Rex Tsai Blog 永不停歇的系統安全工作

這篇文章是閱讀了 Kuon Ding 在 COSCUP 2016 發表的演講簡報「開源編譯器，如何實現系統安全最後一哩路」的一點想法。因為 COSCUP 一直待在場外聊天，未進入演講廳聽講，這些心得僅僅參考投影片的資訊。 私認為資訊安全沒有最後一哩路[1]，需要保持紀律的環環層層不停的造橋鋪路。 這場演講分享了開放原始碼編譯工具針對系統安全的發展，編譯工具的確是重要一環，以 Ubuntu 為例[2]， gcc 的 Stack Protector、built as PIE for exec ASLR、Fortify Source、Read-only relocation 都做額外的補釘加強安全性。然而 toolchain 不能提供獨立的安全保護，像是 Address Space Layout Randomization (ASLR) 必須是從 kernel 層做的。不管是融合桌面、手機環境的 Ubuntu 或是以手機為主的 Android 而言，安全性的發展都是盡可能的降低攻擊範圍(attack surface) 並層層疊加安全限制。 以最近發布的 Android 7[7][8] 為例子，針對系統面的保護改進用 SELinux 與 seccomp sandboxing 中減少 ioctl 的白名單呼叫範圍、 Library ASLR[3]、從 Grsecurity [...]