{"id":434,"date":"2018-02-01T16:19:16","date_gmt":"2018-02-01T14:19:16","guid":{"rendered":"http:\/\/oguzkartal.net\/blog\/?p=434"},"modified":"2021-10-31T16:05:13","modified_gmt":"2021-10-31T13:05:13","slug":"meltdown-zafiyeti-ve-istismar-edilmesi","status":"publish","type":"post","link":"https:\/\/www.oguzkartal.net\/blog\/index.php\/2018\/02\/01\/meltdown-zafiyeti-ve-istismar-edilmesi\/","title":{"rendered":"Meltdown Zafiyeti ve \u0130stismar Edilmesi"},"content":{"rendered":"

Bu yaz\u0131mda Meltdown g\u00fcvenlik zafiyetinin ne oldu\u011funu, nas\u0131l exploit edildi\u011fini ve geli\u015ftirdi\u011fim bir proof of concept ile nas\u0131l i\u015fletim sisteminde gizli kalmas\u0131 gereken bilgilerin \u00e7al\u0131nabilece\u011fini detayl\u0131 olarak anlatmaya ve g\u00f6stermeye \u00e7al\u0131\u015faca\u011f\u0131m. \u00d6ncesinde bu konunun \u00e7\u0131k\u0131\u015f\u0131 ve yank\u0131lar\u0131 \u00fczerine birka\u00e7 \u015fey s\u00f6yleyerek ba\u015flayay\u0131m.<\/p>\n

Malum, bili\u015fim ve teknoloji d\u00fcnyas\u0131 yakla\u015f\u0131k son 3-4 hafta i\u00e7erisinde b\u00fcy\u00fck etki yaratan bir dizi donan\u0131msal g\u00fcvenlik zafiyeti ile kar\u015f\u0131 kar\u015f\u0131ya kald\u0131 ve g\u00fcndemi bu konuyla me\u015fgul oldu. Tabi bu bitmi\u015f de\u011fil, halen de me\u015fgul olmaya devam ediyor ve bir m\u00fcddet daha edecek gibi g\u00f6r\u00fcn\u00fcyor. Bunun olas\u0131 bir\u00e7ok sebebi var.<\/p>\n

    \n
  1. Konu hakk\u0131nda \u00e7ok fazla belirsizlik mevcut. Bu da \u00f6zellikle son kullan\u0131c\u0131 kesimini kayg\u0131land\u0131ran bir durum.<\/li>\n
  2. G\u00fcvenlik zafiyeti donan\u0131msal yani bizzat i\u015flemci mimarisinin kendisinden kaynakl\u0131 oldu\u011fundan basit bir yaz\u0131l\u0131msal d\u00fczeltme ile \u00e7\u00f6z\u00fclemeyecek durumda.<\/li>\n
  3. Zafiyetin \u00e7\u00f6z\u00fcm\u00fc hakk\u0131nda net bir yol haritas\u0131 yok ve bunun net \u00e7\u00f6z\u00fcm\u00fc i\u00e7in k\u0131sa vade i\u00e7erisinde bir zaman verilemiyor.<\/li>\n
  4. \u0130\u015fletim sistemi tarafl\u0131 yaz\u0131l\u0131msal \u00f6nlemlerin i\u015flemci performans\u0131na muhtemel negatif etkisi. (En b\u00fcy\u00fck sebebi de san\u0131r\u0131m budur)<\/li>\n
  5. \u0130\u015flemcilere mikrokod g\u00fcncellemesinin nas\u0131l ve ne \u015fekilde son kullan\u0131c\u0131ya ula\u015ft\u0131r\u0131laca\u011f\u0131 konusu muallak. Her vendor kendince bir yakla\u015f\u0131m sergiliyor. Bu da yine son kullan\u0131c\u0131n\u0131n akl\u0131n\u0131 kar\u0131\u015ft\u0131ran bir ba\u015fka unsur.<\/li>\n<\/ol>\n

    B\u00fcy\u00fck server farm\u2019a sahip \u015firketler ve k\u00fc\u00e7\u00fck, orta yahut b\u00fcy\u00fck \u00f6l\u00e7ekteki kurumlar\u0131n sistem y\u00f6neticileri durumun ciddiyetinin fark\u0131nda iken, son kullan\u0131c\u0131 i\u00e7in g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n ciddiyetinden \u00e7ok a\u00e7\u0131\u011f\u0131 gideren g\u00fcncellemelerin sistem performans\u0131na olumsuz etkileri daha \u00f6ncelikli oldu. Bunun sebebi de hem meltdown hem de spectre olarak isimlendirilen g\u00fcvenlik zafiyetinin ciddiyetine var\u0131lamam\u0131\u015f olmas\u0131. Ve g\u00f6rd\u00fc\u011f\u00fcm kadar\u0131yla bu konuda T\u00fcrk\u00e7e yap\u0131lm\u0131\u015f bir analiz, a\u00e7\u0131klama neredeyse yok gibi. Bu sebeple bu g\u00fcvenlik zafiyetleri hakk\u0131nda hem fazla derine inmeden normal kullan\u0131c\u0131lar i\u00e7in hem de daha detayl\u0131 teknik analiz ile geli\u015ftiriciler ve sistem y\u00f6neticileri i\u00e7in bir referans kaynak olu\u015fturmas\u0131n\u0131 umdu\u011fum bir yaz\u0131 yazmay\u0131 ama\u00e7lad\u0131m. Meltdown\u2019\u0131n detayl\u0131 teknik analizine ve nas\u0131l exploit edilebilece\u011fine ge\u00e7meden \u00f6nce genel olarak bilgi vermek istiyorum.<\/p>\n

