Seiring dengan perkembangan jaman terutama di era industri 4.0 saat ini semakin banyak aplikasi dan sistem dibangun untuk membantu kehidupan manusia. Ada banyak sekali kelas security bug, dan setiap aplikasi ataupun sistem tidak akan lepas dari yang namanya security bug.

Mudah-mudahan dengan memahami bug NULL Pointer Dereference akan lebih banyak lagi pihak terutama para software developer yang aware terkait masalah security sehingga dapat mengembangkan aplikasi atau sistem yang jauh lebih secure dari sebelumnya.

Bug tersebut merupakan NULL Pointer Dereference yang disebabkan oleh “incorrect proto_ops initializations” pada kernel linux (CVE-2009–2692).

Pada advisories mereka yang dipublish oleh beberapa mailing-list security[12], diberikan juga bagaimana metode untuk men-trigger bug tersebut.

Pembahasan lengkap mengenai bug serta eksploit ini telah dilakukan oleh
xorl[13], sehingga pembahasan yang saya berikan pada artikel ini sifatnya hanya summary, dan yang pasti dalam bahasa Indonesia ;)

Memicu Bug Pada Kernel

Pertama-tama, kita akan melihat bug kernel linux yang dapat mentrigger Null Pointer Dereference tersebut.

Pada Linux setiap socket memiliki asosiasi dengan suatu struktur yang disebut proto_ops. Struktur tersebut memiliki variable pointer yang menunjuk suatu fungsi operasi tertentu. Misalnya kita membuka koneksi socket internet, maka telah tersedia beberapa fungsi untuk operasi pada socket internet (seperti connect(), accept(), bind(), dll) tersebut. Nah fungsi-fungsi inilah yang ditunjuk oleh variable pointer struktur sock_ops diatas.

Seluruh socket akan diberikan struktur diatas, sehingga muncul pertanyaan bagaimana seandainya ada socket yang tidak mengimplementasikan satu atau beberapa operasi dari struktur proto_ops?! Misalnya, saya men-design cyberheb_socket() untuk diintegrasikan dalam Linux namun tidak ingin mengimplementasikan fungsi accept(). Jika hal tersebut terjadi maka cyberheb_socket() diharapkan untuk melakukan inisialisasi terhadap variable pointer *accept ke suatu fungsi, misalnya sock_no_accept().

Sebetulnya hal ini tidak akan menjadi masalah karena biasanya implementasi suatu socket telah melakukan pengecekan tersendiri. Taviso dan Julien mengambil contoh sock_splice_read(),

Kita bisa lihat bahwa sesaat setelah socket di-inisialisasikan (baris 746),
maka pada baris berikut nya (baris 748) dilakukan pengecekan terhadap NULL Pointer Dereference. Jika sock adalah NULL maka fungsi sock_splice_read() diatas akan langsung mengembalikan nilai error. Ini adalah salah satu contoh implementasi yang baik dan sesuai aturan.

Namun ternyata Taviso dan Jullien menemukan fakta bahwa ada implementasi socket yang tidak melakukan pengecekan terhadap NULL Pointer Dereference sebelum melakukan dereference, yaitu pada implementasi sock_sendpage().

Bisa kita lihat dengan jelas bahwa sock di-inisialisasikan dengan nilai dari
private_data (baris 733), dan kemudian tanpa proses pengecekan apakah sock bernilai NULL fungsi tersebut langsung melakukan dereference di bagian akhir (baris 739).

Berdasarkan advisories tersebut beberapa contoh implementasi lain juga memiliki masalah yang sama diantaranya pada protocol PF_BLUETOOTH, PF_IUCV, PF_PPPOX, dll. Advisories mereka juga dilengkapi dengan metode untuk men-trigger bug tersebut:

Advisories yang lengkap walaupun tidak menyertakan eksploit. Namun bagi para exploit writer hal tersebut sudah cukup. Dan hal yang mungkin paling menyenangkan adalah statement berikut ini:

“This issue is easily exploitable for local privilege escalation. In order to exploit this, an attacker would create a mapping at address zero containing code to be executed with privileges of the kernel, and then trigger a vulnerable operation”

Bug tersebut terjadi pada process kernel, sehingga privilege nya merupakan ring 0. Jika kita bisa mengarahkan eksekusi processor dengan privilege ring 0 dan mengontrolnya maka tidak ada yang tidak bisa kita lakukan.

Berikut ini step-by-step gambaran umum eksploit wunderbar_emporium:

1. Melakukan pengecakan apakah sistem target merupakan 32-bit ataupun 64-bit. Eksploit ini portable sehingga bisa dilakukan pada target 32-bit ataupun 64-bit (intel).
2. Melakukan pengecekan terhadap mmap_min_addr() restriction. Cara paling mudah yang bisa dilakukan oleh user process biasa adalah melihat isi file /proc/sys/vm/mmap_min_addr. Jika mmap_min_addr() bernilai lebih besar dari nol, maka proses eksploitasi akan dilanjutkan dengan trik bypass mmap_min_addr(), namun jika bernilai nol atau file tersebut tidak ada (versi kernel 2.6 yang lama) maka akan dilakukan proses eksploitasi. Pada wunderbar_emporium2 juga ditambahkan pengecekan apakah terdapat SELinux (/selinux/enforce), jika terdapat SELinux maka akan dimanfaatkan untuk bypass mmap_min_addr() karena ternyata secara default policy SELinux malah justru dapat mem-bypass mmap_min_addr() melalui trik unconfined_t seperti yang digambarkan oleh Dan Walsh.
3. Proses bypass mmap_min_addr() (tanpa SELinux) menggunakan trik pulseaudio. File exploit.c akan di-compile sebagai shared-object (.so) yang dapat di-load sebagai library oleh pulseaudio (dengan options “-L”). Proses ini terlebih dahulu melakukan set personality menjadi SVr4, sehingga ketika dijalankan maka pulseaudio akan secara otomatis melakukan mapping page 0.
4. Proses eksploitasi akan dilakukan oleh exploit.c, page 0 akan di-set dengan suatu fungsi yang menjalankan beberapa procedure. Diantara procedure-procedure tersebut adalah men-disable fitur-fitur LSM (AppArmor, Audit, SELinux). Proses ini menggunakan trik patching dari simbol kernel yang telah didapatkan sebelumnya. Kenapa bisa di-disable?! tentu saja karena pada tahap ini kita telah mendapatkan ring 0 sehingga seakan-akan procedure ini dilakukan dengan privilege kernel.
5. Trigger NULL Pointer Dereference pada kernel sehingga eksekusi akan dibawa ke zero page.
6. Ubah status uid menjadi root.
7. Bangkitkan shell dengan uid root.
8. r00tshell

