ΓΙΑ ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΣΧΟΛΙΑΣΜΟ. 2009/2/16 Konstantinos Papapanagiotou <conpap [ at ] di [ dot ] uoa [ dot ] gr>: > Κύριοι, > > Σας υποβάλλουμε πρόταση ανάπτυξης λογισμικού σε απάντηση της > πρόσκλησης ενδιαφέροντος για τη συμμετοχή στο σχετικό διαγωνισμό. Η > πρόταση παρατίθεται inline στη συνέχεια του e-mail. Είμαστε στη > διάθεσή σας για οποιαδήποτε άλλη διευκρίνηση χρειαστεί. > > Κωνσταντίνος Παπαπαναγιώτου > > > > =============================================== > ΤΙΤΛΟΣ: Ανιχνευτής Ευπαθειών σε Εφαρμογές Διαδικτύου "WVS" > =============================================== > > > Περίληψη: Οι εφαρμογές διαδικτύου (web applications) χρησιμοποιούνται > πλέον ευρέως από πολλές υπηρεσίες και ιστοσελίδες, προσφέροντας > σημαντικές ευκολίες στη διανομή και την εκτέλεση λογισμικού. > Ταυτόχρονα όμως προκύπτουν και σημαντικά ζητήματα ασφάλειας, η > εκμετάλλευση των οποίων μπορεί να οδηγήσει σε δυσμενείς συνέπειες τόσο > για τους τελικούς χρήστες όσο και για τους κατόχους της εφαρμογής. > Έχει παρατηρηθεί ότι η συντριπτική πλειοψηφία των προβλημάτων αυτών > οφείλεται σε προγραμματιστικά λάθη ή λανθασμένες μεθοδολογίες > προγραμματισμού, είτε λόγω άγνοιας όσων αναπτύσσουν το σχετικό > λογισμικό είτε λόγω της αυξημένης πίεσης για ταχεία ανάπτυξη > εφαρμογών. Για τον εντοπισμό και την ελαχιστοποίηση των συγκεκριμένων > λαθών χρησιμοποιούνται προγράμματα ανίχνευσης ευπαθειών. Η > συγκεκριμένη πρόταση στοχεύει στην ανάπτυξη και την επέκταση ενός > τέτοιου ανιχνευτή ευπαθειών, ο οποίος παρουσιάζει σημαντικά > πλεονεκτήματα και βελτιώσεις από αντίστοιχους ανιχνευτές. Τελικός > στόχος είναι η δημιουργία ενός εργαλείου στην Ελληνική γλώσσα που δε > θα χρησιμοποιείται μόνο για την ανίχνευση και τη διόρθωση λαθών αλλά > και για λόγους εκπαίδευσης στην ανάπτυξη ασφαλούς κώδικα. > > > Ιστορικό > -------- > > Εκτιμάται ότι τα τελευταία τρία χρόνια στην Ελλάδα έχουν εκδηλωθεί > παραπάνω από 10000 επιθέσεις σε ιστοσελίδες και διαδικτυακές > εφαρμογές, οι οποίες εκμεταλλεύτηκαν γνωστές ευπάθειες στο λογισμικό > τους. Συνήθως, η άγνοια ή και η πίεση για ταχεία εκπόνηση έργων έχει > σαν αποτέλεσμα η προσπάθεια για την επίλυση των προβλημάτων ασφάλειας > που προκύπτουν να γίνεται εκ των υστέρων, μετά τη δημιουργία του > λογισμικού. Στην κατεύθυνση αυτή σημαντική θεωρείται η χρήση εργαλείων > εντοπισμού ευπαθειών σε λογισμικό, τα οποία δίνουν τη δυνατότητα > γρήγορου εντοπισμού αρκετών γνωστών ευπαθειών ακόμα και σε περιπτώσεις > που ο πηγαίος κώδικας δεν είναι διαθέσιμος. > > Ανάλογα εργαλεία μπορεί κανείς να βρει τόσο σε μορφή ανοικτού όσο και > κλειστού λογισμικού. Τα μεν ανοικτού λογισμικού χαρακτηρίζονται από > δυσχρηστία και περιορισμένη λειτουργικότητα ενώ τα εμπορικά πακέτα > εμφανίζουν περιορισμένη λειτουργικότητα, καλύπτοντας μόνο ορισμένες > κατηγορίες ευπαθειών καθώς και περιορισμένη