Delphos : uma ferramenta de análise de segurança

Abstract

Delphos é um método de engenharia reversa que visa analisar aspectos de segurança de sistemas a partir do seu código fonte. Ele é baseado no método SiSOA desenvolvido no Fraunhofer Institute na Alemanha. A diferença entre as duas ferramentas é que enquanto a segunda analisa sistemas desenvolvidos com arquitetura SCA, a primeira tem como alvo sistemas desenvolvidos com arquitetura Java EE. Esse método possui três fases principais: fase de extração, fase de identificação e fase de análise. Na primeira fase é extraído um modelo global do sistema com base na análise automática do seu código fonte e de arquivos de configuração. Na fase de identificação é feito uso de uma base de conhecimento em segurança, previamente criada por um especialista humano usando a arquitetura SGIT. Essa base é automaticamente avaliada sobre o modelo atribuindo tags de identificação aos artefatos do modelo conforme o algoritmo de identificação encontra os padrões. Na última fase são exibidos ao analista o modelo com as tags identificadas e relatórios de severidade e credibilidade desses artefatos. A partir dessa saída o analista pode atribuir manualmente tags ou alterar a base de conhecimento para refletir as características desejadas, logo após é possível executar novamente o algoritmo de identificação para que o modelo reflita as alterações. O processo de análise de segurança através do Delphos é interativo, ou seja, o analista de segurança pode reutilizar e atualizar bases de conhecimento. Da mesma forma é possível executar o algoritmo de identificação repetidas vezes sobre o mesmo modelo até que o grau de detalhamento e cobertura desejados sejam atingidos.

Delphos is a method of reverse engineering which aims to analyze the security aspects of systems from their source code. It is based on SiSOA method developed at the Fraunhofer Institute in Germany. The difference between the two tools is that while the second examines systems developed with SCA, the first targets systems developed with Java EE architecture. This method has three main stages: extraction phase, identification phase and analysis phase. In the first phase is extracted a global model of the system based on automatic analysis of its source code and configuration files. In the identification phase is used a security knowledge base previously created by a human expert using the SGIT architecture. This knowledge base is automatically evaluated over the model by assigning identification tags to artifacts of the model as the identification algorithm meets the standards. In the last phase are displayed to the analyst the model identified with tags and reports of severity and credibility of these artifacts. From this output the analyst can manually assign tags or change the knowledge base to reflect the desired characteristics, it is possible after this process re-run the identification algorithm to update the model to reflect the changes. The security analysis process is interactive through Delphos, a security analyst can reuse and update knowledge bases. Similarly it is possible to run the identification algorithm repeatedly on the same model until the level of detail and coverage desired are achieved.