Ja, das ist eine gute Idee, um den Wert zu überschreiben und dann zu löschen / freizugeben. Gehen Sie nicht davon aus, dass Sie nur die Daten "überschreiben" oder für den GC außer Reichweite lassen müssen, da jede Sprache anders mit der Hardware interagiert.

Beim Sichern einer Variablen müssen Sie möglicherweise Folgendes berücksichtigen:

• Verschlüsselung (bei Speicherabbildern oder Seiten-Caching)
• Fixieren im Speicher
• Fähigkeit, als schreibgeschützt zu markieren (um weitere Änderungen zu verhindern)
• sichere Konstruktion, indem NICHT zugelassen wird, dass eine konstante Zeichenfolge in
• optimierenden Compilern übergeben wird (siehe Hinweis im verlinkten Artikel zu: ZeroMemory-Makro)

Die tatsächliche Implementierung des "Löschens" hängt von der Sprache und der Plattform ab. Erforschen Sie die Sprache, die Sie verwenden, und prüfen Sie, ob es möglich ist, sicher zu codieren.

Warum ist dies eine gute Idee? Crashdumps und alles, was den Heap enthält, kann Ihre sensiblen Daten enthalten. Verwenden Sie beim Sichern Ihrer In-Memory-Daten Folgendes:

• SecureZeroMemory
• .NET SecureString
• C ++ - Vorlage

Anleitungen zur Implementierung pro Sprache finden Sie in StackOverflow.

Sie sollten sich dessen bewusst sein, auch wenn Sie den Hersteller verwenden Anleitung (in diesem Fall MSFT) Es ist weiterhin möglich, den Inhalt von SecureString zu sichern und möglicherweise spezifische Verwendungsrichtlinien für Hochsicherheitsszenarien zu verwenden.

Einen Wert speichern, der nicht wieder verwendet wird? Scheint etwas zu sein, das optimiert werden würde, unabhängig von den möglichen Vorteilen.

Außerdem können Sie die Daten im Speicher möglicherweise nicht überschreiben, je nachdem, wie die Sprache selbst funktioniert. In einer Sprache, in der beispielsweise ein Garbage Collector verwendet wird, wird dieser nicht sofort entfernt (und dies setzt voraus, dass Sie keine anderen Referenzen hängen gelassen haben).

Zum Beispiel in C #, glaube ich Folgendes funktioniert nicht.

  string secret = "meine geheimen Daten"; ... viel Arbeit ... string secret = "blahblahblah";  

"meine geheimen Daten" hängt herum, bis Müll gesammelt wird, weil er unveränderlich ist. Diese letzte Zeile erstellt tatsächlich eine neue Zeichenfolge und hat einen geheimen Punkt darauf. Es beschleunigt nicht, wie schnell die tatsächlichen geheimen Daten entfernt werden.

Gibt es einen Vorteil? Angenommen, wir schreiben es in Assembler oder einer Sprache mit niedrigem Hebel, damit wir sicherstellen können, dass wir die Daten überschreiben, und wir schalten unseren Computer in den Ruhezustand oder lassen ihn bei laufender Anwendung eingeschaltet, und unser RAM wird von einem bösen Dienstmädchen abgekratzt Das böse Mädchen hat unsere RAM-Daten erhalten, nachdem das Geheimnis überschrieben wurde, aber bevor es gerade gelöscht worden wäre (wahrscheinlich ein sehr kleiner Speicherplatz), und nichts anderes im RAM oder auf der Festplatte würde dieses Geheimnis preisgeben ... dann sehe ich eine mögliche Zunahme in Bezug auf Sicherheit.

Aber die Kosten im Vergleich zum Nutzen scheinen diese Sicherheitsoptimierung auf unserer Liste der Optimierungen sehr niedrig zu machen (und unter dem Punkt "lohnenswert" für die meisten Anwendungen im Allgemeinen).

