SlideShare uma empresa Scribd logo

Codificação segura em C para sistemas embarcados

henriqueprossi
henriqueprossi

O documento discute codificação segura em C para sistemas embarcados. Apresenta as credenciais do autor e explica porque C é uma linguagem popular para sistemas embarcados, apesar de oferecer pouca verificação de tempo de execução. O autor discute como padrões de codificação e ferramentas de análise de código podem ajudar a evitar erros comuns em C, como manipulação incorreta de strings e overflow de buffer.

Tecnologia
1 de 54
Baixar para ler offline
Codificação segura em C para sistemas embarcados Henrique Pérsico Rossi Julho/2013
Apresentação ● Engenheiro Eletrônico (2005) e pós-graduado em Engenharia de Software (2012) ● Atuo com sistemas embarcados há mais de 8 anos, desenvolvendo firmware nas linguagens C, C++ e Assembly ● Experiência com Linux Embarcado, RTOS e bare-metal ● Áreas de atuação: automação comercial/bancária, automotiva, maquinário agrícola, elevadores e controle de acesso ● Arquiteturas: ARM9, ARM7, ARM Cortex-Mx, Renesas V850/78K0, PIC16F/18F ● Engenheiro de Desenvolvimento (FW/SW) na empresa Gertec ● Consultor em sistemas embarcados ● Blog: http://henriqueprossi.wordpress.com/
Por que linguagem C? ● Não é uma linguagem antiga? O que o TIOBE diz... Fonte: http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
História da linguagem C ● 1969: Ken Thompson @ Bell Laboratories criou UNIX, em Assembly, para PDP-7, com ideias do sistema operacional MULTICS ● 1970: UNIX reescrito para PDP-11 ● 1973: Dennis Ritchie criou a linguagem C, a partir da Linguagem B (criada por Ken Thompson) e BCPL, para evitar futuras reescritas do UNIX ● Portanto, a linguagem C foi criada para escrever o UNIX! ● 1978: A linguagem foi oficialmente publicada, com o livro “The C Programming Language”, conhecido como “K&R” ● 1989/1990: 1º Padrão! ANSI criou o comitê X3J11 em 1983 para criar um padrão para a linguagem, o que aconteceu em 1989 (C89). Tal padrão também foi aceito pela ISO, nomeado ISO/IEC 9899-1990 (C90) ● 1995/1996: Corrigido por ISO/IEC 9899/COR1:1994, ISO/IEC 9899/AMD1:1995 e ISO/IEC 9899/COR2:1996. O padrão corrigido pelo “amendment” ISO/IEC 9899/AMD1:1995 é conhecido como C95 ● 1999: 2º Padrão! ISO/IEC 9899:1999, conhecido como C99 ● 2011: 3º Padrão! ISO/IEC 9899:2011, conhecido como C11
Linguagem C + Sistemas Embarcados ● Quando existe um sistema operacional... ● Exemplo: Linux
Linguagem C + Sistemas Embarcados ● Geralmente não existe um sistema operacional...
Existe um preço... ● C é flexível, portável entre arquiteturas distintas e enxuta (44 keywords). ● C oferece uma pobre verificação de run-time, uma das razões pelas quais um código gerado nesta linguagem tende a ser pequeno e eficiente. ● Erros mais comuns encontrados: – Manipulação de strings – Pilha – Alocação dinâmica de memória
Como resolvemos isso? ● A maioria dos erros são humanos. Portanto, foram criados padrões de codificação para auxiliar o desenvolvedor: – MISRA-C – Netrino’s Embedded C Coding Standard – CERT C ● E como nos certificamos que estamos seguindo tais padrões, de forma automatizada? – Ferramentas de análise estática, tais como: ● QA-C ● CodeCheck ● PC-lint ● Elas são pagas, e não quero gastar dinheiro... – Pode usar a ferramenta Splint, que faz um bom trabalho!
Como resolvemos isso? ● O que mais posso usar? – Ferramentas de análise dinâmica do código ● Valgrind ● DUMA
O que mais podemos fazer? Podemos melhorar a verificação do projeto por meio de testes unitários. Para sistemas embarcados existem os seguintes frameworks de testes: ● Unity ● CppUTest
Manipulação de strings - Cópias de strings sem limites - Erros de off-by-one - Terminação em NULL - Strings truncadas
Cópias de strings sem limites ● Problema: Os dados são copiados de uma origem sem delimitação para um array de caracteres com tamanho fixo. ● Exemplo: Uso da função gets(). Esta função é “deprecated” no padrão C99 e não existe no padrão C11. ● O que dizem os padrões... #include <stdio.h> static void get_user_age(void); static void get_user_age(void) { char age[8]; puts("Insira sua idade: "); gets(age); if (age[0] == '0') { printf("Nenhum dado inserido!n"); } else { printf("Muito obrigado!n"); } // TODO: processamento... } int main(void) { get_user_age(); return 0; } CERT C Secure Coding Standard “MSC34-C. Do not use deprecated or obsolescent functions.” “STR35-C. Do not copy data from an unbounded source to a fixed-length array.” $ splint gets.c Splint 3.1.2 --- 07 Jul 2013 gets.c: (in function get_user_age) gets.c:9:3: Return value (type int) ignored: puts("Insira sua... Result returned by function call is not used. If this is intended, can cast result to (void) to eliminate message. (Use -retvalint to inhibit warning) gets.c:10:3: Use of gets leads to a buffer overflow vulnerability. Use fgets instead: gets Use of function that may lead to buffer overflow. (Use -bufferoverflowhigh to inhibit warning) gets.c:10:3: Return value (type char *) ignored: gets(age) Result returned by function call is not used. If this is intended, can cast result to (void) to eliminate message. (Use -retvalother to inhibit warning) Finished checking --- 3 code warnings
Cópias de strings sem limites ● Correção: #include <stdio.h> static void get_user_age(void); static void get_user_age(void) { char age[8]; (void) puts("Insira sua idade: "); if (fgets(age, (int) sizeof(age), stdin) == NULL) { printf("Nenhum dado inserido!n"); } else { printf("Muito obrigado!n"); } // TODO: processamento... } int main(void) { get_user_age(); return 0; } $ splint gets_corrigido.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings ● Outras funções “perigosas”: ● strcpy → strncpy, strdup (não presente em C99 e C11) ● strcat → strncat ● sprintf → snprintf “Never use gets(). Because it is impossible to tell without knowing the data in advance how many characters gets() will read, and because gets() will continue to store characters past the end of the buffer, it is extremely dangerous to use. It has been used to break computer security. Use fgets() instead.” Fonte: http://www.linuxmanpages.com/man3/gets.3.php
Off-by-One ● Problema: Por um erro de indexação, é acessada uma posição fora do buffer criado. $ splint off_by_one.c Splint 3.1.2 --- 07 Jul 2013 off_by_one.c: (in function main) off_by_one.c:16:5: Index of possibly null pointer dest: dest A possibly null pointer is dereferenced. Value is either the result of a function which may return null (in which case, code should check it is not null), or a global, parameter or structure field declared with the null qualifier. (Use -nullderef to inhibit warning) off_by_one.c:13:10: Storage dest may become null Finished checking --- 1 code warning Fonte: Secure Coding in C and C++ Second Edition #include <string.h> #include <stdio.h> #include <stdlib.h> int main(void) { char s1[] = "012345678"; char s2[] = "0123456789"; char *dest; int i; strncpy(s1, s2, sizeof(s2)); dest = (char *) malloc(strlen(s1)); for (i = 1; i <= 11; i++) { dest[i] = s1[i]; } dest[i] = '0'; printf("dest = %s", dest); free(dest); return 0; }
Terminação em NULL ● Problema: Erro ao não terminar uma string com o caractere NULL. ● O que dizem os padrões... CERT C Secure Coding Standard “STR32-C. Null-terminate byte strings as required.” $ splint null_terminated.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings #include <string.h> int main(void) { char a[16]; char b[16]; char c[16]; strncpy(a, "0123456789abcdef", sizeof(a)); strncpy(b, "0123456789abcdef", sizeof(b)); strcpy(c, a); return 0; }
Terminação em NULL ● Correção: $ splint null_terminated.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings #include <string.h> int main(void) { char a[16]; char b[16]; char c[16]; strncpy(a, "0123456789abcde", sizeof(a)); a[sizeof(a) - 1] = '0'; strncpy(b, "0123456789abcde", sizeof(b)); b[sizeof(b) - 1] = '0'; strcpy(c, a); return 0; } O comportamento gerado por um erro deste tipo é “implementation-defined”, ou seja, depende da implementação do compilador/sistema. Portanto, o mesmo é difícil de ser detectado, necessitando de uma entrada específica para que o mesmo se manifeste.
