Fault InjectionFault injection is a

Fault InjectionFault injection is a technique used to improve code coverage by testing all code paths, especially error-handling code paths that may not be exercised during functional testing. In fault injection testing, errors are injected into the cloud software to simulate unintentional user errors and intentional attacks on the software through its environment, and attacks on the environment itself.Source Code Fault InjectionIn source code fault injection, the tester decides when environment faults should be triggered. The tester then “instruments” the source code by non-intrusively inserting changes into the program that reflect the changed environment data that would result from those faults.22The instrumented source code is then compiled and executed, and the tester observes how the executing software’s state changes when the instrumented portions of code are executed. This enables the tester to observe the secure and nonsecure state changes in the software resulting from changes in its environment.The tester can also analyze how the cloud software’s state changes as a result of a fault propagating through the source code. This type of analysis is typically referred to as fault propagation analysis, and involves two techniques of source code fault injection: extended propagation analysisand interface propagation analysis.96 Chapter 3 Cloud Computing Software Security FundamentalsTo prepare for fault propagation analysis, the tester must generate a fault tree from the software’s source code. To perform an extended propagation analysis, the tester injects faults into the fault tree, then traces how each injected fault propagates through the tree. This shows the impact a particular fault will have on the overall behavior of the software.Interface propagation analysis focuses on how faults are propagated through the interfaces between the component/module and other cloud application-level and environment-level components. In interface propagation analysis, the tester injects a fault into the data inputs between components, views how the resulting faults propagate, and observes whether any new anomalies result. This type of analysis enables the tester to determine how the failure of one component can affect the failure of a neighboring component, particularly important if a neighboring cloud component is of high consequence.Source code fault injection is particularly useful in detecting the following:Incorrect use of pointers and arraysUse of dangerous callsRace conditionsSource code fault injection should be performed iteratively as the software is being written. When new threats (attack types and intrusion techniques) are discovered, the source code can be re-instrumented with faults that are representative of those new threat types.Binary Fault InjectionBinary fault injection is a runtime analysis technique whereby an executing cloud application is monitored as faults are injected. By monitoring system call traces, a tester can identify the names of system calls, the parameters to each call, and the call’s return code. This enables the tester to discover the names and types of resources being accessed by the calling software, how the resources are being used, and the success or failure of each access attempt. In binary fault analysis, faults are injected into the environment resources that surround the cloud application. Environmental faults provide the tester with a number of benefits:They simulate real-world attack scenarios and can be easily automated.They simulate environment anomalies without requiring an understanding of how those anomalies actually occur in the real world. This enables fault injection by testers who do not have prior knowledge of the environment whose faults are being simulated.The tester can choose when to trigger a particular environmental fault. This avoids the problem of a full environment emulation in which the environment state when the application interacts with it may not be what is expected, or may not have the expected effect on the software’s behavior.Chapter 3 Cloud Computing Software Security Fundamentals 97It is diffi cult to predict the complex inputs the cloud software will actually receive in its target environment. Therefore, fault injection scenarios should be designed to give the tester the most complete understanding possible of the security of the behaviors, states, and properties of the software system under all possible operating conditions. Once the cloud application has been deployed to production, the tester can employ penetration testing and vulnerability scanning to provide an additional measure of the application’s security posture.Binary fault injection tools include binary fault injectors and brute-force testers. These tools should support the common functionality found in the application. For example, the commercial fault injection tool Holodeck(www.securityinnovation.com/holodeck/) is often used to simulate faults in Microsoft operating system applications. Holodeck injects faults for common functionality found in a typical Windows environment such as the following:Network— Cable disconnected, network not installed, wrong Winsock version, Winsock task limit reached, no ports available, network is downDisk— Insufficient disk space, cyclic redundancy check (CRC) errors, too many fi les open, disk is write-protected, no disk is in the driveMemory— Insufficient memory, failure to allocate, locked memoryHolodeck also supports monitoring an application to watch its interactions with the environment.Dynamic Code AnalysisDynamic code analysis examines the code as it executes in a running cloud application, with the tester tracing the external interfaces in the source code to the corresponding interactions in the executing code, so that any vulnerabilities or anomalies that arise in the executing interfaces are simultaneously located in the source code, where they can then be fixed.Unlike static analysis, dynamic analysis enables the tester to exercise the software in ways that expose vulnerabilities introduced by interactions with users and changes in the configuration or behavior of environment components. Because the software isn’t fully linked and deployed in its actual target environment, these interactions and their associated inputs and environment conditions are essentially simulated by the testing tool.An example of a dynamic code analysis toolset is the open-source Valgrind (www.valgrind.org), which is useful in detecting memory management and thread bugs. Property-Based TestingProperty-based testing is a formal analysis technique developed at the University of California at Davis.23Property-based testing validates that the software’s implemented functionality satisfies its specifications. It does this by examining 98 Chapter 3 Cloud Computing Software Security Fundamentalssecurity-relevant properties revealed by the source code, such as the absence of insecure state changes. Then these security-relevant properties in the code are compared against the software’s specification to determine whether the security assumptions have been met.
