Presentiamo il Verified Allocator: una soluzione sicura per la gestione della memoria
Un nuovo allocatore di memoria offre maggiore sicurezza e prestazioni per lo sviluppo software.
― 10 leggere min
Indice
- Contesto
- Sfide nella gestione della memoria
- Proposta per un nuovo gestore di memoria
- Architettura del sistema
- Regioni di Memoria
- Classi di Dimensione e Arene
- Slab e Slot
- Caratteristiche di Sicurezza
- Azzeramento della Memoria
- Pagine di Guardia
- Quarantena per la Memoria Liberata
- Metadati Separated
- Processo di Verifica
- Logica di Separazione
- Sviluppo delle Prove
- Valutazione delle Prestazioni
- Impostazione Sperimentale
- Risultati e Confronto
- Integrazione Pratica
- Sfide nell'Integrazione
- Impatto sulle Prestazioni in Firefox
- Lavori Futuri
- Ottimizzazione e Regolazione
- Espansione delle Caratteristiche di Sicurezza
- Contribuzione della Comunità
- Conclusione
- Fonte originale
- Link di riferimento
I gestori di memoria sono parti cruciali dei sistemi software. Aiutano a gestire la memoria, permettendo ai programmi di richiederla quando serve e di liberarla quando non è più necessaria. Molti linguaggi di programmazione moderni offrono una gestione automatica della memoria, come la raccolta dei rifiuti. Tuttavia, molti sistemi si affidano ancora a linguaggi a basso livello come C e C++, che permettono una gestione manuale della memoria. Questo crea delle sfide, soprattutto per quanto riguarda la Sicurezza e l'affidabilità, dato che questi linguaggi sono soggetti a bug a causa della loro natura a basso livello.
La sfida nell'usare C e C++ è che non forniscono caratteristiche di sicurezza integrate, come la sicurezza della memoria. Questo significa che gli sviluppatori possono facilmente commettere errori che portano alla corruzione della memoria, creando così vulnerabilità di sicurezza. Infatti, molti problemi di sicurezza nel software derivano da questi errori legati alla memoria. Studi dimostrano che un grande numero di queste vulnerabilità nasce da problemi come buffer overflow o puntatori pendenti.
Come soluzione, gli sviluppatori stanno lavorando per migliorare i gestori di memoria rendendoli più sicuri e protetti. Questo documento presenta un nuovo gestore di memoria che è verificato, concorrente e progettato con la sicurezza in mente. Questo nuovo gestore non solo punta a fornire alte Prestazioni, ma cerca anche di proteggere dalle vulnerabilità comuni associate alla gestione della memoria in linguaggi non sicuri.
Contesto
L'allocazione della memoria implica la richiesta e il rilascio di memoria durante l'esecuzione di un programma. Questo processo è fondamentale nella programmazione, soprattutto in linguaggi come C e C++. Lo standard C, stabilito nel 1989, definiva le funzioni base di allocazione della memoria come malloc, calloc, realloc e free. Queste funzioni vengono utilizzate per allocare, riallocare e liberare memoria in modo dinamico.
Con la crescita e l'evoluzione dei sistemi, è diventato evidente il bisogno di gestori di memoria più sicuri ed efficienti. I gestori devono ora incorporare varie tecniche per migliorare la sicurezza, tra cui la randomizzazione dei modelli di allocazione della memoria e la separazione dei metadati dai dati reali. Questi metodi aiutano a difendersi da attacchi che sfruttano vulnerabilità comuni della memoria.
La sfida nella creazione di un gestore di memoria robusto risiede nel bilanciare diverse richieste in competizione, tra cui prestazioni, sicurezza e semplicità. I gestori devono essere efficienti nella gestione della memoria offrendo al contempo forti salvaguardie contro l'abuso.
Sfide nella gestione della memoria
La gestione della memoria in C e C++ presenta varie sfide. Gli sviluppatori devono gestire manualmente l'allocazione e la deallocazione della memoria, il che può portare a perdite di memoria, doppie liberazioni e altri errori. Questi errori possono introdurre gravi vulnerabilità nei sistemi software.
Oltre al rischio di errori, i gestori devono anche fare i conti con la realtà che sono spesso utilizzati in ambienti dove le applicazioni client possono essere scritte in linguaggi non sicuri. Questo aumenta il potenziale per le vulnerabilità, poiché il gestore stesso deve essere resiliente contro i tipi di bug che possono derivare da codice client difettoso.
Anche i gestori di memoria ampiamente utilizzati, come quello nella GNU C Library (glibc), hanno affrontato problemi di sicurezza significativi nel corso degli anni. Di conseguenza, c'è una crescente necessità di gestori che non solo offrano funzionalità, ma che rispettino anche rigide garanzie di sicurezza e correttezza.
Proposta per un nuovo gestore di memoria
Per affrontare queste sfide, proponiamo un nuovo gestore di memoria che è verificato, concorrente e orientato alla sicurezza. Il nostro design sfrutta tecniche e framework moderni per costruire un gestore di memoria che soddisfi i requisiti delle applicazioni contemporanee.
