanisme classique. Le code en lui-même de la sandbox est censé être plus
    20. 

  20. facilement auditable, beaucoup plus court et moins dépendant du domaine lié à la
    21. 

  21. solution qu'apporte le logiciel, c'est-à-dire ne pas forcément saisir les
    22. 

  22. spécificités liées au multimédia dans notre cas. C'est donc particulièrement
    23. 

  23. intéressant dans le cadre de logiciels comme VLC ou Chromium qui demande une
    24. 

  24. palette de compétences assez large.
    25. 

  25. 

  26. Il faut néanmoins ne pas oublier qu'il ne s'agit pas d'un patch magique. Une
    27. 

  27. sandbox intrusive introduit du nouveau code et de nouvelles interactions avec le
    28. 

  28. système sous-jacent. De nouvelles failles peuvent donc apparaître, liées soit au
    29. 

  29. noyau du système et des API de sandboxing, soit parce que le code n'est pas
    30. 

  30. suffisamment robuste ou suffisamment découplé de l'application. Il faut donc
    31. 

  31. mettre une attention particulière à la vérification des mesures mises en place.
    32. 

  32. 

  33. \section{Exemples d'attaques}
    34. 

  34. 

  35. Si les objectifs et besoins décrits au dessus paraissemt trop théorique, il est
    36. 

  36. possible de prendre des exemples de la vraie vie pour se convaincre d'avoir
    37. 

  37. besoin de ces mesures. L'exemple le plus connu de sandbox intrusive est celle
    38. 

  38. de Chromium, qui s'appelle lui-même «The Most Secure Browser.» Le développement
    39. 

  39. de Chromium est basé depuis ses commencements sur un modèle de sandbox.
    40. 

  40. L'application a donc dès le départ été écrite avec l'isolation des modules en
    41. 

  41. tête. Plusieurs exemples d'attaques ont été montrées.
    42. 

  42. 

  43. Un exemple est celle de Jordan Rabet, présenté dans sa conférence à la BlueHat
    44. 

  44. IL\cite{JRabetBrowserSecurity}.
    45. 

  45. Il utilise notamment des techniques de fuzzing pour trouver «facilement» un
    46. 

  46. déréférencement de pointeur invalide \footnote{dans l'optimisation Just-In-Time
    47. 

  47. du moteur javascript} dans un des processus «renderer» de Chromium. Les
    48. 

  48. renderers étant plus ou moins confinés à l'onglet, l'attaque est confinée au
    49. 

  49. contenu même qui lui permet d'exister et n'apporte donc plus de valeur ajoutée.
    50. 

  50. 

  51. Malheureusement tout n'est pas complètement pensé pour la sécurité. L'exemple d'une
    52. 

  52. fonctionnalités qui était activée par défaut dans chromium sur quelques distributions Linux
    53. 

  53. permettait à un site de faire télécharger un fichier sans l'accord de la
    54. 

  54. personne montre les failles liés à l'expérience utilisateur. 
    55. 

  55. 

  56. Pour les personnes utilisant Gnome ou KDE, un tracker de fichier tourne en tâche
    57. 

  57. de fond afin d'indexer les métadonnées des fichiers, en particulier des images
    58. 

  58. et vidéos. Ces trackers utilisent la plupart du temps directement GStreamer ou
    59. 

  59. ImageMagick pour pouvoir parser les fichiers et extraire les métadonnées, et il
    60. 

  60. était alors possible d'écrire une attaque pour exploiter ces bibliothèques
    61. 

  61. depuis un site web\cite{GstreamerSecuIssue}.
    62. 

  62. 

  63. \section{Dans VLC}
    64. 

  64. 

  65. % TODO expliquer ce qu'est une CVE
    66. 

  66. Le sandboxing apporte particulièrement une plus grande confiance dans VLC qui a
    67. 

  67. déjà subit plusieurs failles qui ont été exposées publiquement dans des CVE
    68. 

  68. \footnote{Common Vulnerabilities and Exposures}. Ces failles touchent en grande
    69. 

  69. partie les modules de demux, qui permettent de récupérer les différents flux,
    70. 

  70. audio, vidéo et sous-titre d'un flux multimédia.
    71. 

  71. 

  72. VLC étant programmé majoritairement en C et C++, est particulièrement sensible à
    73. 

  73. une grande classe de défauts exploitable, comptant par exemple les use after
    74. 

  74. free, buffer overflow, double free, corruption mémoire, etc. Ces défauts
    75. 

  75. arrivent la majorité du temps dans des chemins d'exécution impliquant de la
    76. 

  76. manipulation de blocs de données et son interprétation, donc impliquant en
    77. 

  77. particulier ces modules demux.
    78. 

  78. 

  79. Or on peut noter que la plupart des demux n'ont pas besoin d'accès ou de\
    80. 

  80. permissions en particulier : ce sont des parseurs de données. Ils doivent
    81. 

  81. seulement avoir accès à certains blocs mémoires en entrées et générer de
    82. 

  82. nouveaux blocs mémoires en sortie.
    83. 

  83. 

  84. Les isoler du reste de l'application permet donc de fortement limiter l'impact
    85. 

  85. de ces modules, laissant à l'exécution de code arbitraire la nécessité
    86. 

  86. d'exploiter également des failles de sandboxing et plus seulement des failles
    87. 

  87. lié au travail multimédia réalisé par VLC.
    88. 

  88. 

  89. C'est d'autant plus vrai lorsque la libvlc, qui utilise directement ces
    90. 

  90. modules, peut être utilisée dans d'autres applications potentiellement plus
    91. 

  91. critiques.
    92. 

  92. 

  93.