inser ng inten onal bugs for model checking assurance
play

Inser&ng Inten&onal Bugs for Model Checking Assurance - PowerPoint PPT Presentation

Aug 29, 2023 •23 likes •163 views

Inser&ng Inten&onal Bugs for Model Checking Assurance Thomas L. Rodeheffer and Ramakrishna Kotla Microso? Research, Silicon Valley The Problem

  1. Inser&ng ¡Inten&onal ¡Bugs ¡for ¡ Model ¡Checking ¡Assurance ¡ Thomas ¡L. ¡Rodeheffer ¡and ¡ Ramakrishna ¡Kotla ¡ Microso? ¡Research, ¡Silicon ¡Valley ¡

  2. The ¡Problem ¡ • Complicated ¡protocol ¡(“Pasture”) ¡ TPM ¡ On-­‑line ¡ Create ¡hidden ¡ exchange ¡ decryp&on ¡key ¡ Decide ¡later ¡ Access ¡key ¡ Read ¡message ¡ Revoke ¡key ¡and ¡ Delete ¡message ¡ generate ¡proof ¡ without ¡reading ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 2 ¡

  3. The ¡Problem ¡ • Complicated ¡protocol ¡(“Pasture”) ¡ • Important ¡safety ¡proper&es ¡ TPM ¡ On-­‑line ¡ Create ¡hidden ¡ exchange ¡ decryp&on ¡key ¡ Decide ¡later ¡ Mechanism: ¡ append-­‑only ¡log ¡ Access ¡key ¡ of ¡decisions ¡ Revoke ¡key ¡and ¡ generate ¡proof ¡ Safety: ¡never ¡both ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 3 ¡

  4. The ¡Problem ¡ • Complicated ¡protocol ¡(“Pasture”) ¡ • Important ¡safety ¡proper&es ¡ • Adversarial ¡seSng ¡ TPM ¡ On-­‑line ¡ Create ¡hidden ¡ exchange ¡ decryp&on ¡key ¡ Decide ¡later ¡ Mechanism: ¡ append-­‑only ¡log ¡ Access ¡key ¡ of ¡decisions ¡ Revoke ¡key ¡and ¡ generate ¡proof ¡ Safety: ¡never ¡both ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 4 ¡

  5. The ¡Solu&on ¡ • Complicated ¡protocol ¡(“Pasture”) ¡ • Important ¡safety ¡proper&es ¡ • Adversarial ¡seSng ¡ • Solu&on: ¡Use ¡formal ¡methods ¡ ¡ § Specifica&on ¡– ¡ is ¡it ¡correct? ¡ § Model ¡checking ¡– ¡ was ¡it ¡enough? ¡ § Formal ¡proof ¡– ¡ too ¡hard? ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 5 ¡

  6. What ¡we ¡did ¡for ¡Pasture ¡ Proof ¡ Understanding ¡ Iden&cal ¡logic ¡but ¡ sketch ¡ the ¡results ¡ tons ¡more ¡detail ¡ Model ¡ checked ¡ TLA+ ¡spec ¡ TLA+ ¡proof ¡ checking ¡ (19 ¡pp) ¡ (68 ¡pp) ¡ results ¡ Write ¡proof ¡ (CPU ¡months) ¡ (2 ¡weeks) ¡ state, ¡ac&ons, ¡invariants ¡ invariants ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 6 ¡

  7. Pre_y ¡sure ¡it ¡is ¡correct ¡ Proof ¡ sketch ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 7 ¡

  8. Pre_y ¡sure ¡we ¡covered ¡everything ¡ Proof ¡ sketch ¡ TLA+ ¡spec ¡ (19 ¡pp) ¡ state, ¡ac&ons, ¡invariants ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 8 ¡

  9. Model ¡checking ¡– ¡was ¡it ¡enough? ¡ Proof ¡ sketch ¡ Several ¡CPU ¡months ¡later… ¡ TLA+ ¡spec ¡ “no ¡errors ¡found” ¡ ¡ (19 ¡pp) ¡ state, ¡ac&ons, ¡invariants ¡ Cannot ¡model ¡check ¡any ¡larger ¡configura&ons ¡using ¡TLC ¡ because ¡such ¡configura&ons ¡have ¡more ¡than ¡2 32 ¡dis&nct ¡ states ¡– ¡making ¡state ¡fingerprint ¡collision ¡a ¡near ¡certainty. ¡ ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 9 ¡

