1

Metodologia de Testes de Robustez para Seguran ca em Servi cos Web

Authors: Marcelo Invert Palma Salas and Eliane Martins O aumento da utiliza ca o dos Servi cos Web nas tecnologias da informa c ao gera diferentes tipos de riscos: problemas de programa c ao e desenho da aplica ca o que impedem o correto funcionamento da aplica c ao; perda da condencialidade da informa ca o por intercep ca o de pacotes; modica ca o da informa ca o; problemas para autenticar a origem da mensagem. Mesmo que a utiliza ca o de aplica c oes de seguran ca em Servi cos Web fornece um maior n vel de seguran ca, sempre e suscept vel de ser melhorado. A proposta visa a ` aplica ca o de testes de robustez em Servi cos Web, mais especicamente ao quanto os aspectos de seguran ca. Os testes ser ao baseados em inje ca o de ataques, que ser ao realizados usando injetores de falhos dispon veis. Os estudos mostram uma clara predomin ancia dos problemas de WSS, como a causa principal de perdida de informa ca o nas transa co es de informa c ao por Servi cos Web, dada a enorme complexidade de WSS e o peso da falha do software que tende a aumentar. Nossa proposta sugere analisa a robustez do Padr ao de WS-Security ou WSS usando a t ecnica de Inje ca o de Falhas que simula as anomalias de software introduzindo falhas na comunica ca o de informa c ao no sistema alvo para compreender o comportamento de um servi co web com WSS em presen ca das falhas injetada. A abordagem para remo c ao de vulnerabilidades e baseada em Modelagem de Ataques chamada Arvore de Ataques, o modelo representa tentativas bem-sucedidas e vulnerabilidades conhecidas. Essas informa co es est ao dispon veis em diferentes fontes: base de dados de vulnerabilidades como a OWASP TOP Ten, livros, Internet e outros. O modelo de ataque permite ser atualizado t ao logo que novos ataques bem-sucedidos sejam reportados ou ser reusado para testes de novos protocolos de seguran ca. Esta t ecnica pode ser utilizada para validar um sistema tolerante a falhas, auxiliando na remo c ao de falhas, minimizando sua ocorr encia e sua severidade, como tamb em na preven ca o de falhas. A remo ca o e a preven c ao de falhas que se obteve melhorar ao a dependabilidade de Servi cos Web que utilizam WSS para sua prote ca o. Para sua aplica ca o selecionamos um conjunto de ataques com a premissa de remo car as propriedades de condencialidade e integridade. As listas de ataques s ao: Sobre cargas criptogr acas, Ataque de Ofusca ca o e Inje ca o de XML. Os experimentos foram executado com cen arios de ataque, derivados dos ataques descritos e com o objetivo de violar as propriedades de seguran ca do protocolo. O objetivo principal desses experimentos foi desenvolver uma metodologia para aplicar os teste de robustez por inje ca o de falhas em servi cos que usem o WSS. Os testes conrmaram que a proposta detectou ecientemente vulnerabilidades no WSS, al em de descobrir novas vulnerabilidades e varia c oes dos atuais cen arios de ataques usados para testar a qualidade de seguran ca que fornece WSS. 1

As principais contribui co es que este trabalho traz s ao: Fazer um levantamento das ferramentas e t ecnicas de teste de robustez, com a ferramenta do Laborat orio WS-Inject, para tornar o teste mais automatizado poss vel. Estudar vulnerabilidades conhecidas para WSS. Com base nas vulnerabilidades conhecidas, determinar os ataques a ser aplicados. Determinar ferramentas de inje ca o de falhos capazes de injetar os ataques selecionados. Utilizar as ferramentas selecionadas para criar novos ataques, e com isso detectar novas vulnerabilidades. Aumentar o dom nio de conhecimento do grupo de pesquisa de inje ca o de falhas do Instituto de Computa c ao (IC) da Unicamp, que j a desenvolve diversos trabalhos na a rea de testes de robustez.

Refer encias
[1] Brown A., e Haas H. Web Services Glossary. http://www.w3.org/TR/ws-gloss/, 2009. W3C Working Group,

[2] Laranjeiro, N.; Vieira, M.; Madeira, H. Improving Web Services Robustness. ICWS 2009. IEEE International Conference on Web Services, vol., no., pp.397404, 6-10 July 2009. [3] Vieira, M.; Laranjeiro, N.; Madeira, H. Assessing Robustness of Web-Services Infrastructures. 37th Annual IEEE/IFIP International Conference onDependable Systems and Networks,vol., no., pp.131-136, 25-28 Julho/2007. [4] Vieira, M.; Laranjeiro, N. Comparing Web Services Performance and Recovery in the Presence of Faults. IEEE International Conference on Web Services, vol., no., pp.623-630, 9-13 Julho/2007. [5] Laranjeiro, N; Viera, M. Testing Web Services for Robustness: A Tool Demo. 12th European Workshop on Dependable Computing, 2009. [6] Vieira, M.. Benchmarking the Robustness of Web Services. 13th IEEE International Symposium on Pacic Rim Dependable Computing, 2007. [7] Belli, G uldali. Software Testing via Model Checking. Computer and Information Sciences, v. 280/2004, 2004. p. 907-916.