    Spectre ve Meltdown\u2019\u0131n Temelini Olu\u015fturan Fakt\u00f6rler<\/span><\/h4>\n

    Her ne kadar bu iki g\u00fcvenlik zafiyeti bir anda ke\u015ffedilmi\u015f ve ortaya \u00e7\u0131kar\u0131lm\u0131\u015f gibi g\u00f6r\u00fcnse de esasen bu ikisinin ortaya \u00e7\u0131kmas\u0131n\u0131 sa\u011flayan temeller olduk\u00e7a eskiye dayanmaktad\u0131r. Spectre ve Meltdown bu ge\u00e7mi\u015ften gelen birikimlerin s\u00fcrekli bir ad\u0131m ileri ta\u015f\u0131narak geldi\u011fi nokta olarak d\u00fc\u015f\u00fcnmek daha do\u011fru olur. Modern say\u0131labilecek bu ara\u015ft\u0131rmalar 9-10 y\u0131l \u00f6ncesine gidebildi\u011fi gibi bu t\u00fcr sald\u0131r\u0131lar\u0131n teorileri ve deneysel \u00e7al\u0131\u015fmalar\u0131 30 y\u0131ldan fazla s\u00fcredir yap\u0131l\u0131yor. Ve \u00e7e\u015fitli y\u00f6ntemleri, yakla\u015f\u0131mlar\u0131 ve \u00e7ok farkl\u0131 uygulama alanlar\u0131 mevcuttur. Her ne kadar bu kadar \u00e7e\u015fitlilik olsa da bu y\u00f6ntemlerin geneline side channel attack<\/strong> denilmektedir. Peki side channel attack nedir?<\/p>\n

    Side Channel Attack<\/u><\/strong> bir sistemin d\u0131\u015f d\u00fcnyaya yans\u0131tt\u0131\u011f\u0131 \u00f6l\u00e7\u00fclebilir fiziksel davran\u0131\u015flar\u0131ndan bilgi \u00e7\u0131karmay\u0131 ama\u00e7layan y\u00f6ntemleri kar\u015f\u0131layan bir terimdir. Bu sistem sadece bilgisayar olmak zorunda de\u011fildir, bir radyo vericisi olabilir, uydu al\u0131c\u0131s\u0131 olabilir, gsm \u015febeke vericileri olabilir. Dijital veya mekanik bir sistem de olabilir. G\u00f6r\u00fcld\u00fc\u011f\u00fc gibi oluk\u00e7a geni\u015f bir alan\u0131 kapsayan ve kar\u015f\u0131layan bir kavramd\u0131r. \u00c7al\u0131\u015fan bir sistemin etrafa yayd\u0131\u011f\u0131 manyetik dalga frekans\u0131, g\u00fcr\u00fclt\u00fc seviyesi, sistemin harcad\u0131\u011f\u0131 elektrik g\u00fc\u00e7 fark\u0131, yahut sistemin normal ak\u0131\u015f\u0131 i\u00e7inde kabul edilen bir girdiye verdi\u011fi \u00e7\u0131kt\u0131 s\u00fcresi gibi fakt\u00f6rlerin \u00f6l\u00e7\u00fclmesi ve buradan bilgi \u00e7\u0131kar\u0131m\u0131 side channel attack\u2019\u0131n konusu dahiline girer. Side channel attack kavram\u0131 birden \u00e7ok alt kavram yahut y\u00f6ntem bar\u0131nd\u0131r\u0131r. \u00d6rne\u011fin bir yere vurarak mors alfabesi ile bir kelime kodlayan birini, vuru\u015f seslerini dinleyerek metnin ne oldu\u011funu anlamas\u0131 olay\u0131 side channel attack\u2019a bir \u00f6rnek olabilir. Cache attack<\/u> ve Timing attack<\/u> bu alt y\u00f6ntemlerden ikisidir.\u00a0 Meltdown ve spectre bu iki t\u00fcr\u00fcn birle\u015fimi ile exploit edilir.<\/p>\n

    Caching (\u00d6nbellekleme)<\/u><\/strong> mekanizmas\u0131 hem g\u00fcvenlik \u00fczerine ara\u015ft\u0131rma yapan ara\u015ft\u0131rmac\u0131lar hem de k\u00f6t\u00fc niyetli hacker\u2019lar\u0131n hedefinde olmu\u015f bir \u00f6zel bellek b\u00f6lgesidir. Peki neden?<\/p>\n

    Cache (\u00d6nbellek) ad\u0131 verilen bellek b\u00f6lgeleri ana bellek \u00fczerindeki verinin ge\u00e7ici olarak\u00a0 daha h\u0131zl\u0131 eri\u015fim i\u00e7in sakland\u0131\u011f\u0131 \u00f6zel b\u00f6lgelerdir. Ve buray\u0131 hedef yapan \u015fey ise ana bellekteki herhangi bir verinin burada \u00f6nbelleklenebilece\u011fidir. Normalde anabelle\u011fe eri\u015fim i\u015flemci taraf\u0131ndan y\u00f6netilen bir dizi eri\u015fim kontrollerinden ge\u00e7tikten sonra ba\u015far\u0131l\u0131 olmaktad\u0131r. Ancak bir verinin cache \u00fczerine i\u015flemci taraf\u0131ndan y\u00fcklenmesi, anabelle\u011fe eri\u015fimden\u00a0 ba\u011f\u0131ms\u0131z olarak o veriye eri\u015fen bir kod var oldu\u011fu m\u00fcddet\u00e7e\u00a0 her zaman ger\u00e7ekle\u015febilir. Normalde kullan\u0131c\u0131 seviyesinde eri\u015fime kapal\u0131 bellek b\u00f6lgesindeki bir veri cache \u00fczerinde saklan\u0131yor olabilir.<\/p>\n