Ich könnte möglicherweise eine begrenzte Verwendung in speziellen Chips sehen, die Geheimnisse für kurze Zeit aufbewahren sollen, um sicherzustellen, dass sie für die kürzest mögliche Zeit aufbewahrt werden, aber selbst dann bin ich mir nicht sicher, welchen Nutzen die Kosten haben.

Sie benötigen ein Bedrohungsmodell

Sie sollten erst dann über das Überschreiben von Sicherheitsvariablen nachdenken, wenn Sie ein Bedrohungsmodell haben, das beschreibt, welche Arten von Hacks Sie verhindern möchten. Sicherheit ist immer mit Kosten verbunden. In diesem Fall sind die Kosten die Entwicklungskosten, die entstehen, wenn Entwickler lernen, den gesamten zusätzlichen Code zur Sicherung der Daten zu verwalten. Diese Kosten bedeuten, dass Ihre Entwickler möglicherweise eher Fehler machen, und diese Fehler sind eher die Ursache für ein Leck als ein Speicherproblem.

• Kann Der Angreifer greift auf Ihr Gedächtnis zu? Wenn ja, gibt es einen Grund, warum Sie glauben, sie könnten / würden den Wert nicht einfach riechen, bevor Sie ihn überschreiben? Welche Zeiträume hat der Angreifer Zugriff auf Ihren Speicher?
• Kann der Angreifer auf Core-Dumps zugreifen? Stört es Sie, wenn sie auf vertrauliche Daten zugreifen können, wenn sie so laut sind, dass sie überhaupt einen Core-Dump verursachen?
• Ist dies Open Source oder Closed Source? Wenn es sich um Open Source handelt, müssen Sie sich um mehrere Compiler kümmern, da Compiler ständig Dinge wie überschriebene Daten optimieren. Ihre Aufgabe ist es nicht, Sicherheit zu bieten. ( Für ein Beispiel aus dem wirklichen Leben verfügt Schneiers PasswordSafe über spezielle Klassen zum Schutz der unverschlüsselten Kennwortdaten. Zu diesem Zweck verwendet er Windows-API-Funktionen, um den Speicher zu sperren und zu erzwingen, dass er ordnungsgemäß überschrieben wird, anstatt den Compiler zu verwenden um es für ihn zu tun )
• Ist dies eine Sprache, in der Müll gesammelt wird? Wissen Sie, wie Sie IHRE bestimmte Version Ihres speziellen Garbage Collectors dazu zwingen können, Ihre Daten tatsächlich zu entfernen?
• Wie viele Versuche kann der Angreifer unternehmen, um vertrauliche Daten abzurufen, bevor Sie ihn bemerken und mit anderen Mitteln abschneiden (z. B. Firewalls)?
• Wird dies in einer virtuellen Maschine ausgeführt? Wie sicher sind Sie sich der Sicherheit Ihres Hypervisors?
• Hat ein Angreifer physischen Zugriff? Beispielsweise verwendet Windows gerne ein Flash-Laufwerk, um den virtuellen Speicher zwischenzuspeichern. Ein Angreifer muss lediglich Windows davon überzeugen, es auf das Flash-Laufwerk zu übertragen. Wenn das passiert, ist es WIRKLICH schwer, es loszuwerden. In der Tat so schwierig, dass es keine anerkannte Methode zum zuverlässigen Löschen von Daten von einem Flash-Laufwerk gibt.

Diese Fragen müssen beantwortet werden, bevor versucht wird, vertrauliche Daten zu überschreiben. Der Versuch, Daten zu überschreiben, ohne das Thread-Modell zu adressieren, ist ein falsches Sicherheitsgefühl.