Strings truncadas ● Problema: Um array de caracteres não ser suficientemente grande para armazenar uma string. ● Se lembra das funções perigosas? Não usá-las, ou mesmo usando alternativas seguras, não quer dizer “ESTOU LIVRE DE ERROS!!” $ splint truncated_string.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings #include <stdio.h> int main(int argc, char *argv[]) { int i = 0; char buffer[32]; char *arg1 = argv[1]; if (argc == 0) { printf("Sem argumentos!n"); return -1; } while (arg1[i] != '0') { buffer[i] = arg1[i]; i++; } buffer[i] = '0'; printf("buffer = %sn", buffer); return 0; }
Vulnerabilidades ● Tratamento de strings → difícil de saber qual o conteúdo dos dados recebidos e o seu tamanho. ● Portanto: Entrada = “Tainted Data” ● O que fazer então?? Fonte: Secure Coding in C and C++ Second Edition
Vulnerabilidades Validação dos dados! ● O programa ao lado faz isso? ● Vulnerável! É proibido o uso da função gets(). Além disso, o seu retorno não é testado! CERT C diz: “FIO04-C. Detect and handle input and output errors.”
Vulnerabilidades ● Uma vez que exista uma falha de segurança, isso não indica, necessariamente, vulnerabilidade. ● Isso ocorre somente se o intruso tiver acesso acesso aos dados de entrada do sistema. ● Sendo isso verdade, podem ocorrer ataques. Quais? – Arc Injection; – Code Injection. ● Mas antes de seguirmos com um exemplo de ataque, precisamos conhecer algo antes...
Buffer Overflow Resultados possíveis de buffer overflow: ● Despercebido; ● Corrupção de dados; ● Comportamento inadequado; ● Finalização da aplicação. Como evitar: ● Descobrir o erro na fase de desenvolvimento (análise estática de código, peer-review, TDD, etc)
Buffer Overflow O Buffer Overflow é perigoso? ● É uma falha de segurança...mas depende! ● Um agente externo tem acesso às entradas do sistema que geram o buffer overflow?
Organização de um processo ● Organização das regiões de memória dentro de um processo: Fonte: Secure Coding in C and C++ Second Edition MEMORY { flash (rx) : ORIGIN = 0x00000000, LENGTH = 512K ram (rwx) : ORIGIN = 0x10000000, LENGTH = 32K } SECTIONS { /* The ".text" section is used for the reset vector, the code, and only (.rodata) data */ .text : { *(.text) *(.rodata) ... } > flash /* The ".data" section is used for initialized data * section contents (initial values) -> flash * section alocated block -> ram */ .data : { *(.data) ... } > ram /* The ".bss" section, which is cleared by the startup code, is used for storing uninitialized data */ .bss : { ... } > ram ... }
Stack ● É a estrutura de dados dinâmica que suporta a execução de uma aplicação. ● Quando uma função é chamada, esta estrutura armazena: – dados passados por funções; – variáveis locais; – endereços de retorno das funções chamadoras; – endereço base da pilha da função chamadora. ● A esse conjunto de informações é dado o nome de Stack Frame.
Stack ● Como exemplo de uso da pilha, utilizaremos a arquitetura x86, mas o conceito é parecido para as outras arquiteturas. ● A troca de contexto ocorre entre as chamadas de funções. Fonte: Secure Coding in C and C++ Second Edition
Stack ● Prologue da função foo(): instruções que são executadas assim que a função é chamada. Fonte: Secure Coding in C and C++ Second Edition ● Epilogue da função foo(): instruções que são executadas ao final da função, para retorno à função chamadora.
Stack ● E como fica a pilha desde a chamada à função main()? ● Estado da pilha antes da chamada à função foo(), ou seja, o stack frame para a função main(): 1 Dado por linha de comando ou por script de inicialização Endereço Valor Descrição Tamanho 0x0012FF58 0x0012FF5C 0x0012FF60 0x0012FF78 0x0012FF7C 0x0012FF80 0x0012FF84 0x0012FF88 1 Variável local MyInt (int) 4 0x0012FF8C 0x0040703C Variável local MyStrPtr (char *) 4 0x0012FF90 ? Endereço do stack frame do SO 4 0x0012FF94 0x00401020 Endereço de retorno do SO 4 0x0012FF98 SO (1) Primeiro argumento de main(): argc (int) - SO 4 0x0012FF9C SO (1) Segundo argumento de main(): argv (char * [ ]) - SO 4 ← ebp ← esp
Stack ● Com a chamada à função foo(), é necessário inserir os seus parâmetros na pilha, além de armazenar o contexto da função main(). ● Estado da pilha após da chamada à função foo(). Segue destacado o stack frame para a função foo(): 1 Dado por linha de comando ou por script de inicialização Endereço Valor Descrição Tamanho 0x0012FF58 0x0012FF5C 1 Variável local LocalInt (int) 4 0x0012FF60 0x0012FF74 1 Variável local LocalChar (char [ ]) 24 0x0012FF78 0x0012FF8C Endereço do stack frame de main() 4 0x0012FF7C 0x00401040 Endereço de retorno da função main() 4 0x0012FF80 1 Primeiro argumento de foo(): MyInt (int) 4 0x0012FF84 0x0040703C Segundo argumento de foo(): MyStrPtr (char *) 4 0x0012FF88 1 Variável local MyInt (int) 4 0x0012FF8C 0x0040703C Variável local MyStrPtr (char *) 4 0x0012FF90 ? Endereço do stack frame do SO 4 0x0012FF94 0x00401020 Endereço de retorno do SO 4 0x0012FF98 SO (1) Primeiro argumento de main(): argc (int) - SO 4 0x0012FF9C SO (1) Segundo argumento de main(): argv (char * [ ]) - SO 4 ← ebp ← esp
Stack ● Ao final da função foo(), é necessário retomar o contexto da função main(). ● Estado da pilha após o retorno da função foo(). Segue destacado o stack frame para a função main(): 1 Dado por linha de comando ou por script de inicialização Endereço Valor Descrição Tamanho 0x0012FF58 0x0012FF5C ??? ??? 4 0x0012FF60 0x0012FF74 ??? ??? 24 0x0012FF78 ??? ??? 4 0x0012FF7C ??? ??? 4 0x0012FF80 ??? ??? 4 0x0012FF84 ??? ??? 4 0x0012FF88 1 Variável local MyInt (int) 4 0x0012FF8C 0x0040703C Variável local MyStrPtr (char *) 4 0x0012FF90 ? Endereço do stack frame do SO 4 0x0012FF94 0x00401020 Endereço de retorno do SO 4 0x0012FF98 SO (1) Primeiro argumento de main(): argc (int) - SO 4 0x0012FF9C SO (1) Segundo argumento de main(): argv (char * [ ]) - SO 4 ← ebp ← esp
Stack Smashing ● Como dissemos, buffer overflow pode causar danos. Se este ocorrer na memória da pilha, recebe o nome de stack smashing. Um intruso pode, por meio desse tipo de ataque: ● Alterar o conteúdo das variáveis locais à função: perda de integridade dos dados ou perda de dados confidenciais. ● Executar código arbitrário: sobrescrita, por exemplo, do endereço de retorno da função chamadora.
Stack Smashing ● O exemplo de obtenção de senha do usuário pode sofrer esse tipo de ataque, como veremos. Antes: Em execução: Fonte: Secure Coding in C and C++ Second Edition
Stack Smashing Senha do usuário...até 11 caracteres...OK!! Depois: Fonte: Secure Coding in C and C++ Second Edition
Stack Smashing Senha do usuário...com 20 caracteres...O que acontece?? ● Entrada: “12345678901234567890” Depois: Fonte: Secure Coding in C and C++ Second Edition
Arc Injection E o intruso pensa: “Huummm...o que mais dá para fazer?” ● Entrada: “1234567890123456W *!”▸ ● Resultado: O endereço de retorno da função foi alterado, usando o próprio código em memória. Depois: Fonte: Secure Coding in C and C++ Second Edition
Code Injection Vamos considerar o código seguinte, usando a técnica de stack smashing: #include <string.h> void foo(const char *str) { char buffer[20]; strcpy(buf, str); } int main(int argc, char *argv[]) { foo(argv[1]); return 0; } Os dados de entrada da aplicação, passados como parâmetros de main(), podem conter dados maliciosos, como um código de script.
Code Injection Fonte:http://www.drdobbs.com/security/anatomy-of-a-stack-smashing-attack-and-h/240001832?pgno=1
Stack Canary Sistemas que fazem uso de sistemas operacionais e hardware com MMU podem facilmente detectar stack overflow. Usando o GCC, isso é possível usando o que é chamado “Canary”. Canary é um valor inteiro aleatório, gerado pelo processo atual, que é adicionado pelo compilador numa posição entre o endereço de retorno para a função chamadora e as variáveis locais da função.
Stack Canary Sem proteção a SSP: void foo(const char *str) { 40051c: 55 push %rbp 40051d: 48 89 e5 mov %rsp,%rbp 400520: 48 83 ec 30 sub $0x30,%rsp 400524: 48 89 7d d8 mov %rdi,-0x28(%rbp) char buffer[20]; strcpy(buffer, str); 400528: 48 8b 55 d8 mov -0x28(%rbp),%rdx 40052c: 48 8d 45 e0 lea -0x20(%rbp),%rax 400530: 48 89 d6 mov %rdx,%rsi 400533: 48 89 c7 mov %rax,%rdi 400536: e8 b5 fe ff ff callq 4003f0 <strcpy@plt> } 40053b: c9 leaveq 40053c: c3 retq