Like direct code analysis, property-based testing requires the full concentration of the tester and is a detail-oriented process. Because it requires the tester
to dedicate a significant amount of time to the code, it is often used only to
analyze code that implements high-consequence functions.
Black Box Debugging
Black box debugging
24
is a technique to monitor behaviors external to the binary
component or system while it is executing, and thereby observe the data that
passes between that component/system and external entities.
Additionally, by observing how data passes across the software’s boundary, the
analyst can also determine how externally sourced data might be manipulated
to force the software down certain execution paths, or to cause the software to
fail. This can reveal errors and failures that originate not in the cloud software
itself, but are forced by the external entities with which it interacts, or by an
incorrectly implemented API.
Interoperability Testing
Interoperability testing evaluates whether a cloud application can exchange data
(interoperate) with other components or applications. Interoperability testing
activities determine the capability of applications to exchange data via a common set of exchange formats, to read and write the same file formats, and to
communicate using the same protocols. A major goal of interoperability testing
is to detect interoperability problems between cloud software applications before
these applications are put into operation. Interoperability testing requires the
majority of the application to be completed before testing can occur.
Interoperability testing typically takes one of three approaches:
Testing all pairs— This is often conducted by a third-party independent group of testers who are knowledgeable about the interoperability
characteristics across software products and between software vendors.
Testing some of the combinations— This approach involves testing only
part of the combinations and assuming the untested combinations will also
interoperate.
Testing against a reference implementation— This approach establishes a reference implementation, e.g., using the accepted standard, and
testing all products against the reference. In a paper on metrology in
information technology, researchers in the NIST Information Technology
Laboratory state that a typical procedure used to conduct interoperability
Chapter 3 Cloud Computing Software Security Fundamentals 99
testing includes “developing a representative set of test transactions in one
software product for passage to another software product for processing
verification.”
25
One challenge in cloud software component integrati

Lỗi tiêm
tiêm Fault là một kỹ thuật được sử dụng để cải thiện mã số bảo hiểm bằng cách kiểm tra tất cả các
đường dẫn mã, đặc biệt là đường dẫn mã xử lý lỗi mà có thể không được thực hiện
trong quá trình thử nghiệm chức năng. Trong thử nghiệm tiêm lỗi, lỗi được tiêm vào
phần mềm điện toán đám mây để mô phỏng lỗi vô ý của người dùng và các cuộc tấn công có chủ ý vào
các phần mềm thông qua môi trường của nó, và các cuộc tấn công trên môi trường riêng của mình.
Source Code Fault Ép
Trong mã nguồn lỗi tiêm, các thử nghiệm sẽ quyết định khi môi trường lỗi nên
được kích hoạt. Các thử nghiệm sau đó "cụ" mã nguồn của phi intrusively
thay đổi cách chèn vào chương trình phản ánh các dữ liệu môi trường thay đổi
đó sẽ là kết quả của những lỗi lầm ấy.
