Analisi  e  realizzazione  di  uno  strumento    per  la  veri2ica  di  conformità  su  sistemi  remoti  basato  

sullo  standard  XCCDF  

Laureando:        Relatore:  Davide  Bravin        Prof.  Alberto  Bartoli    Svolta  presso:        Correlatore:  Emaze  Networks  S.p.A      Alessandro  Budai    

Università  degli  Studi  di  Trieste  DiparEmento  di  Ingegneria  e  ArchiteIura  Corso  di  Laurea  Magistrale  in  Ingegneria  InformaEca  

Anno  accademico  2012/2013  

Contesto  Tra  gli  interessi  dell’azienda  ci  sono:  •  Minimizzare  l’impaIo  di  possibili  vulnerabilità̀  •  AutomaEzzare  le  procedure  di  controllo  

Le  problemaEche  che  si  vogliono  risolvere  sono  verificare  la  presenza  di:  •  Vulnerabilità̀  •  SoTware  e  versione  •  Determinate  configurazioni  del  sistema  operaEvo  o  di  un  soTware  

Standard  •  ProblemaEche  non  solo  aziendali  •  RispeIare  gli  standard  per:  •  Interoperabilità    con  prodoU  esterni  •  Favorire  la  condivisione  e  il  riuElizzo  delle  informazioni,  dei  daE  o  dei  risultaE;    

•  Ridurre  i  margini  di  errore  e  la  complessità̀  del  soTware;    

•  Esistono  standard:  •  OVAL    -­‐  Open  Vulnerability  and  Assessment  Language    •  XCCDF  –  the  eXtensible  ConfiguraEon  Checklist  DescripEon  Format  

OVAL  Language    •  Open  Vulnerability  and  Assessment  Language    

•  Linguaggio  XML  per  esprimere  lo  stato  di  un  sistema  e  permeIere  di  fare  asserzioni  

 OVAL  Language  fornisce:  •  Descrizione  delle  informazioni  che  devono  essere  raccolte  •  Descrizione  di  come  devono  essere  valutate  

XCCDF  Language    •  the  eXtensible  ConfiguraEon  Checklist  DescripEon  Format  

•  Linguaggio  XML  per  specificare  checklist    e  riportare  i  risultaE  della  loro  valutazione  

•  Checklist:  documento  in  forma  machine-­‐readable  di  un  insieme  di  configurazioni  di  sicurezza  per  qualche  sistema    

OVAL  e  XCCDF  

Obiettivi  e  requisiti  L’obieUvo  è  la  realizzazione  di  uno  strumento  automaEzzato  che  sia  in  grado  di:  •  Collegarsi  a  un  sistema  remoto  •  Interagire  con  il  sistema  oIenendo  varie  Epologie  di  informazioni  

•  Verificare  se  la  configurazione  è  conforme  a  quella  voluta  

Alcuni  requisiE  sono:  •  RispeIare  gli  standard  XCCDF  e  OVAL  •  Interagire  con  strumenE  già  presenE  in  azienda  •  Esecuzione  da  terminale  

Interprete  XCCDF        •  Necessita  di:  •  Sistema  target  •  Documento  XCCDF  •  Documento  OVAL        

Work2low  Interprete  XCCDF  (I)      Il  processo  di  elaborazione  di  una  checklist:  

1.  Analisi  dei  documenE  XML  

Work2low  Interprete  XCCDF  (II)      Il  processo  di  elaborazione  di  una  checklist:  

1.  Analisi  dei  documenE  XML  2.  Elaborazione  della  checklist  

Work2low  Interprete  XCCDF  (III)      Il  processo  di  elaborazione  di  una  checklist:  

1.  Analisi  dei  documenE  XML  2.  Elaborazione  della  checklist  3.  Valutazione  dei  test  da  eseguire  

Work2low  Interprete  XCCDF  (IV)      Il  processo  di  elaborazione  di  una  checklist:  

1.  Analisi  dei  documenE  XML  2.  Elaborazione  della  checklist  3.  Valutazione  dei  test  da  eseguire  4.  Esecuzione  dei  test    

Esecuzione  dei  test  Engine  Oval  già  presente,  in  grado  di:  •  ConneIersi  a  un  sistema  •  Eseguire  i  test  presenE  nei  documenE  OVAL  •  Fornire  un  risultato  di  Epo  True  o  False    

Refactoring  dell’engine  per  permeIere  all’interprete  di:  •  Inizializzare  e  finalizzare  engine  •  Richiedere  l’esecuzione  di  un  test  •  Fornire  i  parametri  del  test  •  Ricevere  il  risultato  del  test  

Work2low  Interprete  XCCDF  (V)      Il  processo  di  elaborazione  di  una  checklist:  

1.  Analisi  dei  documenE  XML  2.  Elaborazione  della  checklist  3.  Valutazione  dei  test  da  eseguire  4.  Esecuzione  dei  test    5.  Valutazione  risultato  dei  test  

Work2low  Interprete  XCCDF  (VI)      Il  processo  di  elaborazione  di  una  checklist:  

1.  Analisi  dei  documenE  XML  2.  Elaborazione  della  checklist  3.  Valutazione  dei  test  da  eseguire  4.  Esecuzione  dei  test    5.  Valutazione  risultato  dei  test  6.  Visualizzazione  dei  risultaE  

Conclusione  L’obieUvo  di  creare  uno  strumento  automaEzzato  per  la  verifica  di  conformità  che  rispeU  lo  standard  XCCDF  è  stato  raggiunto.    Alcuni  possibili  sviluppi  futuri:  •  Creazione  di  un’interfaccia  grafica  •  Creazione  di  uno  strumento  per  permeIere  la  personalizzazione  di  una  checklist  già̀  esistente  

•  Aggiornamento  di  entrambi  gli  strumenE  a  una  versione  più̀  recente  di  Python  

•  Miglioramento  della  gesEone  dei  log  

Grazie  per  l’aIenzione