  10. Insert ¡some ¡inten&onal ¡bugs ¡ Easy ¡methodology: ¡ ¡Find ¡an ¡ac<on ¡ that ¡seems ¡important ¡and ¡omit ¡it ¡ Proof ¡ sketch ¡ Several ¡CPU ¡months ¡later… ¡ TLA+ ¡spec ¡ “no ¡errors ¡found” ¡ ¡ (19 ¡pp) ¡ state, ¡ac&ons, ¡invariants ¡ A ¡few ¡CPU ¡minutes… ¡ + ¡inten<onal ¡bugs ¡ Bug1 ¡viola>on ¡example ¡ Bug2 ¡viola>on ¡example ¡ Bug3 ¡viola>on ¡example ¡ TLA+ ¡spec ¡ … ¡… ¡ Bug12 ¡viola>on ¡example ¡ (19 ¡pp) ¡ Bug13 ¡viola>on ¡example ¡ Bug14 ¡no ¡error ¡ Bug15 ¡no ¡error ¡ Bug16 ¡no ¡error ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 10 ¡

  11. Not ¡all ¡bugs ¡violate ¡safety ¡ Proof ¡ sketch ¡ Several ¡CPU ¡months ¡later… ¡ TLA+ ¡spec ¡ “no ¡errors ¡found” ¡ ¡ (19 ¡pp) ¡ state, ¡ac&ons, ¡invariants ¡ AEer ¡analysis: ¡ A ¡few ¡CPU ¡minutes… ¡ + ¡inten<onal ¡bugs ¡ these ¡bugs ¡ Bug1 ¡viola>on ¡example ¡ happen ¡not ¡to ¡ Bug2 ¡viola>on ¡example ¡ Bug3 ¡viola>on ¡example ¡ violate ¡safety ¡ TLA+ ¡spec ¡ … ¡… ¡ Bug12 ¡viola>on ¡example ¡ (19 ¡pp) ¡ Bug13 ¡viola>on ¡example ¡ Bug14 ¡no ¡error ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡violates ¡liveness ¡ Bug15 ¡no ¡error ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡violates ¡append-­‑only ¡log ¡ Bug16 ¡no ¡error ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡-­‑ ¡violates ¡append-­‑only ¡log ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 11 ¡

  12. Now ¡write ¡the ¡formal ¡proof ¡ Proof ¡ Understanding ¡ Iden&cal ¡logic ¡but ¡ sketch ¡ the ¡results ¡ tons ¡more ¡detail ¡ Model ¡ checked ¡ TLA+ ¡spec ¡ TLA+ ¡proof ¡ checking ¡ (19 ¡pp) ¡ (68 ¡pp) ¡ results ¡ Write ¡proof ¡ (CPU ¡months) ¡ (2 ¡weeks) ¡ state, ¡ac&ons, ¡invariants ¡ invariants ¡ Proof ¡does ¡not ¡permit ¡the ¡ append-­‑only ¡log ¡viola<on ¡bugs. ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 12 ¡

  13. Include ¡a ¡slight ¡op&miza&on ¡ Proof ¡ Understanding ¡ Iden&cal ¡logic ¡but ¡ sketch ¡ the ¡results ¡ tons ¡more ¡detail ¡ Model ¡ checked ¡ TLA+ ¡spec ¡ TLA+ ¡proof ¡ checking ¡ (19 ¡pp) ¡ (68 ¡pp) ¡ results ¡ Write ¡proof ¡ (CPU ¡months) ¡ (2 ¡weeks) ¡ state, ¡ac&ons, ¡invariants ¡ invariants ¡ Revise ¡proof ¡ Slightly ¡op&mize ¡ (2 ¡hours) ¡ implementa&on ¡ Modified ¡ Modified ¡ checked ¡ TLA+ ¡spec ¡ TLA+ ¡proof ¡ (17 ¡pp) ¡ (64 ¡pp) ¡ state, ¡ac&ons, ¡invariants ¡ invariants ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 13 ¡

  14. Conclusions ¡ • Proof ¡sketch ¡was ¡valuable ¡ • Helped ¡understand ¡model ¡results ¡ • Guided ¡formal ¡proof ¡ ¡ • Assurance ¡via ¡inten&onal ¡bugs ¡before ¡proof ¡ • Be_er ¡to ¡specify ¡the ¡actual ¡invariant, ¡ not ¡the ¡(stronger) ¡proof ¡invariant ¡ ¡ • Amazingly ¡easy ¡to ¡create ¡proof ¡for ¡ slightly ¡modified ¡specifica&on ¡ ¡ invariants ¡ August ¡20, ¡2012 ¡ Inser&ng ¡Inten&onal ¡Bugs ¡for ¡Model ¡Checking ¡Assurance ¡ 14 ¡

Recommend

Introduction to Model Checking Debdeep Mukhopadhyay IIT Madras How good can you fight bugs?