Stack Canary void foo(const char *str) { 40058c: 55 push %rbp 40058d: 48 89 e5 mov %rsp,%rbp 400590: 48 83 ec 30 sub $0x30,%rsp 400594: 48 89 7d d8 mov %rdi,-0x28(%rbp) 400598: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax 40059f: 00 00 4005a1: 48 89 45 f8 mov %rax,-0x8(%rbp) 4005a5: 31 c0 xor %eax,%eax char buffer[20]; strcpy(buffer, str); 4005a7: 48 8b 55 d8 mov -0x28(%rbp),%rdx 4005ab: 48 8d 45 e0 lea -0x20(%rbp),%rax 4005af: 48 89 d6 mov %rdx,%rsi 4005b2: 48 89 c7 mov %rax,%rdi 4005b5: e8 96 fe ff ff callq 400450 <strcpy@plt> } 4005ba: 48 8b 45 f8 mov -0x8(%rbp),%rax 4005be: 64 48 33 04 25 28 00 xor %fs:0x28,%rax 4005c5: 00 00 4005c7: 74 05 je 4005ce <foo+0x42> 4005c9: e8 92 fe ff ff callq 400460 <__stack_chk_fail@plt> 4005ce: c9 leaveq 4005cf: c3 retq Com proteção a SSP:
Stack Guard ● Para sistemas bare-metal, uma alternativa é criar uma zona de guarda, ao final da pilha, no sentido que a mesma cresce. Nesta região é escrito um padrão que deve ser verificado com frequência, a fim de detectar o stack overflow.
Alocação dinâmica de memória Posso usar alocação dinâmica de memória em sistemas embarcados? ● Usada quando não é conhecido, em tempo de compilação, o espaço de memória a ser utilizado. ● Pontos a serem considerados: – Recursos voláteis são limitados (memória RAM, SRAM, DDRAM, etc); – Implementação do gerenciador de memória; – Determinismo: característica necessária em sistemas embarcados; – Modo de falha: o dispositivo tem que saber lidar com erros. – Geralmente as funções de alocação de memória não são reentrantes, o que é um problema para sistemas multithreaded. ● Uma aplicação no PC pode gerar uma mensagem de erro, mas um módulo de injeção do carro, um navegador do avião, etc, NÃO!!
Alocação dinâmica de memória ● Fragmentação de memória (8KB disponível) p1 = malloc(1024); p2 = malloc(2048); p3 = malloc(1024); ... free(p3); free(p2); free(p1);
Alocação dinâmica de memória ● Fragmentação de memória (8KB disponível) p1 = malloc(1024); p2 = malloc(2048); p3 = malloc(1024); ... free(p2); Fonte:http://www.embedded.com ● Total: 8KB ● Alocado: 4KB ● Desalocado: 2KB ● Disponível: 6KB ● malloc(6 * 1024): Funciona?
Alocação dinâmica de memória ● Fragmentação de memória (8KB disponível) p1 = malloc(1024); p2 = malloc(2048); p3 = malloc(1024); ... free(p2); Fonte:http://www.embedded.com ● Não funciona!! ● Existe memória livre, mas não memória contínua suficiente. ● Livre: 4KB!
Alocação dinâmica de memória ● Alternativas: – Memory Pool: alguns “pools” de memória contendo um número de blocos de tamanho fixo. ● Vantagem: Elimina fragmentação; ● Desvantagem: Perda de memória (existem blocos de 8, 16, 32 bytes, etc, mas preciso de 17 bytes). – Garbage Collector: aproxima os blocos de memória utilizados. Usado em linguagens gerenciadas, tais como C#, Visual Basic, Java, etc, onde não é acessado o endereço real. ● Vantagem: Elimina fragmentação, aumentando o espaço livre; ● Desvantagem: Não determinístico. Quando vai ser executado? Quanto tempo vai ser necessário?
Alocação dinâmica de memória ● Implementação em sistemas bare-metal: – Dependente do ambiente usado (GNU, IAR, Keil, Renesas, etc); – Se GNU, pode ser usada a biblioteca newlib (implementa funcionalidade mínima para usar malloc, e faz uso do símbolo _end criado no script do linker). ● E como é implementado com sistema operacional? – RTOS: oferece implementação própria, com utilização de memory pools e allocation call; – Linux Embarcado: usa a glibc/uClibc/etc, que usam páginas criadas pelo SO para cada processo (4KB cada). ● malloc(<= 4KB): usa uma página do processo; ● malloc(> 4KB): usa mmap(). ● Algoritmos que podem ser utilizados em malloc(): – Doug Lea's Malloc ou dlmalloc; – First Fit: encontra o primeiro bloco livre com tamanho suficiente para atender à requisição; – Best Fit: encontra o bloco livre de menor tamanho que satisfaça a requisição.
Alocação dinâmica de memória ● Usamos ou não usamos? Se não há alternativa, e a alocação estática não é viável, use! Mas com cuidado! MISRA-C Rule 20.4: Dynamic heap memory allocation shall not be used.
Alocação dinâmica de memória Exemplo com problemas: 1 #include <stdlib.h> 2 3 int main(void) 4 { 5 char *x = malloc(10); 6 x[10] = 'a'; 7 8 return 0; 9 } $ splint dinamic_mem_1.c Splint 3.1.2 --- 07 Jul 2013 dinamic_mem_1.c: (in function main) dinamic_mem_1.c:6:3: Index of possibly null pointer x: x A possibly null pointer is dereferenced. Value is either the result of a function which may return null (in which case, code should check it is not null), or a global, parameter or structure field declared with the null qualifier. (Use -nullderef to inhibit warning) dinamic_mem_1.c:5:13: Storage x may become null dinamic_mem_1.c:8:12: Fresh storage x not released before return A memory leak has been detected. Storage allocated locally is not released before the last reference to it is lost. (Use -mustfreefresh to inhibit warning) dinamic_mem_1.c:5:24: Fresh storage x created Finished checking --- 2 code warnings
Alocação dinâmica de memória Exemplo com problemas: 1 #include <stdlib.h> 2 3 int main(void) 4 { 5 char *x = malloc(10); 6 x[10] = 'a'; 7 8 return 0; 9 } $ valgrind ./dinamic_mem_1 ==20798== Memcheck, a memory error detector ==20798== Copyright (C) 2002-2011, and GNU GPL'd, by Julian Seward et al. ==20798== Using Valgrind-3.7.0 and LibVEX; rerun with -h for copyright info ==20798== Command: ./dinamic_mem_1 ==20798== ==20798== Invalid write of size 1 ==20798== at 0x40053A: main (dinamic_mem_1.c:6) ==20798== Address 0x51f104a is 0 bytes after a block of size 10 alloc'd ==20798== at 0x4C2B3F8: malloc (in /usr/lib/valgrind/vgpreload_memcheck-amd64-linux.so) ==20798== by 0x40052D: main (dinamic_mem_1.c:5) ==20798== ==20798== ==20798== HEAP SUMMARY: ==20798== in use at exit: 10 bytes in 1 blocks ==20798== total heap usage: 1 allocs, 0 frees, 10 bytes allocated ==20798== ==20798== LEAK SUMMARY: ==20798== definitely lost: 10 bytes in 1 blocks ==20798== indirectly lost: 0 bytes in 0 blocks ==20798== possibly lost: 0 bytes in 0 blocks ==20798== still reachable: 0 bytes in 0 blocks ==20798== suppressed: 0 bytes in 0 blocks ==20798== Rerun with --leak-check=full to see details of leaked memory ==20798== ==20798== For counts of detected and suppressed errors, rerun with: -v ==20798== ERROR SUMMARY: 1 errors from 1 contexts (suppressed: 2 from 2)
Alocação dinâmica de memória Exemplo sem problemas: 01 #include <stdlib.h> 02 #include <string.h> 03 04 #define BUFF_SIZE 10 05 06 int main(void) 07 { 08 char *x = malloc(BUFF_SIZE); 09 10 if (x != NULL) { 11 memset(x, 0, BUFF_SIZE); 12 x[BUFF_SIZE - 1] = 'a'; 13 free(x); 14 } 15 16 return 0; 17 } $ splint dinamic_mem_1_corrigido.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings
Alocação dinâmica de memória Exemplo sem problemas: 01 #include <stdlib.h> 02 #include <string.h> 03 04 #define BUFF_SIZE 10 05 06 int main(void) 07 { 08 char *x = malloc(BUFF_SIZE); 09 10 if (x != NULL) { 11 memset(x, 0, BUFF_SIZE); 12 x[BUFF_SIZE - 1] = 'a'; 13 free(x); 14 } 15 16 return 0; 17 } $ valgrind ./dinamic_mem_1_corrigido ==20870== Memcheck, a memory error detector ==20870== Copyright (C) 2002-2011, and GNU GPL'd, by Julian Seward et al. ==20870== Using Valgrind-3.7.0 and LibVEX; rerun with -h for copyright info ==20870== Command: ./dinamic_mem_1_corrigido ==20870== ==20870== ==20870== HEAP SUMMARY: ==20870== in use at exit: 0 bytes in 0 blocks ==20870== total heap usage: 1 allocs, 1 frees, 10 bytes allocated ==20870== ==20870== All heap blocks were freed -- no leaks are possible ==20870== ==20870== For counts of detected and suppressed errors, rerun with: -v ==20870== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 2 from 2)
Conhecendo o compilador... ● GCC: $ gcc [flags] arquivo_fonte ● Flags de compilação: -Wall: habilita mensagens de warning sobre estruturas consideradas questionáveis e fáceis de serem corrigidas; -std=c99: seleciona o padrão C99 para verificação; -pedantic: verifica se o código está conforme o padrão selecionado por meio da flag -std; -Wextra: habilita algumas outras mensagens não habilitadas por -Wall; -Wconversion: alerta conversões que podem alterar valores de variáveis; -fstack-protector: Habilita a proteção SSP (Stack-Smashing Protector) em funções vulneráveis, que chamam alloca e possuem buffers maiores que 8 bytes; -fstack-protector-all: Habilita a proteção SSP para todas as funções; -fno-stack-protector: Desabilita a proteção SSP.
Está chegando ao fim... Dúvidas?
FIM Henrique Pérsico Rossi Aproveitem o TDC2013!!! http://henriqueprossi.wordpress.com/ www.linkedin.com/in/henriqueprossi henriqueprossi@gmail.com @henriqueprossi

