56

 

OBRONA

HAKIN9 4/2008

P

rzy tworzeniu bezpiecznych programów 
naley zwróci szczególn uwag na kilka 
istotnych czynników wpywajcych na 

ogólne bezpieczestwo rozwizania. Cay tekst 
bazuje na przykadzie systemu Windows i 
aplikacji pisanych na platformie .NET.
Problem bezpieczeństwa aplikacji jest bardzo 
szeroko omawianym tematem w różnego 
rodzaju opracowaniach. Niemniej jednak 
warto kompleksowo przyjrzeć się tej kwestii. 
Ogólnie przyjętym stwierdzeniem jest potrzeba 
znalezienia złotego środka przy tworzeniu 
poszczególnych rozwiązań. Należy bardzo 
mocno wyważyć bezpieczeństwo z łatwością 
użycia aplikacji przez użytkowników końcowych. 
Każda aplikacja może być bardzo bezpieczna 
i uwzględniać wszystkie możliwe aspekty 
bezpieczeństwa, ale z drugiej strony będzie 
wtedy na pewno niewygodna w obsłudze. Jeśli 
przekształcimy to stwierdzenie, będziemy mogli 
powiedzieć, że programy łatwe w użyciu są 
aplikacjami niebezpiecznymi. No właśnie, ale 
czy aby na pewno tak jest? 

Bezpieczeństwo aplikacji

Bezpieczeństwo to kilka różnego rodzaju 
warstw, a co za tym idzie – różne elementy 
chroniące nasz system. Jeśli przyjrzymy się 
Rysunkowi 1, zobaczymy, w jaki sposób można 
umiejscowić takie warstwy.

Dane i aplikacja to oczywiście kluczowe 

elementy układanki. Oczywiście oba z tych 

ARTUR ŻARSKI

Z ARTYKUŁU 

DOWIESZ SIĘ

o podstawowych zagadnieniach, 

które mogą podnieść 

bezpieczeństwo tworzenia 

i wdrażania aplikacji.

CO POWINIENEŚ 

WIEDZIEĆ

znać podstawową znajomość 

C/C++,

pojęcia związane 

z bezpieczeństwem danych.

elementów posiadają własne zabezpieczenia. 
I tak, dane mogą być szyfrowane przy pomocy 
EFS (Encrypted File System) oraz BitLocker’a. 
Do zabezpieczeń może być użyty IRM oraz 
RMS, a całość dodatkowo chroniona będzie 
przy pomocy ACL w NTFS. Aplikacja natomiast 
posiada własne zabezpieczenia dostępu, 
dobrze zdefiniowaną architekturę, kod oraz 
różnego rodzaju procedury walidacji.

Idąc dalej – nasz serwer (host) posiada 

zabezpieczenia systemu operacyjnego. Ma 
hasła dostępu do tegoż systemu operacyjnego. 
Dodatkowo jest często aktualizowany 
– wgrywane są zawsze najnowsze poprawki 
bezpieczeństwa. Użytkownicy mają możliwość 
użycia SmartCard z zainstalowanymi 
certyfikatami. 

Kolejny istotny element to cała infrastruktura 

sieciowa. Może być zabezpieczona przy 
pomocy IPSec czy IDS. Krańce sieci 

Stopień trudności

Bezpieczne a 

niebezpieczne 

aplikacje

Aplikacje i ich bezpieczeństwo to nie tylko i wyłącznie proces 

ich tworzenia, to również modelowanie zagrożeń, projektowanie 

rozwiązania oraz architektura. Wszystkie te czynniki składają się 

na stworzenie bezpiecznej lub niebezpiecznej aplikacji. 

Listing 1. 

Przykład przepełnienia bufora

int

 

ryzykowna1

(

char

 

*

 

pLancuch

)

 

{

 

int

 

nLicznik

 

=

 

0

;

 

char

 

pBufor

[

_MAX_PATH

]

;

strcpy

(

pBufor

, 

pLancuch

);

 

for

(;

pBufor

;

 

pBufor

++)

 

if

 

(*

pBufor

 

==

 '\\'

)

 

nLicznik

++;

 

return

 

nLicznik

;

}

57

 

BEZPIECZNE A NIEBEZPIECZNE APLIKACJE

HAKIN9 

4/2008

korporacyjnej (na rysunku granica sieci) 
zabezpieczone są przy pomocy firewall’a, 
a użytkownicy łączący się przy pomocy 
VPN, zanim uzyskają dostęp do sieci, 
przechodzą kwarantannę sprawdzającą 
'poprawność' komputera. Mając serwer 
oraz infrastrukturę pozostaje nam 
zapewnienie fizycznego bezpieczeństwa 
– czyli serwerownia ze strażnikami, 
dobrze zamkniętymi drzwiami, 
monitoringiem etc. 