Eksploit Wunderbar Emporium

Wunder emporium terdiri dari 3 files: wunder_emporium.sh, pwnkernel.c,
exploit.c, kita cukup menjalankan wunder_emporium.sh dan sisanya akan dijalankan oleh script tersebut. Berikut ini isi shell script tersebut:

Script ini melakukan otomasi proses eksploitasi, dan tidak ada yang istimewa karena sudah jelas dari script-nya. Jika tidak ada perlindungan mmap_min_addr() maka akan segera dilakukan eksploitasi menggunakan hasil compile file exploit.c, namun jika terdapat restriction mmap_min_addr() akan dilihat kembali apakah SELinux diaktifkan dan Enforcing, jika tidak maka dijalankan pwnkernel.c (trik personality + pulseaudio), namun jika terdapat SELinux dan Enforcing maka sesuai blog Dan Walsh akan digunakan trik unconfined_t user yang memanfaatkan runcon untuk mengubah context process (bruteforce) ke initrc_t, wine_t, vbetool_t, unconfined_mono_t atau samba_unconfined_net_t. Trik ini bisa dilihat mulai dari baris 26 sampai baris 44.

Berikutnya kita akan melihat isi file kernel.c yang mengimplementasikan trik personality+pulseaudio.

Cukup simple dan tidak perlu panjang lebar, pwnkernel akan melakukan setting personality menjadi SVr4 (PER_SVR4) dan kemudian menjalankan pulseaudio dengan terlebih dahulu melakukan pemeriksaan apakah pulseaudio merupakan binary dengan suid root. Sisanya tinggal mengeksekusi pulseaudio dengan mendefinisikan exploit.so sebagai library untuk di-load. Pada tahap ini page 0 akan di map read-only secara otomatis dan eksekusi selanjutnya akan ditangani oleh kode didalam eksploit.so.

Tentu saja bagian yang paling menarik adalah exploit.c, disinilah terdapat
kode-kode untuk melakukan patching LSM, mendapatkan akses root, dsb. Seperti yang telah disampaikan sebelumnya, saya akan membuang bagian video untuk keren-kerenan nya. Dan berhubung exploit.c adalah inti eksploitnya maka akan dibahas per fungsi.

Sebagaimana biasanya, eksploit akan mulai dari fungsi main(). Fungsi main() hanya terdapat 2 baris, yang pertama adalah melakukan set variable called_from_main, jika bernilai 1 maka video tzameti.avi akan dimainkan sesaat sebelum mendapatkan shell root, jika bernilai 0 maka video tidak akan dimainkan.

Selanjutnya akan dijalankan fungsi pa__init(NULL). Mungkin ada yang bertanya mengapa memilih nama pa__init() ataupun terdapat fungsi pa__done() pada exploit.c?! jangan lupa, pada salah satu trik bypass mmap_min_addr(), exploit.c akan di-compile sebagai shared object dan diload sebagai library oleh pulseaudio. Dalam hal ini program utama pulseaudio akan mencari fungsi pa__init() dan pa__end() saat menjalankan library tersebut. Itu sebabnya fungsi utama dalam exploit.c akan dimasukan kedalam pa__init().

Sekarang mari kita lihat apa isi dari fungsi pa_init().

Tampak tidak asing?

uid proses saat ini akan dimasukan kedalam variable our_uid, dan selanjutnya dilakukan pengecekan terhadap personality. Jika personality process saat ini bukan SVr4 (zero page belum di-mapped), maka akan dilakukan mapping secara manual. Kita bisa sampai pada bagian ini biasanya karena kernel user tidak ada restriction mmap_min_addr(), mmap_min_addr() di-set
bernilai 0, atau restriction pada mmap_min_addr() telah berhasil di-bypass.

Kernel lama yang menggunakan SELinux menggunakan pembatasan terhadap page 0 dengan tidak mengijinkan mapping RWX (Read+Write+Execute), dalam hal ini bypass-nya cukup dengan mengganti protocol untuk mapping di page 0 menjadi (Read+Write).

Jika personality sudah di-set SVr4 yang berarti page 0 telah di-mapped (Read), maka tinggal mengganti hak aksesnya menggunakan syscall mprotect() agar menjadi (Read+Write+Execute).

Proses selanjutnya adalah mendapatkan lokasi modul-modul LSM yang telah diaktifkan didalam sistem target,

Ketika kernel mengaktifkan suatu modul security (LSM), maka modul tersebut akan di-load ke suatu lokasi memory dan lokasi tersebut akan disimpan pada suatu file (/proc/kallsyms atau /proc/ksyms). Proses berikutnya dari exploit.c adalah mendapatkan lokasi LSM tersebut pada memory, hal ini dilakukan oleh fungsi get_kernel_sym() yang isinya sebagai berikut:

Fungsi ini akan membaca isi dari file /proc/kallsyms atau /proc/ksyms dan
mencari lokasinya berdasarkan input nama modul LSM yang diinginkan. Saya rasa sudah sangat jelas inti dari kode diatas.

Bagian selanjutnya adalah menulis page 0 yang telah di-mapped sebelumnya agar berisi kode-kode yang kita inginkan. Pada lokasi NULL (Zero Page) dimasukan 0xff, pada lokasi NULL+1 dimasukan 0x25, dan kemudian jika mesin terget adalah 32-bit maka NULL+2 akan dimasukan 0 namun jika target adalah komputer 64-bit maka NULL+2 akan dimasukan 6. Sisanya NULL+6 akan dimasukan lokasi / alamat dari fungsi own_the_kernel().

Untuk yang penasaran dengan proses pengecekan diatas (antara 32-bit dan 64-bit), trik ini sangat sederhana. Trik ini membandingkan size tipe data “unsigned long” dengan tipe data “unsigned int”, pada komputer 32-bit kedua tipe data ini tidak memiliki size yang sama namun pada komputer 64 bit kedua tipe data ini memiliki size yang sama.

Selanjutnya kita akan melihat bagaimana isi dari fungsi own_the_kernel(), karena pada saat NULL Pointer Dereference terjadi maka eksekusi akan dibawa pada lokasi fungsi ini berada.

Pada saat NULL pointer dereference terjadi pada kernel, maka eksekusi akan
dibawa menuju fungsi ini dan tentu saja level privilege-nya adalah kernel. Jika eksekusi berhasil mencapai tahap ini maka kita sudah bisa menyatakan bahwa “ring 0” telah berhasil didapatkan. Bagian awal dari own_the_kernel() segera melakukan hal ini dengan men-set variable got_ring0 dengan angka 1.