22
Các mã nguồn instrumented sau đó được
biên dịch và thực thi, và thử quan sát cách các phần mềm thực hiện của
nhà nước thay đổi khi các phần instrumented mã được thực thi. Điều này cho phép
các thử nghiệm để quan sát sự thay đổi trạng thái an toàn và nonsecure trong phần mềm
kết quả từ những thay đổi trong môi trường của nó.
Các thử nghiệm cũng có thể phân tích như thế nào thay đổi trạng thái phần mềm điện toán đám mây như là một kết quả
của một lỗi tuyên truyền thông qua các mã nguồn. Kiểu phân tích này thường được
gọi là phân tích tuyên truyền lỗi, và bao gồm hai kỹ thuật của nguồn
mã lỗi tiêm:. Phân tích giao diện truyền analysisand tuyên truyền mở rộng
96 Chương 3 Cloud Computing Phần mềm bảo mật cơ bản
để chuẩn bị cho phân tích tuyên truyền lỗi, các thử nghiệm phải tạo một cây lỗi
từ mã nguồn của phần mềm. Để thực hiện một phân tích tuyên truyền mở rộng,
các thử nghiệm tiêm lỗi vào cây lỗi, sau đó dấu vết như thế nào mỗi lỗi tiêm
truyền qua cây. Điều này cho thấy tác động một lỗi cụ thể sẽ có
trên các hành vi tổng thể của phần mềm.
Phân tích Giao diện tuyên truyền tập trung vào làm thế nào lỗi được truyền thông qua
các giao diện giữa các thành phần / mô-đun và điện toán đám mây ở cấp ứng dụng khác
thành phần và môi trường cấp. Trong phân tích tuyên truyền giao diện, các thử nghiệm
tiêm một lỗi vào đầu vào dữ liệu giữa các thành phần, quan điểm như thế nào kết quả
lỗi tuyên truyền, và quan sát xem có bất kỳ dị thường mới cho kết quả. Đây là loại
phân tích cho phép thử nghiệm để xác định làm thế nào sự thất bại của một thành phần
có thể ảnh hưởng đến sự thất bại của một thành phần nước láng giềng, đặc biệt quan trọng nếu một
thành phần đám mây lân cận là hậu quả cao.
Tiêm lỗi Source code là đặc biệt hữu ích trong việc phát hiện những điều sau đây:
Incorrect sử dụng con trỏ và mảng
Use các cuộc gọi nguy hiểm
Race điều kiện
Source code lỗi, cần phải thực hiện lặp đi lặp lại như các phần mềm
đang được viết. Khi mối đe dọa (kiểu tấn công và các kỹ thuật xâm nhập) là người mới
phát hiện ra, các mã nguồn có thể được tái instrumented với những lỗi lầm đó là đại diện của các loại mối đe dọa mới.
Tiêm Fault Binary
lỗi Binary injection là một kỹ thuật phân tích thời gian chạy theo đó một đám mây thực hiện
ứng dụng được giám sát như lỗi được tiêm. Bằng cách theo dõi dấu vết cuộc gọi hệ thống,
một thử nghiệm có thể xác định được tên của các cuộc gọi hệ thống, các thông số cho mỗi cuộc gọi, và
mã trở lại của cuộc gọi. Điều này cho phép các thử nghiệm để khám phá ra những cái tên và các loại
tài nguyên được truy cập bởi các phần mềm gọi điện thoại, làm thế nào các tài nguyên đang được
sử dụng, và sự thành công hay thất bại của mỗi cố gắng truy cập. Trong phân tích lỗi nhị phân,
lỗi được tiêm vào các nguồn tài nguyên môi trường bao quanh các đám mây
ứng dụng. Lỗi môi trường cung cấp các thiết bị kiểm tra một số lợi ích:
They mô phỏng các tình huống tấn công thực tế và có thể dễ dàng tự động.
They mô phỏng môi trường dị thường mà không đòi hỏi một sự hiểu biết
làm thế nào những bất thường thực sự xảy ra trong thế giới thực. Điều này cho phép lỗi
tiêm bằng cách thử những người không có kiến thức về môi trường
mà lỗi được mô phỏng.