Ostatnim, ale jednym z 

najważniejszych, elementem jest 
świadomość użytkowników (prawników 
firmy). Należy te osoby edukować, mówić 
im, czym jest bezpieczeństwo, 'przestawiać' 
na bezpieczne myślenie (np. stanowczo 
eliminować żółte karteczki z zapisanym 
hasłem, przyklejane pod biurkiem).

Wszystkie te elementy mogą 

wydawać się oczywiste, niemniej jednak 
bardzo często zdarza się, że krytyczne 
aplikacje uruchamiane są 'tymczasowo' 
pod biurkiem administratorów lub 
programistów. Do tego wszystkiego 
dochodzi jeszcze problem analogowo-
cyfrowy, w przypadku którego jedynym 
punktem jest ostatni z wymienionych 
wcześniej – a więc świadomość 
zagrożeń (Rysunek 2 – źródło Internet).

Modelowanie zagrożeń

Modelowanie zagrożeń to rodzaj 
analizy bezpieczeństwa, którego 
celem jest zwiększenie sumarycznego 
bezpieczeństwa aplikacji. Należy przy 

tym pamiętać, że zagrożenie nie oznacza 
słabego punktu. Na sumaryczne 
bezpieczeństwo aplikacji składa się kilka 
czynników: znalezienie luk infrastruktury, 
ocena zagrożeń bezpieczeństwa czy 
określenie środków zaradczych. Na 
czym polegają poszczególne czynniki? 
Jest to przykładowo analiza wszystkich 
możliwych wejść do systemu, w 
szczególności miejsc, w których z 
zewnątrz dostarczane są dane – np. 
API, gniazda, Web Service, pliki czy 
dane wprowadzane bezpośrednio 
przez użytkownika systemu. Następnie 
sprawdzanie zasobów, czyli wszystko, co 
może być potencjalnym źródłem ataku – 
na przykład dane, pliki konfiguracyjne etc. 
Modelowaniu podlega również poziom 
uprzywilejowania, czyli role użytkownika 
potrzebne do wejścia do systemu czy 

uzyskania praw dostępu do zasobów, a 
także sposób autoryzacji. 

Istnieje kilka metod modelowania 

zagrożeń, wśród nich technika STRIDE 
(Spoofing, Tampering, Repudiation, 
Information disclosure, Denial of service, 
Elevation of privilege). Poszczególne 
odpowiedniki rodzajów zagrożeń wraz z 
przykładami przedstawia Tabela 1.

Do tego mamy jeszcze ocenę 

zagrożeń DREAD (Damage Potential, 
Reproducibility, Exploitability, Affected 
Users, Discoverability), czyli kolejno:

•   D – Możliwość zniszczeń,
•   R – Powtarzalność,
•   E – Możliwość wykorzystania,
•   A – Użytkownicy, których dotyczy 

problem,

•   D – Możliwość wykrycia. 

Rysunek 1. 

Warstwy bezpieczeństwa 

systemów

����

���������

��������������������

����

�������������

�����������������������

������������������������

�����������������

Tabela 1. 

Techniki określania zagrożeń STRIDE

Fałszowanie

Fałszowanie wiadomości e-mail 

Powtarzanie uwierzytelniania

Zniekształcanie

Zmiana danych podczas transmisji

Zmiana danych w bazie danych

Zaprzeczanie

Usunięcie istotnych danych i zaprzeczanie temu

Zakup produktu i zaprzeczanie temu

Ujawnianie informacji

Ujawnianie informacji w komunikatach o błędach

Ujawnianie kodu w witrynie sieci Web

Odmowa usługi

Zalewanie usługi sieci Web nieprawidłowymi żądaniami

Zalewanie sieci pakietami SYN

Podwyższanie uprawnień

Uzyskiwanie uprawnień administratora

Używanie zestawu w pamięci GAC do tworzenia konta

Tabela 2. 

Analiza potencjalnych zagrożeń

Zagrożenie

D R

E

A

D Razem

Ocena

Napastnik uzyskuje poświadczenia

3

3

2

2

2

12

Wysoka

Wstrzyknięcie poleceń SQL

3

3

3

3

2

14

Wysoka

Tabela 3. 