Proses selanjutnya adalah men-disable LSM. Dengan privilege kernel maka kita dapat melakukan hal ini dengan mudah. Seperti yang telah dibahas sebelumnya bahwa get_kernel_sysm() akan memberikan lokasi modul-modul security yang diaktifkan, sehingga dengan operasi pointer kita dapat segera melakukan ‘patching’ lokasi tersebut agar bernilai ‘nol’.

Ini salah satunya:

...
if (audit_enabled) 
  *audit_enabled = 0;
...

Pada bagian selanjutnya yang cukup menarik adalah proses patching SELinux:

kode diatas digunakan untuk melakukan patching pada sel_read_enforce(). Patching ini seperti layaknya proses patching sebelumnya ataupun proses patching ketika kita hendak meng-crack suatu program dimana patch dilakukan secara langsung pada lokasi memory.

Pada komputer 32-bit akan dicari posisi kode “push [selinux_enforcing]”
dan menggantinya dengan “push 1”. Posisi kode tersebut dicari mulai dari lokasi yang didefinisikan oleh *sel_read_enforce (dari symbol kernel) hingga (+0x20) pada memory. Hal yang sama dilakukan untuk komputer 64-bit. Penjelasan pada kode tersebut sangat jelas. Sekali lagi, patching apapun mungkin jika sudah mendapatkan “ring 0”.

Bagian selanjutnya adalah gimme r00t. Fungsi ini sangat umum digunakan pada local eksploit Linux, dalam eksploit spender kali ini disebut sebagai fungsi give_it_to_me_any_way_you_can().

Ini adalah tehnik variasi dari “gimme r00t”. Pada kernel linux yang dirilis
akhir-akhir ini terdapat fungsi untuk melakukan set credential secara langsung, berikut ini definisinya:

dan berikut ini implementasinya:

commit_creds() merupakan fungsi yang di-export sebagai symbol kedalam kernel linux, sehingga kita dapat menggunakan pemanggilan langsung (fastcall) dari suatu program dengan bantuan gcc.

Dalam exploit.c terdapat bagian berikut ini:

dengan fungsi diatas commit_creds() dan prepare_kernel_cred() merupakan variable yang memegang lokasi symbol fungsi commit_creds() serta prepare_kernel_cred() dalam memory (export dari kernel). Dengan cara inilah maka fungsi commit_creds() dapat dipanggil dari dalam exploit.c, namun tentu saja tidak semua kernel memiliki symbol ini, itu sebabnya pada bagian awal fungsi get_kernel_sym() termasuk
mencari apakah pada kernel terdapat symbol “commit_creds” dan
“prepare_kernel_cred”.

Tujuan dari fungsi commit_creds() sudah jelas, fungsi tersebut akan memberikan credential yang baru pada suatu proses. Dan credential yang baru tersebut diminta melalui fungsi prepare_kernel_cred(0) dimana credential baru untuk uid=0 (root) akan disiapkan. Jika berhasil, maka variable got_root= 1 akan di-set.

Jika kernel yang digunakan target adalah kernel jenis lama ataupun tidak
memiliki fungsi commit_creds(), maka tehnik untuk mendapatkan root model lama akan dijalankan.

Linux memiliki support untuk dua macam kernel stack, 4K dan 8K kernel page dalam single-page untuk arsitektur x86. Secara default, x86 mendukung 8K kernel stacks, dan ini digunakan juga oleh sistem operasi lain seperti Microsoft
Windows. Namun sejak kernel 2.6.6 (saya sendiri tidak yakin kapan patch untuk 4K stack dimasukan dalam kernel Linux) linux memasukan fitur ini kedalam kernel versi stabil. Pengurangan besar kernel stack sebesar 50% ini dipercaya dapat meningkatkan performa linux, dan telah di-implementasikan oleh distro seperti Fedora atau RedHat.

Mungkin kita akan bertanya-tanya mengapa untuk 4K/8K stack dibuat fungsi yang berbeda? atau mengapa antara x86 (32-bit) dan x64 (64-bit) dibuat juga fungsi yang berbeda? Jawabannya adalah alokasi memory. Alokasi sistem memory yang dilakukan oleh kernel berbeda-beda, antara 2.4 dengan 2.6 saja terdapat perbedaan style alokasi memory.

Wunderbar emporium merupakan contoh eksploit yang sudah dipoles untuk sebisa mungkin stabil dijalankan pada arsitektur 32/64 bit ataupun penggunaan kernel 2.4/2.6, sehingga eksploit ini melakukan beragam pengecekan diatas.

Jika pada metode pertama (commit_cred()) kita menggunakan fungsi built-in kernel untuk mendapatkan credential root (uid=0), maka pada metode kedua yang disebut old-style ini kita akan melakukan ‘patching’ secara manual dengan mencari suatu lokasi memory dan kemudian mengganti isinya sehingga proses yang kita jalankan (eksploit) mendapatkan credential root.

Pertanyaan selanjutnya adalah “apa yang kita cari?!”. Jawaban singkat,
“task_struct”. Dalam Linux, setiap proses memiliki struktur yang disebut sebagai “task_struct”. Ketika suatu aplikasi / program dijalankan, dan proses / thread dibuat oleh kernel maka proses tersebut akan memiliki beberapa identitas seperti informasi stacks, register, parent process, dll. Termasuk diantaranya adalah uid dari proses tersebut. Informasi ini disimpan dalam memory secara dinamis ketika proses dibuat.

Proses dari eksploit yang kita jalankan tentu saja akan memiliki uid yang
menjalankan proses tersebut (mis: apache, nobody, local user, dll), dan tugas
dari “gimme r00t” adalah mencari lokasi task_struct yang berisi uid untuk
kemudian diganti dengan uid milik root. Mudah bukan?!

Kok bisa semudah itu?! Jangan lupa, bug yang kita eksploitasi ini merupakan
“ring0”, apapun perintahnya akan dijalankan :).

Langkah pertama tentu saja mencari lokasi dari proses saat ini, berikut ini
fungsi untuk x86 (4K/8K) dan x64 (8K),

Ambil contoh diatas untuk x86/4K, kode awal merupakan kode inline assembly yang digunakan untuk mendapatkan isi register [ESP]. Ketika suatu proses dibuat, maka ESP (Extended Stack Pointer) akan menyimpan lokasi memory awal dari stack. Setiap proses akan memiliki stack tersendiri untuk menyimpan nilai yang sifatnya dinamis, dalam hal ini kita fokuskan pada nilai uid dari proses tersebut yang diberikan oleh kernel. Nilai ESP tersebut akan dimasukan pada variable current. Variable tersebut kemudian akan dioperasikan proses logika “and” dengan lokasi memory 0xfffff000. Akan dilakukan pengecekan apakah nilai current lebih besar dari 0xc0000000 dan lebih kecil dari 0xfffff000 karena lokasi tersebut merupakan standar untuk x86/4K. Cukup jelas bukan?!