    Cacheleme (\u00d6nbellekleme) i\u015flemcinin, dolay\u0131s\u0131yla \u00e7al\u0131\u015fan program\u0131n h\u0131z\u0131n\u0131 etkileyen bir dizi \u00f6zelli\u011fin ger\u00e7ekle\u015fmesi i\u00e7in kullan\u0131lmaktad\u0131r. \u00c7\u00fcnk\u00fc cache bellekler ana belleklerden \u00e7ok daha h\u0131zl\u0131d\u0131r. Misal her seferinde komutlar\u0131 bellekten \u00e7ekmek yerine \u00f6nce \u00f6nbelle\u011fe alma, yahut s\u0131k kullan\u0131lan bir veriyi yine her defas\u0131ndan ana bellekten almak yerine cache \u00fczerine almak gibi i\u015flem performans\u0131n\u0131 artt\u0131rmaya y\u00f6nelik ama\u00e7larla kullan\u0131l\u0131rlar. Yahut multicore i\u015flemcilerde \u00e7ekirdekler aras\u0131nda \u00f6nbelleklenmi\u015f veririnin senkronlanmas\u0131 gerekti\u011finde yine bir payla\u015f\u0131ml\u0131 \u00f6nbellek kullan\u0131labilir. Bu ihtiya\u00e7larla i\u015flemci mimarilerine \u00e7e\u015fitli adetlerde ve bellirli bir hiyerar\u015fiye g\u00f6re \u00f6nbellekler eklenmi\u015ftir. Bu adet ve hiyerar\u015fi i\u015flemci mimarisine g\u00f6re de\u011fi\u015fkenlik g\u00f6sterir.<\/p>\n

    \"Screenshot_5\"<\/a><\/p>\n

    \u00d6rnekteki i\u015flemci \u00e7ip\u2019i Intel\u2019in Sandy Bridge mimarisine ait 4 \u00e7ekirdekli bir i\u015flemcisine ait. G\u00f6r\u00fcld\u00fc\u011f\u00fc gibi her \u00e7ekirdek i\u00e7in i\u00e7sel 2 seviye cache bir adet de payla\u015f\u0131ml\u0131 di\u011fer iki seviyeye g\u00f6re daha b\u00fcy\u00fck boyutlu (hem kaplad\u0131\u011f\u0131 yer hem de tuttu\u011fu veri boyutu bak\u0131m\u0131ndan) mevcut. Her i\u015flemci mimarisi farkl\u0131l\u0131k g\u00f6sterse de genel yakla\u015f\u0131m 3 seviyeli cache\u2019e sahip olmas\u0131 ve 3. seviye cache\u2019in payla\u015f\u0131ml\u0131 olmas\u0131d\u0131r.<\/p>\n

    Cache bellek b\u00f6lgeleri ana bellekten h\u0131zl\u0131 olduklar\u0131ndan ana belle\u011fe eri\u015fim ile cache belle\u011fe eri\u015fim aras\u0131nda eri\u015fim zaman\u0131 (latency) fark\u0131 vard\u0131r. Side channel tan\u0131m\u0131nda hat\u0131rlayaca\u011f\u0131n\u0131z \u00fczere bu fark da gayet \u00f6l\u00e7\u00fclebilir bir fakt\u00f6r oldu\u011fundan Side channel attack i\u00e7in uygun bir zemin olu\u015fturur<\/u>. Bu cache bellekten bilgi s\u0131zd\u0131rmakta kullan\u0131labilir. Ancak tek ba\u015f\u0131na yeterli olamaz. \u015eimdilik cache ile ilgili bu kadar bilgi kafi. Zira konumuz i\u015flemcilerin caching mekanizmas\u0131 de\u011fil.<\/p>\n

    Cache mekanizmas\u0131n\u0131n sistemi istismardaki konumu ve \u00f6nemini \u00f6\u011frendik. Art\u0131k bu k\u0131sm\u0131 exploit edebilmek i\u00e7in bilmemiz gereken 2 unsur daha var.<\/p>\n

      \n
    1. Cache \u00fczerine eri\u015fimlerin cached \u2013 ve non-cached latencylerini \u00f6l\u00e7ebilme yetisi<\/li>\n
    2. S\u0131zd\u0131rmak istedi\u011fimiz bellek adresindeki veriyi cache \u00fczerine al\u0131nmas\u0131na sistemi zorlayabilme yetisi<\/li>\n<\/ol>\n