Il nuovo gestore, denominato Verified Allocator, è costruito su principi di logica di separazione. Questo approccio ci consente di specificare il comportamento del gestore in modo che possa essere formalmente verificato. Possiamo garantire che mantenga proprietà di sicurezza e operi correttamente sotto accessi concorrenti.
Le caratteristiche chiave del Verified Allocator includono:
Misure di Sicurezza: Il gestore implementa varie strategie di sicurezza per difendersi da vulnerabilità dell'heap. Queste misure includono il azzeramento della memoria alla liberazione e l'uso di pagine di guardia per catturare accessi oltre i limiti.
Supporto alla Concorrenza: Progettato per ambienti multi-threaded, il gestore consente operazioni di memoria concorrenti in modo sicuro. Questo aiuta a evitare conflitti e migliora le prestazioni quando più thread operano sulla memoria.
Utilizzo Efficiente della Memoria: Il design si concentra sulla minimizzazione dell'uso della memoria e sulla frammentazione. Implementando tecniche come classi di dimensione e arene, il gestore può gestire la memoria in modo efficiente.
Verifica Formale: Utilizzando la logica di separazione, possiamo verificare formalmente la correttezza del gestore. Ciò significa che possiamo garantire, attraverso prove rigorose, che il gestore si comporta come previsto e non consente operazioni di memoria non sicure.
Architettura del sistema
L'architettura del Verified Allocator è progettata per massimizzare sia le prestazioni che la sicurezza. Incorpora più livelli per gestire l'allocazione della memoria in modo efficiente.
Regioni di Memoria
Il Verified Allocator funziona utilizzando regioni di memoria distinte. Tutte le allocazioni regolari vivono in una regione di memoria, mentre tutti i metadati sono memorizzati in una regione contigua separata. Questa separazione consente una gestione più semplice e migliora la sicurezza poiché i metadati non sono mescolati con i dati allocati.
Classi di Dimensione e Arene
Per gestire la memoria in modo efficiente, il gestore divide la memoria in classi di dimensione. Ogni classe di dimensione corrisponde a una dimensione di allocazione specifica, riducendo la frammentazione e migliorando la velocità di allocazione. Il gestore utilizza anche arene, che consentono una gestione della memoria thread-locale. Ogni thread è associato a un'arena per minimizzare i conflitti tra thread concorrenti.
Slab e Slot
La memoria all'interno di ciascuna classe di dimensione è organizzata in slab. Uno slab è un blocco di memoria di dimensione fissa, e ogni slab è suddiviso in unità più piccole chiamate slot. Questa struttura consente al gestore di gestire allocazioni di varie dimensioni in modo efficiente.
Quando viene fatta una richiesta di memoria, il gestore cerca uno slot disponibile all'interno dello slab appropriato. Se non ci sono slot disponibili, il gestore può allocare un nuovo slab.
Caratteristiche di Sicurezza
La sicurezza è una preoccupazione centrale nel design del Verified Allocator. Per proteggersi da vulnerabilità comuni legate alla memoria, il gestore implementa più caratteristiche di sicurezza.
Azzeramento della Memoria
Ogni volta che la memoria viene liberata, il gestore azzera la regione di memoria. Questo assicura che dati sensibili non possano essere accessibili successivamente da un attaccante che cerca di sfruttare valori rimasti in slot di memoria liberati.
Pagine di Guardia
Le pagine di guardia sono pagine di memoria speciali contrassegnate come inaccessibili. Se un programma tenta di accedere a queste pagine, causerà un errore. Questa tecnica aiuta a catturare buffer overflow e garantisce che eventuali oltrepassamenti non corrompano regioni di memoria valide.
Quarantena per la Memoria Liberata
La memoria liberata è collocata in uno stato di quarantena prima di essere riutilizzata. Questo periodo di raffreddamento previene un riutilizzo immediato e aiuta a rilevare problemi legati a doppie liberazioni o accesso a memoria liberata. La memoria viene restituita al servizio solo dopo un tempo prestabilito, assicurando che eventuali problemi potenziali siano rilevati prima del riutilizzo.
Metadati Separated
Il gestore mantiene i suoi metadati in una regione separata dalla memoria allocata. Questo design protegge le strutture interne del gestore da manomissioni da parte di programmi client, migliorando ulteriormente la sicurezza.
Processo di Verifica
La verifica del Verified Allocator è un passo critico nel suo sviluppo. Utilizzando la logica di separazione, possiamo specificare e verificare formalmente il comportamento del gestore.
Logica di Separazione
La logica di separazione ci consente di ragionare sulla memoria in modo modulare. Utilizzando predicati logici, possiamo esprimere quali regioni di memoria una funzione può accedere e modificare. Questo metodo permette la prova di correttezza per operazioni singole senza dover verificare l'intero sistema contemporaneamente.