Setelah lokasi awal dari stack didapatkan, maka selanjutnya adalah mencari
posisi informasi uid disimpan,

Proses pencarian dilakukan dari posisi “current” hingga “(current + 0x1000 -
17)”, apabila telah didapatkan posisi dalam memory yang berisi informasi uid
maka selanjutnya adalah mengganti nilainya dengan “0”. Untuk itu digunakan fungsi memset().

Inilah salah satu metode lama untuk mendapatkan uid root dalam Linux. Jika
exploit.c berhasil mencapai titik ini berarti tahap persiapan telah dilakukan
dengan baik.

Semua langkah diatas merupakan umpan yang akan dijalankan oleh kernel target sesaat setelah mengalami bug NULL pointer dereference. Sehingga langkah selanjutnya sangat sederhana: trigger bug pada kernel.

Ada pendapat yang mengatakan bahwa “menemukan bug lebih sulit dibandingkan sekedar menulis eksploit”, namun ada juga yang mengatakan bahwa “menulis eksploit (yang reliable) lebih rumit karena harus melewati beragam proteksi dari sistem dibandingkan menemukan bug yang hanya bermodalkan fuzzer”. Well, saya tidak tahu mana yang benar namun tentu saja masing-masing ada tantangan tersendiri. Namun untuk bug kali ini para penulis eksploit tidak perlu bersusah payah karena dalam advisories-nya julien dan taviso sudah memberikan metode untuk men-trigger bug tersebut. Trigger diatas adalah implementasi dari advisories mereka. Dan domain yang akan diserang telah didefinisikan sebelumnya (bisa ditambahkan sendiri),

Tidak ada yang perlu dijelaskan lebih jauh disini.

Sisa dari proses eksploit adalah membiarkan kernel masuk dalam perangkap NULL ptr dereference dan menjalankan beragam hal yang telah dipersiapkan diatas.

Hasilnya:

1. Beragam modul LSM akan di-disable (diset 0).
2. Proses dari eksploit akan memiliki uid = 0 (root).

Bagian akhir adalah tujuan dari semua ini,

... 
execl("/bin/sh", "/bin/sh", "-i", NULL);
...

Dengan uid=0 kita akan membangkitkan program shell yang kemudian memberikan kita si cantik “r00tsh3ll”. Berikut contohnya pada target SuSe Linux Enterprise 9 (default instalasi tanpa hardening):

Inilah akhir dari proses local kernel eksploitation yang memanfaatkan NULL
Pointer Deference.

Pada saat itu baru saja beredar bug NULL pointer Dereference untuk device driver tun. Bug tersebut[10] dimana merupakan patch tambahan dari Herbert Xu apabila dilihat secara langsung pada source kode kernel tidak akan kelihatan karena telah dilakukan pengecekan terhadap NULL Pointer Dereference, namun ternyata ada fakta lain yang cukup mengejutkan yaitu masalah optimisasi oleh compiler, dalam hal ini gcc. gcc melakukan optimisasi terhadap kode pada driver tun dengan menganggap bahwa pengecekan pada kode tersebut terhadap NULL Pointer Dereference tidak diperlukan. Berikut ini contoh kodenya (hasil patch dari Herbert Xu untuk tun_chr_poll() yang dimasukan ke kernel 2.6.30):

Pada baris 489 variable pointer sk di-definisikan sekaligus di-inisialisasikan
dengan tun->sk, variable pointer tun sendiri didefinisikan sekaligus di
insisialisasikan dengan nilai dari fungsi __tun_get() (baris 488) dengan input
dari tfile. Pada baris 492 dilakukan pengecekan terhadap variable pointer tun apakah bernilai NULL. Jika memang NULL, maka tun_chr_poll() tidak akan dilanjutkan dan keluar dari fungsi tersebut. Dalam hal ini, source kode diatas tidak bermasalah dengan NULL Pointer Dereference.

Namun pada saat di-compile, gcc melakukan optimisasi dan menghilangkan bagian pengecekan dibaris 492 tersebut, alasannya karena pada baris 489 variable pointer tun telah di-dereference sehingga sudah pasti nilainya tidak NULL, sehingga pengecekan dihapus untuk menjadikan hasil kompilasi lebih optimal. Hasilnya? tentu saja jika tun bernilai NULL maka tidak akan ada pengecekan dan fungsi diatas beresiko terkena bug NULL pointer dereference.

Permasalahan ini kemudian menjadi salah satu topik yang didiskusikan diantara para developer sehingga mereka kemudian sepakat untuk menghilangkan opsi optimisasi terhadap null pointer ketika melakukan kompilasi kernel. Patch pun di-merge untuk kode diatas[11].

Bug tun inilah yang kemudian digunakan oleh Spender untuk di-eksploitasi
menggunakan cheddar_bay. Eksploit cheddar_bay ternyata menguak beberapa trik eksploitasi NULL Pointer Dereference yang mungkin selama ini menjadi rahasia dunia underground. At least, itu adalah klaim Brad Spander seperti yang tertulis lengkap pada source kode cheddar_bay. Cheddar_bay juga memasukan fitur untuk me-non aktifkan beragam LSM yang mungkin diaktifkan oleh target (AppArmor, Auditing, LSM).

Namun secara khusus kita bisa mengatakan bahwa cheddar_bay menyerang implementasi SELinux yang seharusnya menjadi pelindung kernel terhadap serangan eksploit. Spender membuktikan dengan cheddar_bay bahwa mengaktifkan SELinux justru malah menambah resiko serangan terhadap bug NULL Pointer Dereference menjadi lebih besar. Belakangan Dan Walsh[12] juga ikut menambahkan kegagalan SELinux dalam hal melindungi kernel linux terhadap serangan eksploit. Hal ini juga dibenarkan oleh pihak pengembang SELinux bahwa sebenarnya SELinux sangat kuat terhadap serangan remote exploit, namun ternyata lemah terhadap serangan local exploit. Berarti jika suatu sistem merupakan webserver / hosting yang mengaktifkan SELinux, dan salah satu web pada hosting tersebut memiliki hole (misal: SQL Injection) sehingga penyerang berhasil mendapatkan akses shell (sebagai user biasa), penyerang tersebut memiliki kesempatan lebih besar untuk mendapatkan akses root dengan melakukan eksploitasi terhadap NULL Pointer Dereference dibandingkan sistem lain yang tidak mengaktifkan SELinux. SELinux merupakan produk yang digunakan oleh RedHat dan fakta ini sangat memalukan.