      Elbette bu g\u00fcvenlik zafiyetleri exploit edilebildi\u011fine g\u00f6re bu iki yetiye de sald\u0131r\u0131 yapanlar sahiptirler. Latency \u00f6l\u00e7\u00fcm\u00fc bizi bilgi s\u0131zd\u0131rmada verinin nereden geldi\u011fini anlamam\u0131za yard\u0131mc\u0131 olacakt\u0131r. Bu side channel attack\u2019\u0131n timing (zamanlama) ile ilgili olan k\u0131sm\u0131d\u0131r. E\u011fer zamanlamay\u0131 do\u011fru tespit edemezsek sald\u0131r\u0131 ba\u015far\u0131s\u0131z olacakt\u0131r. Latency \u00f6l\u00e7\u00fcm\u00fcnde \u00e7\u0131kar\u0131lacak sonu\u00e7 \u015fudur; e\u011fer eri\u015fmek istedi\u011fimiz veri uzun bir latency ile geliyorsa bu verinin anabellekten geldi\u011fini, daha k\u0131sa s\u00fcrede geliyorsa bu verinin cache \u00fczerinden geldi\u011fini anlamam\u0131z\u0131 sa\u011flar. Bu i\u015flem ise exploiti uygulamakta iken verinin cache miss (\u0131ska)\u00a0 yahut cache hit (isabet) durumunda olup olmad\u0131\u011f\u0131n\u0131 bize g\u00f6sterir. Buradan \u00e7\u0131karabiliriz ki i\u015flemciyi buna s\u00fcreklilik i\u00e7erisinde zorlarken ald\u0131\u011f\u0131m\u0131z bir cache hit verinin \u00f6nbelle\u011fe al\u0131nd\u0131\u011f\u0131n\u0131 bilmemize yarayacakt\u0131r.<\/p>\n

      Bellek eri\u015fim latency\u2019si (gecikme) nas\u0131l \u00f6l\u00e7\u00fcl\u00fcr?<\/p>\n

      Intel x86 ve AMD64 (Intel x86-64) mimarisi komut seti bunu ger\u00e7ekle\u015ftirecek \u00f6zel komutlar sa\u011flamaktad\u0131r. Bu i\u015flem s\u00f6zel olarak s\u0131ras\u0131yla \u015f\u00f6yle yap\u0131l\u0131r.<\/p>\n

      Cache Hit latency \u00f6l\u00e7\u00fcm\u00fc;<\/p>\n

        \n
      1. Bellek adresine ait cache line (hat)\u2019\u0131 s\u0131f\u0131rlan\u0131r.<\/li>\n
      2. timestamp counter okunur. (Ba\u015flang\u0131c zaman\u0131)<\/li>\n
      3. Belle\u011fe eri\u015filir<\/li>\n
      4. timestamp counter tekrar okunur (Biti\u015f zaman\u0131)<\/li>\n
      5. Biti\u015f zaman\u0131 ile ba\u015flang\u0131\u00e7 zaman\u0131 fark\u0131 bir de\u011fi\u015fkene eklenir.<\/li>\n
      6. Belirlenen n. iterasyona gelene kadar 2. ad\u0131mdan itibaren i\u015flemler tekrarlan\u0131r<\/li>\n
      7. n. iterasyon bittikten sonra timestamp counter farklar\u0131 toplam\u0131 n iterasyon adedine b\u00f6l\u00fcnerek ortalamas\u0131 al\u0131n\u0131r.<\/li>\n<\/ol>\n

        Cache miss latency \u00f6l\u00e7\u00fcm\u00fc yukar\u0131dakine benzer ancak 6. ad\u0131mdan sonra 2. ad\u0131ma atlamak yerine 1. ad\u0131ma atlanarak i\u015flem tekrar edilir. \u00c7\u00fcnk\u00fc verinin cache\u2019den at\u0131l\u0131p tekrar ana bellekten eri\u015filmeye zorlanmas\u0131 gerekir. Cache\u2019de olmayan veri de bizim cache miss durumunda olmam\u0131z\u0131 sa\u011flayacakt\u0131r. Belirlenen bir n adet iterasyon yap\u0131lmas\u0131n\u0131n sebebi ise i\u015flemcinin veriyi \u00e7ok s\u0131k eri\u015fim oldu\u011funa karar verdi\u011finde cache \u00fczerine almas\u0131d\u0131r. Biz yeteri kadar iterasyon yaparak, ilk iterasyonlarda olmasa bile ilerleyen iterasyonlarda garanti alt\u0131na almak istiyoruz.<\/p>\n

        Bu iki de\u011ferden ortalama bir cache miss e\u015fik de\u011feri hesaplan\u0131r. Bundan sonra exploiti uygularken bu e\u015fik (threshold) de\u011feri baz al\u0131n\u0131r.\u00a0 E\u011fer eri\u015fimlerimiz bu cache miss threshold\u2019u alt\u0131nda kal\u0131rsa veriyi cache\u2019lenmi\u015f kabul edilir. Bu bilginin meltdown zafiyetini nas\u0131l istismarda kullan\u0131laca\u011f\u0131n\u0131 ilerleyen a\u015famada detayland\u0131raca\u011f\u0131m.<\/p>\n

        Latency \u00f6l\u00e7\u00fcm\u00fcn\u00fc yapabilmek i\u00e7in clflush<\/strong> ve rdtsc<\/strong> ad\u0131nda iki makine komutu kullan\u0131l\u0131r.<\/p>\n

        clflush<\/strong> komutu verilen bellek adresine denk d\u00fc\u015fen cache line\u2019\u0131 s\u0131f\u0131rlamaktad\u0131r. Ve en b\u00fcy\u00fck avantaj\u0131 da bu komut privileged (ayr\u0131cal\u0131kl\u0131) bir komut de\u011fildir. Hen user hem de kernel mod\u2019da istisnas\u0131z \u00e7al\u0131\u015fabilir. Meltdown zafiyetinin ve elbette Spectre\u2019in kilit unsurlar\u0131ndan biridir.<\/p>\n

        rdtsc<\/strong> komutu ise instruction (komut) \u00e7al\u0131\u015fma s\u00fcrelerini \u00f6l\u00e7ebilecek hassasiyette 64 bit uzunlu\u011funda bir zaman sayac\u0131 vermektedir. \u0130\u015flemci her bir clock cycle\u2019da (Saat vuru\u015fu) i\u00e7sel sayac\u0131 artt\u0131r\u0131r. Komutlar bu saya\u00e7 \u00f6l\u00e7\u00fcm\u00fc aras\u0131na konularak aradaki fark\u0131n hesaplanmas\u0131yla \u00e7al\u0131\u015fan komutun ne kadar cpu cycle harcad\u0131\u011f\u0131 \u00f6l\u00e7\u00fclebilir.<\/p>\n

