Безопасность на основе языка - Википедия - Language-based security

В Информатика, языковая безопасность (Фунты) представляет собой набор методов, которые могут быть использованы для усиления безопасности приложений на высоком уровне за счет использования свойств языков программирования. LBS считается средством обеспечения компьютерной безопасности на уровне приложений, что позволяет предотвратить уязвимости, которые традиционные операционные система безопасности не может справиться.

Программные приложения обычно указываются и реализуются в определенных языки программирования, а также для защиты от атак, ошибок и ошибок приложения исходный код могут быть уязвимы, существует потребность в безопасности на уровне приложений; безопасность, оценивающая поведение приложений по отношению к языку программирования. Эта область обычно известна как безопасность на основе языка.

Мотивация

Использование крупных программных комплексов, таких как SCADA, происходит по всему миру[1] компьютерные системы составляют ядро ​​многих инфраструктур. Общество в значительной степени полагается на инфраструктуру, такую ​​как вода, энергия, связь и транспорт, которые, опять же, полагаются на полностью функционально работающие компьютерные системы. Есть несколько хорошо известных примеров, когда критические системы выходят из строя из-за ошибок или ошибок в программном обеспечении, например: когда нехватка компьютерной памяти привела к сбою компьютеров LAX и задержке сотен рейсов (30 апреля 2014 г.).[2][3]

Традиционно механизмы, используемые для контроля правильного поведения программного обеспечения, реализуются на уровне операционной системы. Операционная система обрабатывает несколько возможных нарушений безопасности, таких как нарушения доступа к памяти, нарушения переполнения стека, нарушения контроля доступа и многие другие. Это критически важная часть безопасности компьютерных систем, однако, защищая поведение программного обеспечения на более конкретном уровне, можно добиться еще большей безопасности. Поскольку многие свойства и поведение программного обеспечения теряются при компиляции, обнаруживать уязвимости в машинном коде значительно труднее. Оценивая исходный код перед компиляцией, можно также рассмотреть теорию и реализацию языка программирования, а также выявить больше уязвимостей.

«Так почему же разработчики продолжают совершать одни и те же ошибки? Вместо того, чтобы полагаться на память программистов, мы должны стремиться создавать инструменты, которые систематизируют то, что известно об общих уязвимостях безопасности, и интегрируют их непосредственно в процесс разработки».

- Д. Эванс и Д. Ларошель, 2002 г.

Цель языковой безопасности

Используя LBS, можно повысить безопасность программного обеспечения в нескольких областях, в зависимости от используемых методов. Общие ошибки программирования, такие как разрешение переполнение буфера и незаконные информационные потоки могут быть обнаружены и запрещены в программном обеспечении, используемом потребителем. Также желательно предоставить потребителю некоторые доказательства свойств безопасности программного обеспечения, чтобы потребитель мог доверять программному обеспечению без необходимости получать исходный код и самостоятельно проверять его на наличие ошибок.

Компилятор, принимая исходный код в качестве входных данных, выполняет над кодом несколько операций на конкретном языке, чтобы преобразовать его в машиночитаемый код. Лексический анализ, предварительная обработка, разбор, семантический анализ, генерация кода, и оптимизация кода - все это обычно используемые операции в компиляторах. Анализируя исходный код и используя теорию и реализацию языка, компилятор попытается правильно перевести код высокого уровня в код низкого уровня, сохранив поведение программы.

Иллюстрация сертифицирующего компилятора

При компиляции программ, написанных на типобезопасный язык, такой как Ява, исходный код должен пройти успешную проверку типов перед компиляцией. Если проверка типа завершится неудачно, компиляция не будет выполнена, и исходный код необходимо будет изменить. Это означает, что при правильном компиляторе любой код, скомпилированный из исходной программы с успешной проверкой типов, не должен содержать недопустимых ошибок присваивания. Это информация, которая может быть полезна для потребителя кода, поскольку она дает некоторую степень гарантии того, что программа не выйдет из строя из-за какой-либо конкретной ошибки.

Цель LBS - обеспечить наличие в исходном коде определенных свойств, соответствующих политике безопасности программного обеспечения. Информация, собранная во время компиляции, может быть использована для создания сертификата, который может быть предоставлен потребителю в качестве доказательства безопасности данной программы. Такое доказательство должно предполагать, что потребитель может доверять компилятору, используемому поставщиком, и что сертификат, информация об исходном коде, может быть проверена.

