Tidak membutuhkan lebih dari 2 minggu sebelum aplikasi besar yang termasuk bagian dari sebagian besar distribusi Linux menghadirkan lubang keamanan yang mengizinkan, sebagai contoh, user lokal menjadi root. Mengesampingkan kualitas yang hebat dari kebanyakan software ini, memastikan keamanan dari sebuah program adalah sebuah kerja keras : yang seharusnya tidak mengizinkan para penjahat untuk mendapatkan keuntungan ilegal dari kekayaan system .Ketersediaan dari kode sumber aplikasi adalah sesuatu yang baik, lebih banyak penghargaan oleh para programmer, tetapi gangguan terkecil dari software adalah menjadi terlihat untuk semua orang. Lebih jauh lagi, pendeteksian dari gangguan-gangguan tersebut muncul secara acak dan orang-orang yang menemukan gangguan tersebut tidak selalu punya perhatian yang baik. .

Dari sisi sysadmin , kerja harian mereka terdiri dari membaca daftar-daftar masalah keamanan dan sesegera mungkin melakukan update terhadap paket-paket yang terlibat dengan masalah tersebut. Untuk seorang programmer ini bisa menjadi sebuah pelajaran yang baik untuk mencoba beberapa masalah keamanan karena menghindari terjadinya lubang keamanan sejak awal adalah metode paling disarankan untuk memperbaiki lobang keamanan tersebut. Kami akan mencoba untuk memaparkan beberapa kebiasaan "klasik" yang berbahaya dan menyediakan solusi untuk menurunkan resikonya. Kami tidak akan berbicara masalah-masalah keamanan jaringan karena masalah jaringan tersebut muncul dari kesalahan konfigurasi (script-script cgi-bin yang berbahaya, ...) atau dari lubang system yang memperbolehkan DOS (Denial Of Service) type serangan yang menghalangi mesin untuk listen kepada client-nya sendiri. Masalah seperti ini mengacu ke sysadmin atau ke para pengembang kernel. Tetapi para programmer aplikasi mesti melindungi kode mereka segera setelah kode mengarah ke account external data. Beberapa versi dari pine , acroread , netscape , access ,...telah mengizinkan elevated access atau kebocoran informasi untuk beberapa kondisi tertentu.Dan sebenarnya secure programming adalah urusan semua orang.

Seri artikel ini menunjukkan metode-metode yang bisa digunakan untuk merusak system Unix. Kami hanya bisa memaparkan metode-metode tersebut atau berkata sedikit tentang metode tersebut, tapi kami menyediakan penjelasan lengkap untuk membuat orang-orang mengerti resiko-resikonya. Dikarenakan, ketika mencari kesalahan program atau mengembangkan program Anda sendiri, Anda akan bisa untuk menghindari atau memperbaiki kesalahan-kesalahan ini. Untuk setiap lubang kesalahan yang kita diskusikan, kami akan mengambil pendekatan yang sama. Kami mulai dengan detail bagaimana kesalahan terjadi. Selanjutnya, kami akan memperlihatkan cara untuk menghindarinya. Untuk semua contoh kami akan menggunakan lubang keamanan yang masih tersebar luas pada software sekarang ini.

Artikel pertama ini bercerita tentang kebutuhan dasar untuk memahami lubang keamanan, yang menjadi titik dari privileges dan pada bit Set-UID atau Set-GID. Selanjutnya, kami menganalisa lubang berdasarkan pada fungsi system() dikarenakan hal ini lebih mudah untuk dipahami.

Kami juga akan sering menggunakan program C yang kecil untuk menggambarkan apa yang sedang kita bicarakan. Bagaimanapun, pendekatan-pendekatan yang dipaparkan pada seri artikel ini bisa di aplikasikan dengan bahasa pemrograman lain : perl, java, shell scripts... Beberapa lubang keamanan bergantung pada bahasanya, tetapi ini tidak benar untuk semua seperti yang akan kita lihat dengan fungsi system() .