        Out Of Order Execution (D\u00fczensiz Komut \u0130\u015fletme)<\/u><\/strong><\/p>\n

        Meltdown g\u00fcvenlik zafiyetini ortaya \u00e7\u0131karan tek ba\u015f\u0131na olmasa da en b\u00fcy\u00fck sorun i\u015flemcilerin out-of-order execution \u00f6zellikleri. Out of order execution (k\u0131saca OOE diyece\u011fim) de i\u015flem performans\u0131n\u0131 artt\u0131rmak i\u00e7in uzun zamand\u0131r i\u015flemcilerde olan bir \u00f6zellik. Bunun bir benzeri de Speculative Execution denilen program ak\u0131\u015f\u0131ndaki dallanmalar\u0131n (Jump) y\u00f6n\u00fcn\u00fc\u00a0 tahmin ederek \u00e7al\u0131\u015ft\u0131rmaya dayal\u0131 bir \u00f6zellik. Bu \u00f6zelli\u011fi Spectre incelemesinde detayland\u0131rmak daha do\u011fru olur. O y\u00fczden \u00fczerinde fazla durmadan OOE konusunu biraz daha detayland\u0131rmak istiyorum.<\/p>\n

        OOE (Out Of Order Execution) birbirine ba\u011f\u0131ml\u0131l\u0131klar\u0131 olmayan komutlar\u0131n s\u0131ras\u0131n\u0131 beklemek yerine zamandan kazanmak i\u00e7in paralel olarak farkl\u0131 bir pipeline\u2019a al\u0131narak paralel \u00e7al\u0131\u015ft\u0131r\u0131lmas\u0131n\u0131 sa\u011flayan bir \u00f6zelliktir ve her modern i\u015flemcide bu \u00f6zellik mevcuttur.<\/p>\n