На рисунке показано, как сертификация и проверка низкоуровневого кода могут быть установлены с помощью сертифицирующего компилятора. Поставщик программного обеспечения получает преимущество в том, что ему не нужно раскрывать исходный код, а потребителю остается задача проверки сертификата, что является легкой задачей по сравнению с оценкой и компиляцией самого исходного кода. Для проверки сертификата требуется только ограниченная база доверенного кода, содержащая компилятор и верификатор.

Методы

Анализ программы

Основные области применения программный анализ находятся оптимизация программы (время работы, занимаемое пространство, потребляемая мощность и т. д.) и правильность программы (ошибки, уязвимости безопасности и т. д.). Программный анализ может быть применен к компиляции (статический анализ ), время выполнения (динамический анализ ), или оба. В языковой безопасности анализ программы может предоставить несколько полезных функций, таких как: проверка типа (статические и динамические), мониторинг, проверка на заражение и анализ потока управления.

Анализ информационных потоков

Анализ информационных потоков можно описать как набор инструментов, используемых для анализа управление информационным потоком в программе, чтобы сохранить конфиденциальность и честность где регулярно контроль доступа механизмы не работают.

«Разъединяя право на доступ к информации и право на ее распространение, потоковая модель выходит за рамки модели матрицы доступа в своей способности определять безопасный информационный поток. Практическая система требует как доступа, так и управления потоком для удовлетворения всех требований безопасности».

- Д. Деннинг, 1976 г.

Контроль доступа принудительно проверяет доступ к информации, но не беспокоится о том, что произойдет после этого. Пример: в системе два пользователя, Алиса и Боб. У Алисы есть файл secret.txt, который разрешено читать и редактировать только ей, и она предпочитает держать эту информацию при себе. В системе также существует файл public.txt, который доступен для чтения и редактирования всем пользователям системы. Теперь предположим, что Алиса случайно загрузила вредоносную программу. Эта программа может получить доступ к системе как Алиса, минуя проверку контроля доступа на secret.txt. Затем вредоносная программа копирует содержимое secret.txt и помещает его в public.txt, позволяя Бобу и всем другим пользователям читать его. Это является нарушением предполагаемой политики конфиденциальности системы.

Невмешательство

Невмешательство это свойство программ, которое не дает утечку и не раскрывает информацию о переменных с выше классификация безопасности в зависимости от ввода переменных с ниже классификация безопасности. Программа, удовлетворяющая принципу невмешательства, должна давать такие же выход всякий раз, когда соответствующий тот же Вход на ниже используются переменные. Это должно выполняться для всех возможных значений на входе. Это означает, что даже если выше переменные в программе имеют разные значения от одного выполнения к другому, это не должно быть видно на ниже переменные.

Злоумышленник может попытаться выполнить программу, которая не удовлетворяет требованиям невмешательства, многократно и систематически, чтобы попытаться отобразить ее поведение. Несколько итераций могут привести к раскрытию выше переменные, и позволить злоумышленнику узнать конфиденциальную информацию, например, о состоянии системы.

Удовлетворяет ли программа невмешательству или нет, может быть оценено во время компиляции, предполагая наличие системы охранного типа.

Система охранного типа

А система охранного типа это своего рода система типов которые могут использоваться разработчиками программного обеспечения для проверки свойств безопасности своего кода. В языке с типами безопасности типы переменных и выражений относятся к политике безопасности приложения, и программисты могут иметь возможность указать политику безопасности приложения через объявления типов. Типы могут использоваться для рассуждений о различных типах политик безопасности, включая политики авторизации (как контроль доступа или возможности) и безопасность информационных потоков. Системы типов безопасности могут быть формально связаны с лежащей в основе политикой безопасности, и система типов безопасности является надежной, если все программы, которые проверяют типы, удовлетворяют политике в семантическом смысле. Например, система типов безопасности для информационного потока может обеспечить невмешательство, что означает, что проверка типов выявляет, есть ли какие-либо нарушения конфиденциальности или целостности в программе.

Защита низкоуровневого кода

Уязвимости в низкоуровневом коде - это ошибки или изъяны, которые приведут программу к состоянию, при котором дальнейшее поведение программы не определяется исходным языком программирования. Поведение низкоуровневой программы будет зависеть от деталей компилятора, исполняющей системы или операционной системы. Это позволяет злоумышленнику перевести программу в неопределенное состояние и использовать поведение системы.