The thử nghiệm có thể chọn khi nào để kích hoạt một lỗi môi trường cụ thể.
Điều này tránh các vấn đề của một thi đua toàn môi trường trong đó các
trạng thái môi trường khi ứng dụng tương tác với nó có thể không phải là những gì
được mong đợi, hoặc có thể không có hiệu quả dự kiến về hành vi của phần mềm.
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 97
Nó là sùng bái diffi để dự đoán các yếu tố đầu vào độ phức tạp của phần mềm điện toán đám mây sẽ thực sự
nhận được trong mục tiêu môi trường. Vì vậy, kịch bản tiêm lỗi nên được
thiết kế để cung cấp cho các thử nghiệm sự hiểu biết đầy đủ nhất có thể có của các
an ninh của các hành vi, tiểu bang, và các đặc tính của hệ thống phần mềm theo
tất cả các điều kiện hoạt động tốt. Một khi ứng dụng điện toán đám mây đã được triển khai
để sản xuất, thử nghiệm có thể sử dụng thử nghiệm thâm nhập và quét lỗ hổng để cung cấp một phương pháp đánh giá tình trạng bảo mật của ứng dụng.
Cụ tiêm lỗi nhị phân bao gồm kim phun lỗi nhị phân và brute-lực lượng
kiểm tra. Những công cụ này sẽ hỗ trợ các chức năng thường thấy trong
các ứng dụng. Ví dụ, các công cụ tiêm lỗi thương mại Holodeck
(www.securityinnovation.com/holodeck/) thường được sử dụng để mô phỏng lỗi trong
ứng dụng hệ điều hành Microsoft. Holodeck tiêm lỗi cho phổ biến
chức năng tìm thấy trong môi trường Windows điển hình như sau:
Network- cáp bị ngắt kết nối, mạng không được cài đặt sẵn, Winsock sai
phiên bản, Winsock giới hạn nhiệm vụ đạt được, không có cổng có sẵn, mạng bị ngắt
không gian đĩa Disk- đủ, (cyclic redundancy check CRC) lỗi, quá
nhiều fi les mở, đĩa được ghi-bảo vệ, không có đĩa trong ổ
Memory- đủ bộ nhớ, thất bại để phân bổ, khóa bộ nhớ
Holodeck cũng hỗ trợ một ứng dụng giám sát để xem sự tương tác của nó
với môi trường.
Năng động Mã Phân tích
phân tích mã động kiểm tra các mã như nó thực hiện trong một đám mây chạy
ứng dụng, với các thử nghiệm truy tìm các giao diện bên ngoài trong mã nguồn để
tương tác tương ứng trong mã thực hiện, do đó bất kỳ lỗ hổng
hoặc bất thường phát sinh trong giao diện thực hiện được đồng thời nằm
trong các mã nguồn, nơi họ có thể được cố định.
Không giống như các phân tích tĩnh, phân tích năng động cho phép các thử nghiệm để thực hiện các
phần mềm theo những cách mà phơi bày lỗ hổng được giới thiệu bởi các tương tác với
người sử dụng và những thay đổi trong cấu hình hoặc hành vi của các thành phần môi trường . Bởi vì phần mềm không liên quan đầy đủ và triển khai trong các mục tiêu thực tế của nó
môi trường, những tương tác và đầu vào liên quan của họ và môi trường
điều kiện về cơ bản được mô phỏng bằng các công cụ kiểm tra.
Một ví dụ về một công cụ phân tích mã năng động là mã nguồn mở Valgrind
(www. valgrind.org), đó là hữu ích trong việc phát hiện và quản lý bộ nhớ
Chủ đề lỗi.
Property-Based Testing
kiểm tra tài sản dựa trên là một kỹ thuật phân tích chính thức được phát triển tại Đại học
California ở Davis.
