Il modulo FIPS di openSSL con base fissa rappresenta un rischio per la sicurezza?

1

L'ultima libreria openSSL ha un modulo FIPS che deve essere creato con un indirizzo di base fisso chiamato FIPS. La logica alla base di questo è che avere un indirizzo di base fisso consente loro di eseguire un controllo di integrità della libreria.

Personalmente ritengo che questo sia un rischio per la sicurezza dato che gli aggressori conoscono l'esatto indirizzo di base della biblioteca e possono usare quella posizione per eseguire attacchi. Soprattutto attacchi come il ritorno a un attacco di libc o una programmazione orientata al ritorno. Mi sto perdendo qualcosa qui ?? / p>     

posta Limit 25.05.2016 - 19:06
fonte

1 risposta

3

Avere un indirizzo conosciuto non è un grosso rischio. L'unica misura di sicurezza che sconfigge è ASLR , e ASLR è semplicemente una tecnica per rendere gli exploit più difficili, raramente li rende impossibile.

La migliore difesa contro gli exploit non è avere una vulnerabilità in primo luogo!

Questo , non l'indirizzo fisso, è il motivo per cui l'uso di una versione certificata FIPS di OpenSSL è dannoso per la sicurezza. Poiché i nuovi bug vengono inevitabilmente scoperti, gli utenti devono correggerli il più velocemente possibile, prima che gli exploit vengano fuori. Non appena hai corretto il bug, non esegui più una versione certificata. Se avevi bisogno della certificazione, in primo luogo, dovrai aspettare una versione certificata con la correzione del bug, che in genere richiede mesi se il venditore si preoccupa anche di crearne uno.

Dato che la certificazione FIPS di OpenSSL non è realmente una certificazione di sicurezza (FIPS 140 livello 1 è poco più di un controllo che le funzioni siano calcolate correttamente, gli aspetti di sicurezza sono praticamente nulli), l'unica ragione per usare la versione FIPS piuttosto che l'ultima versione stabile è necessario spuntare la casella di controllo "FIPS validata" su un modulo di approvvigionamento.

    
risposta data 25.05.2016 - 20:23
fonte

Leggi altre domande sui tag