αποτελεσματικότητα και > αξιοπιστία, αφού στα αποτελέσματά τους περιλαμβάνονται συχνά πολλά > θετικά εσφαλμένα (false positives) ή παραλείπονται γνωστές ευπάθειες. > Στις αναφορές υπάρχουν σύνδεσμοι για ορισμένα τέτοια εργαλεία. > > Η Ελληνική ομάδα εργασίας του OWASP έχει ήδη κατασκευάσει σε alpha ένα > πυρήνα του προτεινόμενου εργαλείου σε γλώσσα C με περιορισμένη > λειτουργικότητα. Παρόλα αυτά παρατηρήθηκαν προβλήματα στη λειτουργία > του και έτσι αποφασίστηκε η μεταφορά του σε περιβάλλον java και η > ενσωμάτωση νέων χαρακτηριστικών και κυρίως δυναμικών μεθόδων > ανίχνευσης ευπαθειών τύπου fuzzing. > > Το Open Web Application Security Project αποτελεί μία πρωτοβουλία που > αποσκοπεί στον εντοπισμό και στην καταπολέμηση των τρωτών σημείων του > λογισμικού διαδικτυακών εφαρμογών. Όντας ένας μη κερδοσκοπικός > οργανισμός, ακολουθεί την ιδεολογία του ΕΛ/ΛΑΚ, παρέχοντας δωρεάν αλλά > επαγγελματικής ποιότητας έγγραφα, εργαλεία και πρότυπα. Η ελληνική > ομάδα του OWASP δραστηριοποιείται σε προγράμματα ΕΛ/ΛΑΚ καθώς και > μεταφράσεις κειμένων, προωθώντας τη φιλοσοφία του OWASP σε τοπικό > επίπεδο. > > > Στόχοι > ------ > > Κύριος στόχος είναι η δημιουργία ενός εργαλείου ανοικτού λογισμικού > για τον εντοπισμό ευπαθειών σε εφαρμογές διαδικτύου με δυνατότητες > εκτέλεσης του σε ετερογενή περιβάλλοντα. Το εργαλείο θα ενσωματώνει > ενημερωμένη βάση δεδομένων με γνωστές ευπάθειες ενώ θα χρησιμοποιεί > προηγμένες, *καινοτόμες* τεχνικές δυναμικού εντοπισμού ευπαθειών με > χρήση αλγορίθμων fuzzing. Η λειτουργία του θα είναι απλή και > αξιόπιστη, προσφέροντας τη μέγιστη δυνατή ταχύτητα εντοπισμού των > ευυπαθειών με όλες τις απαραίτητες επιλογές παραμετροποίησης μέσα από > ένα ολοκληρωμένο και εύχρηστο περιβάλλον διεπαφής. Επίσης θα δίνεται η > δυνατότητα ενημέρωσης της βάσης με νέες ευπάθειες ή νέα στοιχεία για > τις ήδη υπάρχουσες. > > Το εργαλείο θα απευθύνεται σε προγραμματιστές, αναλυτές και υπεύθυνους > ανάπτυξης λογισμικού οι οποίοι θα μπορούν να το χρησιμοποιήσουν για > τον εντοπισμό ευπαθειών τόσο στο στάδιο της ανάπτυξης της εφαρμογής > όσο και μετά την υλοποίησή της. Ταυτόχρονα θα μπορεί να χρησιμοποιηθεί > από την εκπαιδευτική κοινότητα σαν εργαλείο εκμάθησης και επίδειξης > των προβλημάτων ασφάλειας του λογισμικού καθώς και των τρόπων > αντιμετώπισής τους. > > Παραδοτέα > --------- > > - Κώδικας σε java που θα υλοποιεί όλους τους στόχους παραπάνω > - Public repo με τον κώδικα στο sourceforge και το owasp.org > - Τεκμηρίωση, test-cases, κλπ. > - Πακέτα και οδηγίες εγκατάστασης σε περιβάλλον Linux/Windows > > > Χρονοδιάγραμμα > -------------- > > - 15/3: Έναρξη του έργου - δημιουργία αντίστοιχου ιστοχώρου στο > sourceforge.net και owasp.org > - 20/4: Ολοκλήρωση ανάπτυξης του πυρήνα της εφαρμογής > - 30/4: Ολοκλήρωση ανάπτυξης επιμέρους λειτουργιών (διεπαφή με το > χρήστη, σύστημα διαχείρισης και