        Basit\u00e7e bir \u00f6rnek;<\/p>\n

        x = array[array[i]];\ny = array[j]<\/pre>\n
        yukar\u0131daki \u00f6rnek kodun 2. sat\u0131r\u0131 out-of-order olarak \u00e7al\u0131\u015ft\u0131r\u0131labilir. \u00c7\u00fcnk\u00fc 2. sat\u0131r\u0131n kendinden \u00f6nceki sat\u0131rdaki komutlar\u0131n sonucuna ba\u011f\u0131ml\u0131l\u0131\u011f\u0131 yoktur.<\/p>\n
        Ancak, out of order \u00e7al\u0131\u015ft\u0131r\u0131lan komutlar\u0131n etkileri, kendinden \u00f6nceki komutlar\u0131n ba\u015far\u0131l\u0131 olarak tamamlan\u0131p pipeline\u2019dan \u00e7\u0131kar\u0131lmad\u0131klar\u0131 s\u00fcrece i\u015flemci genel ve durum yazma\u00e7lar\u0131na yans\u0131t\u0131lmaz. T\u00fcm OOE i\u015flemleri i\u015flemcinin i\u00e7sel (internal), yani d\u0131\u015far\u0131ya kapal\u0131 biriminde ger\u00e7ekle\u015ftirilir. E\u011fer OOE dahilindeki komutlar kendinden \u00f6nceki komutlarda, program ak\u0131\u015f\u0131n\u0131n kendisinin mant\u0131ksal olarak \u00e7al\u0131\u015fmamas\u0131n\u0131 sa\u011flayacak bir duruma neden olursa (\u00d6rne\u011fin bir exception) o i\u015flemin sonu\u00e7lar\u0131 ve etki etti\u011fi flagler ge\u00e7ersiz say\u0131l\u0131rlar.<\/p>\n
        \u00d6rne\u011fin;<\/p>\n
        MOV RAX, 1000\nIMUL RAX, 2<\/pre>\n
        komutu OOE dahilinde \u00e7al\u0131\u015ft\u0131r\u0131ld\u0131\u011f\u0131nda i\u015flem sonucunun 2000 olaca\u011f\u0131 hesaplanm\u0131\u015f durumdad\u0131r ancak RAX yazmac\u0131na bu de\u011ferler kendinden \u00f6nceki komutlar ba\u015far\u0131l\u0131 olmad\u0131klar\u0131 s\u00fcrece yaz\u0131lmaz.<\/p>\n
        Ancak bu duruma ra\u011fmen OOE sonucunda istenmeyen bir yan etki g\u00f6zlemlenmi\u015ftir. Bu yan etki de \u015fudur; OOE dahilinde i\u00e7sel olarak i\u015fletilen komutlar ve sonu\u00e7lar\u0131 ignore edilmi\u015f olsa (yoksay\u0131lsa) dahi eri\u015fti\u011fi bellek cache \u00fczerinde kalmaya devam etmektedir. Bu mimarinin tasar\u0131m\u0131nda yatan, istismar edilebilece\u011fi d\u00fc\u015f\u00fcn\u00fclmemi\u015f bir durumdur. Zira cache edilmi\u015f bir veriyi tekrar flush etmenin bir anlam\u0131 yoktur. Tam aksine flush i\u015flemi ek operasyonlara neden olacakt\u0131r. Bu normalde d\u0131\u015far\u0131dan g\u00f6zlemlenmemesi gereken bir i\u015fleyi\u015fin d\u0131\u015f d\u00fcnyaya yans\u0131mas\u0131 olarak kalmaktad\u0131r. Yukar\u0131da anlat\u0131lan unsurlar bir araya getirildi\u011finde bir side channel attack i\u00e7in g\u00fczel bir zemin haz\u0131rlamaktad\u0131r. OOE \u00f6zelli\u011finin meltdown\u2019\u0131 exploit etmekte nas\u0131l kullan\u0131laca\u011f\u0131, yaz\u0131n\u0131n ilerleyen k\u0131sm\u0131nda detayland\u0131raca\u011f\u0131m. \u015eimdilik OOE\u2019un ne oldu\u011funu ne t\u00fcr yan etkilere sebep oldu\u011funu g\u00f6rd\u00fck.<\/p>\n
        Virtual Memory (Sanal Bellek)<\/u><\/strong><\/p>\n
        Sanal bellek mekanizmas\u0131 i\u015fletim sistemlerinin en temel ve en gerekli mekanizmalar\u0131ndan biridir. Bu kavram\u0131n ge\u00e7mi\u015fi 1950\u2019li y\u0131llara kadar dayanmaktad\u0131r. Modern say\u0131labilecek anlamda ise sanal bellek konsepti 1970\u2019li y\u0131llara kadar uzanmaktad\u0131r. Sanal bellek, fiziksel belle\u011fi hem daha etkin, hem de \u00e7ok i\u015flemli (process) ve \u00e7ok kullan\u0131c\u0131l\u0131 sistemlerde her i\u015flemi birbirinden g\u00fcvenli \u015fekilde izole etmek amac\u0131yla uygulanm\u0131\u015f bir mekanizmad\u0131r. Page\u2019lere b\u00f6l\u00fcnm\u00fc\u015f fiziksel ve da\u011f\u0131n\u0131k bellek bloklar\u0131n\u0131 tek bir bellek \u00f6be\u011fi olarak tutabilirler. Bu sayede kullan\u0131c\u0131 programlar\u0131n\u0131n fiziksel belle\u011fi do\u011frusal olarak kullanmas\u0131na imkan tan\u0131r. Sanal bellek mekanizmas\u0131 kendi ba\u015f\u0131na olduk\u00e7a detayl\u0131 bir kavram o y\u00fczden bizi ilgilendiren \u00f6l\u00e7\u00fcde bahsedece\u011fim.<\/p>\n
        Prosesler aras\u0131nda bellek izolasyonu yapabilmek i\u00e7in sanal bellek kullan\u0131l\u0131yor demi\u015ftik. Bunu sa\u011flamak i\u00e7in i\u015flemcilerde Page Table denilen sanal belle\u011fi fiziksel belle\u011fe d\u00f6n\u00fc\u015ft\u00fcrmekte kullan\u0131lan bir tablo bulunmaktad\u0131r. \u0130\u015fletim sistemi her proses (i\u015flem) ba\u015f\u0131na bir page table y\u00f6netir ve prosesler aras\u0131nda ge\u00e7i\u015fte bu page table \u00e7al\u0131\u015facak prosesin page table\u2019\u0131 ile de\u011fi\u015ftirilir. x86 mimarisinde bu i\u015f i\u00e7in \u00f6zel olarak kullan\u0131lan CR3<\/strong> yazmac\u0131 bu page table\u2019\u0131n adresini tutmaktad\u0131r. Her process\u2019in page table\u2019\u0131 fiziksel bellekte farkl\u0131 b\u00f6lgeleri i\u015faret etti\u011finden, A prosesi de, B prosesi de 0xAEAA1000 adresini kulland\u0131\u011f\u0131n\u0131 zannedebilir. Ancak her proses ayn\u0131 adrese eri\u015fmeye \u00e7al\u0131\u015ft\u0131\u011f\u0131nda farkl\u0131 veriler g\u00f6receklerdir. \u00c7\u00fcnk\u00fc page table sayesinde i\u015flemci o sanal adresi ger\u00e7ekte verisinin bulundu\u011fu fiziksel belle\u011fe d\u00f6n\u00fc\u015ft\u00fcr\u00fcp eri\u015fecektir.<\/p>\n