Pada system Unix, para pengguna (user) tidaklah sama, begitu pula dengan aplikasi. Akses pada node-node file system - dan menuruti periferal mesin - bermuara pada kontrol identitas secara langsung. Beberapa user diizinkan untuk melakukan operasi sensitif untuk mengurusi system dalam kondisi yang bagus. Nomer-nomer yang disebut UID (User Identifier) mengizinkan proses pengenalan (identification). Untuk membuat segala sesuatu menjadi lebih mudah, nama user berkorespondensi dengan nomer UID ini, proses asosiasi ini terjadi pada file /etc/passwd

Kode UID 0, dengan nama default-nya root, bisa mengakses segalanya pada system. Dia bisa membuat, merubah, dan menghapus seluruh system node, tapi dia juga bisa dengan baik mengurusi konfigurasi secara fisik dari mesin, melakukan mounting pada partisi, mengaktifkan kartu interface jaringan dan merubah konfigurasinya (IP address), atau menggunakan system call seperti mlock() untuk beraksi pada memori fisik, atau sched_setscheduler() untuk mengganti mekanisme permintaan system. Pada artikel yang akan datang kita akan mempelajari fitur dari Posix.1e yang memperbolehkan pembatasan terhadap privileges dari sebuah aplikasi yang dijalankan sebagai root, tapi sekarang, mari kita asumsikan the super-user bisa melakukan segala hal pada mesin.

Serangan yang akan kita paparkan adalah yang dari dalam, dari user ber-otorisasi pada mesin, mencoba untuk meningkatkan hak pakai yang tidak dia punyai. Di sisi lain, serangan pada jaringan ada pula yang dari luar, datang dari orang-orang yang mencoba untuk terhubung ke mesin yang mana mereka tidak diijinkan untuk itu..

Untuk menggunakan hak pakai cadangan untuk pemakai yang lain tanpa tercatat sebagai pemakai tersebut, seseorang mesti mempunyai minimal kesempatan untuk berbicara ke aplikasi yang dijalankan dibawah UID korban. Ketika sebuah aplikasi - sebuah proses - berjalan pada Linux, maka dia mempunyai sebuah identitas yang jelas. Pertama, program mempunyai sebuah atribut yang disebut RUID (RealUID) berkoresponden ke user ID yang menjalankannya. Data ini di urusi oleh kernel dan bisanya tidak bisa diubah. Begitu atribut menyelesaikan informasi tersebut :field pada EUID (Effective UID)berkoresponden ke identitas yang kernel bawa ke account user ketika mengurusi hak akses (membuka file,system-calls cadangan).

Untuk mendapatkan privileges dari user lain yang berarti semua hal bisa dilakukan dibawah UID user tersebut, dan tidak pada UID yang seharusnya. Tentunya, seorang cracker mencoba untuk mendapatkan ID dari root ,tapi banyak user yang lain juga menarik , dikarenakan mereka bisa memberikan akses ke informasi dari system (news, mail, lp...) atau karena mereka mengijinkan membaca data pribadi (mail, file pribadi, dll) atau mereka dapat digunakan untuk menyembunyikan aktifitas ilegal seperti serangan dari situs yang lain.

Untuk menjalankan aplikasi dengan privileges dari Effective UID yang berbeda dari UID sebenarnya (user yang menjalankannya) file eksekusi harus mempunyai bit tertentu yang di aktifkan, yang disebut Set-UID. Bit ini ditemukan pada atribut file (seperti User execute,read, write bits, anggota group atau yang lain) dan mempunyai nilai oktal 4000. Bit Set-UID diwakili dengan kode s ketika menampilkan hak-hak pakai dengan perintah ls :



Setiap proses juga mempunyai Effective group ID, EGID, dan tanda pengenal asli disebut RGID (Real GID). Bit Set-GID (2000 dalam octal) dalam hak akses dari file eksekusi , bertanya ke kernel untuk menggunakan identitas group dari pemilik file sebagai EGID dan bukan GID dari user yang menjalankan program. Kombinasi yang serius terkadang muncul dengan Set-GID yang di set ke 1 tapi tanpa bit eksekusi group. Kenyataannya, kejadian ini tidak ada hubungannya dengan privileges yang berhubungan dengan aplikasi, tetapi mengindikasikan bahwa file bisa di block dengan fungsi fcntl(fd, F_SETLK, lock) . Biasanya sebuah aplikasi tidak menggunakan bit Set-GID, tapi itu tidak terjadi setiap kali. Beberapa game, sebagai gambaran, menggunakan proses itu utnuk menyimpan score terbesar ke direktori system .