Ja, es ist aus Sicherheitsgründen empfehlenswert, Daten zu überschreiben, die besonders sensibel sind, wenn die Daten nicht mehr benötigt werden, dh als Teil eines Objektdestruktors (entweder ein expliziter Destruktor, der von der Sprache bereitgestellt wird, oder eine Aktion, die das Programm ausführt vor der Freigabe des Objekts). Es ist sogar empfehlenswert, Daten zu überschreiben, die an sich nicht sensibel sind, z. B. Zeigerfelder in einer nicht mehr verwendeten Datenstruktur auf Null zu setzen und Zeiger auf Null zu setzen, wenn das Objekt, auf das sie zeigen, freigegeben wird, selbst wenn Sie es wissen Sie werden dieses Feld nicht mehr verwenden.

Ein Grund dafür ist, dass die Daten durch externe Faktoren wie einen exponierten Core-Dump, ein gestohlenes Ruhezustand-Image oder einen kompromittierten Server, der einen Speicher zulässt, verloren gehen Speicherauszug laufender Prozesse usw. Physische Angriffe, bei denen ein Angreifer die RAM-Sticks extrahiert und Datenreste nutzt, sind selten ein Problem, außer bei Laptops und möglicherweise mobilen Geräten wie Telefonen (bei denen der Balken höher ist, weil der RAM gelötet ist). und selbst dann meistens nur in gezielten Szenarien. Die Remanenz überschriebener Werte ist kein Problem: Es würde sehr teure Hardware erfordern, um in einem RAM-Chip nach einer verbleibenden mikroskopischen Spannungsdifferenz zu suchen, die durch einen überschriebenen Wert beeinflusst werden könnte. Wenn Sie sich Sorgen über physische Angriffe auf den RAM machen, besteht ein größeres Problem darin, sicherzustellen, dass die Daten im RAM und nicht nur im CPU-Cache überschrieben werden. Aber auch dies ist normalerweise ein sehr geringes Problem.

Der wichtigste Grund für das Überschreiben veralteter Daten ist die Abwehr von Programmfehlern, die dazu führen, dass nicht initialisierter Speicher verwendet wird, wie z. B. das berüchtigte Heartbleed. Dies geht über sensible Daten hinaus, da das Risiko nicht auf ein Datenleck beschränkt ist: Wenn ein Softwarefehler vorliegt, der dazu führt, dass ein Zeigerfeld ohne Initialisierung dereferenziert wird, ist der Fehler sowohl weniger anfällig für Ausnutzung als auch leichter zu verfolgen, wenn Das Feld enthält alle Bits-Null, als wenn es möglicherweise auf einen gültigen, aber bedeutungslosen Speicherort verweist.

Beachten Sie, dass gute Compiler das Nullstellen optimieren, wenn sie feststellen, dass der Wert nicht mehr verwendet wird. Möglicherweise müssen Sie einen compilerspezifischen Trick verwenden, um den Compiler davon zu überzeugen, dass der Wert weiterhin verwendet wird, und so den Nullungscode zu generieren.

In vielen Sprachen mit automatischer Verwaltung können Objekte ohne in den Speicher verschoben werden beachten. Dies bedeutet, dass es schwierig ist, Lecks veralteter Daten zu kontrollieren, es sei denn, der Speichermanager selbst löscht nicht verwendeten Speicher (dies ist aus Leistungsgründen häufig nicht der Fall). Auf der positiven Seite sind externe Lecks normalerweise alles, worüber Sie sich Sorgen machen müssen, da Hochsprachen dazu neigen, die Verwendung von nicht initialisiertem Speicher auszuschließen (Vorsicht vor Funktionen zum Erstellen von Zeichenfolgen in Sprachen mit veränderlichen Zeichenfolgen).

By Übrigens habe ich oben „Null raus“ geschrieben. Sie können ein anderes Bitmuster als alle Nullen verwenden. All-Nullen haben den Vorteil, dass sie in den meisten Umgebungen ein ungültiger Zeiger sind. Ein Bitmuster, von dem Sie wissen, dass es ungültige Zeiger sind, das jedoch eindeutiger ist, kann beim Debuggen hilfreich sein.

