Title (deu): Fas est et ab hoste doceri

Author: Müller, B. (Bernhard)

Description (deu): St. Pölten, FH Telekommunikation und Medien
Vertiefungsrichtung Telekommunikation, Dipl.-Arb., 2004

Description (deu): Programmiertechnische Fehler in Anwendungs- bzw. Serversoftware sind in den meisten Fällen Voraussetzung für die erfolgreiche Kompromittierung eines Systems. Obwohl bereits 1988 die Ausbreitung des Morris-Worms, der innerhalb weniger Stunden erhebliche Teile des damals 60,000 Rechner großen Internets infizierte (WOLFF, 2003), die Gefährlichkeit von Buffer-Overflow- Schwachstellen eindrucksvoll demonstrierte (die Exploit-Engine des Wurms basierte zum Teil auf einem überlaufenden Puffer in ’fingerd’), treten ähnliche Fehler auch heute noch regelmäßig auf. Sowohl im Unix- als auch im Windowsbereich basieren die heute relevantesten Schwachstellen auf Buffer-Overflows. “Ironically, the world already knows how to avoid the buffer overflow problem, however, knowledge of the solutions, available for years, has done little to twarth the rampant growth of buffer overflow problems in networked code. In truth, fixing the problem is well within our grasp technologically, but sociologically we have a longer way to go. The main problem is that developers for the most part remain blithely unaware of this issue. It is likely that for the next five or ten years, buffer overflow problems of various types will continue to plague software”(HOGLUND, 2004). Diese Diplomarbeit stellt Techniken vor, die der erfolgreichen Ausnutzung eines Buffer-Overflows zugrundeliegen. Anschließend werden die erläuterten Techniken in die Praxis umgesetzt, indem Angriffscode für Linux- und Windows-Software entwickelt wird. Dies soll zeigen, dass schlampige Programmierung zu ernsthaften Sicherheitsproblemen führt, und gleichzeitig einen Vergleich der Sicherheit beider Betriebssysteme ermöglichen. Aufbauend auf den zuvor gewonnenen Erkenntnissen stellt die Arbeit zuletzt Abwehrmöglichkeiten vor, wie auch Richtlinien, an die sich Programmierer halten sollten, um verwundbaren Code von vornherein zu vermeiden.

Object languages: German

Date: 2004

Rights: © All rights reserved

Permanent Identifier