| Dr. Gustavo Betarte | ||
| Actividades de investigación e innovación del Grupo de Seguridad Informática | ||
| En esta presentación se describirá trabajo realizado en el contexto de proyectos de investigación y de I+D que el Grupo de Seguridad Informática (GSI) ha realizado en los dos últimos años. Varios de los resultados obtenidos en las áreas de investigación que se describen brevemente a continuación han dado lugar a la generación de artículos científicos que han sido presentados en conferencias internacionales.
No influencia y resistencia a cache-leakage en plataformas de virtualización ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' El trabajo de investigación realizado en el proyecto VirtualCert (Fondo Clemente Estable, edición 2009) se ha focalizado en el estudio de los mecanismos de seguridad de plataformas de virtualización. En una plataforma de este tipo el acceso compartido a los recursos de memoria de la plataforma es un tema especialmente crítico. Como resultado del trabajo de investigación desarrollado ya se cuenta con una versión completamente formalizada y verificada usando el asistente de pruebas Coq de un modelo idealizado de plataforma de virtualización y se han probado propiedades de seguridad que garantizan que esos sistemas solamente tienen acceso a la memoria que les pertenece. Estas últimas propiedades han sido formuladas como propiedades de no influencia. Adicionalmente, se ha desarrollado una extensión al modelo originalmente propuesto que consiste en incorporar la noción de memoria cache y TLB (Translation Lookahead Buffers). Esto permite modelar comportamiento relativo a la gestión, y particularmente al acceso, de la memoria de la plataforma. Análisis de seguridad basado en procesos automatizados '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Security Content Automation Protocol (SCAP) es una iniciativa propuesta por el NIST que pretende definir modelos de automatización y estándares operacionales en lo que respecta a seguridad en la información. SCAP está compuesto por un conjunto de lenguajes, en particular OVAL (Open Vulnerability and Assessment Language). El GSI está desarrollando trabajo de investigación en el área de automatización de procesos, en particular en el área de análisis forense informático. La recolección de evidencia digital es una tarea delicada, que exige un gran esfuerzo y una experiencia considerable por parte del analista forense que realiza la tarea. Contar con herramientas que automaticen el trabajo conlleva una menor probabilidad de error durante el proceso de recolección de evidencia digital. En esta línea, se ha diseñado e implementado una extensión del lenguaje OVAL como mecanismo de especificación de procedimientos de recolección de evidencia volátil y una herramienta extensible de recolección de evidencia (XOvaldi), basada en especificaciones OVAL extendidas (XOval). Por otro lado, actualmente se está trabajando en la elaboración de metodologías y diseño de herramientas para la identificación automática y correlación de identificadores de compromiso de sistemas. Análisis estático y dinámico de seguridad de aplicaciones web '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Los lenguajes de programación web han evolucionado para incorporar mecanismos que permitan dar soporte a las necesidades de las aplicaciones que actualmente se implementan. En particular, y dado que muchas de esas aplicaciones involucran la utilización de diferentes lenguajes, como HTML, Java Script y SQL, la posibilidad de usar un único languaje de programación que provea soporte automático para desarrollar lo que se conoce como multi-tier programming, permitiría verificar condiciones de uso combinado de tecnología como las mencionadas anteriormente que permitieran garantizar que las aplicaciones son inmunes, por ejemplo, a ataques de XSS o SQL injection. Pero ésto no es posible en aplicaciones desarrolladas usando lenguajes como PHP, por ejemplo, que es uno de los lenguajes más utilizados para el desarrollo de aplicaciones Web y por lo tanto es necesario aplicar técnicas clásicas de análisis estático y dinámico de código para prevenir, por ejemplo, inyección de código. En esta presentación se describirá brevemente trabajo realizado en el diseño e implementación de mecanismos, usando Apache, modsecurity y ModSecurity CRS de OWASP, para detectar inyección de código en programas PHP. Gestión de Identidad Electrónica ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' El proyecto de Sistema Unificado de Gestión de Identidades (SUGI), desarrollado en colaboración con AGESIC, consiste en el relevamiento, análisis y propuesta de un sistema para la identificación y autenticación de los usuarios (sujetos) en la plataforma de gobierno electrónico (gobierno-e) nacional. La plataforma del SUGI implementa un sistema de gestión de identidades electrónicas federado que posibilita la identificación y autenticación de los ciudadanos (sujetos) de nuestro país para que accedan a los servicios, transacciones y aplicaciones de la plataforma de gobierno-e. Para generalizar la gestión de identidades electrónicas a nivel masivo es necesario disponer a término de un dispositivo portátil que permita almacenar y utilizar las credenciales y atributos que identifican a los ciudadanos y que aporten altos niveles de seguridad, bajo costo, fácil uso y la posibilidad de ser distribuído al conjunto de la población. Un documento electrónico es un ejemplo de este tipo de dispositivo. El mismo consiste en insertar en un documento que incluya las técnicas clásicas ya utilizadas para la identificación de personas en una cédula de identidad un micro-chip de alta seguridad que incluya capacidades de cálculo criptográfico y contramedidas pasivas y activas contra posibles adulteraciones, duplicaciones o accesos no autorizados a los datos personales que contenga. El trabajo realizado para AGESIC buscó establecer el ecosistema de roles, las funcionalidades y la arquitectura funcional y de seguridad necesarias para desplegar estos documentos electrónicos en Uruguay. |
||
| Volver a Programa | ||
Noticias
16 de octubre
Se publica el programa inicial.
8 de octubre
Se cierra el plazo de recepción de resúmenes.