Saya tidak akan mengupas secara mendetail eksploit cheddar_bay karena dua alasan:

1. Spender telah memberikan penjelasan yang sangat sangat panjang tentang eksploit tersebut dalam source kode exploit.c
2. Fitur yang di-implementasikan oleh cheddar_bay juga digunakan oleh eksploit publik kedua, wunderbar_emporium. Sehingga penjelasan umum saya berikan pada cheddar_bay, namun penjelasan proses eksploitasi akan dijelaskan secara mendetail melalui wunderbar_emporium.

Pada tahun 2001 di Linux Kernel Summit, NSA memberikan proposal SELinux untuk dimasukan kedalam kernel Linux namun Linus Torvalds menolak hal tersebut dengan alasan ada beragam pendekatan security yang kala itu muncul ke permukaan namun saling tercerai berai[8]. Linus mengatakan bahwa komunitas security seharusnya memiliki standarisasi tersendiri untuk mendukung security dalam kernel linux dan tidak saling tercerai berai agar bisa dimasukan kedalam kernel linux. Sejak saat itu terbentuk komunitas LSM untuk pengembangan framework tersebut. Dan akhirnya LSM diterima untuk kemudian dimasukan pada kernel 2.6 tahun 2003.

LSM merupakan suatu framework, dan produknya berupa modul seperti AppArmor, SELinux, dan TOMOYO Linux. Namun pada perjalanannya SELinux merupakan produk paling banyak digunakan dan paling aktif pengembangannya sehingga seakan-akan LSM = SELinux.

Produk security untuk kernel linux yang juga sangat populer adalah Grsecurity / PaX. Grsecurity/PaX tidak termasuk dalam LSM karena menggunakan pendekatan yang berbeda untuk meningkatkan security pada kernel linux. Oleh karena itu hingga saat ini Grsecurity / PaX merupakan project independent yang tetap banyak digunakan oleh beragam distro (mis: Gentoo Hardened) namun terpisah dari LSM, sehingga implementasinya menggunakan mekanisme patch secara manual terhadap kernel linux.

Pada presentasi tersebut Gael memaparkan implementasi memory allocation Linux serta beberapa sistem operasi lain, dan memaparkan berbagai kemungkinan yang bisa digunakan untuk mengontrol zero page memory. Cara tidak langsung (indirect) misalnya dengan memanfaatkan OOM (Out Of Memory) yang secara paksa melakukan alokasi heap besar-besaran sehingga pada satu titik alokasi heap akan mengisi zero page memory.

Julien Tinnes dan Tavis Ormandy dari Google Security Team melakukan riset dan menghasilkan metode-metode untuk bypass proteksi terhadap bug Linux NULL pointer dereference. Salah satu metodenya ditulis pada blog julien[7].

Sebagaimana yang tertulis pada blog tersebut, mereka mencoba beragam cara namun hampir semua masih bisa ditangani dengan baik oleh LSM (Linux Security Module), yang notabene merupakan fitur tambahan pada kernel Linux untuk security dan salah satu tugasnya adalah melakukan pengecekan terhadap feature mmap_min_addr().

Ada dua hal penting yang mereka dapatkan untuk bisa melakukan mapping pada zero page memory berdasarkan analisis kode kernel linux (2.6.30), yang pertama adalah trik personality.

Linux menggunakan personality untuk melayani aplikasi user, dan pelayanan dalam hal ini adalah linux mendukung lingkungan unix-like variant bagi aplikasi yang membutuhkan lingkungan tersebut. Guna-nya apa?! tentu saja agar aplikasi-aplikasi yang semula dibuat untuk lingkungan non-linux namun masih termasuk unix-like variant bisa berjalan diatas linux. Diantara personality yang didukung adalah SVr4.

Jika kita set suatu process untuk menggunakan personality SVr4, maka kode diatas akan dijalankan. Dan dapat kita lihat secara gamblang dari komentar developer untuk kode diatas bahwa sistem SVr4 melakukan mapping zero page dengan protocol read-only (PROT_READ), dan beberapa aplikasi membutuhkan kondisi tersebut sehingga ketika suatu proses di-set untuk menggunakan personality SVr4 secara otomatis kernel linux akan melakukan mapping zero page dengan protocol read-only.

Namun personality SVr4 tidak dapat melawan aturan fitur security check LSM. Trik diatas akan digagalkan oleh LSM, seperti apakah aturan LSM untuk default security check pada linux dalam hal pemanggilan fungsi mmap()?

Security check dilakukan oleh cap_file_mmap(), dimana kode internalnya bisa dilihat pada security/capability.c (kernel 2.6):

File capability.c berisi default security module pada kernel linux jika tidak
ada modul lain yang di-load untuk melindungi kernel (mis: SELinux). Fungsi
cap_file_mmap() diatas akan mengatur proses mapping file dengan menggunakan syscall mmap(). Dan seperti yang tertulis jelas pada kode tersebut, jika addr yang dialokasikan nilainya kurang dari mmap_min_addr() dan tidak memiliki capability CAP_SYS_RAWIO maka return value-nya adalah -EACCESS. Pada contoh program sebelumnya telah kita lihat bahwa restriction ini akan memberikan pesan error permission denied (mmap_min_addr() di-set lebih dari nol).

Jadi, secara logika suatu proses dengan CAP_SYS_RAWIO bisa mem-bypass fungsi diatas dan diperbolehkan untuk melakukan mapping zero page memory walaupun mmap_min_addr() di-set lebih besar dari nol.

Berdasarkan capability di Linux, proses yang memiliki CAP_SYS_RAWIO
diperbolehkan untuk mengakses ioperm / iopl yang dalam hal ini setaraf dengan hak akses root. Sehingga kita membutuhkan suatu binary yang didalamnya memanggil fungsi setuid root sebelum dijalankan.

Julien dan Taviso menemukan pulseaudio. Pulseaudio melakukan setuid root ketika dijalankan untuk kemudian me-load library yang dibutuhkan melalui parameter -L. Dan ini adalah aplikasi yang sempurna untuk dapat mem-bypass default security diatas.

Dengan memanfaatkan pulseaudio, kita dapat membuat suatu kode yang melakukan set personality menjadi SVr4, kemudian memanggil pulseaudio untuk me-load suatu modul. Saat menjalankan pulseaudio, secara otomatis page 0 akan di-mapped dan tentu saja akan berhasil karena pulseaudio telah memiliki akses root sehingga cap_file_mmap() akan meloloskan hal tersebut.