ανανέωσης της βάσης ευπαθειών κλπ.). > Σχεδιασμός δοκιμών. > - 20/5: Ολοκλήρωση δοκιμών του προγράμματος τόσο σε ειδικά > περιβάλλοντα δοκιμής όσο και σε πραγματικές συνθήκες. Συγγραφή > τεκμηρίωσης > - 15/6: Ολοκλήρωση όλων των παραδοτέων > > > Σύντομα Βιογραφικά > ----------- > > Ο συντονιστής του έργου Δρ Κωνσταντίνος Παπαπαναγιώτου είναι > διδάκτορας του τμήματος Πληροφορικής και Τηλεπικοινωνιών του > Πανεπιστημίου Αθηνών ενώ κατέχει πτυχίο από το ίδιο τμήμα και > μεταπτυχιακό στην Ασφάλεια Πληροφοριών από το πανεπιστήμιο Royal > Holloway του Λονδίνου. Είναι ερευνητής στον τομέα της ασφάλειας > πληροφοριών με ειδίκευση στις αρχιτεκτονικές εμπιστοσύνης σε ανοιχτά > περιβάλλοντα και την ασφάλεια λογισμικού. Είναι συντονιστής του > διεθνούς οργανισμού Open Web Application Security Project (OWASP) στην > Ελλάδα, έχει συμμετάσχει σε ημερίδες προωθώντας τη φιλοσοφία και τις > μεθοδολογίες του OWASP σε τοπικό επίπεδο και έχει συντονίσει έργα > ανάπτυξης ανοικτού λογισμικού και μετάφρασης για το OWASP. Επιπλέον > έχει συμμετάσχει στην ομάδα εργασίας IA4 του E-business forum. Τέλος, > παρέχει συμβουλευτικές υπηρεσίες σχετικά με την αασφάλεια πληροφοριών > σε εταιρίες και οργανισμούς ενώ αρθρογραφεί συστηματικά στο περιοδικό > Linux Format, καλύπτοντας θέματα σχετικά με την ασφάλεια ανοικτού > λογισμικού. > Προσωπικά στοιχεία: > Διεύθυθνση: Διονύσου 29, Μελίσσια > Τηλέφωνο: 6944831866 > e-mail: conpap [ at ] di [ dot ] uoa [ dot ] gr > ΑΦΜ: 033657272 > ΔΟΥ: Αμαρουσίου > > Ο κ. Μιλτιάδης Κάνδιας είναι πτυχιούχος του τμήματος Πληροφορικής και > Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών και μεταπτυχιακός φοιτητής > του τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών. Έχει > εργαστεί στον ιδιωτικό τομέα σαν αναλυτής ευπαθειών (penetration > tester), είναι μέλος της Ελληνικής ομάδας εργασίας του OWASP και έχει > συμμετάσχει στην ανάπτυξη εφαρμογών ανοικτού λογισμικού. > e-mail: ssdd [ dot ] gr [ at ] gmail [ dot ] com > > Ο κ. Γεώργιος Αργυρός είναι προπτυχιακός φοιτητής του τμήματος > Πληροφορικής και Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών. Είναι μέλος > της Ελληνικής ομάδας εργασίας του OWASP και ερευνητής στον τομέα της > ασφάλειας εφαρμογών διαδικτύου, έχοντας συμμετάσχει στην ανάπτυξη > εφαρμογών ανοικτού λογισμικού. > e-mail: argyros [ dot ] george [ at ] gmail [ dot ] com > > > Αναφορές > -------- > > - The Open Web Application Security Project - http://www.owasp.org/ > - Ελληνική ομάδα εργασίας OWASP - http://www.owasp.gr/ > - Blog Ελληνικού OWASP - http://blog.owasp.gr > - Αρχική έκδοση του πηρύνα σε γλώσσα C - > https://www.owasp.org/images/6/65/WVS_beta-0.2.1.zip > - Εργαλείο Nikto - http://www.cirt.net/nikto2 > - Εργαλείο Acunetix - http://www.acunetix.com/ > -- Πριν εκτυπώσετε αυτό το μήνυμα, σκεφθείτε το περιβάλλον! Ένα χαρτί λιγότερο! - http://karounos.gr/blog/