Introduction to Model Checking Debdeep Mukhopadhyay IIT Madras How good can you fight bugs?

Introduction to Model Checking Debdeep Mukhopadhyay IIT Madras How good can you fight bugs? Comprising of three parts Formal Verification techniques consist of three parts: 1. A framework for modeling systems some kind of

799 views • 53 slides
Session 13 INFM 603 Bugs, process, assurance Software assurance: quality assurance for

Session 13 INFM 603 Bugs, process, assurance Software assurance: quality assurance for

Software Assurance Session 13 INFM 603 Bugs, process, assurance Software assurance: quality assurance for software Particularly assurance of security Bad (buggy, insecure software) comes not from discrete, unpredictable,

561 views • 18 slides
Finding and Understanding Bugs in Software Model Checkers Chengyu Zhang , Ting Su, Yichen Yan,

Finding and Understanding Bugs in Software Model Checkers Chengyu Zhang , Ting Su, Yichen Yan,

Finding and Understanding Bugs in Software Model Checkers Chengyu Zhang , Ting Su, Yichen Yan, Fuyuan Zhang, Geguang Pu, Zhendong Su Software Model Checking 2 Software Model Checking P 3 Software Model Checking P 4 Software

1.41k views • 114 slides
Statistical Statistical Statistical Model Statistical Model Model Checking Model Checking

Statistical Statistical Statistical Model Statistical Model Model Checking Model Checking

Statistical Statistical Statistical Model Statistical Model Model Checking Model Checking Checking Checking for Timed Automata Timed Automata Coll C l C ll b llabora orators: t ors: Peter Bulychev, Alexandre David Axel Legay, Marius

725 views • 59 slides
Hoare Logic and Model Checking Model Checking Lecture 11: Model checking for Computation Tree

Hoare Logic and Model Checking Model Checking Lecture 11: Model checking for Computation Tree

Hoare Logic and Model Checking Model Checking Lecture 11: Model checking for Computation Tree Logic Dominic Mulligan Based on previous slides by Alan Mycroft and Mike Gordon Programming, Logic, and Semantics Group University of Cambridge

402 views • 25 slides
Model-Checking Acknowledgment Formal Verification Formal verification means to apply

Model-Checking Acknowledgment Formal Verification Formal verification means to apply

Model-Checking Acknowledgment Formal Verification Formal verification means to apply mathematical arguments to prove the correctness of systems Systems have bugs Formal verification aims to find and correct such bugs Why? Computer systems

1.42k views • 122 slides
Lecture 4-5 : Types Dont prove correctness: just find bugs .. - model checking - light

Lecture 4-5 : Types Dont prove correctness: just find bugs .. - model checking - light

CS6202: Advanced Topics in Rise of Lightweight Formal Methods Rise of Lightweight Formal Methods Programming Languages and Systems Lecture 4-5 : Types Dont prove correctness: just find bugs .. - model checking - light specification and

615 views • 24 slides
Bounded Model Checking bmc Revision: 1.11 1 [BiereCimattiClarkeZhu99] uses SAT for model

Bounded Model Checking bmc Revision: 1.11 1 [BiereCimattiClarkeZhu99] uses SAT for model

Bounded Model Checking bmc Revision: 1.11 1 [BiereCimattiClarkeZhu99] uses SAT for model checking historically not the first symbolic model checking approach scales better than original BDD based techniques mostly incomplete in

521 views • 28 slides
CTL Chapter 6 Part 2 Overview Review CTL Model Checking CTL model Checking algorithms

CTL Chapter 6 Part 2 Overview Review CTL Model Checking CTL model Checking algorithms

CTL Chapter 6 Part 2 Overview Review CTL Model Checking CTL model Checking algorithms for ( U ) Counter Examples and witnesses Symbolic Model Checking (Thursday) Binary Decision Trees

740 views • 40 slides
Hoare Logic and Model Checking Model Checking But perhaps theres a clever way of

Hoare Logic and Model Checking Model Checking But perhaps theres a clever way of

Hoare Logic and Model Checking Model Checking But perhaps theres a clever way of compiling one into the other? Both have very different models of time How do they compare? We have seen two widely used temporal logics Relative

510 views • 10 slides
Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL

Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL

Hoare Logic and Model Checking 1. You should be able to model simple systems in NuSMV, an LTL Other interesting books: Model Checking by Clarke, Grumberg, and Peled Principles of Model Checking by Baier and Katoen 3 Course

636 views • 11 slides
Instruc)onal Considera)ons and Strategies for Suppor)ng ELL