Modul yang diload oleh pulseaudio pun bisa kita kontrol, dalam hal ini modul tersebut berisi eksploit yang didalamnya bisa melakukan beragam hal, diantaranya melakukan mprotect() untuk mengubah protocol pada page 0 agar bisa read+write+execute (jangan lupa, SVr4 hanya memberikan akses read+execute). Selanjutnya page 0 dapat kita tulisi dengan beragam hal seperti shellcode, sisanya adalah mencari aplikasi yang vulnerable terhadap NULL pointer dereference dan membawa eksekusi ke page 0 untuk kemudian menjalankan shellcode tersebut. Game over.

Metode diatas adalah satu dari beragam metode yang digunakan untuk mengontrol page 0 dan terbukti bisa mem-bypass restriction pada kernel linux yang memanfaatkan fitur mmap_min_addr().

Jika kita mencari melalui google[5] mengenai NULL pointer dereference, maka akan banyak sekali laporan tentang bug ini. Pada dasarnya bug tersebut adalah hal yang umum bagi programmer dimana penyebabnya adalah kekurangan proses checking dalam suatu aplikasi. Programmer yang baik biasanya akan melakukan beragam test case terhadap aplikasi miliknya, hal ini dilakukan untuk melihat sejauh mana aplikasi tersebut dapat meng-handle berbagai situasi yang akan ditemukan pada saat digunakan oleh user. Namun biasanya disebabkan oleh aplikasi yang sangat kompleks, ataupun dikarenakan berbagai macam alasan lainnya bug jenis ini tidak dapat dihindari sekalipun oleh seorang programmer tingkat tinggi.

Dan oleh para hacker, setiap bug terutama yang melibatkan memory corruption seperti ini selalu bisa dimanfaatkan untuk mengambil alih sistem. Hal sederhana telah kita lakukan sebelumnya dimana mmap() dapat digunakan untuk mengontrol lokasi zero page memory, dan oleh para hacker / cracker bidang security hal tersebut dijadikan sebagai pintu masuk untuk mendapatkan akses yang lebih tinggi (contoh: root) ataupun merebut sistem.

Mekanisme logisnya sederhana, kita bisa memasukan data apapun kedalam zero page memory (contoh: shellcode), sisanya tinggal men-trigger NULL pointer dereference sehingga eksekusi akan menuju zero page memory, dan pada akhirnya sistem akan berada dibawah kendali kita.

Pada sistem komputer (khususnya intel) terdapat mekanisme untuk memisahkan antara kernel process dan userland process. Intel memperkenalkan mekanisme ini melalui istilah-istilah seperti protected mode ataupun ring. Intinya, dalam hal pembagian resource akan dilakukan pemisahan antara kernel process dan user process. Sehingga alokasi memory misalnya, antara kernel process dan user process dilakukan pemisahan hingga level physical memory secara eksplisit. Dengan mekanisme ini resource dari user process tidak akan pernah bisa dicampur aduk dengan resource dari kernel process, hal ini akan meningkatkan security sistem komputer.

Dari sisi CPU, terdapat mekanisme privilege rings dalam protected mode. CPU
harus masuk ke Ring 0 ketika menjalankan instruksi kernel, Ring 1 / Ring 2 ketika menjalankan instruksi device drivers, dan Ring 3 ketika menjalankan instruksi userland process.

NULL pointer dereference jika terjadi pada user process mungkin tidak akan
terlalu berbahaya karena seperti yang telah dibahas sebelumnya, zero page yang di-kontrol hanya sebatas zero page untuk user process. Namun jika bug NULL pointer dereference terdapat pada kernel maka kita dapat mengambil alih sistem secara penuh. Inilah yang menjadikan bug NULL pointer dereference berbahaya.

Bug NULL pointer dereference bisa terjadi pada setiap sistem operasi (Windows, FreeBSD, OpenBSD, Linux, Solaris, dll), namun setiap sistem operasi memiliki strategi masing-masing dalam hal memory management, sehingga eksploitasi terhadap NULL pointer dereference pada satu sistem operasi tidak bisa di implementasikan begitu saja pada sistem operasi lainnya. Pada tahap inilah kita biasa mendengar bahwa suatu sistem operasi di klaim memiliki tingkat security yang jauh lebih baik dibandingkan sistem operasi lainnya. Sehingga tidak salah jika Theo de Raadt sang founder / developer OpenBSD sering menyombongkan bahwa OpenBSD adalah sistem operasi paling aman dan paling sulit untuk di-eksploitasi :)

Kembali ke Linux, kernel 2.4 dan 2.6 sendiri memiliki mekanisme yang cukup
berbeda pada beberapa bagian terutama memory management. Secara teknis, NULL pointer dereference dari bug kernel akan lebih sulit untuk di-eksploitasi pada kernel 2.4 dibandingkan kernel 2.6 (Linus Torvalds mengorbankan security untuk performa dan fitur yang akan bisa diusung oleh kernel 2.6), namun dikarenakan bug NULL pointer dereference sangat banyak maka developer kernel Linux menambahkan fitur sysctl mmap_min_addr untuk Virtual Memori (vm) sejak kernel 2.6.23, fungsi dari fitur ini adalah untuk me-limit mapping terhadap zero page memory oleh user process yang biasanya digunakan oleh para hacker / cracker untuk mengambil alih sistem saat memanfaatkan bug NULL pointer dereference.

Fitur ini cukup sederhana, kita bisa mendefinisikan sendiri lokasi minimum yang bisa digunakan oleh mmap() untuk proses mapping, jadi jika kita definisikan mmap_min_addr (yang juga bisa dilihat secara langsung dari file /proc/sys/kernel/mmap_min_addr) dengan nilai 64KB (65,536 bytes) maka aplikasi user / user process tidak akan diperbolehkan menggunakan mmap() untuk mapping lokasi antara 0 hingga 64KB.

# sysctl -w vm.mmap_min_addr=65536 <set agar bernilai 64KB>
vm.mmap_min_addr = 65536

Fitur ini terbukti dapat mempersulit eksploitasi NULL pointer dereference yang memanfaatkan trik mmap().

Dari manual pages mmap():

syscall mmap() digunakan untuk melakukan memory mapping suatu file ataupun object ke virtual memory. Jadi suatu proses dapat memanggil mmap() dan kemudian melakukan mapping suatu object / file ke suatu lokasi di memory, dan melakukan beragam aktifitas pada object / file tersebut melalui memory. Sebagaimana yang telah didefinisikan, mmap() juga sekaligus memberikan informasi protocol dan flags dari page memory yang telah di-mapped. Data lengkap mengenai protocol apa saja ataupun flags apa saja yang bisa diberikan pada page tersebut bisa dibaca melalui halaman manual lengkap mmap().

syscall mprotect() digunakan untuk mengubah hak akses suatu memory page, misalnya suatu memory page memiliki hak akses readonly maka dengan menggunakan mprotect() kita dapat mengubah hak akses tersebut menjadi read+write.

