Publicação
Vulnerability analysis and correction in the Faculdade de Ciências da Universidade de Lisboa's technological infrastructure
| Resumo: | Este documento descreve um projeto de análise e correção de vulnerabilidades na infraestrutura tecnológica da Faculdade de Ciências da Universidade de Lisboa. O projeto foi coordenado pela Direção de Serviços Informáticos, unidade de serviço pertencente à Faculdade de Ciências da Universidade de Lisboa. O projeto foi dividido em duas tarefas. A primeira, na avaliação de aplicativos da web desenvolvidos internamente e em plataformas externas alojadas nos servidores da Direção de Serviços Informáticos. O capítulo dedicado à avaliação de aplicativos da Web consisto no uso e análise de vulnerabilidades usando a ferramenta Greenbone Vunerability Management, incluindo a correção das vulnerabilidades identificadas. Parte deste capítulo também foi dedicada à implementação de código seguro que restringe o uso da estrutura CakePHP e à integração de um analisador de código estático compatível com a estrutura CakePHP. O objetivo alcançado por esta tarefa é auxiliar e melhorar os processos de desenvolvimento de serviços para identificar vulnerabilidades no início do processo de produção, o que é menos oneroso do que a retificação da vulnerabilidade quando o serviço já está disponível desde algum tempo para os utilizadores. A Direção de Serviços Informáticos hospeda uma infinidade de serviços nos seus servidores e da mesma forma disponibiliza-os para os utilizadores, sejam estudantes, professores ou funcionários internos/externos. Inclui, por exemplo, serviços de armazenamento de ficheiros, aplicações, bases de dados de utilizadores, cópias de segurança de dados, páginas pessoais disponibilizadas na web de professores, investigadores, funcionários e alunos da Faculdade de Ciências. Além dos gestão de serviços atualmente disponibilizados à comunidade de Ciências, a Direção de Serviços Informáticos também promove a implementação de novos serviços. Esses novos serviços podem ser solicitados pela Direção da Faculdade de Ciências ou internamente pela Direção de Serviços Informáticos caso os mesmos verifiquem que é necessário a implementar um novo serviço na infraestrutura de tecnologia da Faculdade de Ciências da Universidade de Lisboa. Adicionalmente, a Direção de Serviços Informáticos, tem também a função de manter os sistemas pertencentes à infraestrutura tecnológica, bem como a manutenção de dispositivos informáticos conectados à rede da Faculdade de Ciências da Universidade de Lisboa. As atividades da Direção de Serviços Informáticos, são suportadas por um conjunto de regulamentos, estabelecidos pela Política de Uso Aceitável. Esses regulamentos definem as condições de fornecimento de serviço para o uso da infraestrutura de comunicação da Faculdade de Ciências da Universidade de Lisboa , as contas de utilizadores da Faculdade de Ciências da Universidade de Lisboa, o uso das contas de correio eletrónico da Faculdade de Ciências da Universidade de Lisboa e as listas de distribuição e a utilização dos laboratórios de informática da Faculdade de Ciências da Universidade de Lisboa. Para avançar numa linha convergente entre o estado atual e o estado desejado, de acordo com os objetivos estabelecidos com a instituição anfitriã, a Direção de Serviços Informáticos, este projeto consisto em analisar a infraestrutura tecnológica com uma aplicação de análisede vulnerabilidades de código aberto e uma ferramenta automatizada, incluindo a ferramenta Greenbone Vunerability Management. Inicialmente, parte do relatório irá focar a implementação dessa ferramenta e criará cenários de teste para avaliar sua eficácia antes implementar na Instituição e, é claro, realizará análises de vulnerabilidade nos vários destinos que constituem a infraestrutura tecnológica da Faculdade de Ciências. Esta seção se concentrará mais especificamente na análise de vulnerabilidade de aplicativos da Web na infraestrutura de tecnologia d da Faculdade de Ciências da Universidade de Lisboa e na análise de vulnerabilidades de arquitetura de serviços e servidores na infraestrutura de tecnologia da Faculdade de Ciências da Universidade de Lisboa. Numa segunda