Recomendados

Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekFurkan Çalışkan
 
Overview of IoT and Security issues
Overview of IoT and Security issuesOverview of IoT and Security issues
Overview of IoT and Security issuesAnastasios Economides
 
SCADA Security
SCADA SecuritySCADA Security
SCADA Securityamiable_indian
 
Man in the Middle Atack (Ortadaki Adam Saldırısı)
Man in the Middle Atack (Ortadaki Adam Saldırısı)Man in the Middle Atack (Ortadaki Adam Saldırısı)
Man in the Middle Atack (Ortadaki Adam Saldırısı)Ahmet Gürel
 
Burp suite
Burp suiteBurp suite
Burp suiteSOURABH DESHMUKH
 
Network simulator
Network simulatorNetwork simulator
Network simulatorMadhumithah Ilango
 
Stuxnet - Case Study
Stuxnet - Case StudyStuxnet - Case Study
Stuxnet - Case StudyAmr Thabet
 

Recomendados

Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
SecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekSecurityOnion ile Ağ güvenliğini İzlemek
SecurityOnion ile Ağ güvenliğini İzlemekFurkan Çalışkan
 
Overview of IoT and Security issues
Overview of IoT and Security issuesOverview of IoT and Security issues
Overview of IoT and Security issuesAnastasios Economides
 
SCADA Security
SCADA SecuritySCADA Security
SCADA Securityamiable_indian
 
Man in the Middle Atack (Ortadaki Adam Saldırısı)
Man in the Middle Atack (Ortadaki Adam Saldırısı)Man in the Middle Atack (Ortadaki Adam Saldırısı)
Man in the Middle Atack (Ortadaki Adam Saldırısı)Ahmet Gürel
 
Burp suite
Burp suiteBurp suite
Burp suiteSOURABH DESHMUKH
 
Network simulator
Network simulatorNetwork simulator
Network simulatorMadhumithah Ilango
 
Stuxnet - Case Study
Stuxnet - Case StudyStuxnet - Case Study
Stuxnet - Case StudyAmr Thabet
 
Iot(security)
Iot(security)Iot(security)
Iot(security)Shreya Pohekar
 
An introduction to MQTT
An introduction to MQTTAn introduction to MQTT
An introduction to MQTTAlexandre Moreno
 
SQL Slammer Worm
SQL Slammer WormSQL Slammer Worm
SQL Slammer WormSharklover92
 
Introduction to Internet of Things Hardware
Introduction to Internet of Things HardwareIntroduction to Internet of Things Hardware
Introduction to Internet of Things HardwareDaniel Eichhorn
 
IoT Security, Threats and Challenges By V.P.Prabhakaran
IoT Security, Threats and Challenges By V.P.PrabhakaranIoT Security, Threats and Challenges By V.P.Prabhakaran
IoT Security, Threats and Challenges By V.P.PrabhakaranKoenig Solutions Ltd.
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest HizmetiBGA Cyber Security
 
Packet sniffers
Packet sniffersPacket sniffers
Packet sniffersKunal Thakur
 
Lecture 4 firewalls
Lecture 4 firewallsLecture 4 firewalls
Lecture 4 firewallsrajakhurram
 
Unified Middleware for Internet of Things
Unified Middleware for Internet of ThingsUnified Middleware for Internet of Things
Unified Middleware for Internet of ThingsHonbo Zhou
 
Introduction to sensors
Introduction to sensorsIntroduction to sensors
Introduction to sensorsmisgina Mengesha
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Monitoring of soil
Monitoring of soilMonitoring of soil
Monitoring of soilAman Jaiswal
 
Pollution Monitoring System using Arduino and various gas sensor
Pollution Monitoring System using Arduino and various gas sensorPollution Monitoring System using Arduino and various gas sensor
Pollution Monitoring System using Arduino and various gas sensorUtkarsh Jaiswal
 
Chapter-2 Internet of Things.pptx
Chapter-2 Internet of Things.pptxChapter-2 Internet of Things.pptx
Chapter-2 Internet of Things.pptx40NehaPagariya
 
Burpsuite 101
Burpsuite 101Burpsuite 101
Burpsuite 101n|u - The Open Security Community
 
wireless sensor networks based on iot
wireless sensor networks based on iotwireless sensor networks based on iot
wireless sensor networks based on iotEswari Cheedella
 
Wireless sensor networks
Wireless sensor networksWireless sensor networks
Wireless sensor networksZaahir Salam
 
Creator IoT Framework
Creator IoT FrameworkCreator IoT Framework
Creator IoT FrameworkPaul Evans
 
Metasploit framework in Network Security
Metasploit framework in Network SecurityMetasploit framework in Network Security
Metasploit framework in Network SecurityAshok Reddy Medikonda
 
Air pollution monitoring system using mobile gprs sensors array ppt
Air pollution monitoring system using mobile gprs sensors array pptAir pollution monitoring system using mobile gprs sensors array ppt
Air pollution monitoring system using mobile gprs sensors array pptSaurabh Giratkar
 
Notas deaulas
Notas deaulasNotas deaulas
Notas deaulasJcradio Vw
 
Webinar: Arquitetura de software para sistemas embarcados
Webinar: Arquitetura de software para sistemas embarcadosWebinar: Arquitetura de software para sistemas embarcados
Webinar: Arquitetura de software para sistemas embarcadosEmbarcados
 

Mais conteúdo relacionado

Mais procurados

Introduction to Internet of Things Hardware
Introduction to Internet of Things HardwareIntroduction to Internet of Things Hardware
Introduction to Internet of Things HardwareDaniel Eichhorn
 
IoT Security, Threats and Challenges By V.P.Prabhakaran
IoT Security, Threats and Challenges By V.P.PrabhakaranIoT Security, Threats and Challenges By V.P.Prabhakaran
IoT Security, Threats and Challenges By V.P.PrabhakaranKoenig Solutions Ltd.
 
Lecture 4 firewalls
Lecture 4 firewallsLecture 4 firewalls
Lecture 4 firewallsrajakhurram
 
Unified Middleware for Internet of Things
Unified Middleware for Internet of ThingsUnified Middleware for Internet of Things
Unified Middleware for Internet of ThingsHonbo Zhou
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Monitoring of soil
Monitoring of soilMonitoring of soil
Monitoring of soilAman Jaiswal
 
Pollution Monitoring System using Arduino and various gas sensor
Pollution Monitoring System using Arduino and various gas sensorPollution Monitoring System using Arduino and various gas sensor
Pollution Monitoring System using Arduino and various gas sensorUtkarsh Jaiswal
 
Chapter-2 Internet of Things.pptx
Chapter-2 Internet of Things.pptxChapter-2 Internet of Things.pptx
Chapter-2 Internet of Things.pptx40NehaPagariya
 
wireless sensor networks based on iot
wireless sensor networks based on iotwireless sensor networks based on iot
wireless sensor networks based on iotEswari Cheedella
 
Wireless sensor networks
Wireless sensor networksWireless sensor networks
Wireless sensor networksZaahir Salam
 
Creator IoT Framework
Creator IoT FrameworkCreator IoT Framework
Creator IoT FrameworkPaul Evans
 
Metasploit framework in Network Security
Metasploit framework in Network SecurityMetasploit framework in Network Security
Metasploit framework in Network SecurityAshok Reddy Medikonda
 
Air pollution monitoring system using mobile gprs sensors array ppt
Air pollution monitoring system using mobile gprs sensors array pptAir pollution monitoring system using mobile gprs sensors array ppt
Air pollution monitoring system using mobile gprs sensors array pptSaurabh Giratkar
 

Mais procurados (20)

Iot(security)
Iot(security)Iot(security)
Iot(security)
 
An introduction to MQTT
An introduction to MQTTAn introduction to MQTT
An introduction to MQTT
 
SQL Slammer Worm
SQL Slammer WormSQL Slammer Worm
SQL Slammer Worm
 
Introduction to Internet of Things Hardware
Introduction to Internet of Things HardwareIntroduction to Internet of Things Hardware
Introduction to Internet of Things Hardware
 
