ΕΕΛ/ΛΑΚ - Λίστες Ταχυδρομείου

Re: Διαγωνισμός ανάπτυξης ΕΛ/ΛΑΚ

ΓΙΑ ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΣΧΟΛΙΑΣΜΟ.

2009/2/16 Konstantinos Papapanagiotou <conpap [ at ] di [ dot ] uoa [ dot ] gr>:
> Κύριοι,
>
> Σας υποβάλλουμε πρόταση ανάπτυξης λογισμικού σε απάντηση της
> πρόσκλησης ενδιαφέροντος για τη συμμετοχή στο σχετικό διαγωνισμό. Η
> πρόταση παρατίθεται inline στη συνέχεια του e-mail. Είμαστε στη
> διάθεσή σας για οποιαδήποτε άλλη διευκρίνηση χρειαστεί.
>
> Κωνσταντίνος Παπαπαναγιώτου
>
>
>
> ===============================================
>  ΤΙΤΛΟΣ: Ανιχνευτής Ευπαθειών σε Εφαρμογές Διαδικτύου "WVS"
> ===============================================
>
>
> Περίληψη: Οι εφαρμογές διαδικτύου (web applications) χρησιμοποιούνται
> πλέον ευρέως από πολλές υπηρεσίες και ιστοσελίδες, προσφέροντας
> σημαντικές ευκολίες στη διανομή και την εκτέλεση λογισμικού.
> Ταυτόχρονα όμως προκύπτουν και σημαντικά ζητήματα ασφάλειας, η
> εκμετάλλευση των οποίων μπορεί να οδηγήσει σε δυσμενείς συνέπειες τόσο
> για τους τελικούς χρήστες όσο και για τους κατόχους της εφαρμογής.
> Έχει παρατηρηθεί ότι η συντριπτική πλειοψηφία των προβλημάτων αυτών
> οφείλεται σε προγραμματιστικά λάθη ή λανθασμένες μεθοδολογίες
> προγραμματισμού, είτε λόγω άγνοιας όσων αναπτύσσουν το σχετικό
> λογισμικό είτε λόγω της αυξημένης πίεσης για ταχεία ανάπτυξη
> εφαρμογών. Για τον εντοπισμό και την ελαχιστοποίηση των συγκεκριμένων
> λαθών χρησιμοποιούνται προγράμματα ανίχνευσης ευπαθειών. Η
> συγκεκριμένη πρόταση στοχεύει στην ανάπτυξη και την επέκταση ενός
> τέτοιου ανιχνευτή ευπαθειών, ο οποίος παρουσιάζει σημαντικά
> πλεονεκτήματα και βελτιώσεις από αντίστοιχους ανιχνευτές. Τελικός
> στόχος είναι η δημιουργία ενός εργαλείου στην Ελληνική γλώσσα που δε
> θα χρησιμοποιείται μόνο για την ανίχνευση και τη διόρθωση λαθών αλλά
> και για λόγους εκπαίδευσης στην ανάπτυξη ασφαλούς κώδικα.
>
>
> Ιστορικό
> --------
>
> Εκτιμάται ότι τα τελευταία τρία χρόνια στην Ελλάδα έχουν εκδηλωθεί
> παραπάνω από 10000 επιθέσεις σε ιστοσελίδες και διαδικτυακές
> εφαρμογές, οι οποίες εκμεταλλεύτηκαν γνωστές ευπάθειες στο λογισμικό
> τους. Συνήθως, η άγνοια ή και η πίεση για ταχεία εκπόνηση έργων έχει
> σαν αποτέλεσμα η προσπάθεια για την επίλυση των προβλημάτων ασφάλειας
> που προκύπτουν να γίνεται εκ των υστέρων, μετά τη δημιουργία του
> λογισμικού. Στην κατεύθυνση αυτή σημαντική θεωρείται η χρήση εργαλείων
> εντοπισμού ευπαθειών σε λογισμικό, τα οποία δίνουν τη δυνατότητα
> γρήγορου εντοπισμού αρκετών γνωστών ευπαθειών ακόμα και σε περιπτώσεις
> που ο πηγαίος κώδικας δεν είναι διαθέσιμος.
