Защищенность FVM ( Форт виртуальной машины )

mOleg

Хищник писал(а):

Так, еще раз перефразирую, чтобы избежать размывания примера.

В память загружен вирус с адреса 100. Есть варианты:
1) Процессор аппаратно не может перейти к адресу 100.
2) Язык запрещает переход к адресу 100.
3) Процессор может перейти к адресу 100, и язык не запрещает переход, но в программе нет ни одного такого перехода, в том числе любым косвенным путем (нет запроса адреса от пользователя, нет фрагментов кода вида push 100 ret), и вообще нет ни одного варианта попадания управления туда.
В каком случае запустится вирус?

прикол как раз в том, что вредоносный код може быть запущен, но вреда причинить не может.
То есть, вредоносный скрипт (или плагин) загружается, получает управление, но причинить вреда не может (точнее, максимальный вред - это трата машинного времени) - это в идеале, и такое решение возможно.

Хищник писал(а):

Следовательно, от вредоносного кода требуется еще один шаг - не просто писать за пределы программы, а сначала сломать индексацию, и уж только потоооом....

вот виртуальная машина и не должна позволять ломать что-либо, в том числе индексацию.

Hishnik

mOleg писал(а):

прикол как раз в том, что вредоносный код може быть запущен, но вреда причинить не может.

Прикол в том, что если это уже машинный код, то он никого не спросит. Потому что будет исполняться процессором, а не виртуальной машиной.

Ты не о том говоришь. Я спрашиваю, будет ли правильно работать программа на языке, если язык не запрещает что-то ломать, но программа ничего не ломает.

WingLion

mOleg писал(а):

абсолютно не согласен.
Виртуальные машины позволяют реализовать безопасные интерфейсы, в которых "нагаженный код" не приведет к фатальным результатам.

Т.е. любое нагромождение когда (сгенерированное рандомно, например) будет исполнять нечто осмысленное?

если нет, то

WingLion писал(а):

можно нагадить в коде так, что он не будет исполняться адекватно.

вопрос

Хищник писал(а):

mOleg писал(а):

прикол как раз в том, что вредоносный код може быть запущен, но вреда причинить не может.

Прикол в том, что если это уже машинный код, то он никого не спросит. Потому что будет исполняться процессором, а не виртуальной машиной.

Ты не о том говоришь. Я спрашиваю, будет ли правильно работать программа на языке, если язык не запрещает что-то ломать, но программа ничего не ломает.

интересно, если это защ. ВМ, то код не машинный - массив адресов

Hishnik

вопрос писал(а):

интересно, если это защ. ВМ, то код не машинный - массив адресов

А по адресам? Другие адреса? Рано или поздно все равно дойдем до примитивов в машинном коде, и вот тут-то и начнется самое интересное.

вопрос

по адресам маш. код, но прыжок на него - только после range check

Hishnik

вопрос писал(а):

по адресам маш. код, но прыжок на него - только после range check

Т.е. просто накручиваем количество вопросов "пароль?"

Тут два варианта - либо пропихиваемся в диапазон адресов, считающихся правильными, либо ломаем механизм проверки, чтобы он считал правильным и наш адрес. Это классический вопрос: "кто будет сторожить сторожей?".

mOleg

WingLion писал(а):

Т.е. любое нагромождение когда (сгенерированное рандомно, например) будет исполнять нечто осмысленное?

нет, выполняться будет нечто рандомное, но лишь до тех пор, пока не произойдет попытка выполнить опасную операцию, например, обратиться к несуществующей области памяти. Речь идет об устойчивости операционной среды, а не конкретного приложения.

WingLion писал(а):

если нет, то
WingLion писал(а):можно нагадить в коде так, что он не будет исполняться адекватно.

конечно же неправильный код не может исполняться адекватно. Важно, чтобы неадекватность не приводила к фатальным последствиям для других исполняемых процессов.

mOleg

Хищник писал(а):

вопрос писал(а):интересно, если это защ. ВМ, то код не машинный - массив адресов
А по адресам? Другие адреса? Рано или поздно все равно дойдем до примитивов в машинном коде, и вот тут-то и начнется самое интересное.

Хищник опять уперся и не хочет думать.
Я уже описывал вариант ВМ, в которой код просто не имеет возможности получить управление, и вообще не работает с реальными адресами.
(поэтому повторяться не хочется)

вопрос

да, мне не совсем понятно, как прыгнуть куда-то не туда, если программа содержит только номера ссылок на код, который в принципе не содержит прыжков не туда... :shock:

mOleg

вопрос писал(а):

да, мне не совсем понятно, как прыгнуть куда-то не туда, если программа содержит только номера ссылок на код, который в принципе не содержит прыжков не туда...

Именно!
А ограничение на выход за пределы массива ссылок тоже просто делается, примерно так:

AND index , #size \ #size - размер массива ссылок = 2^x-1, например 0xFFFF
JMP [index+base] \ base - базовый адрес списка ссылок

при этом еще не заполненные ссылки могут указывать на ABORT , который будет ловить такие ошибки.
причем такая методика реализуема даже на обычной ФВМ, если же затачивать ФВМ под безопасное исполнение, можно сделать еще надежнее.

Kopa

Форт транслятор легко пропускает использование
слов I LEAVE UNLOOP вне контекста использования
DO ... LOOP цикла.
Во время исполнения обычно приводит к краху системы, но
бывает и не приводит:). Транслятор должен реагировать и
на такие попытки неправомерного использования слов.

P.S. Возможно этот момент уже затрагивался в обсуждении про
безопасность и защищённость Форт систем.

gudleifr

Kopa писал(а):

Возможно этот момент уже затрагивался в обсуждении про безопасность и защищённость Форт систем.

1. Т.к. Forth не имеет синтаксиса, то этого не избежать.
2. Т.к. синтаксический анализ доказуемо не может обеспечить безопасности кода, то это не страшно.

Kopa

gudleifr писал(а):

Kopa писал(а):

Возможно этот момент уже затрагивался в обсуждении про безопасность и защищённость Форт систем.

1. Т.к. Forth не имеет синтаксиса, то этого не избежать.

Ну и что?
Контроль синтаксиса необходим только в силу обеспечения контроля семантического уровня Форт системы.

mOleg

Kopa писал(а):

Форт транслятор легко пропускает использование слов I LEAVE UNLOOP вне контекста использования

Не всякий Форт транслятор это допускает.

Защищенность FVM ( Форт виртуальной машины )

Кто сейчас на конференции