Saat ini pembaca mungkin sudah bisa menebak hubungan antara syscall mmap() / mprotect() dengan NULL pointer dereference kan?! kita dapat mengubah hak akses pada zero page memory menggunakan mprotect() ataupun melakukan mapping dengan menggunakan mmap() dan kemudian memasukan nilai yang kita inginkan ke lokasi zero page memory.

Mari kita lihat contoh kode berikut ini:

Program diatas jika dijalankan akan melakukan NULL pointer dereference seperti program sebelumnya, namun kali ini kita telah melakukan mapping dengan memanfaatkan syscall mmap() untuk memasukan karakter A ke lokasi zero page memory. Dan ketika program diatas hendak melakukan NULL pointer dereference (melalui fungsi fprintf()) yang secara teori akan mengakses zero page memory, maka tidak akan terjadi segmentation fault dan justru sebaliknya program akan berjalan dengan baik dan menampilkan karakter A.

Sebelum melangkah lebih jauh, program diatas akan berhasil dijalankan secara langsung dengan kondisi kernel linux yang digunakan adalah versi dibawah 2.6.23 (< 2.6.23), jika pembaca mengalami kegagalan dengan pesan Zero page tidak bisa di-mapped: Permission denied maka kemungkinan besar kernel yang digunakan adalah versi diatas 2.6.23 (>= 2.6.23). Saya akan memberikan penjelasan mengenai penyebab kegagalan ini beberapa saat lagi, namun untuk kali ini kamu bisa melakukan perintah berikut (sebagai “root”):# sysctl -w vm.mmap_min_addr=0

setelah melakukan perintah diatas, maka normalnya zero page dapat di-mapped. Jika masih terdapat masalah, maka kemungkinan lain adalah sistem operasi yang digunakan memiliki settingan SELinux ataupun LSM (Linux Security Module) lainnya. Silahkan cari referensi untuk menon-aktifkan konfigurasi tersebut, yang pasti pada tahap ini kita hanya melakukan pembuktian bahwa kondisi NULL pointer dereference dapat di-kontrol melalui userland process.

Dengan kata lain, dereference NULL pointer akan mengacu pada lokasi 0x00000000.

Memasuki tahap ini kita membutuhkan pengetahuan mengenai manajemen memory pada sistem operasi khususnya Linux. Saya tidak akan memberikan penjelasan terlalu mendetail karena akan sangat luas sekali dan keluar dari konteks artikel, namun saya akan coba menjelaskan beberapa poin penting disini.

Pada arsitektur intel diperkenalkan istilah virtual memory. Virtual memory
digunakan karena saat x86 (8086?) baru keluar kapasitas memory yang bisa
digunakan masih sangat terbatas, sehingga dibutuhkan suatu mekanisme oleh sistem operasi agar dapat mengalokasikan memory yang sangat terbatas tersebut untuk bisa digunakan oleh banyak program / proses. Oleh sebab itulah digunakan virtual memory dimana setiap proses akan merasa layaknya menggunakan physical memory, namun sesungguhnya memory tersebut hanyalah bentuk virtual yang diberikan oleh sistem operasi untuk kemudian dipetakan ke lokasi memory yang sesungguhnya.

Manajemen memory menggunakan istilah PAGE, yang merupakan satuan dalam operasi memory. Besar PAGE ini tidak sama antar arsitektur (intel, sparc, dll), namun untuk Linux yang berjalan diatas arsitektur x86 (intel) besar PAGE ini adalah 4KB (4,096 bytes).

Suatu program (file image, contohnya: ELF untuk Linux, .exe untuk Windows) akan di-load oleh sistem operasi kedalam virtual memory ini. Besar area virtual memory ini menggunakan satuan PAGE dan ditentukan oleh sistem operasi. Setiap image akan memiliki informasi yang spesifik (header, code segment, data segment, stack segment, dll) dan tugas sistem operasi adalah mengalokasikan informasi tersebut kedalam virtual memory, selanjutnya processor akan membaca instruksi program satu per satu pada virtual memory untuk menjalankan perintah-perintah program tersebut. Processor mengakses physical memory melalui virtual memory dengan bantuan page table, dan semua ini adalah tanggung jawab sistem operasi untuk menyiapkan semuanya. Penjelasan lebih mendetail dapat mengacu pada artikel “The Linux Kernel”[4] bagian memory management.

Jika misalnya suatu program dialokasikan memory sebesar 64KB dengan ukuran PAGE sebesar 4KB, maka program tersebut akan memiliki ilustrasi alokasi virtual memory sebagai berikut:

Setiap process / thread akan memiliki virtual memory-nya masing-masing, sehingga suatu process tidak diperbolehkan mengakses virtual memory dari process lain. Dalam sistem operasi Linux, sistem operasi akan mengatur apabila suatu aplikasi membutuhkan alokasi memory tambahan, hal ini biasanya dengan menggunakan syscall seperti mremap()(2).

Cukup tentang teori dasar virtual memory.

Dari ilustrasi diatas kita bisa lihat bahwa lokasi 0x00000000 pada virtual
memory yang dialokasikan untuk suatu proses disebut juga sebagai Zero Page Memory. Jika kita kembali pada masalah NULL pointer dereference diatas, maka NULL pointer akan menunjuk pada lokasi tersebut.

Setiap alokasi memory yang diberikan oleh sistem operasi juga memiliki semacam hak akses, jadi telah ditentukan apakah memory page tersebut hanya boleh untuk dibaca (read), bisa di tulisi (write), bisa di eksekusi (execute), merupakan lokasi memory yang bisa digunakan oleh dua buah process berbeda (shared), dan lain sebagainya. Zero Page Memory juga memiliki kriteria ini, itu sebabnya jika kita hendak mengakses begitu saja lokasi tersebut dimana telah diset hak akses tertentu maka akan terjadi “Segmentation fault”.

NULL banyak dipergunakan untuk beragam keperluan, diantaranya sebagai acuan untuk mengakses suatu file dimana akhir dari suatu file di-set NULL, sehingga jika suatu program membaca file tersebut dan menemukan NULL maka program tersebut akan tahu bahwa sudah mencapai akhir dari file dan berhenti proses membaca.