IoT Security, Threats and Challenges By V.P.Prabhakaran
IoT Security, Threats and Challenges By V.P.PrabhakaranIoT Security, Threats and Challenges By V.P.Prabhakaran
IoT Security, Threats and Challenges By V.P.Prabhakaran
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
Packet sniffers
Packet sniffersPacket sniffers
Packet sniffers
 
Lecture 4 firewalls
Lecture 4 firewallsLecture 4 firewalls
Lecture 4 firewalls
 
Unified Middleware for Internet of Things
Unified Middleware for Internet of ThingsUnified Middleware for Internet of Things
Unified Middleware for Internet of Things
 
Introduction to sensors
Introduction to sensorsIntroduction to sensors
Introduction to sensors
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Monitoring of soil
Monitoring of soilMonitoring of soil
Monitoring of soil
 
Pollution Monitoring System using Arduino and various gas sensor
Pollution Monitoring System using Arduino and various gas sensorPollution Monitoring System using Arduino and various gas sensor
Pollution Monitoring System using Arduino and various gas sensor
 
Chapter-2 Internet of Things.pptx
Chapter-2 Internet of Things.pptxChapter-2 Internet of Things.pptx
Chapter-2 Internet of Things.pptx
 
Burpsuite 101
Burpsuite 101Burpsuite 101
Burpsuite 101
 
wireless sensor networks based on iot
wireless sensor networks based on iotwireless sensor networks based on iot
wireless sensor networks based on iot
 
Wireless sensor networks
Wireless sensor networksWireless sensor networks
Wireless sensor networks
 
Creator IoT Framework
Creator IoT FrameworkCreator IoT Framework
Creator IoT Framework
 
Metasploit framework in Network Security
Metasploit framework in Network SecurityMetasploit framework in Network Security
Metasploit framework in Network Security
 
Air pollution monitoring system using mobile gprs sensors array ppt
Air pollution monitoring system using mobile gprs sensors array pptAir pollution monitoring system using mobile gprs sensors array ppt
Air pollution monitoring system using mobile gprs sensors array ppt
 

Semelhante a Codificação segura em C para sistemas embarcados

Webinar: Arquitetura de software para sistemas embarcados
Webinar: Arquitetura de software para sistemas embarcadosWebinar: Arquitetura de software para sistemas embarcados
Webinar: Arquitetura de software para sistemas embarcadosEmbarcados
 
Introdução à Linguagem de Programação C
Introdução à Linguagem de Programação CIntrodução à Linguagem de Programação C
Introdução à Linguagem de Programação CJose Augusto Cintra
 
Vetorização e Otimização de Código - Intel Software Conference 2013
Vetorização e Otimização de Código - Intel Software Conference 2013Vetorização e Otimização de Código - Intel Software Conference 2013
Vetorização e Otimização de Código - Intel Software Conference 2013Intel Software Brasil
 
Introdução a Linguagem C
Introdução a Linguagem CIntrodução a Linguagem C
Introdução a Linguagem Capolllorj
 
Introdução a linguagem de programação C
Introdução a linguagem de programação CIntrodução a linguagem de programação C
Introdução a linguagem de programação CSchoolByte
 
Principais conceitos e técnicas em vetorização
Principais conceitos e técnicas em vetorizaçãoPrincipais conceitos e técnicas em vetorização
Principais conceitos e técnicas em vetorizaçãoIntel Software Brasil
 
Vulnerabilidade Out-of-bounds-Write (CWE-787)
Vulnerabilidade Out-of-bounds-Write (CWE-787)Vulnerabilidade Out-of-bounds-Write (CWE-787)
Vulnerabilidade Out-of-bounds-Write (CWE-787)GuilhermeDutra48
 
Programação Estruturada 2 - Curso Completo
Programação Estruturada 2 - Curso CompletoProgramação Estruturada 2 - Curso Completo
Programação Estruturada 2 - Curso Completothomasdacosta
 
Programação Orientada a Testes
Programação Orientada a TestesProgramação Orientada a Testes
Programação Orientada a TestesGregorio Melo
 
Programação em-arduino-módulo-básico
Programação em-arduino-módulo-básicoProgramação em-arduino-módulo-básico
Programação em-arduino-módulo-básicoFátima Bernardes
 
TDC2013 Otimizando-C
TDC2013 Otimizando-CTDC2013 Otimizando-C
TDC2013 Otimizando-Cosmarcf
 
Microcontroladores PIC.pptx
Microcontroladores PIC.pptxMicrocontroladores PIC.pptx
Microcontroladores PIC.pptxfmtpereira
 
Programando Software Livre em C
Programando Software Livre em CProgramando Software Livre em C
Programando Software Livre em CDiego Santos
 
Linguagem c wellington telles - aula 02
Linguagem c wellington telles - aula 02Linguagem c wellington telles - aula 02
Linguagem c wellington telles - aula 02profwtelles
 
Introdução a linguagem Python: simples e produtiva
Introdução a linguagem Python: simples e produtivaIntrodução a linguagem Python: simples e produtiva
Introdução a linguagem Python: simples e produtivaÁlvaro Justen
 

Semelhante a Codificação segura em C para sistemas embarcados (20)

Notas deaulas
Notas deaulasNotas deaulas
Notas deaulas
 
Webinar: Arquitetura de software para sistemas embarcados
Webinar: Arquitetura de software para sistemas embarcadosWebinar: Arquitetura de software para sistemas embarcados
Webinar: Arquitetura de software para sistemas embarcados
 
Introdução à Linguagem de Programação C
Introdução à Linguagem de Programação CIntrodução à Linguagem de Programação C
Introdução à Linguagem de Programação C
 
Introdução ao C#
Introdução ao C#Introdução ao C#
Introdução ao C#
 
Vetorização e Otimização de Código - Intel Software Conference 2013
Vetorização e Otimização de Código - Intel Software Conference 2013Vetorização e Otimização de Código - Intel Software Conference 2013
Vetorização e Otimização de Código - Intel Software Conference 2013
 
Introdução a Linguagem C
Introdução a Linguagem CIntrodução a Linguagem C
Introdução a Linguagem C
 
Introdução a linguagem de programação C
Introdução a linguagem de programação CIntrodução a linguagem de programação C
Introdução a linguagem de programação C
 
Principais conceitos e técnicas em vetorização
Principais conceitos e técnicas em vetorizaçãoPrincipais conceitos e técnicas em vetorização
Principais conceitos e técnicas em vetorização
 
Vulnerabilidade Out-of-bounds-Write (CWE-787)
Vulnerabilidade Out-of-bounds-Write (CWE-787)Vulnerabilidade Out-of-bounds-Write (CWE-787)
Vulnerabilidade Out-of-bounds-Write (CWE-787)
 
Programação Segura
Programação SeguraProgramação Segura
Programação Segura
 
Curso de Linguagem C
Curso de Linguagem CCurso de Linguagem C
Curso de Linguagem C
 
Curso de java 02
Curso de java 02Curso de java 02
Curso de java 02
 
Programação Estruturada 2 - Curso Completo
Programação Estruturada 2 - Curso CompletoProgramação Estruturada 2 - Curso Completo
Programação Estruturada 2 - Curso Completo
 
Programação Orientada a Testes
Programação Orientada a TestesProgramação Orientada a Testes
Programação Orientada a Testes
 
Programação em-arduino-módulo-básico
Programação em-arduino-módulo-básicoProgramação em-arduino-módulo-básico
Programação em-arduino-módulo-básico
 
TDC2013 Otimizando-C
TDC2013 Otimizando-CTDC2013 Otimizando-C
TDC2013 Otimizando-C
 
Microcontroladores PIC.pptx
Microcontroladores PIC.pptxMicrocontroladores PIC.pptx
Microcontroladores PIC.pptx
 
Programando Software Livre em C
Programando Software Livre em CProgramando Software Livre em C
Programando Software Livre em C
 
Linguagem c wellington telles - aula 02
Linguagem c wellington telles - aula 02Linguagem c wellington telles - aula 02
Linguagem c wellington telles - aula 02
 
Introdução a linguagem Python: simples e produtiva
Introdução a linguagem Python: simples e produtivaIntrodução a linguagem Python: simples e produtiva
Introdução a linguagem Python: simples e produtiva
 

