posts - 504, comments - 1656, trackbacks - 139
<< Security Tool: è in arrivo ACE Torpedo | Home | Licenze, queste sconosciute >>

Screenshot di Torpedo (Threat Analysis and Modeling Tool)

Come dicevo nell'altro post, sta per essere rilasciato questo Tool. Una precisazione è d'obbligo: il tool è linguaggio agnosta: sebbene si sposi perfettamente con il framework.net, non c'è alcuna limitazione all'uso con altri linguaggi o sistemi di sviluppo.

Ecco alcuni screenshot (aspetto che potebbe ancora leggermente cambiare nella versione che verrà rilasciata):

 

Print | posted on mercoledì 8 marzo 2006 8.49 |

Feedback

Gravatar

# re: Screenshot di Torpedo (Threat Analysis and Modeling Tool)

Ciao,

scusa ma non ben capito cosa farebbe questo Torpedo.
Gli dò in pasto un assembly e genera degli alert oppure come si usa ?

Grazie.

08/03/2006 12.44 | theEvil
Gravatar

# re: Screenshot di Torpedo (Threat Analysis and Modeling Tool)

No, è un modellatore e quindi ti permette di disegnare una strategia per approcciare in modo generico una strategia di difesa su un generico progetto.

Tu descrivi il tuo progetto immettendo gli utenti, i ruoli, le funzionalità dell'applicazione, etc. (vedi screenshot). Sempre tramite wizard, lui correla queste informazioni e ti chiede (tramite una vera e propria matrice di cross-correlazione con delle checkbox che vedi in figura) chi può fare cosa.
Tra le diverse richieste che ti fa il tool, vai a dirgli anche quali sono i rischi 'accettabili' e quelli non accettabili nella tua applicazione (per esempio il rischio di un attacco 'man in the middle' può essere accettabile o meno a seconda della riservatezza dei dati).
L'output del tool sono una serie di report che individuano i punti chiave e le tipologie di test da effettuare per prevenire gli attacchi che tu stesso hai definito rischiosi.

Il punto di connessione con il sorgente credo lo vedremo con la connessione con team system ma questo rimane un'opzione per chi usa Visual Studio. Il tool è studiato per essere agnosta dall'ide e dal linguaggio.

Sulle prime può sembrare un tool troppo complesso e astratto. In realtà semplifica la vita perché rende procedurale l'approccio di verifica non solo del codice ma soprattutto del progetto stesso.
Senza andare sui mega-progetti, anche su quelli di media dimensione è molto complesso tenere traccia di tutte le contromisure da adottare per prevenire attacchi che si concretizzino in un 'threat'. Questo è il motivo per cui ritengo molto interessante questo tool.
08/03/2006 14.26 | Raffaele Rialdi
Gravatar

# re: Screenshot di Torpedo (Threat Analysis and Modeling Tool)

Dev'essere spettacolare!!! Se ho capito una metodologia potrebbe essere la seguente:
1) Analisi
2) Progetto (tipo di architettura, etc.)
3) TMA (si ricrea quanto progettato)
4) Sviluppo (con particolare considerazione alle criticità suggerite da Torpedo)
5) Test (tra cui quelli di sicurezza, sempre basandosi sulle criticità suggerite dalla fase di TMA)
Con eventuali avanti e indietro tra una fase e l'altra, ovviamente.
08/03/2006 14.32 | Andrea Sansottera
Gravatar

# re: Screenshot di Torpedo (Threat Analysis and Modeling Tool)

Si, per ciascuna di queste fasi e con tutte le figure del team hai delle corrispettive azioni che devono essere imputate/seguite da Torpedo.
Trovo anch'io favoloso aver determinato una generica procedura da poter applicare a qualsiasi applicazione in cui arrivare alle criticità senza dover eseguire anche i test che risulterebbero inutili.
I report di Torpedo risultano quindi sicuramente molto in-topic per l'applicativo e risolvono un mare di problemi anche a chi gestisce la documentazione e le eventuali certificazioni.
08/03/2006 23.11 | Raffaele Rialdi

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 6 and 4 and type the answer here:

Powered by:

Copyright © Raffaele Rialdi