漏洞討論

與整體安全目標(biāo)的更好連接需要更復(fù)雜的規(guī)范

我們已將實(shí)施漏洞歸類為違反軟件組件的特定部分規(guī)范。但是，與整個(gè)軟件系統(tǒng)的安全目標(biāo)的連接很弱。軟件系統(tǒng)完全有可能存在實(shí)現(xiàn)漏洞，但無(wú)法利用該漏洞來(lái)破壞系統(tǒng)的安全目標(biāo)，例如，因?yàn)橄到y(tǒng)中的其他地方有多余的對(duì)策。更重要的是，如果一個(gè)軟件系統(tǒng)沒(méi)有任何我們討論的實(shí)現(xiàn)漏洞，它仍然可能無(wú)法實(shí)現(xiàn)其安全目標(biāo)。

為了更好地保證軟件系統(tǒng)滿足安全目標(biāo)，可以將安全目標(biāo)正式化為規(guī)范。在設(shè)計(jì)階段，在子組件中分解系統(tǒng)時(shí)，應(yīng)指定子組件的行為 

這樣它們共同暗示了整個(gè)系統(tǒng)的規(guī)范。通過(guò)這樣的設(shè)計(jì)，一方面是違反規(guī)范的實(shí)現(xiàn)漏洞與系統(tǒng)的整體安全目標(biāo)之間的聯(lián)系另一方面，要強(qiáng)大得多。

但是，重要的是要注意，在這種情況下，規(guī)范將變得更加復(fù)雜和特定于域。我們討論一個(gè)額外復(fù)雜性的例證。對(duì)于我們討論的漏洞類別（內(nèi)存管理、結(jié)構(gòu)化輸出生成、競(jìng)爭(zhēng)條件和API漏洞），相應(yīng)的規(guī)范表達(dá)了軟件單次執(zhí)行的屬性：給定的執(zhí)行滿足或違反規(guī)范，一旦存在違反規(guī)范的執(zhí)行，軟件就會(huì)出現(xiàn)漏洞。規(guī)范。

但是，有些軟件安全目標(biāo)不能表示為單個(gè)執(zhí)行跟蹤的屬性。這種安全目標(biāo)的一個(gè)廣泛研究的例子是信息流安全。確定性順序程序的此安全目標(biāo)的基線規(guī)范如下：將程序的輸入和輸出標(biāo)記為公共或機(jī)密，然后要求軟件沒(méi)有兩次執(zhí)行相同的公共輸入（但不同的機(jī)密輸入）具有不同的公共輸出。查看執(zhí)行對(duì)的直覺(jué)如下：程序可能不會(huì)直接泄露機(jī)密數(shù)據(jù)，而是泄露有關(guān)此數(shù)據(jù)的一些部分信息。如果通過(guò)多次運(yùn)行收集，攻擊者可以收集如此多的信息，以至于最終機(jī)密原始數(shù)據(jù)的相關(guān)部分實(shí)際上被泄露。上述規(guī)范有效地要求機(jī)密輸入永遠(yuǎn)不會(huì)以任何方式影響公共輸出，因此不能泄露甚至部分信息。以雙重方式，可以通過(guò)要求低完整性輸入不會(huì)影響高完整性輸出來(lái)表達(dá)完整性目標(biāo)。

但是，信息流規(guī)范比我們?cè)谇懊娌糠种杏懻摰囊?guī)范更復(fù)雜，因?yàn)樾枰獌纱螆?zhí)行才能顯示違反規(guī)范的情況。信息泄露漏洞違反了（面向機(jī)密性的）信息流策略。它們也可以理解為違反規(guī)范，但現(xiàn)在這是一個(gè)談?wù)撥浖到y(tǒng)多次執(zhí)行的規(guī)范。這對(duì)制定解決這些漏洞的對(duì)策產(chǎn)生了深遠(yuǎn)的影響[12]。

側(cè)信道漏洞不同

根據(jù)定義，側(cè)信道漏洞并不違反軟件源代碼抽象級(jí)別的規(guī)范：它們本質(zhì)上使用源代碼抽象的效果。但是，如果開發(fā)的軟件執(zhí)行基礎(chǔ)結(jié)構(gòu)模型足夠詳細(xì)，可以模擬側(cè)信道攻擊，那么側(cè)信道漏洞可以再次被理解為違反部分規(guī)范?？梢酝ㄟ^(guò)為執(zhí)行基礎(chǔ)結(jié)構(gòu)提供規(guī)范來(lái)選擇在執(zhí)行基礎(chǔ)結(jié)構(gòu)中定位漏洞，該規(guī)范指出它不應(yīng)引入其他通信機(jī)制。這基本上是完全抽象理論[13]所要求的?；蛘?，可以改進(jìn)源代碼語(yǔ)言的模型，以暴露特定側(cè)信道攻擊中使用的效果，從而可以在源代碼級(jí)別表達(dá)側(cè)信道漏洞。處理一般軟件側(cè)信道漏洞尚未得到很好的理解，也沒(méi)有普遍適用的現(xiàn)實(shí)對(duì)策。當(dāng)然，可以隔離執(zhí)行，即防止在同一硬件上并發(fā)執(zhí)行，但這與其他目標(biāo)（例如優(yōu)化硬件利用率）相矛盾。 

漏洞作為故障

通過(guò)漏洞違反的規(guī)范對(duì)漏洞進(jìn)行分類對(duì)于理解相關(guān)的漏洞類別很有用，但并不是一個(gè)完整的分類法：有大量的軟件部分規(guī)范有助于實(shí)現(xiàn)某些安全目標(biāo)的系統(tǒng)。然而，漏洞可以被視為故障概念的一個(gè)實(shí)例，在可靠計(jì)算領(lǐng)域進(jìn)行了研究，并且在該領(lǐng)域已經(jīng)開發(fā)了良好的故障分類法[14]。