Sviluppo delle Prove
Il processo di verifica implica lo sviluppo di prove formali per ciascuna funzione del gestore. Questo include la dimostrazione che le funzioni di gestione della memoria funzionano correttamente in relazione alle proprietà specificate. L'approccio modulare ci consente di costruire prove in modo incrementale, concentrandosi su una parte del gestore alla volta.
Valutazione delle Prestazioni
Per valutare le prestazioni del Verified Allocator, conduciamo benchmark confrontandolo con gestori di memoria popolari. Questi benchmark misurano il tempo di esecuzione e l'uso della memoria su vari carichi di lavoro.
Impostazione Sperimentale
I test vengono eseguiti su una macchina multi-core per simulare condizioni del mondo reale. I benchmark includono una varietà di applicazioni e schemi di utilizzo per valutare le prestazioni del gestore in modo completo.
Risultati e Confronto
Nei risultati dei benchmark, il Verified Allocator mostra prestazioni competitive rispetto ai gestori tradizionali. Anche se ci può essere un leggero overhead dovuto alle caratteristiche di sicurezza, il gestore si comporta adeguatamente su quasi tutti i carichi di lavoro testati. In alcune situazioni, le sue prestazioni sono pari o addirittura superiori ad altri gestori di memoria all'avanguardia.
Integrazione Pratica
Integrare il Verified Allocator nelle applicazioni esistenti è un aspetto chiave del suo sviluppo. Per testarne l'applicabilità nel mondo reale, lo abbiamo integrato con un popolare browser web, Mozilla Firefox.
Sfide nell'Integrazione
L'integrazione di un nuovo gestore di memoria richiede di garantire la compatibilità con il codice esistente. Il Verified Allocator deve supportare tutte le necessarie funzioni di gestione della memoria e le estensioni utilizzate dall'applicazione.
Impatto sulle Prestazioni in Firefox
Dopo l'integrazione, i test delle prestazioni mostrano che il Verified Allocator introduce un overhead gestibile rispetto al gestore esistente. Questo suggerisce che può essere utilizzato in ambienti di produzione senza penalizzazioni significative sulle prestazioni.
Lavori Futuri
Lo sviluppo del Verified Allocator è uno sforzo continuo. I lavori futuri si concentreranno ulteriormente sull'ottimizzazione delle prestazioni, sull'espansione delle caratteristiche di sicurezza e sull'assicurazione di una ampia adozione nelle applicazioni del mondo reale.
Ottimizzazione e Regolazione
Con il continuo benchmarking delle prestazioni, cercheremo opportunità per ottimizzare aspetti specifici del gestore. Ciò include il perfezionamento delle strategie di allocazione e l'esplorazione di nuove tecniche per ridurre l'overhead.
Espansione delle Caratteristiche di Sicurezza
C'è un costante bisogno di adattarsi a nuove sfide di sicurezza. Le future versioni del Verified Allocator mireranno a incorporare misure di sicurezza aggiuntive man mano che vengono scoperte nuove vulnerabilità.
Contribuzione della Comunità
Per migliorare la collaborazione e l'adozione, abbiamo in programma di rendere il Verified Allocator disponibile come progetto open-source. Questo permetterà ad altri sviluppatori di contribuire a miglioramenti e ad estenderne le capacità.
Conclusione
La gestione della memoria rimane un aspetto impegnativo dello sviluppo software, particolarmente in linguaggi di programmazione a basso livello come C e C++. Il Verified Allocator proposto offre una soluzione che bilancia prestazioni con forti garanzie di sicurezza.
Attraverso la verifica formale e l'uso di tecniche moderne, il Verified Allocator affronta vulnerabilità comuni associate alla gestione manuale della memoria. Il suo design lo rende adatto all'uso in una vasta gamma di applicazioni, dal software di sistema ai browser web.
Con l'evoluzione continua del panorama software, la necessità di gestori di memoria robusti e sicuri crescerà solo. Il Verified Allocator rappresenta un passo avanti nel soddisfare queste esigenze, aprendo la strada a una gestione della memoria più sicura ed efficiente nel futuro.
Titolo: StarMalloc: A Formally Verified, Concurrent, Performant, and Security-Oriented Memory Allocator
Estratto: In this work, we present StarMalloc, a verified, security-oriented, concurrent memory allocator that can be used as a drop-in replacement in real-world projects. Using the Steel separation logic framework, we show how to specify and verify StarMalloc, relying on dependent types and modular abstractions to enable efficient verification. As part of StarMalloc, we also develop several generic datastructures and proof libraries directly reusable in future systems verification projects. We finally show that StarMalloc can be used with real-world projects, including the Firefox browser, and evaluate it against 10 state-of-the-art memory allocators, demonstrating its competitiveness.
Autori: Antonin Reitz, Aymeric Fromherz, Jonathan Protzenko
Ultimo aggiornamento: 2024-03-14 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2403.09435
Fonte PDF: https://arxiv.org/pdf/2403.09435
Licenza: https://creativecommons.org/licenses/by-nc-sa/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.