Instruc)onal Considera)ons and Strategies for Suppor)ng ELL

Instruc)onal Considera)ons and Strategies for Suppor)ng ELL Learners Tony Carrigan and Daphne McMillan CAPS-I Conference 2019 Inten)ons for Today

616 views • 30 slides
Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and

Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and

Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and Extensible Model Checking Framework a Modular and Extensible Model Checking Framework 3rd Estonian Summer School in Computer and System Science

777 views • 31 slides
Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and

Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and

Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and Extensible Model Checking Framework a Modular and Extensible Model Checking Framework 3rd Estonian Summer School in Computer and System Science

628 views • 34 slides
Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and

Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and

Software Model Checking Using Bogor Software Model Checking Using Bogor a Modular and Extensible Model Checking Framework a Modular and Extensible Model Checking Framework 3rd Estonian Summer School in Computer and System Science

301 views • 8 slides
Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is

Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is

Modeling and Analyzing Concurrent Systems using Model Checking Robert B. France 1 What is Model Checking? Model checking is an automated technique that, given a finite-state model of a system and a logical property , systematically

484 views • 36 slides
Automated Reasoning LTL Model Checking Alan Bundy Automated Reasoning LTL Model Checking

Automated Reasoning LTL Model Checking Alan Bundy Automated Reasoning LTL Model Checking

Automated Reasoning LTL Model Checking Alan Bundy Automated Reasoning LTL Model Checking Lecture 9, page 1 Introduction So far we have looked at theorem proving Powerful, especially where good sets of rewrite rules or decision procedures

639 views • 26 slides
Model Checking: the Interval Way Alberto Molinari ( j.w. with L. Bozzelli, A. Montanari, A. Peron,

Model Checking: the Interval Way Alberto Molinari ( j.w. with L. Bozzelli, A. Montanari, A. Peron,

Model Checking: the Interval Way Alberto Molinari ( j.w. with L. Bozzelli, A. Montanari, A. Peron, P. Sala ) University of Udine Department of Mathematics, Computer Science, and Physics (DMIF) July 27, 2018 MODEL CHECKING Model checking : the

701 views • 38 slides
Hoare Logic and Model Checking Model Checking Lecture 7: Introduction and background Dominic

Hoare Logic and Model Checking Model Checking Lecture 7: Introduction and background Dominic

Hoare Logic and Model Checking Model Checking Lecture 7: Introduction and background Dominic Mulligan Based on previous slides by Alan Mycroft and Mike Gordon Programming, Logic, and Semantics Group, University of Cambridge Academic year

972 views • 41 slides
Hoare Logic and Model Checking Model Checking See NuSMV homepage to download: http://nusmv.fbk.eu/

Hoare Logic and Model Checking Model Checking See NuSMV homepage to download: http://nusmv.fbk.eu/

Hoare Logic and Model Checking Model Checking See NuSMV homepage to download: http://nusmv.fbk.eu/ Was popular in semiconductor industry via Cadence SMV Could handle large models A re-implementation of the SMV model checker: Good

110 views • 10 slides
Probabilisti tic Model Checking in Practi tice Dave Parker Oxford University

Probabilisti tic Model Checking in Practi tice Dave Parker Oxford University

Probabilisti tic Model Checking in Practi tice Dave Parker Oxford University Computing Laboratory Quantitative Model Checking PhD School, Copenhagen, March 2010 Overview Tool support for probabilistic model checking The PRISM

317 views • 14 slides
Hoare Logic and Model Checking Model Checking Lecture 10: Computation Tree Logic (CTL) Dominic

Hoare Logic and Model Checking Model Checking Lecture 10: Computation Tree Logic (CTL) Dominic

Hoare Logic and Model Checking Model Checking Lecture 10: Computation Tree Logic (CTL) Dominic Mulligan Based on previous slides by Alan Mycroft and Mike Gordon Programming, Logic, and Semantics Group University of Cambridge Academic year

1.15k views • 48 slides
Defect Detection Thomas Zimmermann The First Bug September 9, 1947 More Bugs More Bugs More

Defect Detection Thomas Zimmermann The First Bug September 9, 1947 More Bugs More Bugs More

Defect Detection Thomas Zimmermann The First Bug September 9, 1947 More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs More Bugs Facts on Debugging Software bugs are

840 views • 63 slides
Towards efficient model checking for variants of ATL under different semantics Wojciech Penczek

Towards efficient model checking for variants of ATL under different semantics Wojciech Penczek

Specification of Strategic Abilities in ATL* Model checking Multi-Valued ATL* Partial order reductions for sATL* Simpler strategies for Timed ATL Conclusions Towards efficient model checking for variants of ATL under different semantics

1.1k views • 88 slides

More recommend