posts - 644, comments - 2003, trackbacks - 137

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links
<< Security Tool: è in arrivo ACE Torpedo | Home | Licenze, queste sconosciute >>

Screenshot di Torpedo (Threat Analysis and Modeling Tool)

Come dicevo nell'altro post, sta per essere rilasciato questo Tool. Una precisazione è d'obbligo: il tool è linguaggio agnosta: sebbene si sposi perfettamente con il framework.net, non c'è alcuna limitazione all'uso con altri linguaggi o sistemi di sviluppo.

Ecco alcuni screenshot (aspetto che potebbe ancora leggermente cambiare nella versione che verrà rilasciata):

 

Print | posted on mercoledì 8 marzo 2006 10:49 |

Feedback

Gravatar

# re: Screenshot di Torpedo (Threat Analysis and Modeling Tool)

No, è un modellatore e quindi ti permette di disegnare una strategia per approcciare in modo generico una strategia di difesa su un generico progetto.

Tu descrivi il tuo progetto immettendo gli utenti, i ruoli, le funzionalità dell'applicazione, etc. (vedi screenshot). Sempre tramite wizard, lui correla queste informazioni e ti chiede (tramite una vera e propria matrice di cross-correlazione con delle checkbox che vedi in figura) chi può fare cosa.
Tra le diverse richieste che ti fa il tool, vai a dirgli anche quali sono i rischi 'accettabili' e quelli non accettabili nella tua applicazione (per esempio il rischio di un attacco 'man in the middle' può essere accettabile o meno a seconda della riservatezza dei dati).
L'output del tool sono una serie di report che individuano i punti chiave e le tipologie di test da effettuare per prevenire gli attacchi che tu stesso hai definito rischiosi.

Il punto di connessione con il sorgente credo lo vedremo con la connessione con team system ma questo rimane un'opzione per chi usa Visual Studio. Il tool è studiato per essere agnosta dall'ide e dal linguaggio.

Sulle prime può sembrare un tool troppo complesso e astratto. In realtà semplifica la vita perché rende procedurale l'approccio di verifica non solo del codice ma soprattutto del progetto stesso.
Senza andare sui mega-progetti, anche su quelli di media dimensione è molto complesso tenere traccia di tutte le contromisure da adottare per prevenire attacchi che si concretizzino in un 'threat'. Questo è il motivo per cui ritengo molto interessante questo tool.
08/03/2006 16:26 | Raffaele Rialdi
Gravatar

# re: Screenshot di Torpedo (Threat Analysis and Modeling Tool)

Si, per ciascuna di queste fasi e con tutte le figure del team hai delle corrispettive azioni che devono essere imputate/seguite da Torpedo.
Trovo anch'io favoloso aver determinato una generica procedura da poter applicare a qualsiasi applicazione in cui arrivare alle criticità senza dover eseguire anche i test che risulterebbero inutili.
I report di Torpedo risultano quindi sicuramente molto in-topic per l'applicativo e risolvono un mare di problemi anche a chi gestisce la documentazione e le eventuali certificazioni.
09/03/2006 01:11 | Raffaele Rialdi
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET

Copyright © Raffaele Rialdi