Распространенные эксплойты небезопасного низкоуровневого кода позволяют злоумышленнику выполнять несанкционированное чтение или запись по адресам памяти. Адреса памяти могут быть случайными или выбранными злоумышленником.

Использование безопасных языков

Подход к достижению безопасного низкоуровневого кода заключается в использовании безопасных языков высокого уровня. Считается, что безопасный язык полностью определен в руководстве для программистов.[4] Любая ошибка, которая может привести к зависящему от реализации поведению на безопасном языке, будет либо обнаружена во время компиляции, либо приведет к четко определенному ошибочному поведению во время выполнения. В Ява, если доступ к массиву выходит за пределы, будет выброшено исключение. Примеры других безопасных языков: C #, Haskell и Scala.

Защитное исполнение небезопасных языков

Во время компиляции небезопасного языка к низкоуровневому коду добавляются проверки времени выполнения для обнаружения неопределенного поведения исходного уровня. Примером может служить использование канарейки, который может завершить программу при обнаружении нарушений границ. Обратной стороной использования проверок времени выполнения, таких как проверка границ, является то, что они накладывают значительные накладные расходы на производительность.

Защита памяти, например использование неисполняемого стека и / или кучи, также можно рассматривать как дополнительные проверки во время выполнения. Это используется многими современными операционными системами.

Изолированное исполнение модулей

Общая идея состоит в том, чтобы идентифицировать конфиденциальный код из данных приложения путем анализа исходного кода. После этого разные данные разделяются и помещаются в разные модули. Предполагая, что каждый модуль имеет полный контроль над конфиденциальной информацией, которую он содержит, можно указать, когда и как следует покинуть модуль. Примером может служить криптографический модуль, который может предотвратить выход ключей из модуля незашифрованными.

Сертификационная компиляция

Сертификационная компиляция - это идея создания сертификата во время компиляции исходного кода с использованием информации из семантики языка программирования высокого уровня. Этот сертификат должен быть приложен к скомпилированному коду, чтобы предоставить потребителю форму доказательства того, что исходный код был скомпилирован в соответствии с определенным набором правил. Сертификат можно оформить разными способами, например: через Код подтверждения (PCC) или Типизированный язык ассемблера (TAL).

Код подтверждения

Основные аспекты PCC можно резюмировать в следующих этапах:[5]

  1. Поставщик предоставляет исполняемую программу с различными аннотациями, созданными сертифицирующий составитель.
  2. Потребитель предоставляет условие проверки, основанное на политика безопасности. Это отправляется поставщику.
  3. Поставщик выполняет условие проверки в средство доказательства теорем чтобы предоставить потребителю доказательство того, что программа на самом деле удовлетворяет политике безопасности.
  4. Затем потребитель запускает доказательство в корректор для проверки действительности доказательства.

Примером сертифицирующего компилятора является Компилятор Touchstone, который обеспечивает формальное подтверждение PCC безопасности типов и памяти для программ, реализованных на Java.

Типизированный язык ассемблера

TAL применим к языкам программирования, которые используют система типов. После компиляции объектный код будет содержать аннотацию типа, которую можно проверить с помощью обычного средства проверки типов. Созданные здесь аннотации во многом похожи на аннотации, предоставленные PCC, с некоторыми ограничениями. Однако TAL может обрабатывать любую политику безопасности, которая может быть выражена ограничениями системы типов, которая может включать, среди прочего, безопасность памяти и поток управления.

Семинары

Рекомендации

  1. ^ «Можем ли мы извлечь уроки из инцидентов безопасности SCADA?» (PDF). www.oas.org. enisa.
  2. ^ «Отказ системы управления воздушным движением». www.computerworld.com. Получено 12 мая 2014.
  3. ^ «Ошибка программного обеспечения, способствующая отключению». www.securityfocus.com. Получено 11 февраля 2004.
  4. ^ Пирс, Бенджамин С. (2002). Типы и языки программирования. MIT Press. ISBN  9780262162098.
  5. ^ Козен, Декстер (1999). «Безопасность на основе языка» (PDF). Корнелл Университет. Цитировать журнал требует | журнал = (помощь)

Книги

  • Ж. Барт, Б. Грегуар, Т. Резк, Составление сертификатов, 2008
  • Брайан Чесс и Гэри МакГроу, Статический анализ для безопасности, 2004.

дальнейшее чтение