TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.

Slides:



Advertisements
Presentazioni simili
XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
Advertisements

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Informatica e Telecomunicazioni
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Java Enterprise Edition (JEE)
Introduzione ai Web Services. E' un nuovo meccanismo RPC ottimizzato per l'uso in Internet Un qualunque Client su una generica piattaforma deve poter.
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.
13/01/ Anno Accademico Flavio Giovarruscio e Riccardo Tribbia Relatore: Prof. Stefano Paraboschi Realizzazione di un sistema sicuro di.
Valutazione di un MMG Dr A.Romboli ASL 2 Lucca
APPLICAZIONI E BASI DATI DISTRIBUITE
Seconda parte: i sistemi informativi in rete
Il Framework di riferimento del progetto
Milano – 31 Gennaio 2006 Da Milano sicura a Milano migliore.
Sistema Geomonitor Schema di funzionamento generale
Daniel Stoilov Tesi di Laurea
IL PC NELLA NOSTRA VITA Il PC fa ormai parte della nostra vita. Ha acquisito un ruolo fondamentale, sia in ambito domestico che lavorativo (ambito organizzativo,
Ing. Enrico Lecchini BetaTre S.r.l.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
INTEGRAZIONE, RILASCIO
Guida IIS 6 A cura di Nicola Del Re.
03 - IL “CICLO DI VENDITA” DELLA DOMOTICA
UN SOFTWARE PER LACQUISIZIONE E LA FRUIZIONE DEI DATI La Carta della salute dellagricoltore.
Gestimp IV Il pacchetto software GESTIMP© di Isea S.r.l., di seguito indicato con GESTIMP©, permette di gestire la supervisione e la telegestione di impianti.
IL SERVIZIO DI INGEGNERIA CLINICA dell’Ospedale di Niguarda
MEDICI DI MEDICINA GENERALE E PEDIATRI DI LIBERA SCELTA
L’esperienza della Regione Lombardia
by Innomed Srl
Agenti Mobili Intelligenti e Sicurezza Informatica
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Lusabilità di un prodotto è il grado con cui esso può essere usato da specificati utenti per raggiungere specificati obiettivi con efficacia, efficienza.
Obiettivi di Design Rappresentano, in un prodotto software, le basi del successivo sviluppo del prodotto, perché, su di esse, si fondano le scelte prese.
FASTVID RENTALS: CONCLUSIONI I PUNTI DI FORZA DEL PROGETTO, GLI SVILUPPI FUTURI 1.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Design Goals Definiamo le fondamenta dello sviluppo del sistema.
Applicazione Web Informatica Abacus Informatica Classe VIA 2008/2009 N.Ceccon INF (01) Revisione 4.0 settembre 2008.
Progettazione concettuale di SI basati su Web
Universita’ degli Studi Roma Tre
Lezione 8.
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Carta Regionale dei Servizi
Architetture a componenti Java per la realizzazione di DSS distribuiti Giordano Vicoli - ENEA 28 Ottobre 2003.
Patient file Anagrafe persone fisicheAnagrafe sanitaria Anagrafe dei professionisti sanitari La utilizzazione di dati clinici (patient file) Modelli di.
PoctEvo Point of Care Testing Evolution Gestione diagnostica Web.
Requisiti Funzionali del Sistema Obiettivo: realizzare un ambiente distribuito nel quale tutti gli Enti Regionali possano interagire prescindendo dalle.
Tutorial
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
B IBLIO S ERVICE consultazione di articoli online Anna Riccioni Progetto per il corso di Reti di Calcolatori L-S Anno Accademico
Internetworking V anno. Le soluzioni cloud per la progettazione di infrastrutture di rete.
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
Utilizzo base di Altervista. AlterVista AlterVista è una piattaforma web dove è possibile aprire gratuitamente un sito web, un blog Per aprire gratuitamente.
Consultazione Referti Medici
Tecnologie in movimento
Eprogram informatica V anno.
Riunione CCR 21/12/2005 Gruppo Storage Relazione sulla analisi di infrastrutture Fibre Channel e presentazione attivita’ per il 2006 Alessandro Brunengo.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Postecom B.U. CA e Sicurezza Offerta Sicurezza Scenario di servizi ed integrazioni di “Certificazione”
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Padova, 17 novembre
INTRODUZIONE. INTRODUZIONE ordinare la stampa dei documenti personalizzati Postel On The Net (PON) è un sistema integrato per gestire via internet.
La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
FatIn: Fatturazione Interventi Applicazione di facile utilizzo che permette la prenotazione, la gestione e la fatturazione di interventi e prestazioni.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
Transcript della presentazione:

TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA Web (consultazione carta del cittadino) Analisi applicazione CRM (consultazione referti medici)

ANALISI Applicazione SISS E’stata rilevata una architettura molto complessa, che demanda alcune funzioni critiche al client SISS La complessità architetturale, soprattutto client-side, rende intrinsecamente meno sicuro il sistema CRS-SISS E’ stata analizzata l’architettura nella sua interezza e approfondite le problematiche precedentemente evidenziate Sono state evidenziate nuove problematiche a livello client.

ANALISI Applicazione SISS Lo schema architetturale mostra come molti controlli e richieste sono demandate a servizi locali che si interfacciano con la pagina Web.

Sommario delle criticità

Applicazione SISS – Risk analysis High: Errata implementazione del meccanismo di controllo di accesso al SEBContainer High: Errata implementazione del meccanismo di controllo di accesso alla APPLET High: Errata implementazione del meccanismo di controllo dell'accesso al menu SISS High: Controlli client-side High: Accesso non autorizzato alla funzionalità di ricerca referti

Medium: Errata configurazione del DBMS MySQLMedium: Logica client-side Medium: Errata scelta di protocolli in chiaro per comunicazioni client/client. Medium: Errata scelta di protocolli in chiaro per comunicazioni client/server Medium: Accesso non autorizzato alla lista di funzionalità disponibile per tutte le utenze. Medium: Analisi della gestione delle condizioni di errore 1. Medium: Analisi della gestione delle condizioni di errore 2. Medium: Mancanza di controlli di sessione nell'accesso alle funzionalità remote Low: Presenza di informazioni sensibili nei file di configurazione. Applicazione SISS – Risk analysis

Applicazione SISS - Risultati Il sistema ha evidenziato forti carenze di sicurezza lato client è infatti stato possibile: –Caricare la applet da una pagina proveniente da un host arbitrario. Ottenendo il controllo completo dell’utenza definita dalla smart card inserita nel momento dell’attacco.

Applicazione SISS - Risultati Accedere al SebContainer in maniera ‘Blind’ da una pagina html proveniente da un host arbitrario. O accedere all SebContainer da un host remoto con accesso alla porta Ottenendo parte o completo controllo sulle operazioni effettuabili dall’utenza definita dalla smart card inserita nel momento dell’attacco.

Applicazione SISS - Risultati Utilizzando uno dei due attacchi suddetti in concomitanza all’abuso dei metodi SOAP esposti, è stato possibile ottenere controllo totale della macchina client e dei dati.

Applicazione SISS - Risultati E’risultato possibile accedere: –ai menu applicativi corrispondenti a ruoli non attivi sulla smart card operatore consegnata ad HT per i test. –Alla lista delle funzionalità di tutte le tipologie di utenze. –E’stato realizzato uno scenario di attacco in cui un operatore con ruolo “Impiegato Amministrativo”(54) accede a parte delle funzionalità previste per il ruolo “Medico di Pronto Soccorso”(52) –E’stato possibile accedere ad alcuni dati di natura sanitaria (patologie, ricoveri) relativi ad un “cittadino”di test

Azioni Correttive Correzione delle vulnerabilità individuate secondo quanto indicato nel documento “Azioni correttive” Alcune delle problematiche non sono probabilmente risolvibili nel breve periodo dal momento che coinvolgono aspetti architetturali del sistema.

Azioni Correttive