Codificação segura em C para sistemas embarcados

  • 1. Codificação segura em C para sistemas embarcados Henrique Pérsico Rossi Julho/2013
  • 2. Apresentação ● Engenheiro Eletrônico (2005) e pós-graduado em Engenharia de Software (2012) ● Atuo com sistemas embarcados há mais de 8 anos, desenvolvendo firmware nas linguagens C, C++ e Assembly ● Experiência com Linux Embarcado, RTOS e bare-metal ● Áreas de atuação: automação comercial/bancária, automotiva, maquinário agrícola, elevadores e controle de acesso ● Arquiteturas: ARM9, ARM7, ARM Cortex-Mx, Renesas V850/78K0, PIC16F/18F ● Engenheiro de Desenvolvimento (FW/SW) na empresa Gertec ● Consultor em sistemas embarcados ● Blog: http://henriqueprossi.wordpress.com/
  • 3. Por que linguagem C? ● Não é uma linguagem antiga? O que o TIOBE diz... Fonte: http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
  • 4. História da linguagem C ● 1969: Ken Thompson @ Bell Laboratories criou UNIX, em Assembly, para PDP-7, com ideias do sistema operacional MULTICS ● 1970: UNIX reescrito para PDP-11 ● 1973: Dennis Ritchie criou a linguagem C, a partir da Linguagem B (criada por Ken Thompson) e BCPL, para evitar futuras reescritas do UNIX ● Portanto, a linguagem C foi criada para escrever o UNIX! ● 1978: A linguagem foi oficialmente publicada, com o livro “The C Programming Language”, conhecido como “K&R” ● 1989/1990: 1º Padrão! ANSI criou o comitê X3J11 em 1983 para criar um padrão para a linguagem, o que aconteceu em 1989 (C89). Tal padrão também foi aceito pela ISO, nomeado ISO/IEC 9899-1990 (C90) ● 1995/1996: Corrigido por ISO/IEC 9899/COR1:1994, ISO/IEC 9899/AMD1:1995 e ISO/IEC 9899/COR2:1996. O padrão corrigido pelo “amendment” ISO/IEC 9899/AMD1:1995 é conhecido como C95 ● 1999: 2º Padrão! ISO/IEC 9899:1999, conhecido como C99 ● 2011: 3º Padrão! ISO/IEC 9899:2011, conhecido como C11
  • 5. Linguagem C + Sistemas Embarcados ● Quando existe um sistema operacional... ● Exemplo: Linux
  • 6. Linguagem C + Sistemas Embarcados ● Geralmente não existe um sistema operacional...
  • 7. Existe um preço... ● C é flexível, portável entre arquiteturas distintas e enxuta (44 keywords). ● C oferece uma pobre verificação de run-time, uma das razões pelas quais um código gerado nesta linguagem tende a ser pequeno e eficiente. ● Erros mais comuns encontrados: – Manipulação de strings – Pilha – Alocação dinâmica de memória
  • 8. Como resolvemos isso? ● A maioria dos erros são humanos. Portanto, foram criados padrões de codificação para auxiliar o desenvolvedor: – MISRA-C – Netrino’s Embedded C Coding Standard – CERT C ● E como nos certificamos que estamos seguindo tais padrões, de forma automatizada? – Ferramentas de análise estática, tais como: ● QA-C ● CodeCheck ● PC-lint ● Elas são pagas, e não quero gastar dinheiro... – Pode usar a ferramenta Splint, que faz um bom trabalho!
  • 9. Como resolvemos isso? ● O que mais posso usar? – Ferramentas de análise dinâmica do código ● Valgrind ● DUMA
  • 10. O que mais podemos fazer? Podemos melhorar a verificação do projeto por meio de testes unitários. Para sistemas embarcados existem os seguintes frameworks de testes: ● Unity ● CppUTest
  • 11. Manipulação de strings - Cópias de strings sem limites - Erros de off-by-one - Terminação em NULL - Strings truncadas
  • 12. Cópias de strings sem limites ● Problema: Os dados são copiados de uma origem sem delimitação para um array de caracteres com tamanho fixo. ● Exemplo: Uso da função gets(). Esta função é “deprecated” no padrão C99 e não existe no padrão C11. ● O que dizem os padrões... #include <stdio.h> static void get_user_age(void); static void get_user_age(void) { char age[8]; puts("Insira sua idade: "); gets(age); if (age[0] == '0') { printf("Nenhum dado inserido!n"); } else { printf("Muito obrigado!n"); } // TODO: processamento... } int main(void) { get_user_age(); return 0; } CERT C Secure Coding Standard “MSC34-C. Do not use deprecated or obsolescent functions.” “STR35-C. Do not copy data from an unbounded source to a fixed-length array.” $ splint gets.c Splint 3.1.2 --- 07 Jul 2013 gets.c: (in function get_user_age) gets.c:9:3: Return value (type int) ignored: puts("Insira sua... Result returned by function call is not used. If this is intended, can cast result to (void) to eliminate message. (Use -retvalint to inhibit warning) gets.c:10:3: Use of gets leads to a buffer overflow vulnerability. Use fgets instead: gets Use of function that may lead to buffer overflow. (Use -bufferoverflowhigh to inhibit warning) gets.c:10:3: Return value (type char *) ignored: gets(age) Result returned by function call is not used. If this is intended, can cast result to (void) to eliminate message. (Use -retvalother to inhibit warning) Finished checking --- 3 code warnings
  • 13. Cópias de strings sem limites ● Correção: #include <stdio.h> static void get_user_age(void); static void get_user_age(void) { char age[8]; (void) puts("Insira sua idade: "); if (fgets(age, (int) sizeof(age), stdin) == NULL) { printf("Nenhum dado inserido!n"); } else { printf("Muito obrigado!n"); } // TODO: processamento... } int main(void) { get_user_age(); return 0; } $ splint gets_corrigido.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings ● Outras funções “perigosas”: ● strcpy → strncpy, strdup (não presente em C99 e C11) ● strcat → strncat ● sprintf → snprintf “Never use gets(). Because it is impossible to tell without knowing the data in advance how many characters gets() will read, and because gets() will continue to store characters past the end of the buffer, it is extremely dangerous to use. It has been used to break computer security. Use fgets() instead.” Fonte: http://www.linuxmanpages.com/man3/gets.3.php
  • 14. Off-by-One ● Problema: Por um erro de indexação, é acessada uma posição fora do buffer criado. $ splint off_by_one.c Splint 3.1.2 --- 07 Jul 2013 off_by_one.c: (in function main) off_by_one.c:16:5: Index of possibly null pointer dest: dest A possibly null pointer is dereferenced. Value is either the result of a function which may return null (in which case, code should check it is not null), or a global, parameter or structure field declared with the null qualifier. (Use -nullderef to inhibit warning) off_by_one.c:13:10: Storage dest may become null Finished checking --- 1 code warning Fonte: Secure Coding in C and C++ Second Edition #include <string.h> #include <stdio.h> #include <stdlib.h> int main(void) { char s1[] = "012345678"; char s2[] = "0123456789"; char *dest; int i; strncpy(s1, s2, sizeof(s2)); dest = (char *) malloc(strlen(s1)); for (i = 1; i <= 11; i++) { dest[i] = s1[i]; } dest[i] = '0'; printf("dest = %s", dest); free(dest); return 0; }
  • 15. Terminação em NULL ● Problema: Erro ao não terminar uma string com o caractere NULL. ● O que dizem os padrões... CERT C Secure Coding Standard “STR32-C. Null-terminate byte strings as required.” $ splint null_terminated.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings #include <string.h> int main(void) { char a[16]; char b[16]; char c[16]; strncpy(a, "0123456789abcdef", sizeof(a)); strncpy(b, "0123456789abcdef", sizeof(b)); strcpy(c, a); return 0; }
  • 16. Terminação em NULL ● Correção: $ splint null_terminated.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings #include <string.h> int main(void) { char a[16]; char b[16]; char c[16]; strncpy(a, "0123456789abcde", sizeof(a)); a[sizeof(a) - 1] = '0'; strncpy(b, "0123456789abcde", sizeof(b)); b[sizeof(b) - 1] = '0'; strcpy(c, a); return 0; } O comportamento gerado por um erro deste tipo é “implementation-defined”, ou seja, depende da implementação do compilador/sistema. Portanto, o mesmo é difícil de ser detectado, necessitando de uma entrada específica para que o mesmo se manifeste.
  • 17. Strings truncadas ● Problema: Um array de caracteres não ser suficientemente grande para armazenar uma string. ● Se lembra das funções perigosas? Não usá-las, ou mesmo usando alternativas seguras, não quer dizer “ESTOU LIVRE DE ERROS!!” $ splint truncated_string.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings #include <stdio.h> int main(int argc, char *argv[]) { int i = 0; char buffer[32]; char *arg1 = argv[1]; if (argc == 0) { printf("Sem argumentos!n"); return -1; } while (arg1[i] != '0') { buffer[i] = arg1[i]; i++; } buffer[i] = '0'; printf("buffer = %sn", buffer); return 0; }