        \u0130\u015fletim sistemi her proses i\u00e7in page table\u2019\u0131 y\u00f6netirken Kernel Mode \u2013 User Mode aras\u0131 gidip gelmelerde Kernel bellek alan\u0131 ile Process\u2019in bellek alan\u0131n\u0131 ayn\u0131 adres uzay\u0131 i\u00e7erisindedir. Bunun pek \u00e7ok avantaj\u0131 var.<\/p>\n
          \n
        1. \u0130\u015fletim sistemi sistem \u00e7a\u011fr\u0131lar\u0131n\u0131 h\u0131zl\u0131 bir \u015fekilde kabul edebilmektedir. \u015euan i\u015fletim sistemlerinin meltdown i\u00e7in \u00e7\u0131kard\u0131\u011f\u0131 g\u00fcncellemelerin performans d\u00fc\u015f\u00fc\u015f\u00fcne sebep olan k\u0131sm\u0131 da bununla ilintilidir. Ona ilerde de\u011finece\u011fim.<\/li>\n
        2. User mode\u2019da yani kullan\u0131c\u0131 seviyesinde bir prosess aktif olarak \u00e7al\u0131\u015fmaktayken bir Interrupt meydana geldi\u011finde yine herhangi bir adres alan\u0131 de\u011fi\u015fimine u\u011framadan \u0130\u015fletim sistemi interrupt (kesme) handling i\u015flerini yapabilmektedir.<\/li>\n<\/ol>\n
          Ayn\u0131 adres alan\u0131 i\u00e7erisinde olmalar\u0131 elbette user mode taraf\u0131ndan kernel mode belle\u011fini okuma yazma yetkisi vermez. Her ne kadar da ayn\u0131 adres uzay\u0131 i\u00e7erisinde olsalar da Page Protection sayesinde kimin nereye, ne \u015fartlarda eri\u015fece\u011fi belirlenebilir. Her page\u2019in kendine \u00f6zel bir eri\u015fim kontrol Bit\u2019leri mevcuttur. Supervisor olarak i\u015faretlenmi\u015f page\u2019lerin User Mode’dan (yani ring 3) eri\u015fimi engellenir. Bu yakla\u015f\u0131m klasik User Mode, Kernel Mode izolasyonunda kullan\u0131lmaktad\u0131r.<\/p>\n
          Meltdown<\/span><\/h2>\n
          Bu noktaya gelene kadar meltdown zafiyetine sebebiyet veren ve istismar edilmesine olanak sa\u011flayan fakt\u00f6rleri tek tek inceledik. Art\u0131k bu noktadan sonra tam olarak meltdown\u2019\u0131 a\u00e7\u0131klamaya ba\u015flayabiliriz.<\/p>\n
          Biraz evvel sanal bellek mekanizmas\u0131ndaki yakla\u015f\u0131m\u0131n Kernel mode adres alan\u0131n\u0131n User mode taraf\u0131nda da g\u00f6r\u00fcn\u00fcr oldu\u011funu g\u00f6rd\u00fck. Kernel adres alan\u0131, user mode taraf\u0131nda ge\u00e7erli oldu\u011funa g\u00f6re bir sanal adresin fiziksel adresini hesaplad\u0131\u011f\u0131m\u0131zda tam olarak almak istedi\u011fimiz veriyi oradan alabiliriz demektir bu. Ancak Page Protection<\/strong> sayesinde user mode\u2019dan bu b\u00f6lgeye gelen eri\u015fim isteklerinin i\u015flemci taraf\u0131ndan Genel koruma hatas\u0131 ile (General Protection Fault) engellendi\u011fini de biliyoruz.<\/p>\n
          Ancak hat\u0131rlarsan\u0131z i\u015flemcilerin baz\u0131 ba\u011f\u0131ml\u0131l\u0131\u011f\u0131 olmayan komutlar\u0131 Out Of Order dahilinde \u00e7al\u0131\u015ft\u0131rabildi\u011fini biliyoruz. Meltdown\u2019\u0131n alt\u0131nda yatan fikir bir kernel mode adresine s\u00fcrekli olarak eri\u015fmeye \u00e7al\u0131\u015fan bir kodumuz olsa ve hemen bu kernel adresine eri\u015fim denemesi yapan kodun pe\u015fi s\u0131ra o out of order \u015fekilde \u00e7al\u0131\u015fabilecek bir kod yerle\u015ftirsek sonu\u00e7 ne olur? sorusudur. Ne yaz\u0131k ki mikroi\u015flemcilerin mimarilerinin geli\u015ftiricilere a\u00e7\u0131k olmayan ve normal yaz\u0131l\u0131mlar \u00fczerinde yahut firmware\u2019lerde oldu\u011fu gibi rahat\u00e7a reverse engineering (Tersine m\u00fchendislik) yapabilme \u015fans\u0131 yoktur. Biraz evvel bahsetti\u011fim sorunun cevab\u0131n\u0131n ne oldu\u011fu ancak Side channel attack denemelerinin \u00f6l\u00e7\u00fcmleri ile ula\u015f\u0131labilir ve \u00fczerinde olduk\u00e7a \u00e7al\u0131\u015f\u0131lmas\u0131 gereken olduk\u00e7a hassas bir i\u015ftir.<\/p>\n
          Ancak \u015fu rahatl\u0131kla bilinebilir bir ger\u00e7ektir. User mode\u2019da bir kodun kernel b\u00f6lgesine eri\u015fimi az evvel bahsetti\u011fim genel koruma hatas\u0131 ile sonland\u0131r\u0131lacakt\u0131r. Bunun User Level\u2019daki kar\u015f\u0131l\u0131\u011f\u0131 bildi\u011fimiz Exception\u2019a sebebiyet vermesi durumudur. Bu noktada soru \u015fu hale gelecektir.<\/p>\n