>
> Ανάλογα εργαλεία μπορεί κανείς να βρει τόσο σε μορφή ανοικτού όσο και
> κλειστού λογισμικού. Τα μεν ανοικτού λογισμικού χαρακτηρίζονται από
> δυσχρηστία και περιορισμένη λειτουργικότητα ενώ τα εμπορικά πακέτα
> εμφανίζουν περιορισμένη λειτουργικότητα, καλύπτοντας μόνο ορισμένες
> κατηγορίες ευπαθειών καθώς και περιορισμένη αποτελεσματικότητα και
> αξιοπιστία, αφού στα αποτελέσματά τους περιλαμβάνονται συχνά πολλά
> θετικά εσφαλμένα (false positives) ή παραλείπονται γνωστές ευπάθειες.
> Στις αναφορές υπάρχουν σύνδεσμοι για ορισμένα τέτοια εργαλεία.
>
> Η Ελληνική ομάδα εργασίας του OWASP έχει ήδη κατασκευάσει σε alpha ένα
> πυρήνα του προτεινόμενου εργαλείου σε γλώσσα C με περιορισμένη
> λειτουργικότητα. Παρόλα αυτά παρατηρήθηκαν προβλήματα στη λειτουργία
> του και έτσι αποφασίστηκε η μεταφορά του σε περιβάλλον java και η
> ενσωμάτωση νέων χαρακτηριστικών και κυρίως δυναμικών μεθόδων
> ανίχνευσης ευπαθειών τύπου fuzzing.
>
> Το Open Web Application Security Project αποτελεί μία πρωτοβουλία που
> αποσκοπεί στον εντοπισμό και στην καταπολέμηση των τρωτών σημείων του
> λογισμικού διαδικτυακών εφαρμογών. Όντας ένας μη κερδοσκοπικός
> οργανισμός, ακολουθεί την ιδεολογία του ΕΛ/ΛΑΚ, παρέχοντας δωρεάν αλλά
> επαγγελματικής ποιότητας έγγραφα, εργαλεία και πρότυπα. Η ελληνική
> ομάδα του OWASP δραστηριοποιείται σε προγράμματα ΕΛ/ΛΑΚ καθώς και
> μεταφράσεις κειμένων, προωθώντας τη φιλοσοφία του OWASP σε τοπικό
> επίπεδο.
>
>
> Στόχοι
> ------
>
> Κύριος στόχος είναι η δημιουργία ενός εργαλείου ανοικτού λογισμικού
> για τον εντοπισμό ευπαθειών σε εφαρμογές διαδικτύου με δυνατότητες
> εκτέλεσης του σε ετερογενή περιβάλλοντα. Το εργαλείο θα ενσωματώνει
> ενημερωμένη βάση δεδομένων με γνωστές ευπάθειες ενώ θα χρησιμοποιεί
> προηγμένες, *καινοτόμες* τεχνικές δυναμικού εντοπισμού ευπαθειών με
> χρήση αλγορίθμων fuzzing. Η λειτουργία του θα είναι απλή και
> αξιόπιστη, προσφέροντας τη μέγιστη δυνατή ταχύτητα εντοπισμού των
> ευυπαθειών με όλες τις απαραίτητες επιλογές παραμετροποίησης μέσα από
> ένα ολοκληρωμένο και εύχρηστο περιβάλλον διεπαφής. Επίσης θα δίνεται η
> δυνατότητα ενημέρωσης της βάσης με νέες ευπάθειες ή νέα στοιχεία για
> τις ήδη υπάρχουσες.
>
> Το εργαλείο θα απευθύνεται σε προγραμματιστές, αναλυτές και υπεύθυνους
> ανάπτυξης λογισμικού οι οποίοι θα μπορούν να το χρησιμοποιήσουν για
> τον εντοπισμό ευπαθειών τόσο στο στάδιο της ανάπτυξης της εφαρμογής
> όσο και μετά την υλοποίησή της. Ταυτόχρονα θα μπορεί να χρησιμοποιηθεί
> από την εκπαιδευτική κοινότητα σαν εργαλείο εκμάθησης και επίδειξης
> των προβλημάτων ασφάλειας του λογισμικού καθώς και των τρόπων
> αντιμετώπισής τους.
>
> Παραδοτέα
> ---------
>
> - Κώδικας σε java που θα υλοποιεί όλους τους στόχους παραπάνω
> - Public repo με τον κώδικα στο sourceforge και το owasp.org
> - Τεκμηρίωση, test-cases, κλπ.
> - Πακέτα και οδηγίες εγκατάστασης σε περιβάλλον Linux/Windows
>
>
> Χρονοδιάγραμμα
> --------------
>
> - 15/3: Έναρξη του έργου - δημιουργία αντίστοιχου ιστοχώρου στο
> sourceforge.net και owasp.org
> - 20/4: Ολοκλήρωση ανάπτυξης του πυρήνα της εφαρμογής
> - 30/4: Ολοκλήρωση ανάπτυξης επιμέρους λειτουργιών (διεπαφή με το
> χρήστη, σύστημα διαχείρισης και ανανέωσης της βάσης ευπαθειών κλπ.).