  • 18. Vulnerabilidades ● Tratamento de strings → difícil de saber qual o conteúdo dos dados recebidos e o seu tamanho. ● Portanto: Entrada = “Tainted Data” ● O que fazer então?? Fonte: Secure Coding in C and C++ Second Edition
  • 19. Vulnerabilidades Validação dos dados! ● O programa ao lado faz isso? ● Vulnerável! É proibido o uso da função gets(). Além disso, o seu retorno não é testado! CERT C diz: “FIO04-C. Detect and handle input and output errors.”
  • 20. Vulnerabilidades ● Uma vez que exista uma falha de segurança, isso não indica, necessariamente, vulnerabilidade. ● Isso ocorre somente se o intruso tiver acesso acesso aos dados de entrada do sistema. ● Sendo isso verdade, podem ocorrer ataques. Quais? – Arc Injection; – Code Injection. ● Mas antes de seguirmos com um exemplo de ataque, precisamos conhecer algo antes...
  • 21. Buffer Overflow Resultados possíveis de buffer overflow: ● Despercebido; ● Corrupção de dados; ● Comportamento inadequado; ● Finalização da aplicação. Como evitar: ● Descobrir o erro na fase de desenvolvimento (análise estática de código, peer-review, TDD, etc)
  • 22. Buffer Overflow O Buffer Overflow é perigoso? ● É uma falha de segurança...mas depende! ● Um agente externo tem acesso às entradas do sistema que geram o buffer overflow?
  • 23. Organização de um processo ● Organização das regiões de memória dentro de um processo: Fonte: Secure Coding in C and C++ Second Edition MEMORY { flash (rx) : ORIGIN = 0x00000000, LENGTH = 512K ram (rwx) : ORIGIN = 0x10000000, LENGTH = 32K } SECTIONS { /* The ".text" section is used for the reset vector, the code, and only (.rodata) data */ .text : { *(.text) *(.rodata) ... } > flash /* The ".data" section is used for initialized data * section contents (initial values) -> flash * section alocated block -> ram */ .data : { *(.data) ... } > ram /* The ".bss" section, which is cleared by the startup code, is used for storing uninitialized data */ .bss : { ... } > ram ... }
  • 24. Stack ● É a estrutura de dados dinâmica que suporta a execução de uma aplicação. ● Quando uma função é chamada, esta estrutura armazena: – dados passados por funções; – variáveis locais; – endereços de retorno das funções chamadoras; – endereço base da pilha da função chamadora. ● A esse conjunto de informações é dado o nome de Stack Frame.
  • 25. Stack ● Como exemplo de uso da pilha, utilizaremos a arquitetura x86, mas o conceito é parecido para as outras arquiteturas. ● A troca de contexto ocorre entre as chamadas de funções. Fonte: Secure Coding in C and C++ Second Edition
  • 26. Stack ● Prologue da função foo(): instruções que são executadas assim que a função é chamada. Fonte: Secure Coding in C and C++ Second Edition ● Epilogue da função foo(): instruções que são executadas ao final da função, para retorno à função chamadora.
  • 27. Stack ● E como fica a pilha desde a chamada à função main()? ● Estado da pilha antes da chamada à função foo(), ou seja, o stack frame para a função main(): 1 Dado por linha de comando ou por script de inicialização Endereço Valor Descrição Tamanho 0x0012FF58 0x0012FF5C 0x0012FF60 0x0012FF78 0x0012FF7C 0x0012FF80 0x0012FF84 0x0012FF88 1 Variável local MyInt (int) 4 0x0012FF8C 0x0040703C Variável local MyStrPtr (char *) 4 0x0012FF90 ? Endereço do stack frame do SO 4 0x0012FF94 0x00401020 Endereço de retorno do SO 4 0x0012FF98 SO (1) Primeiro argumento de main(): argc (int) - SO 4 0x0012FF9C SO (1) Segundo argumento de main(): argv (char * [ ]) - SO 4 ← ebp ← esp
  • 28. Stack ● Com a chamada à função foo(), é necessário inserir os seus parâmetros na pilha, além de armazenar o contexto da função main(). ● Estado da pilha após da chamada à função foo(). Segue destacado o stack frame para a função foo(): 1 Dado por linha de comando ou por script de inicialização Endereço Valor Descrição Tamanho 0x0012FF58 0x0012FF5C 1 Variável local LocalInt (int) 4 0x0012FF60 0x0012FF74 1 Variável local LocalChar (char [ ]) 24 0x0012FF78 0x0012FF8C Endereço do stack frame de main() 4 0x0012FF7C 0x00401040 Endereço de retorno da função main() 4 0x0012FF80 1 Primeiro argumento de foo(): MyInt (int) 4 0x0012FF84 0x0040703C Segundo argumento de foo(): MyStrPtr (char *) 4 0x0012FF88 1 Variável local MyInt (int) 4 0x0012FF8C 0x0040703C Variável local MyStrPtr (char *) 4 0x0012FF90 ? Endereço do stack frame do SO 4 0x0012FF94 0x00401020 Endereço de retorno do SO 4 0x0012FF98 SO (1) Primeiro argumento de main(): argc (int) - SO 4 0x0012FF9C SO (1) Segundo argumento de main(): argv (char * [ ]) - SO 4 ← ebp ← esp
  • 29. Stack ● Ao final da função foo(), é necessário retomar o contexto da função main(). ● Estado da pilha após o retorno da função foo(). Segue destacado o stack frame para a função main(): 1 Dado por linha de comando ou por script de inicialização Endereço Valor Descrição Tamanho 0x0012FF58 0x0012FF5C ??? ??? 4 0x0012FF60 0x0012FF74 ??? ??? 24 0x0012FF78 ??? ??? 4 0x0012FF7C ??? ??? 4 0x0012FF80 ??? ??? 4 0x0012FF84 ??? ??? 4 0x0012FF88 1 Variável local MyInt (int) 4 0x0012FF8C 0x0040703C Variável local MyStrPtr (char *) 4 0x0012FF90 ? Endereço do stack frame do SO 4 0x0012FF94 0x00401020 Endereço de retorno do SO 4 0x0012FF98 SO (1) Primeiro argumento de main(): argc (int) - SO 4 0x0012FF9C SO (1) Segundo argumento de main(): argv (char * [ ]) - SO 4 ← ebp ← esp
  • 30. Stack Smashing ● Como dissemos, buffer overflow pode causar danos. Se este ocorrer na memória da pilha, recebe o nome de stack smashing. Um intruso pode, por meio desse tipo de ataque: ● Alterar o conteúdo das variáveis locais à função: perda de integridade dos dados ou perda de dados confidenciais. ● Executar código arbitrário: sobrescrita, por exemplo, do endereço de retorno da função chamadora.
  • 31. Stack Smashing ● O exemplo de obtenção de senha do usuário pode sofrer esse tipo de ataque, como veremos. Antes: Em execução: Fonte: Secure Coding in C and C++ Second Edition
  • 32. Stack Smashing Senha do usuário...até 11 caracteres...OK!! Depois: Fonte: Secure Coding in C and C++ Second Edition
  • 33. Stack Smashing Senha do usuário...com 20 caracteres...O que acontece?? ● Entrada: “12345678901234567890” Depois: Fonte: Secure Coding in C and C++ Second Edition
  • 34. Arc Injection E o intruso pensa: “Huummm...o que mais dá para fazer?” ● Entrada: “1234567890123456W *!”▸ ● Resultado: O endereço de retorno da função foi alterado, usando o próprio código em memória. Depois: Fonte: Secure Coding in C and C++ Second Edition
  • 35. Code Injection Vamos considerar o código seguinte, usando a técnica de stack smashing: #include <string.h> void foo(const char *str) { char buffer[20]; strcpy(buf, str); } int main(int argc, char *argv[]) { foo(argv[1]); return 0; } Os dados de entrada da aplicação, passados como parâmetros de main(), podem conter dados maliciosos, como um código de script.
  • 37. Stack Canary Sistemas que fazem uso de sistemas operacionais e hardware com MMU podem facilmente detectar stack overflow. Usando o GCC, isso é possível usando o que é chamado “Canary”. Canary é um valor inteiro aleatório, gerado pelo processo atual, que é adicionado pelo compilador numa posição entre o endereço de retorno para a função chamadora e as variáveis locais da função.
  • 38. Stack Canary Sem proteção a SSP: void foo(const char *str) { 40051c: 55 push %rbp 40051d: 48 89 e5 mov %rsp,%rbp 400520: 48 83 ec 30 sub $0x30,%rsp 400524: 48 89 7d d8 mov %rdi,-0x28(%rbp) char buffer[20]; strcpy(buffer, str); 400528: 48 8b 55 d8 mov -0x28(%rbp),%rdx 40052c: 48 8d 45 e0 lea -0x20(%rbp),%rax 400530: 48 89 d6 mov %rdx,%rsi 400533: 48 89 c7 mov %rax,%rdi 400536: e8 b5 fe ff ff callq 4003f0 <strcpy@plt> } 40053b: c9 leaveq 40053c: c3 retq
  • 39. Stack Canary void foo(const char *str) { 40058c: 55 push %rbp 40058d: 48 89 e5 mov %rsp,%rbp 400590: 48 83 ec 30 sub $0x30,%rsp 400594: 48 89 7d d8 mov %rdi,-0x28(%rbp) 400598: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax 40059f: 00 00 4005a1: 48 89 45 f8 mov %rax,-0x8(%rbp) 4005a5: 31 c0 xor %eax,%eax char buffer[20]; strcpy(buffer, str); 4005a7: 48 8b 55 d8 mov -0x28(%rbp),%rdx 4005ab: 48 8d 45 e0 lea -0x20(%rbp),%rax 4005af: 48 89 d6 mov %rdx,%rsi 4005b2: 48 89 c7 mov %rax,%rdi 4005b5: e8 96 fe ff ff callq 400450 <strcpy@plt> } 4005ba: 48 8b 45 f8 mov -0x8(%rbp),%rax 4005be: 64 48 33 04 25 28 00 xor %fs:0x28,%rax 4005c5: 00 00 4005c7: 74 05 je 4005ce <foo+0x42> 4005c9: e8 92 fe ff ff callq 400460 <__stack_chk_fail@plt> 4005ce: c9 leaveq 4005cf: c3 retq Com proteção a SSP:
  • 40. Stack Guard ● Para sistemas bare-metal, uma alternativa é criar uma zona de guarda, ao final da pilha, no sentido que a mesma cresce. Nesta região é escrito um padrão que deve ser verificado com frequência, a fim de detectar o stack overflow.
  • 41. Alocação dinâmica de memória Posso usar alocação dinâmica de memória em sistemas embarcados? ● Usada quando não é conhecido, em tempo de compilação, o espaço de memória a ser utilizado. ● Pontos a serem considerados: – Recursos voláteis são limitados (memória RAM, SRAM, DDRAM, etc); – Implementação do gerenciador de memória; – Determinismo: característica necessária em sistemas embarcados; – Modo de falha: o dispositivo tem que saber lidar com erros. – Geralmente as funções de alocação de memória não são reentrantes, o que é um problema para sistemas multithreaded. ● Uma aplicação no PC pode gerar uma mensagem de erro, mas um módulo de injeção do carro, um navegador do avião, etc, NÃO!!
  • 42. Alocação dinâmica de memória ● Fragmentação de memória (8KB disponível) p1 = malloc(1024); p2 = malloc(2048); p3 = malloc(1024); ... free(p3); free(p2); free(p1);
  • 43. Alocação dinâmica de memória ● Fragmentação de memória (8KB disponível) p1 = malloc(1024); p2 = malloc(2048); p3 = malloc(1024); ... free(p2); Fonte:http://www.embedded.com ● Total: 8KB ● Alocado: 4KB ● Desalocado: 2KB ● Disponível: 6KB ● malloc(6 * 1024): Funciona?
  • 44. Alocação dinâmica de memória ● Fragmentação de memória (8KB disponível) p1 = malloc(1024); p2 = malloc(2048); p3 = malloc(1024); ... free(p2); Fonte:http://www.embedded.com ● Não funciona!! ● Existe memória livre, mas não memória contínua suficiente. ● Livre: 4KB!
  • 45. Alocação dinâmica de memória ● Alternativas: – Memory Pool: alguns “pools” de memória contendo um número de blocos de tamanho fixo. ● Vantagem: Elimina fragmentação; ● Desvantagem: Perda de memória (existem blocos de 8, 16, 32 bytes, etc, mas preciso de 17 bytes). – Garbage Collector: aproxima os blocos de memória utilizados. Usado em linguagens gerenciadas, tais como C#, Visual Basic, Java, etc, onde não é acessado o endereço real. ● Vantagem: Elimina fragmentação, aumentando o espaço livre; ● Desvantagem: Não determinístico. Quando vai ser executado? Quanto tempo vai ser necessário?
  • 46. Alocação dinâmica de memória ● Implementação em sistemas bare-metal: – Dependente do ambiente usado (GNU, IAR, Keil, Renesas, etc); – Se GNU, pode ser usada a biblioteca newlib (implementa funcionalidade mínima para usar malloc, e faz uso do símbolo _end criado no script do linker). ● E como é implementado com sistema operacional? – RTOS: oferece implementação própria, com utilização de memory pools e allocation call; – Linux Embarcado: usa a glibc/uClibc/etc, que usam páginas criadas pelo SO para cada processo (4KB cada). ● malloc(<= 4KB): usa uma página do processo; ● malloc(> 4KB): usa mmap(). ● Algoritmos que podem ser utilizados em malloc(): – Doug Lea's Malloc ou dlmalloc; – First Fit: encontra o primeiro bloco livre com tamanho suficiente para atender à requisição; – Best Fit: encontra o bloco livre de menor tamanho que satisfaça a requisição.
  • 47. Alocação dinâmica de memória ● Usamos ou não usamos? Se não há alternativa, e a alocação estática não é viável, use! Mas com cuidado! MISRA-C Rule 20.4: Dynamic heap memory allocation shall not be used.
  • 48. Alocação dinâmica de memória Exemplo com problemas: 1 #include <stdlib.h> 2 3 int main(void) 4 { 5 char *x = malloc(10); 6 x[10] = 'a'; 7 8 return 0; 9 } $ splint dinamic_mem_1.c Splint 3.1.2 --- 07 Jul 2013 dinamic_mem_1.c: (in function main) dinamic_mem_1.c:6:3: Index of possibly null pointer x: x A possibly null pointer is dereferenced. Value is either the result of a function which may return null (in which case, code should check it is not null), or a global, parameter or structure field declared with the null qualifier. (Use -nullderef to inhibit warning) dinamic_mem_1.c:5:13: Storage x may become null dinamic_mem_1.c:8:12: Fresh storage x not released before return A memory leak has been detected. Storage allocated locally is not released before the last reference to it is lost. (Use -mustfreefresh to inhibit warning) dinamic_mem_1.c:5:24: Fresh storage x created Finished checking --- 2 code warnings
  • 49. Alocação dinâmica de memória Exemplo com problemas: 1 #include <stdlib.h> 2 3 int main(void) 4 { 5 char *x = malloc(10); 6 x[10] = 'a'; 7 8 return 0; 9 } $ valgrind ./dinamic_mem_1 ==20798== Memcheck, a memory error detector ==20798== Copyright (C) 2002-2011, and GNU GPL'd, by Julian Seward et al. ==20798== Using Valgrind-3.7.0 and LibVEX; rerun with -h for copyright info ==20798== Command: ./dinamic_mem_1 ==20798== ==20798== Invalid write of size 1 ==20798== at 0x40053A: main (dinamic_mem_1.c:6) ==20798== Address 0x51f104a is 0 bytes after a block of size 10 alloc'd ==20798== at 0x4C2B3F8: malloc (in /usr/lib/valgrind/vgpreload_memcheck-amd64-linux.so) ==20798== by 0x40052D: main (dinamic_mem_1.c:5) ==20798== ==20798== ==20798== HEAP SUMMARY: ==20798== in use at exit: 10 bytes in 1 blocks ==20798== total heap usage: 1 allocs, 0 frees, 10 bytes allocated ==20798== ==20798== LEAK SUMMARY: ==20798== definitely lost: 10 bytes in 1 blocks ==20798== indirectly lost: 0 bytes in 0 blocks ==20798== possibly lost: 0 bytes in 0 blocks ==20798== still reachable: 0 bytes in 0 blocks ==20798== suppressed: 0 bytes in 0 blocks ==20798== Rerun with --leak-check=full to see details of leaked memory ==20798== ==20798== For counts of detected and suppressed errors, rerun with: -v ==20798== ERROR SUMMARY: 1 errors from 1 contexts (suppressed: 2 from 2)
  • 50. Alocação dinâmica de memória Exemplo sem problemas: 01 #include <stdlib.h> 02 #include <string.h> 03 04 #define BUFF_SIZE 10 05 06 int main(void) 07 { 08 char *x = malloc(BUFF_SIZE); 09 10 if (x != NULL) { 11 memset(x, 0, BUFF_SIZE); 12 x[BUFF_SIZE - 1] = 'a'; 13 free(x); 14 } 15 16 return 0; 17 } $ splint dinamic_mem_1_corrigido.c Splint 3.1.2 --- 07 Jul 2013 Finished checking --- no warnings
  • 51. Alocação dinâmica de memória Exemplo sem problemas: 01 #include <stdlib.h> 02 #include <string.h> 03 04 #define BUFF_SIZE 10 05 06 int main(void) 07 { 08 char *x = malloc(BUFF_SIZE); 09 10 if (x != NULL) { 11 memset(x, 0, BUFF_SIZE); 12 x[BUFF_SIZE - 1] = 'a'; 13 free(x); 14 } 15 16 return 0; 17 } $ valgrind ./dinamic_mem_1_corrigido ==20870== Memcheck, a memory error detector ==20870== Copyright (C) 2002-2011, and GNU GPL'd, by Julian Seward et al. ==20870== Using Valgrind-3.7.0 and LibVEX; rerun with -h for copyright info ==20870== Command: ./dinamic_mem_1_corrigido ==20870== ==20870== ==20870== HEAP SUMMARY: ==20870== in use at exit: 0 bytes in 0 blocks ==20870== total heap usage: 1 allocs, 1 frees, 10 bytes allocated ==20870== ==20870== All heap blocks were freed -- no leaks are possible ==20870== ==20870== For counts of detected and suppressed errors, rerun with: -v ==20870== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 2 from 2)
  • 52. Conhecendo o compilador... ● GCC: $ gcc [flags] arquivo_fonte ● Flags de compilação: -Wall: habilita mensagens de warning sobre estruturas consideradas questionáveis e fáceis de serem corrigidas; -std=c99: seleciona o padrão C99 para verificação; -pedantic: verifica se o código está conforme o padrão selecionado por meio da flag -std; -Wextra: habilita algumas outras mensagens não habilitadas por -Wall; -Wconversion: alerta conversões que podem alterar valores de variáveis; -fstack-protector: Habilita a proteção SSP (Stack-Smashing Protector) em funções vulneráveis, que chamam alloca e possuem buffers maiores que 8 bytes; -fstack-protector-all: Habilita a proteção SSP para todas as funções; -fno-stack-protector: Desabilita a proteção SSP.
  • 53. Está chegando ao fim... Dúvidas?
  • 54. FIM Henrique Pérsico Rossi Aproveitem o TDC2013!!! http://henriqueprossi.wordpress.com/ www.linkedin.com/in/henriqueprossi henriqueprossi@gmail.com @henriqueprossi