          Bir kod kernel mode\u2019a ait bir adrese eri\u015fim sa\u011flamak istedi\u011finde olu\u015fan Exception\u2019dan sonra kalan komutlar ger\u00e7ekten Out Of Order kapsam\u0131nda i\u015fletilebilir mi? Yan\u0131t gayet tabi evet. \u00c7\u00fcnk\u00fc i\u015flemci mimarisi buna olanacak verecek \u015fekilde dizayn edilmi\u015ftir.<\/p>\n
          A\u015fa\u011f\u0131da basite indirgenmi\u015f meltdown ile ilintili bir \u00f6rnek diyagram g\u00f6r\u00fcyorsunuz.<\/p>\n
          \"ooe\"<\/a><\/p>\n
          Diyagramda belirlenen bir kernel adresinden 1 byte okunmak isteniyor. Ve i\u015flem sonucundan d\u00f6nen 1 bytel\u0131k de\u011fer KONTROL_DIZISI ad\u0131ndaki 256 byte\u2019dan olu\u015fan bir dizinin o de\u011fere denk d\u00fc\u015fen index\u2019indeki de\u011fere eri\u015fmek istiyor. S\u00f6z gelimi e\u011fer kernel adresinden okunan byte de\u011feri 14 ise, bu kontrol dizisinin 14. indexine eri\u015fmek demek. Yani x = KONTROL_DIZISI[14]<\/p>\n
          Peki kontrol dizisinin neden 256 byte uzunlu\u011funda oldu\u011funa dair bir fikriniz var m\u0131? Yoksa ileride tam olarak nedenini detayl\u0131 olarak a\u00e7\u0131klayaca\u011f\u0131m. Normal olarak programc\u0131n\u0131n beklentisi b\u00f6yle bir durumda illegal olarak bir adresten 1 byte veri okunmas\u0131 sonras\u0131 Exception ile program ak\u0131\u015f\u0131n\u0131n kesilmesi olur. Ve hatal\u0131 eri\u015fim kodundan sonraki komutlar\u0131n bu sebepten asla \u00e7al\u0131\u015ft\u0131r\u0131lmayaca\u011f\u0131n\u0131 bekler. E\u011fer programda bir exception handling mekanizmas\u0131 yok ise, illegal eri\u015fim denemesi yapan program i\u015fletim sistemi taraf\u0131ndan sonland\u0131r\u0131lacakt\u0131r. \u00d6ncelikle istismar eden program\u0131n ba\u015far\u0131yla \u00e7al\u0131\u015fmaya devam edebilmesi bu durumun engellenmesini gerektirir.<\/p>\n
          Meltdown\u2019\u0131 ba\u015far\u0131yla exploit edebilmek i\u00e7in \u00f6ncelikle bu durumdan kurtulmak gerekir. Bunun i\u00e7in bir ka\u00e7 se\u00e7ene\u011fimiz var.<\/p>\n
          1-) Signal Handler<\/strong><\/em>
          \nUnix tabanl\u0131 i\u015fletim sistemlerinin standart ak\u0131\u015f kontrol mekanizmas\u0131 signal mekanizmas\u0131d\u0131r. Ancak POSIX gere\u011fi, POSIX uyumlu olma iddias\u0131nda olan t\u00fcm i\u015fletim sistemleri destekler. Windows i\u015fletim sistemi de signal mekanizmas\u0131n\u0131 destekler. Bu y\u00f6ntemde istismara ba\u015flamadan \u00f6nce SIGSEGV sinyali register edilir. SIGSEGV sinyali ge\u00e7ersiz bellek eri\u015fimlerinde program\u0131 sonland\u0131rmadan \u00f6nce program\u0131n hatay\u0131 tol\u00f6re etmesi i\u00e7in kullan\u0131lan bir signal t\u00fcr\u00fcd\u00fcr. Ancak bizim exception\u2019dan ka\u00e7\u0131n\u0131p kald\u0131\u011f\u0131m\u0131z yerden devam edebilmemiz gerekir. Bu sebepten setjmp, longjmp ikilisi kullan\u0131l\u0131r. setjmp \u00e7a\u011fr\u0131ld\u0131\u011f\u0131 nokta o anki t\u00fcm i\u015flemci durumunu bir buffer\u2019a (Buna jump buffer denilir) kaydeder. O anki yazma\u00e7 durumlar\u0131, flag, stack bilgisi vs. Yani \u00e7a\u011fr\u0131ld\u0131\u011f\u0131 o an\u0131n binary d\u00fczlemde foto\u011fraf\u0131n\u0131 \u00e7eker.\u00a0 longjmp ise program\u0131 kay\u0131t edilen o bilgilerin durumuna geri d\u00f6nd\u00fcr\u00fcr. B\u00f6ylece herhangi bir konumdan program tekrar eski i\u015fleyi\u015fine d\u00f6nebilir. Ancak herhangi bir stack corruption (Y\u0131\u011f\u0131n bozulmas\u0131) durumunda bu d\u00f6n\u00fc\u015f\u00fcn bir anlam\u0131 olmaz.<\/p>\n
            \n
          1. SIGSEGV sinyalini register et. signal(SIGSEGV, signal_handler_fonksiyonu);<\/li>\n
          2. Exploit kodu \u00e7al\u0131\u015fmadan \u00f6nce setjmp ile o an\u0131n durumunu yakala. setjmp(jmpBuf);<\/li>\n
          3. signal_handler_fonksiyonu i\u00e7erisine longjmp(jmpBuf) ile exception\u2019dan en son duruma geri d\u00f6n.<\/li>\n<\/ol>\n
            2-) Windows Exception Handler<\/em><\/strong>
            \nWindows i\u015fletim sisteminin native exception handling mekanizmas\u0131. Her ne kadar Windows POSIX gere\u011fi signal i\u015flemlerini de desteklese portability kayg\u0131s\u0131 g\u00fcd\u00fclm\u00fcyorsa en iyi yol kendi native exception handler\u2019ini kullanmak. Bunu Windows\u2019ta 2 \u015fekilde yapma \u015fans\u0131n\u0131z var.<\/p>\n