Resumen de Vulnerability Assessment for Complex Middleware Interrelationships in Distributed Systems
Jairo Serrano Latorre
La rápida adaptación de la computación Cloud, ha llevado a un incremento veloz en la tasa de amenazas de las tecnologías de la información. El objetivo de estas nuevas amenazas cubren desde sistemas distribuidos a gran escala, tal como el Gran Colisionador de Partículas del CERN, hasta sistemas industriales (plantas nucleares, de electricidad, petróleo, etc.) distribuidos, es decir sistemas interconectados SCADA El uso de herramientas automáticas para el análisis de vulnerabilidades es realmente atractivo, pero mientras que estas herramientas pueden encontrar problemas comunes en el código fuente de un programa, estas no detectan un número significativo de vulnerabilidades críticas y complejas. Además, los sistemas middleware de los sistemas distribuidos basan su seguridad en mecanismos como son la autenticación, la autorización y la delegación. A pesar que estos mecanismos han sido ampliamente estudiados en profundidad, y deberían tener control sobre los recursos, estos no son suficientes para asegurar que todos los recursos de la aplicación están protegidos. Por lo tanto, la seguridad de los sistemas distribuidos ha sido puesta bajo la mirada vigilante de profesionales de la seguridad de la academia, industria y gobierno. Para abordar el problema de evaluar la seguridad de sistemas middleware críticos, proponemos una nueva metodología automatizada de análisis de vulnerabilidades, llamada “Análisis de Vectores de Ataque para Complejas Interrelaciones Middleware” (AvA4cmi), la cual es capaz de indicar cuales componentes middleware deben ser analizados y por qué. AvA4cmi está basada en la automatización de una parte de la novedosa metodología de análisis manual “Primeros Principios de Análisis de Vulnerabilidades” (FPVA), la cual ha sido usada satisfactoriamente para evaluar sistemas middleware reconocidos. Los resultados de AvA4cmi son independientes del lenguaje de programación, proveen una evaluación completa de cada vector de ataque en el middleware, y está basada en la taxonomía “Enumeración Común de Debilidades” (CWE), un catálogo formal para describir fallos de seguridad. Nuestros resultados se contrastaron contra el análisis manual de vulnerabilidades realizado al middleware CrossBroker, y nuestros resultados indicaron las debilidades más notables de los vectores de ataque del middleware gLite WMS, corroborando cuales componentes middleware deben ser analizados y por qué.