etapa, as vulnerabilidades identificadas durante as várias análises realizadas foram corrigidas. Finalmente, a aplicação Greenbone Vulnerability Management foi integrada de forma automatizada no processo de manutenção, para utilização regularmente e, assim, manter uma infraestrutura atualizada ao longo do tempo. Esta parte do relatório do projeto de estágio contribui para a elaboração de um manual do utilizador da ferramenta de software de verificação de vulnerabilidades Greenbone Vulnerability Management. Este guia tem como objetivo ajudar e fornecer cenários práticos para começar a usar a ferramenta Greenbone Vulnerability Management. Foi concebido exclusivamente para a equipa que forma a Direção de Serviços Informáticos da Faculdade de Ciências da Universidade de Lisboa. Este projeto realizado na Faculdade de Ciências da Universidade de Lisboa, integrando a Direção de Serviços Informáticos, no âmbito do Mestrado em Segurança da Informática, consistirá, além da implementação dos serviços solicitados, em preparar o terreno para melhorias nos novos serviços na infraestrutura de tecnologia da Faculdade de Ciências da Universidade de Lisboa. Em outras palavras, os Serviços Greenbone Vulnerability Management, o Código de Prática para Implementação Segura de Código podem ser usados para integrar e melhorar o processo de desenvolvimento, promover novas regras de firewall, por exemplo, para os sistemas de prevenção de intrusões e sistema de deteção de intrusão, mas também aumentam a precisão dos resultados numa análise de risco da Faculdade de Ciências da Universidade de Lisboa. É expectável que este projeto, promova o melhoramento dos conhecimentos atuais por forma a reunir experiência num ambiente profissional e, assim, atualizar de forma eficiente os conhecimentos adquiridos durante a vida académica. Pretende-se também para assimilar as experiências e conselhos profissionais provenientes da equipa da Direção de Serviços Informáticos. |
|---|---|
| Autores principais: | Rodrigues, Sergio Ferreira |
| Assunto: | Greenbone Vulnerability Management Proteção de dados RGPD Aplicativo Web Análise de vulnerabilidades Teses de mestrado - 2023 |
| Ano: | 2023 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso restrito |
| Instituição associada: | Universidade de Lisboa |
| Idioma: | inglês |
| Origem: | Repositório da Universidade de Lisboa |
| Resumo: | Este documento descreve um projeto de análise e correção de vulnerabilidades na infraestrutura tecnológica da Faculdade de Ciências da Universidade de Lisboa. O projeto foi coordenado pela Direção de Serviços Informáticos, unidade de serviço pertencente à Faculdade de Ciências da Universidade de Lisboa. O projeto foi dividido em duas tarefas. A primeira, na avaliação de aplicativos da web desenvolvidos internamente e em plataformas externas alojadas nos servidores da Direção de Serviços Informáticos. O capítulo dedicado à avaliação de aplicativos da Web consisto no uso e análise de vulnerabilidades usando a ferramenta Greenbone Vunerability Management, incluindo a correção das vulnerabilidades identificadas. Parte deste capítulo também foi dedicada à implementação de código seguro que restringe o uso da estrutura CakePHP e à integração de um analisador de código estático compatível com a estrutura CakePHP. O objetivo alcançado por esta tarefa é auxiliar e melhorar os processos de desenvolvimento de serviços para identificar vulnerabilidades no início do processo de produção, o que é menos oneroso do que a retificação da vulnerabilidade quando o serviço já está disponível desde algum tempo para os utilizadores. A Direção de Serviços Informáticos hospeda uma infinidade de serviços nos seus servidores e da mesma forma disponibiliza-os para os utilizadores, sejam estudantes, professores ou funcionários internos/externos. Inclui, por exemplo, serviços de armazenamento de ficheiros, aplicações, bases de dados de utilizadores, cópias de segurança de dados, páginas pessoais disponibilizadas na web de professores, investigadores, funcionários e alunos da Faculdade de Ciências. Além dos gestão de serviços atualmente disponibilizados à comunidade de Ciências, a Direção de Serviços Informáticos também promove