23
kiểm tra tài sản dựa trên xác nhận rằng của phần mềm
đáp ứng chức năng thực hiện thông số kỹ thuật của nó. Nó làm điều này bằng cách kiểm tra
98 Chương 3 Cloud Phần mềm máy tính an ninh cơ bản
tài sản bảo đảm có liên quan tiết lộ bởi các mã nguồn, chẳng hạn như sự vắng mặt của
nhà nước thay đổi không an toàn. Sau đó, các tài sản bảo đảm có liên quan trong các mã được
so sánh với đặc điểm kỹ thuật của phần mềm để xác định xem sự an toàn
giả thiết này đã được đáp ứng.
Giống như phân tích mã trực tiếp, kiểm tra tài sản dựa trên đòi hỏi sự tập trung cao độ của các thử nghiệm và là một quá trình chi tiết theo định hướng. Bởi vì nó đòi hỏi người thử
để dành một số lượng đáng kể thời gian để mã, nó thường chỉ được sử dụng để
phân tích mã thực hiện chức năng hậu quả cao.
Black Box Debugging
Đen hộp gỡ lỗi
24
là một kỹ thuật để giám sát các hành vi bên ngoài để các nhị phân
thành phần hoặc hệ thống trong khi nó được thực hiện, và do đó quan sát các dữ liệu mà
đi giữa các thành phần / hệ thống và thực thể bên ngoài.
Ngoài ra, bằng cách quan sát như thế nào dữ liệu đi qua ranh giới của phần mềm, các
nhà phân tích cũng có thể xác định như thế nào bên ngoài nguồn dữ liệu có thể được thao tác
để buộc các phần mềm xuống đường dẫn thực thi nhất định, hoặc gây ra các phần mềm để
thất bại. Điều này có thể tiết lộ lỗi và thất bại mà không có nguồn gốc trong phần mềm điện toán đám mây
riêng của mình, nhưng buộc bởi các thực thể bên ngoài mà nó tương tác, hoặc bằng một
API thực hiện không chính xác.
Interoperability Testing
thử nghiệm Khả năng cộng tác đánh giá xem liệu một ứng dụng điện toán đám mây có thể trao đổi dữ liệu
(tương thích) với các thành phần khác hoặc các ứng dụng. Thử nghiệm khả năng
hoạt động xác định khả năng của các ứng dụng để trao đổi dữ liệu thông qua một tập hợp chung của các định dạng trao đổi, để đọc và ghi các định dạng tập tin tương tự, và để
giao tiếp bằng cách sử dụng giao thức tương tự. Một mục tiêu quan trọng của thử nghiệm khả năng
là để phát hiện các vấn đề khả năng tương tác giữa các ứng dụng phần mềm điện toán đám mây trước khi
các ứng dụng này được đưa vào hoạt động. Thử nghiệm khả năng đòi hỏi
đa số các ứng dụng sẽ được hoàn thành trước khi thử nghiệm có thể xảy ra.
Thử nghiệm khả năng tương tác thường mất một trong ba phương pháp:
Testing tất cả pairs- này thường được tiến hành bởi một nhóm độc lập của bên thứ ba của người thử những người có hiểu biết về khả năng tương tác
đặc giữa các sản phẩm phần mềm và giữa các nhà cung cấp phần mềm.
Testing một số các phương pháp tiếp cận combinations- này liên quan đến kiểm tra chỉ
là một phần của tổ hợp và giả định rằng sự kết hợp chưa được kiểm tra cũng sẽ
tương thích.
Testing chống lại một tham chiếu implementation- cách tiếp cận này thiết lập một thực hiện tham chiếu, ví dụ, bằng cách sử dụng các tiêu chuẩn được chấp nhận, và
thử nghiệm tất cả các sản phẩm so với tham chiếu. Trong một bài báo về đo lường trong
công nghệ thông tin, các nhà nghiên cứu trong Công nghệ Thông tin NIST
nhà nước trong phòng thí nghiệm mà một qui trình điển hình được sử dụng để tiến hành các khả năng tương tác
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 99
thử nghiệm bao gồm "phát triển một tập hợp đại diện giao dịch thử nghiệm trong một
sản phẩm phần mềm cho đoạn văn để một sản phẩm phần mềm để xử lý
xác minh ".
25
Một thách thức trong integrati thành phần phần mềm điện toán đám mây