【课程笔记】南大软件分析课程9——污点分析（课时13）

目录：

1. 信息流安全

2. 保密性和完整性

3. 显示流和隐藏信道-Explicit Flows and Covert Channels

4. 污点分析

重点：

显示流和隐藏信道，使用污点分析来检测信息流漏洞。

1.信息流安全

访问控制：关注信息访问。

信息流安全：关注信息传播。

信息流：x->y表示x的值流向y。

信息等级：对不同变量进行分级，即安全等级，H-高密级，L-低密级。

安全策略：非干涉策略，高密级变量H的信息不能影响（流向）低密级变量L。

2.保密性和完整性

保密性—信息泄露，读保护；完整性—信息篡改，写保护。

完整性错误类型：命令注入、SQL注入、XSS攻击、... 。都属于注入错误。

完整性更宽泛的定义：准确性、完整性、一致性。准确性表示关键数据不被不可信数据破坏；完整性表示系统存储了所有的数据；一致性表示发送的数据和接收的数据是一致的。

3.显示流和隐藏信道-Explicit Flows and Covert Channels

显示流：直接的数值传递。由于显示流能泄露更多信息，所以本课程关注显示流的信息泄露。

隐式信息流—侧信道：程序可能会以一些意想不到的方式泄露数据。

// Eg1 隐式流
if (secret_H < 0) 
  public_L = 1; 
else Public_L = 0;
// Eg2 终止信道
while(secret_H < 0) { ... };
// Eg3 时间信道
if (secret_H < 0)
  for (int i = 0; i< 1000000; ++i) { ... };
// Eg4 异常
if (secret_H < 0)
  throw new Exception("...");
// Eg5 如果访问数组越界，则可以推断secret可以为负数
int sa_H[] = getSecretArray();
sa_H[secret_H] = 0;

covert channels：信道指的是传递信息的机制，原本目的不是为了传递信息的信道。

4.污点分析

说明：使用最广的信息流分析技术，需将程序数据分为两类，把感兴趣的数据标记为污点数据。

（1）概念

Sources & Sink：Sources是污点数据的源，一般是有些函数的返回值，如read()；Sink是特定的程序点，某些敏感函数。

保密性：Source是秘密数据，sink是泄露点，信息泄露漏洞。

x = getPassword(); // source 
y = x;
log(y); // sink

完整性：Source是不可信数据，Sink是关键计算，注入漏洞。

x = readInput(); // source 
cmd = "..." + x; 
execute(cmd); // sink

（2）污点分析

定义：关注的是，污点数据是否能流向sink点。或者说，sink点处的指针指向哪些污点数据。

TA/PTA对比：污点分析与指针分析，一个是污点数据的流向，一个是抽象对象的流向。可把污点数据看作是对象，source看作allocation-site，借助指针分析来实现污点分析。

标记：t_i表示调用点i返回的污点数据，指针集就包含普通对象+污点数据。

9-1-标记.png

输入：source（返回污点数据的函数），sink（违反安全规则的函数）

输出：TaintFlows—i, m>，表示t_i这个污点数据会流向m函数，污点数据和sink函数这个pair的集合就是TaintFlows。

规则：主要规则不变，关键是Sources和Sink调用的处理。

• Sources：对于产生污点源的函数调用m，将返回值标记为污点值t_l，并更新接收变量r的指向。
• Sink：对于Sink函数调用m，若所传参数的指向集包含污点t_j，则将j, m>加入TaintFlows。
  
  9-2-Source&Sink规则.png

9-3-污点传播规则.png

示例：第3行产生新对象o₁₁的同时，产生的污点数据t₃；最终指针分析发现，t₃会流向sink函数log()。

9-4-污点传播示例.png

---

问答：

实现分析器用到：分析Java用Soot/WALA；分析C++用LLVM；有的用Datalog实现分析器（如DOOP分析框架）。

隐藏信道的论文：Implicit Flows: Can’t Live With ‘Em, Can’t Live Without ‘Em

LLVM指针分析工具：SVF