Vulnerability Assessment for Complex Middleware Interrelationships in Distributed Systems

Autor/a

Serrano Latorre, Jairo D.

Director/a

Heymann Pignolo, Elisa

César Galobardes, Eduardo

Data de defensa

2013-11-08

ISBN

9788449040696

Dipòsit Legal

B-4492-2014

Pàgines

161 p.



Departament/Institut

Universitat Autònoma de Barcelona. Departament d'Arquitectura de Computadors i Sistemes Operatius

Resum

La rápida adaptación de la computación Cloud, ha llevado a un incremento veloz en la tasa de amenazas de las tecnologías de la información. El objetivo de estas nuevas amenazas cubren desde sistemas distribuidos a gran escala, tal como el Gran Colisionador de Partículas del CERN, hasta sistemas industriales (plantas nucleares, de electricidad, petróleo, etc.) distribuidos, es decir sistemas interconectados SCADA El uso de herramientas automáticas para el análisis de vulnerabilidades es realmente atractivo, pero mientras que estas herramientas pueden encontrar problemas comunes en el código fuente de un programa, estas no detectan un número significativo de vulnerabilidades críticas y complejas. Además, los sistemas middleware de los sistemas distribuidos basan su seguridad en mecanismos como son la autenticación, la autorización y la delegación. A pesar que estos mecanismos han sido ampliamente estudiados en profundidad, y deberían tener control sobre los recursos, estos no son suficientes para asegurar que todos los recursos de la aplicación están protegidos. Por lo tanto, la seguridad de los sistemas distribuidos ha sido puesta bajo la mirada vigilante de profesionales de la seguridad de la academia, industria y gobierno. Para abordar el problema de evaluar la seguridad de sistemas middleware críticos, proponemos una nueva metodología automatizada de análisis de vulnerabilidades, llamada “Análisis de Vectores de Ataque para Complejas Interrelaciones Middleware” (AvA4cmi), la cual es capaz de indicar cuales componentes middleware deben ser analizados y por qué. AvA4cmi está basada en la automatización de una parte de la novedosa metodología de análisis manual “Primeros Principios de Análisis de Vulnerabilidades” (FPVA), la cual ha sido usada satisfactoriamente para evaluar sistemas middleware reconocidos. Los resultados de AvA4cmi son independientes del lenguaje de programación, proveen una evaluación completa de cada vector de ataque en el middleware, y está basada en la taxonomía “Enumeración Común de Debilidades” (CWE), un catálogo formal para describir fallos de seguridad. Nuestros resultados se contrastaron contra el análisis manual de vulnerabilidades realizado al middleware CrossBroker, y nuestros resultados indicaron las debilidades más notables de los vectores de ataque del middleware gLite WMS, corroborando cuales componentes middleware deben ser analizados y por qué.


The fast adaptation of Cloud computing has led to an increased speedy rate of novel information technology threats. The targets of these new threats involve from large scale distributed system, such as the Large Hadron Collider by the CERN, up to industrial (nuclear, electricity, oil, etc.) distributed systems, i.e. SCADA networked systems. The use of automated tools for vulnerability assessment is quite attractive, but while these tools can find common problems in a program's source code, they miss a significant number of critical and complex vulnerabilities. In addition, frequently middleware systems base their security on mechanisms such as authentication, authorization, and delegation. While these mechanisms have been studied in depth and can control key resources, they are not enough to assure that all application's resources are safe. Therefore, security of distributed systems has been placed under the watchful eye of security practitioners in government, academia, and industry. To tackle the problem of assessing the security of critical middleware systems, we propose a new automated vulnerability assessment methodology, called Attack Vector Analyzer for Complex Middleware Interrelationships(AvA4cmi), which is able to automatically hint which middleware components should be assessed and why. AvA4cmi is based on automatizing part of the First Principles Vulnerability Assessment, an innovative analystic-centric (manual) methodology, which has been used successfully to evaluate several known middleware systems. AvA4cmi's results are language-independent, provide a comprehensive assessment of every possible attack vector in the middleware, and it is based on the Common Weakness Enumeration (CWE) system, a formal list for describing security weaknesses. Our results are contrasted against previous manual vulnerability assessment of the CrossBroker, and hint the most remarkable weaknesses for gLite WMS middleware, and corroborate which middleware components should be assessed and why.

Paraules clau

Security; Vulnerability; Middleware

Matèries

68 - Indústries, oficis i comerç d'articles acabats. Tecnologia cibernètica i automàtica

Àrea de coneixement

Tecnologies

Documents

jdst1de1.pdf

1.658Mb

 

Drets

ADVERTIMENT. L'accés als continguts d'aquesta tesi doctoral i la seva utilització ha de respectar els drets de la persona autora. Pot ser utilitzada per a consulta o estudi personal, així com en activitats o materials d'investigació i docència en els termes establerts a l'art. 32 del Text Refós de la Llei de Propietat Intel·lectual (RDL 1/1996). Per altres utilitzacions es requereix l'autorització prèvia i expressa de la persona autora. En qualsevol cas, en la utilització dels seus continguts caldrà indicar de forma clara el nom i cognoms de la persona autora i el títol de la tesi doctoral. No s'autoritza la seva reproducció o altres formes d'explotació efectuades amb finalitats de lucre ni la seva comunicació pública des d'un lloc aliè al servei TDX. Tampoc s'autoritza la presentació del seu contingut en una finestra o marc aliè a TDX (framing). Aquesta reserva de drets afecta tant als continguts de la tesi com als seus resums i índexs.

Aquest element apareix en la col·lecció o col·leccions següent(s)