Przydatne przełączniki oraz dodatkowe biblioteki

Przełącznik/Biblioteka

Uwagi

/GS: Przepełnienie stosu 

Skuteczność 100% 

/GS: Przekierowanie wskaźnika, zmiana 

wartości EBP 

Skuteczność niska (chyba że trafi na adres 

zwrotny) 

RTC: stos niezerowy 

Pomoc przy śledzeniu 

PREfast: analizator kodu 

Pożyteczny; dodatkowe ostrzeżenia 

SAL:dodatkowe adnotacje (_deref, _ecount 

…)

Duża skuteczność; wykrycie „losowych” 

błędów; pomoc w analizie 

Application Verifier 

Dobry pomocnik testera 

ACGP: rozrzucenie kodu w segmencie 

Duża skuteczność; wykrycie „losowych” 

błędów 

OBRONA

58

 

HAKIN9 4/2008

BEZPIECZNE A NIEBEZPIECZNE APLIKACJE

59

 

HAKIN9 

4/2008

Do każdej z kategorii należy przypisać 
odpowiednią wagę zagrożenia – np. 
Wysokie (3), Średnie (2) oraz Niskie 
(1). Analizując potencjalne zagrożenia 
możemy określić jego ocenę. Przykład 
znajduje się w Tabeli 2.

Proces modelowania zagrożeń został 

opisany przez Microsoft już jakiś czas 
temu i przedstawia się następująco:

•   Zidentyfikować zasoby – czyli 

określenie typów danych, które mogą 
być interesujące dla napastników.

•   Stworzyć przegląd architektury – 

analiza komponentów pod względem 
wejść aplikacji. 

•   Dekompozycja aplikacji – analiza 

funkcji aplikacji (każdej z osobna) i 
określenie ścieżek przepływu danych.

•   Identyfikacja zagrożeń – określenie 

potencjalnych błędów w aplikacji 
oraz potencjalnych miejsc ataku.

•   Dokumentacja zagrożeń – spisanie 

wszystkich zagrożeń.

•   Ocena poziomu zagrożenia 

– określenie możliwości wykrycia 
i wystąpienia poszczególnych 
zagrożeń.

Wewnątrz firmy Microsoft stosowana 
jest metodologia Security Development 
Lifecycle. Wykorzystywana ona była 
między innymi przy tworzeniu SQL 
Server 2005, systemów Windows Vista 
oraz Windows Server 2008. Zgodnie z 
tą metodyką należy zwrócić uwagę na 
pewne zasady:

•   Okresowe OBOWIĄZKOWE szkolenia 

z zakresu bezpieczeństwa dla 
WSZYSTKICH zaangażowanych w 
proces tworzenia aplikacji.

•   Doradca bezpieczeństwa dla 

KAŻDEGO komponentu.

•   Modelowanie zagrożeń jako część 

procesu projektowego.

•   Przeglądy bezpieczeństwa i 

testowanie przewidziane w 
harmonogramie projektu.

•   Zdefiniowanie i stosowanie metryk 

bezpieczeństwa dla zespołów 
projektowych.

Trochę praktyki

Oprócz ogólnych elementów 
bezpieczeństwa systemu 
informatycznego, baczną uwagę należy 
również zwrócić na sposób pisania 
kodu naszej aplikacji. Warto zwrócić 
uwagę na: 

•   Bezpieczeństwo w projektowaniu 

i implementacji – jest to proces 
kładący nacisk na bezpieczeństwo 
oprogramowania, który również 
podlega modelowaniu zagrożeń. 
Szczególną uwagę należy 
zwrócić na audyt kodu oraz testy 
bezpieczeństwa. 

•   Bezpieczne wartości domyślne 

– dzięki którym minimalizujemy 
możliwy obszar sposobów ataku 
(attack surface).

•   Bezpieczna instalacja – warto 

również zwrócić uwagę na ten 

Rysunek 3. 

Dekompozycja aplikacji

������

�����������

����

���������

�

�������

�����������

�����������

���������

�����

��

���������

�����������

������������

�������

����

������������

�������������

�����������

�����

Rysunek 2. 