NULL banyak dipergunakan oleh proses yang menggunakan tipe data pointer,
beberapa contoh yang paling mudah ditemukan adalah aplikasi linked-list. Ujung suatu list umumnya diset NULL, dan proses pada list tersebut akan mengetahui bahwa akhir suatu list telah ditemukan jika telah mencapai NULL.

NULL pointer dereference adalah suatu kondisi dimana proses akan men-dereference suatu pointer yang bernilai NULL.

Mari kita lihat 2 contoh sederhana berikut ini:

Pada contoh pertama, kita memberikan suatu nilai NULL kedalam suatu variable dan melakukan pointer dereference untuk mengakses data tersebut. Saat program dijalankan maka tidak memberikan hasil apapun, hal ini disebabkan NULL adalah ‘kosong’ dan ketika diakses hasilnya adalah…well, kosong :)

Pada contoh kedua, terjadi suatu hal menarik. Program tersebut mendefinisikan suatu pointer sebagai NULL, dan apa yang terjadi ketika program tersebut berusaha untuk men-dereference NULL? hasilnya adalah “Segmentation fault”.

Segmentation fault adalah kondisi dimana sistem operasi akan men-terminate suatu aplikasi karena berusaha mengakses bagian terlarang dari memory. Kondisi ini bisa diakibatkan misalnya ketika suatu aplikasi hendak menulis lokasi dimemory yang telah diset sebagai read only, atau berusaha mengakses (execute) bagian memory yang telah diset read write. Segmentation fault pada NULL pointer dereference memiliki alasan yang bisa dikatakan sama, dan penjelasan mendetail akan diberikan pada sub-bagian berikutnya. Namun yang pasti pada tahap ini kita telah memahami bahwa NULL pointer dereference akan mengakibatkan segmentation fault dan membuat aplikasi di-terminate (berhenti) oleh sistem operasi.

Dalam suatu kode bahasa C:

Pada contoh program diatas, huruf di-inisialisasi sebagai suatu variabel yang
dapat menyimpan suatu data dalam memory, dalam hal ini tipe data yang dapat disimpan adalah char (8 bit). Sedangkan p merupakan suatu variable dengan tipe data pointer. Program diatas akan memberikan nilai ‘A’ pada variable huruf dan memberikan alamat lokasi variable huruf dalam memory kepada variable p. Hal ini merupakan teori dasar dalam pemrograman bahasa C.

Dari contoh diatas kita menggunakan variable p untuk me-reference dan
me-dereference variable huruf. Variable p me-reference lokasi variable
huruf dalam memory yang nilainya adalah 0xbffff3f7, dan variable p
men-dereference variable huruf yang nilainya adalah A.

Ilustrasi diatas menunjukan lebih jelas bahwa variable p yang berlokasi di
0xbffff3f0 berisi data 0xbffff3f7 yang merupakan lokasi variable huruf dalam memory.

Saya harap penjelasan singkat tersebut bisa menjelaskan makna Reference dan Dereference dari suatu tipe data pointer dalam bahasa C. Pemahaman ini sangat penting karena akan menjadi dasar pengetahuan hingga akhir artikel.

Berikut ini contoh kode dalam bahasa C yang juga memainkan fungsi pointer:

berikut ini hasil kompilasi dan running program diatas.

Program diatas menunjukan pointer dereference dari variable array. Variable array merupakan suatu variable yang mengalokasikan data sebanyak 5 buah dengan tipe char ( 1 byte = 8 bit). Variable pointer akan men-reference kan lokasi variable array dalam memory, hal ini tergantung dari bagaimana kita men-reference kan lokasi variable array. Pada contoh diatas, variable pointer akan menunjuk pada lokasi data pertama variable array di-memory.

Untuk mendapatkan data yang berada diposisi ketiga dalam variable array dapat memanfaatkan pointer dereference, syntax *(pointer+3) digunakan untuk kebutuhan tersebut. Angka tiga pada saat men-dereference variable pointer merupakan (3 * 1 byte) dari posisi awal variable array, proses ini tergantung pada inisialisasi variable pointer dimana pada program diatas bertipe char (1 byte).

Jadi untuk mengakses data A diatas bisa melalui 2 cara yaitu melalui variable array secara langsung ataupun melalui derefence dari suatu pointer. Dengan ini maka kita sepakat bahwa syntax berikut akan memberikan data yang sama,

Good. Cukup tentang pointer, jika masih ada yang masih belum paham silahkan pelajari bahasa C dari beragam referensi di internet.

Beragam diskusi menarik seputar eksploitasi kernel linux dimulai semenjak Brad Spender merilis eksploit yang diberi nama cheddar bay. Eksploit ini menguak beberapa hal penting yang mungkin bagi kalangan security / underground sering disebut sebagai 0day technique, dan kemudian dibahas oleh para developer linux, salah satunya dapat dilihat pada LWN[1][2].

Eksploitasi pada kernel Linux ini memanfaatkan bug NULL Pointer Dereference, walaupun mungkin ada beberapa jenis bug lain yang juga menarik dan muncul ke permukaan akhir-akhir ini[3] namun pembahasan kita kali ini terbatas pada jenis bug Null Pointer Dereference. Pada artikel ini pembahasan akan dimulai dari teori awal hingga mekanisme eksploitasinya dan juga disertai dengan pembahasan singkat mengenai eksploit yang beberapa minggu terakhir ini banyak digunakan oleh publik.

Sebelumnya saya tekankan bahwa target sistem operasi pada pembahasan ini adalah Linux, yang berarti kernel dari sistem operasi berbasis Linux. Saat tulisan ini dibuat (tahun 2009), versi stabil terakhir dari kernel linux adalah 2.6.30.5 (v2.6) dan 2.4.37.5 (v2.4). Seluruh contoh kode dalam artikel ini telah ditest sebelumnya menggunakan kernel 2.6.30.3 (distro: Gentoo Linux) dan kernel 2.6.5 (distro: SuSe 9 Enterprise).

Penggunaan kernel dari tree 2.4 tidak dilakukan untuk mempersempit area diskusi artikel ini agar tidak melebar terlalu jauh, sehingga uji coba menggunakan kernel 2.4 akan diserahkan kepada pembaca :).

Memahami konsep bug ini akan sangat membantu meningkatkan kemampuan software developer dalam menulis program, ataupun bagi para pelaku dunia industri IT Security terutama dalam rangka melakukan audit pada aplikasi yang dikembangkan oleh tim software developer.

Banyak bagian dari course ini telah saya rilis pertama kali untuk majalah elektronik salah satu komunitas keamanan siber di Indonesia beberapa tahun silam. Saya tulis kembali dalam format baru dengan tujuan memperkenalkan bug NULL Pointer Dereference terutama bagi pemula.