a implementação de novos serviços. Esses novos serviços podem ser solicitados pela Direção da Faculdade de Ciências ou internamente pela Direção de Serviços Informáticos caso os mesmos verifiquem que é necessário a implementar um novo serviço na infraestrutura de tecnologia da Faculdade de Ciências da Universidade de Lisboa. Adicionalmente, a Direção de Serviços Informáticos, tem também a função de manter os sistemas pertencentes à infraestrutura tecnológica, bem como a manutenção de dispositivos informáticos conectados à rede da Faculdade de Ciências da Universidade de Lisboa. As atividades da Direção de Serviços Informáticos, são suportadas por um conjunto de regulamentos, estabelecidos pela Política de Uso Aceitável. Esses regulamentos definem as condições de fornecimento de serviço para o uso da infraestrutura de comunicação da Faculdade de Ciências da Universidade de Lisboa , as contas de utilizadores da Faculdade de Ciências da Universidade de Lisboa, o uso das contas de correio eletrónico da Faculdade de Ciências da Universidade de Lisboa e as listas de distribuição e a utilização dos laboratórios de informática da Faculdade de Ciências da Universidade de Lisboa. Para avançar numa linha convergente entre o estado atual e o estado desejado, de acordo com os objetivos estabelecidos com a instituição anfitriã, a Direção de Serviços Informáticos, este projeto consisto em analisar a infraestrutura tecnológica com uma aplicação de análisede vulnerabilidades de código aberto e uma ferramenta automatizada, incluindo a ferramenta Greenbone Vunerability Management. Inicialmente, parte do relatório irá focar a implementação dessa ferramenta e criará cenários de teste para avaliar sua eficácia antes implementar na Instituição e, é claro, realizará análises de vulnerabilidade nos vários destinos que constituem a infraestrutura tecnológica da Faculdade de Ciências. Esta seção se concentrará mais especificamente na análise de vulnerabilidade de aplicativos da Web na infraestrutura de tecnologia d da Faculdade de Ciências da Universidade de Lisboa e na análise de vulnerabilidades de arquitetura de serviços e servidores na infraestrutura de tecnologia da Faculdade de Ciências da Universidade de Lisboa. Numa segunda etapa, as vulnerabilidades identificadas durante as várias análises realizadas foram corrigidas. Finalmente, a aplicação Greenbone Vulnerability Management foi integrada de forma automatizada no processo de manutenção, para utilização regularmente e, assim, manter uma infraestrutura atualizada ao longo do tempo. Esta parte do relatório do projeto de estágio contribui para a elaboração de um manual do utilizador da ferramenta de software de verificação de vulnerabilidades Greenbone Vulnerability Management. Este guia tem como objetivo ajudar e fornecer cenários práticos para começar a usar a ferramenta Greenbone Vulnerability Management. Foi concebido exclusivamente para a equipa que forma a Direção de Serviços Informáticos da Faculdade de Ciências da Universidade de Lisboa. Este projeto realizado na Faculdade de Ciências da Universidade de Lisboa, integrando a Direção de Serviços Informáticos, no âmbito do Mestrado em Segurança da Informática, consistirá, além da implementação dos serviços solicitados, em preparar o terreno para melhorias nos novos serviços na infraestrutura de tecnologia da Faculdade de Ciências da Universidade de Lisboa. Em outras palavras, os Serviços Greenbone Vulnerability Management, o Código de Prática para Implementação Segura de Código podem ser usados para integrar e melhorar o processo de desenvolvimento, promover novas regras de firewall, por exemplo, para os sistemas de prevenção de intrusões e sistema de deteção de intrusão, mas também aumentam a precisão dos resultados numa análise de risco da Faculdade de Ciências da Universidade de Lisboa. É expectável que este projeto, promova o melhoramento dos conhecimentos atuais por forma a reunir experiência num ambiente profissional e, assim, atualizar de forma eficiente os conhecimentos adquiridos durante a vida académica. Pretende-se também para assimilar as experiências e conselhos profissionais provenientes da equipa da Direção de Serviços Informáticos. |
|---|