Viele Sicherheitsstandards schreiben das Löschen vertraulicher Daten wie Schlüssel vor. Zum Beispiel erfordert der FIPS 140-2 -Standard für kryptografische Module dies auch bei der niedrigsten Sicherheitsstufe, was im Übrigen nur die Einhaltung von Funktionen und keine Widerstandsfähigkeit gegen Angriffe erfordert.

Für eine (hoffentlich interessante) Ergänzung zu den restlichen Antworten unterschätzen viele Leute die Schwierigkeit, das Gedächtnis mit C richtig zu überschreiben. Ich werde stark aus Colin Percivals Blog-Post mit dem Titel " How to zero a buffer ".

Das Hauptproblem bei naiven Versuchen, Speicher in C zu überschreiben, sind Compiler-Optimierungen. Die meisten modernen Compiler sind "intelligent" genug, um zu erkennen, dass die allgemeinen Idome, die zum Überschreiben des Speichers verwendet werden, das beobachtbare Verhalten des Programms nicht ändern und wegoptimiert werden können. Leider bricht dies völlig das, was wir erreichen wollen. Einige der gängigen Tricks sind in dem oben verlinkten Blog-Beitrag beschrieben. Schlimmer noch, ein Trick, der für eine Version eines Compilers funktioniert, funktioniert möglicherweise nicht unbedingt mit einem anderen Compiler oder sogar einer anderen Version desselben Compilers. Sofern Sie keine Binärdateien nur verteilen, ist dies eine problematische Situation.

Die einzige Möglichkeit, den mir bekannten Speicher in C zuverlässig zu überschreiben, sind die memset_s Funktion. Leider ist dies nur in C11 verfügbar, sodass Programme, die für ältere Versionen von C geschrieben wurden, kein Glück haben.

Die Funktion memset_s kopiert den Wert von c (konvertiert in ein vorzeichenloses Zeichen) in jedes der Die ersten n Zeichen des Objekts, auf das s zeigt. Im Gegensatz zu memset muss jeder Aufruf von memset_s streng nach den Regeln der abstrakten Maschine ausgewertet werden, wie in 5.1.2.3 beschrieben. Das heißt, jeder Aufruf von memset_s muss davon ausgehen, dass der durch s und n angegebene Speicher in Zukunft zugänglich sein kann und daher die durch c angegebenen Werte enthalten muss.

Unfourtunt ist Colin Percival Die Meinung, dass das Überschreiben von Speicher nicht ausreicht. In einem nachfolgenden Blog-Beitrag mit dem Titel " Nullstellen von Puffern ist nicht ausreichend" heißt es in

Mit ein wenig Sorgfalt und einem kooperativen Compiler können wir einen Puffer auf Null setzen - aber das ist nicht das, was wir brauchen. Was wir tun müssen, ist, an jedem Ort, an dem sensible Daten gespeichert werden könnten, Null zu setzen. Denken Sie daran, der ganze Grund, warum wir vertrauliche Informationen im Speicher hatten, war, dass wir sie verwenden konnten. und diese Verwendung führte mit ziemlicher Sicherheit dazu, dass vertrauliche Daten auf den Stapel und in Register kopiert wurden.

Er fährt fort und gibt ein Beispiel für AES-Implementierungen unter Verwendung des AESNI-Befehlssatzes auf x86-Plattformen, bei dem Daten verloren gehen die Register.

Er behauptet, dass

es unmöglich ist, ein Kryptosystem sicher zu implementieren, das Vorwärtsgeheimnis in C bietet.

A. beunruhigende Behauptung in der Tat.

Es ist wichtig, vertrauliche Daten sofort zu überschreiben, nachdem sie benötigt werden, da sonst:

• die Daten bis zum Überschreiben auf dem Stapel bleiben und möglicherweise mit angezeigt werden können Ein Frame-Überlauf aufgrund einer anderen Prozedur.
• Die Daten unterliegen einem Speicher-Scraping.