> Σχεδιασμός δοκιμών.
> - 20/5: Ολοκλήρωση δοκιμών του προγράμματος τόσο σε ειδικά
> περιβάλλοντα δοκιμής όσο και σε πραγματικές συνθήκες. Συγγραφή
> τεκμηρίωσης
> - 15/6:  Ολοκλήρωση όλων των παραδοτέων
>
>
> Σύντομα Βιογραφικά
> -----------
>
> Ο συντονιστής του έργου Δρ Κωνσταντίνος Παπαπαναγιώτου είναι
> διδάκτορας του τμήματος Πληροφορικής και Τηλεπικοινωνιών του
> Πανεπιστημίου Αθηνών ενώ κατέχει πτυχίο από το ίδιο τμήμα και
> μεταπτυχιακό στην Ασφάλεια Πληροφοριών από το πανεπιστήμιο Royal
> Holloway του Λονδίνου. Είναι ερευνητής στον τομέα της ασφάλειας
> πληροφοριών με ειδίκευση στις αρχιτεκτονικές εμπιστοσύνης σε ανοιχτά
> περιβάλλοντα και την ασφάλεια λογισμικού. Είναι συντονιστής του
> διεθνούς οργανισμού Open Web Application Security Project (OWASP) στην
> Ελλάδα, έχει συμμετάσχει σε ημερίδες προωθώντας τη φιλοσοφία και τις
> μεθοδολογίες του OWASP σε τοπικό επίπεδο και έχει συντονίσει έργα
> ανάπτυξης ανοικτού λογισμικού και μετάφρασης για το OWASP. Επιπλέον
> έχει συμμετάσχει στην ομάδα εργασίας IA4 του E-business forum. Τέλος,
> παρέχει συμβουλευτικές υπηρεσίες σχετικά με την αασφάλεια πληροφοριών
> σε εταιρίες και οργανισμούς ενώ αρθρογραφεί συστηματικά στο περιοδικό
> Linux Format, καλύπτοντας θέματα σχετικά με την ασφάλεια ανοικτού
> λογισμικού.
> Προσωπικά στοιχεία:
> Διεύθυθνση: Διονύσου 29, Μελίσσια
> Τηλέφωνο: 6944831866
> e-mail: conpap [ at ] di [ dot ] uoa [ dot ] gr
> ΑΦΜ: 033657272
> ΔΟΥ: Αμαρουσίου
>
> Ο κ. Μιλτιάδης Κάνδιας είναι πτυχιούχος του τμήματος Πληροφορικής και
> Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών και μεταπτυχιακός φοιτητής
> του τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών. Έχει
> εργαστεί στον ιδιωτικό τομέα σαν αναλυτής ευπαθειών (penetration
> tester), είναι μέλος της Ελληνικής ομάδας εργασίας του OWASP και έχει
> συμμετάσχει στην ανάπτυξη εφαρμογών ανοικτού λογισμικού.
> e-mail: ssdd [ dot ] gr [ at ] gmail [ dot ] com
>
> Ο κ. Γεώργιος Αργυρός είναι προπτυχιακός φοιτητής του τμήματος
> Πληροφορικής και Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών. Είναι μέλος
> της Ελληνικής ομάδας εργασίας του OWASP και ερευνητής στον τομέα της
> ασφάλειας εφαρμογών διαδικτύου, έχοντας συμμετάσχει στην ανάπτυξη
> εφαρμογών ανοικτού λογισμικού.
> e-mail: argyros [ dot ] george [ at ] gmail [ dot ] com
>
>
> Αναφορές
> --------
>
> - The Open Web Application Security Project - http://www.owasp.org/
> - Ελληνική ομάδα εργασίας OWASP - http://www.owasp.gr/
> - Blog Ελληνικού OWASP - http://blog.owasp.gr
> - Αρχική έκδοση του πηρύνα σε γλώσσα C -
> https://www.owasp.org/images/6/65/WVS_beta-0.2.1.zip
> - Εργαλείο Nikto - http://www.cirt.net/nikto2
> - Εργαλείο Acunetix - http://www.acunetix.com/
>



-- 
Πριν εκτυπώσετε αυτό το μήνυμα, σκεφθείτε το περιβάλλον! Ένα χαρτί
λιγότερο! - http://karounos.gr/blog/