Ada banyak jenis dan type serangan terhadap system. Hari ini kita mempelajari mekanisme untuk menjalankan perintah external dari dan bersama aplikasi. Ini biasanya sebuah shell yang berjalan dibawah identity dari empunya aplikasi. Type kedua dari serangan mengarah ke buffer overflow memberikan penyerang kemampuan untuk menjalankan kode atau instruksi pribadi. Terakhir, Type serangan utama yang ketiga berdasar kepada race condition - selisih waktu antara dua instruksi dimana komponen system berubah (biasanya berupa file) yang mana aplikasi masih percaya bahwa itu berasal dari sumber yang sama.

Dua type serangan pertama biasanya mencoba mengeksekusi shell menggunakan privileges dari empunya aplikasi, sementara type yang ketiga ditargetkan pada mendapatkan hak akses menulis ke file system yang terproteksi. Akses membaca terkadang mengarah ke kelemahan dari keamanan system (file-file pribadi, email, file password /etc/shadow , and file konfigurasi pseudo kernel pada /proc ).

Target-target pada serangan keamanan sebagian besar kepada program yang mempunyai bit Set-UID (atau Set-GID) on. Bagaimanapun, ini juga mempengaruhi setiap aplikasi yang berjalan dibawah ID yang berbeda ID dibanding user-nya. Daemon-daemon system mewakili bagian yang besar dari program-program ini. Daemon adalah aplikasi yang bisanya di jalankan saat boot, berjalan di latar belakang tanpa ada terminal kontrol, dan melakukan kerja dengan privilege untuk setiap user. Sebagai contoh, daemon lpd mengijinkan semua user untuk mengirimkan dokumen ke printer, sendmail menerima dan meneruskan surat elektronik, atau apmd bertanya ke Bios mengenai status baterai dari sebuah laptop. Beberapa daemon bertugas terhadap komunikasi dengan user dari luar melalui jaringan (Ftp, Http, Telnet... services). Server bernama inetd mengurusi koneksi-koneksi dari banyak jenis service ini.

Lalu kita bisa memutuskan bahwa program bisa diserang begitu program berkomunikasi - biarpun secara perlahan - kepada user yang berbeda dengan user yang menjalankannya. Saat mengembangkan aplikasi type ini Anda mesti berhati-hati untuk memikirkan resiko-resiko yang dipaparkan oleh function yang akan kita pelajari disini.

Ketika sebuah aplikasi berjalan dengan EUID yang berbeda dibanding RUID-nya, adalah bertujuan untuk menyediakan pemakai privileges yang dia butuhkan tetapi tidak mempunyai privileges tersebut (Hak akses file, system calls cadangan...). Walau begitu privileges tersebut dibutuhkan hanya untuk waktu yang sangat singkat, sebagai contoh ketika membuka sebuah file, dengan kata lain aplikasi dapat berjalan dengan privileges privileges-nya. Menjadi mungkin untuk sementara mengubah EUID aplikasi dengan menggunakan system-call :

Untuk mengurangi resiko dari serangan-serangan, disarankan untuk mengubah EUID dan juga mengubah RUID dari user. Ketika ada bagian dari kode membutuhkan privileges yang berhubungan dengan para pemilik file, sangat memungkinkan untuk menempatkan kode dari Saved UID ke EUID. Berikut sebagai contoh :

uid_t e_uid_initial; uid_t r_uid; int main (int argc, char * argv []) { /* Saves the different UIDs */ e_uid_initial = geteuid (); r_uid = getuid (); /* limits access rights to the ones of the * user launching the program */ seteuid (r_uid); ... privileged_function (); ... } void privileged_function (void) { /* Gets initial privileges back */ seteuid (e_uid_initial); ... /* Portion needing privileges */ ... /* Back to the rights of the runner */ seteuid (r_uid); }