Wenn Sie sich den Quellcode für sicherheitsrelevante Anwendungen ansehen (z openssh), werden Sie feststellen, dass sensible Daten nach der Verwendung sorgfältig auf Null gesetzt werden.

Es ist auch richtig, dass Compiler versuchen könnten, das Überschreiben zu optimieren, und selbst wenn nicht, Es ist wichtig zu wissen, wie die Daten physisch gespeichert sind (z. B. wenn das Geheimnis auf einer SSD gespeichert ist, wird beim Überschreiben möglicherweise der alte Inhalt aufgrund von Verschleißausgleich nicht gelöscht).

Das ursprüngliche Beispiel zeigt eine Stapelvariable, da es sich um einen nativen Int-Typ handelt.

Das Überschreiben ist eine gute Idee, da es sonst auf dem Stapel verbleibt, bis es von etwas anderem überschrieben wird.

Ich vermute, wenn Sie sich in C ++ mit Heap-Objekten oder C-nativen Typen befinden, die über Zeiger und Malloc zugewiesen wurden, ist es eine gute Idee,

1. volatile
2. Verwenden Sie Pragmas, um den Code mit dieser Variablen zu umgeben und Optimierungen zu deaktivieren.
3. Wenn möglich, stellen Sie das Geheimnis nur in Zwischenwerten und nicht in benannten Variablen zusammen, damit es nur existiert während der Berechnungen.
ol>

Unter der JVM oder C # denke ich, dass alle Wetten ungültig sind.

Es ist möglich, dass der Speicherblock ausgelagert wurde, bevor Sie ihn gelöscht haben. Dies hängt davon ab, wie die Nutzungsverteilung in der Auslagerungsdatei abgespielt wird. Die Daten können dort für immer leben.

Um das Geheimnis erfolgreich vom Computer zu entfernen, müssen Sie zunächst sicherstellen, dass die Daten niemals den dauerhaften Speicher erreichen, indem Sie die Seiten anheften. Stellen Sie dann sicher, dass der Compiler die Schreibvorgänge in den zu löschenden Speicher nicht optimiert.

Eigentlich lautet die Antwort ja, Sie sollten sie wahrscheinlich überschreiben, bevor Sie sie löschen. Wenn Sie ein Webanwendungsentwickler sind, sollten Sie wahrscheinlich alle Daten überschreiben, bevor Sie die Funktionen delete oder free verwenden.

Beispiel für diesen Fehler ausgenutzt:

Der Benutzer kann einige schädliche Daten in das Eingabefeld einfügen. Sie fahren mit den Daten fort und rufen dann die Funktion free des zugewiesenen Speichers auf, ohne ihn zu überschreiben, damit die Daten im Speicher verbleiben. Dann lässt der Benutzer Ihre Webanwendung fallen (z. B. durch Hochladen eines sehr großen Bildes oder ähnliches), und das UNIX-System speichert den Kernspeicherauszug in core oder core. <pid> -Datei. Wenn der Benutzer dann den <pid> brutal ausführen kann, was nicht zu lange dauert, wird die Core-Dump-Datei als Web-Shell interpretiert, da sie die schädlichen Daten des Benutzers enthält.

Ist int secret = 13123 nicht eine Konstante im lokalen Bereich?

Sie sollten sich nicht zu sehr mit dem beschäftigen, was Sie schreiben, und es lohnt sich nicht, gelesen zu werden. In der Tat würde ich in ein paar konträren Ratschlägen vorschlagen, dass Sie es absichtlich lesbar lassen. Füllen Sie es außerdem zufällig mit zeitlich korrelierten Zeichenfolgen, die nicht wie gewohnt aufgerufen werden.

Auf diese Weise können Sie genau feststellen, wie es gemacht wurde, wenn Sie dunkle Websites überprüfen, um herauszufinden, ob Sie kompromittiert wurden. Da ein DB-Dump von einem Scraper-Dump getrennt ist.