Problem analogowo-cyfrowy

OBRONA

58

 

HAKIN9 4/2008

BEZPIECZNE A NIEBEZPIECZNE APLIKACJE

59

 

HAKIN9 

4/2008

aspekt, aby wykorzystać mechanizmy 
systemu operacyjnego i .NET 
Framework (np. CAS – Code Access 
Security).

Przykładów niebezpiecznego kodu 
jest wiele – najbardziej popularnym 
z nich jest przepełnienie bufora. 
Jest to zazwyczaj główna przyczyna 
problemów, spotykana najczęściej w 
przypadku kodu natywnego (C/C++) 
oraz API systemu operacyjnego. 
Ogólnie rzecz ujmując, polega na 
nadpisaniu „za dużym” parametrem 
stosu lub sterty, przepełnienia licznika 
czy też przekroczenia zakresu tablicy. 
Stosowanie pewnej grupy dobrze 
opisanych funkcji (do których można 
zaliczyć strcpy, gets, scanf, sprintf, strcat 
i inne) zwiększa ryzyko powstawania 
przepełnień bufora, dlatego ich 
stosowanie jest gorąco odradzane. 
Przykład błędu przedstawiony jest na 
Listingu 1.

Na Listingu 1 w kodzie od razu 

widać słaby punkt — parametr pBufor 
może zostać przepełniony, jeśli bufor 
wskazywany przez pLancuch jest dłuższy 
niż 

_ MAX _ PATH

.

Można oczywiście wykryć część 

tego typu problemów, wykorzystując 
odpowiednie przełączniki kompilatora i 
biblioteki przedstawione w Tabeli 3.

W przypadku kodu zarządzanego 

mamy pewnego rodzaju automat 
zabezpieczający przed przepełnieniem 
bufora, wyjściem poza zakres tablicy 
czy też nieprawidłowym kodem 
wykonywalnym. 

Gotowce

pomagające w pracy

Rozwiązaniem potencjalnych problemów 
może być Enterprise Library stworzone 
przez Microsoft przez grupę Patterns & 
Practices (http://msdn2.microsoft.com/
en-us/library/aa480453.aspx). 

Enterprise Library to zestaw różnego 

rodzaju bloków aplikacji (funkcjonalnych). 
Bloki te są opisanymi gotowymi 
rozwiązaniami oraz kawałkami kodu, 
który należy tylko wstawić do własnej 
aplikacji wg zaleceń bez konieczności 
tworzenia własnych takich rozwiązań. 
Wśród gotowych bloków możemy 
znaleźć między innymi: Caching, 
Cryptography, Data Access, Exception 
Handling, Logging, Security, Validation, 
Policy Injection. W naszym przypadku 
istotne będą dwa bloki: Cryptography 
Application Block oraz Validation 
Application Block. Należy pamiętać, 
że nie jest to rozwiązanie wszystkich 
problemów, ale warto się mu przyjrzeć, 
ponieważ jest po prostu pożyteczne dla 
programistów.

Podsumowanie

Jak widać (i jak wiadomo), problem 
bezpiecznych bądź niebezpiecznych 
aplikacji jest nader złożony. Wyróżnić 
można bardzo wiele aspektów tworzenia 
bezpiecznych aplikacji, na które należy 
zwrócić uwagę. Przede wszystkim są to: 
dobrze zdefiniowany proces tworzenia 
aplikacji, edukacja zespołu programistów, 
zachowanie jakości kodu oraz stworzenie 
bezpiecznej architektury.

Jednym z najistotniejszych punktów 

tworzenia rozwiązania jest również 
kodowanie. Dla przykładu bardzo 
wiele funkcji z biblioteki języka C jest 
potencjalnie niebezpiecznych np.: 

gets

, 

strcpy

, 

strcat

, 

sprintf(“%s”)

Warto zwrócić uwagę na środki 
wspomagające tworzenie bezpiecznego 
kodu, czyli przede wszystkim pozwalające 
na automatyczny code review, statyczną 
analizę kodu – np. 

FxCop

. No i oczywiście 

testy. Testy, testy i jeszcze raz testy na 
występowanie różnych luk zabezpieczeń. 

Artur Żarski

Jest pracownikiem firmy Microsoft. Na co dzień 

zajmuje się m.in. tworzeniem rozwiązań w oparciu 

o SQL Server w różnych aspektach – bazy 

relacyjne, usługi integracyjne, usługi analityczne. 

Jest certyfikowanym administratorem baz danych 

(MCDBA).

Kontakt z autorem: arturz@microsoft.com

R

E

K

L

A

M

A