信息泄漏漏洞的定量分析的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及程序代碼分析����,更具體地說���,涉及程序代碼的靜態(tài)和運行時分析��。
【背景技術(shù)】
[0002]該部分旨在為下面公開的本發(fā)明提供背景或上下文����。此處的描述可以包括能夠?qū)で蟮母拍?��,但這些概念不一定是先前構(gòu)想�����、實現(xiàn)或描述的概念�����。因此��,除非在此另外明確指示�,否則該部分中描述的內(nèi)容不是在本申請中的描述之前的技術(shù),并且不允許通過包括在該部分中而成為現(xiàn)有技術(shù)���。
[0003]Web和移動應(yīng)用中的主要安全威脅是機密數(shù)據(jù)的泄漏����。這種泄漏可以包括諸如某人聯(lián)系人列表之類的私有信息����,以及敏感電子郵件內(nèi)容(尤其在“自帶設(shè)備”策略下)之類的機密信息。應(yīng)用還可能泄漏有關(guān)其內(nèi)部實現(xiàn)的細節(jié)�����,例如其后端數(shù)據(jù)庫的類型和版本����,攻擊者可以使用這些細節(jié)制造其它攻擊(例如SQL��、結(jié)構(gòu)化查詢語言���、數(shù)據(jù)庫實例的注入攻擊)O
[0004]處理信息泄漏的一個重要困難來源是確定發(fā)布的信息是否真正構(gòu)成機密。此處是移動電信領(lǐng)域中的一個實例����。
[0005]國際移動臺設(shè)備身份(MEI)通常是唯一號碼,其標識3GPP (第三代合作計劃)和iDEN(集成數(shù)字增強網(wǎng)絡(luò))移動電話以及某些衛(wèi)星電話����。MEI包括16位:類型分配代碼(TAC)是前8位。TAC提供設(shè)備的型號和產(chǎn)地����。接下來的6位是制造商定義的號碼�,稱為SNR(序列號)。最后����,最后一位是Luhn檢驗位,其是基于Luhn算法產(chǎn)生的位并用于驗證IME1
[0006]用于檢測信息泄漏問題的標準方法是跟蹤是否具有從源語句(讀取機密信息)到匯語句(將該信息發(fā)布到外部環(huán)境)的數(shù)據(jù)流��。例如�,參見Tripp等人的“TAJ:EffectiveTaint Analysis of Web Applicat1ns (TAJ:Web 應(yīng)用的有效污點分析)”(PLDI�,09��,2009年6月15-20日���,愛爾蘭都柏林)�����。如果具有源到匯敏感信息數(shù)據(jù)流���,則報告泄漏漏洞。
[0007]但是�����,在某些情況下�,這種源到匯信息數(shù)據(jù)流實際上可能不是漏洞。
【發(fā)明內(nèi)容】
[0008]以下概要僅旨在是示例性的�����。概要并非旨在限制權(quán)利要求的范圍�。
[0009]一種方法包括在程序的執(zhí)行期間,計算系統(tǒng)記錄在所述程序中的源和匯語句處顯示的具體值��。所述源語句讀取機密信息并且所述匯語句將所述機密信息發(fā)布到外部環(huán)境。所述方法包括所述計算系統(tǒng)使用至少所記錄的具體值和源-匯對�����,判定所述程序是否發(fā)生滿足一個或多個定量準則的信息泄漏�。還公開了裝置和程序產(chǎn)品。
【附圖說明】
[0010]圖1A示出程序中的代碼段����,并且用于示出源到匯可達性準則過度保守;
[0011]圖1B是示出具有圖1A的代碼段的調(diào)用關(guān)系的對象的調(diào)用圖的一部分�;
[0012]圖1C示出圖1A的程序中的代碼段的稍微修改的版本,并且用于示出泄漏實例�����;
[0013]圖2包括圖2A和2B���,是用于信息泄漏漏洞的定量分析的邏輯流程圖�,并且示出根據(jù)一個示例性實施例的示例性方法的操作���、包含在計算機可讀存儲器上的計算機程序指令的執(zhí)行結(jié)果,和/或以硬件實現(xiàn)的邏輯執(zhí)行的功能�����;以及
[0014]圖3是適合于執(zhí)行此處的示例性實施例的系統(tǒng)的一個實例的框圖。
【具體實施方式】
[0015]如上所述���,在某些情況下��,源到匯信息數(shù)據(jù)流實際上可能不是漏洞�。例如��,如果僅IMEI的最后一位泄漏�,則沒有發(fā)布機密信息。盡管該實例用于移動MEI���,但可以看到源到匯可達性準則過度保守���。圖1A中示出一個實例,該圖示出程序100中的代碼段130�����,并且用于示出源到匯可達性準則過度保守�。
[0016]代碼段130具有三個語句140-1、140-2和140-3����。在該實例中����,具有作為源語句140-1的源110�,以及作為匯語句140-3的匯1201og.write (check)。如上所述��,源110讀取機密信息��,并且匯120將該信息發(fā)布到外部環(huán)境(即���,程序外部)��。對象imei 115和check155是用于傳遞來自getMEI方法116的信息的對象���。針對代碼段130執(zhí)行的靜態(tài)分析可以產(chǎn)生代碼段130的多個不同模型。一個這種模型在圖1B中示出并且是調(diào)用圖160�,該圖表示程序100中的方法之間的調(diào)用關(guān)系。具體地說��,每個節(jié)點170表示方法(如圖1B中指示)��,并且每個邊180指示方法之間具有調(diào)用關(guān)系�����。圖1B是此類調(diào)用圖的可視表示����,并且調(diào)用圖的實際實現(xiàn)可能不會產(chǎn)生可視表示(例如,調(diào)用圖例如可以存儲在數(shù)據(jù)結(jié)構(gòu)中)���。
[0017]substring O方法從兩個指定索引(例如����,“start”和“end”)之間的字符串中提取字符��,并且返回新的子字符串��?����!皊tart”是必需的并且指示開始提取的位置�。第一個字符在索引0(零)處?�!癳nd”是可選的?!癳nd”指示結(jié)束提取的位置(直到但不包括)。如果省略“end”���,則“substring”方法提取字符串的其余部分��。在圖1的實例中�����,“ime1.substring(14) ”僅提取第十五位�����,這是Luhn檢驗位�����。因此����,字符串“check”僅是第十五位�����。
[0018]因此,盡管在此源到匯流175顯示敏感數(shù)據(jù)流170����,但發(fā)布的信息實際上不是機密的����。經(jīng)驗表明這種實例在實踐中大量出現(xiàn)。原因是許多應(yīng)用的功能要求基于機密數(shù)據(jù)計算的值變得可用于外部環(huán)境�����,但這些值通常由于向敏感數(shù)據(jù)應(yīng)用某種形式的簡化操作而產(chǎn)生��。例如��,可以發(fā)布某人聯(lián)系人列表中的聯(lián)系人號碼�����,但不可以發(fā)布聯(lián)系人的身份���。
[0019]用于處理標準數(shù)據(jù)流分析的這種局限性的技術(shù)要么構(gòu)建復雜的概率數(shù)學模型�����,要么在位級別跟蹤信息流����,從而實現(xiàn)信息發(fā)布的定量度量。構(gòu)建復雜模型在Alvim等人的“Probabilistic Informat1n Flow(概率信息流)” (2010 第 25 屆 IEEE 計算機科學邏輯研討年會���,2010年)中描述����。在位級別跟蹤信息在McCament和Ernst的“QuantitativeInformat1n Flow as Network Flow Capacity (定量信息流即網(wǎng)絡(luò)流容量)”(PLDI ’ 08�,2008年6月7-13日,美國亞利桑那州圖森)中描述��。
[0020]這些現(xiàn)有方法具有兩個基本問題���。第一個問題是可實現(xiàn)性����。不清楚如何實現(xiàn)這些方法的任何一種以便該方法可以實時工作����,從而實施精確的信息泄漏概念,同時具有用戶可承受的足夠低的開銷���。第二個問題是準確性���。最終���,易受攻擊的信息發(fā)布問題需要直接比較在源處讀取的值和在匯處發(fā)布的值。跟蹤單個位��,或者有關(guān)在源處讀取的值在匯處原樣發(fā)布的概率的推理都太簡單以至于不能處理實際信息發(fā)布實例����。
[0021]與常規(guī)技術(shù)相比���,此處的示例性實施例面向以下問題:在目標程序的動態(tài)執(zhí)行期間���,在運行時檢測易受攻擊的信息泄漏實例。這需要使用有效和準確的運行時跟蹤方法��。此處的一個示例性建議是記錄在源和匯語句處顯示的具體值以及線程ID (標識)��。注意����,可能在不使用線程ID的情況下執(zhí)行此處的技術(shù)�����。但是�����,線程ID是有用的試探法�����,其可以提高精確度�����。然后�����,對于對(X�,t)和(y��,t)����,其中X和y分別是在源和匯處產(chǎn)生的數(shù)據(jù)值�����,并且t是線程ID (因此兩個對起因于同一執(zhí)行線程)����,將X和y之間的相似性例如計算為diff(x����,y)?��!癲iff (x, y) ”是標識符,其表示根據(jù)某個度量空間(例如���,編輯(Levenshtein)距離)的數(shù)據(jù)值X和y之間的距離����。如果結(jié)果顯示X和y足夠相似(例如���,相差預定“小距離”�,例如全部字符的幾個字符或某一百分比不同��,例如10%差異),則向用戶報告潛在信息泄漏���,例如連同多少信息泄漏已經(jīng)(或?qū)⒁?泄漏的定量度量���。
[0022]與污點跟蹤相比,本方法的一個示例性優(yōu)點是不需要插裝(instrument)整個程序��。相反��,僅源和匯語句可能經(jīng)歷插裝����。與程序中的所有語句相比,這些語句的數(shù)量通??珊雎裕虼诉@是重要的開銷減少來源�����。至于準確性���,本示例性方法根據(jù)以下假設(shè)建立:如果某人觸發(fā)導致讀取機密的操作(調(diào)用源語句)�����,然后發(fā)布“類似”于在源語句處讀取的值����,則出現(xiàn)漏洞。由于此原因���,在一個示例性實施例中��,要求存在相同的線程ID��。此更