outubro 16, 2006

[segurança] Open Vulnerability and Assessment Language

O Open Vulnerability and Assessment Language (OVAL™) é um esforço para criar um padrão internacional para documentação e troca de informações sobre segurança, principalmente vulverabilidades.

O projeto OVAL inclui uma especificação de linguagem usada para criar arquivos XML com a codificação do detalhamento de sistemas e vulnerabilidades: isso permite documentar, para uma determinada vulnerabilidade, que sistemas são afetados e como testar se o sistema está vulnerável. Assim, foi criada uma forma de documentar os três passos de um processo de avaliação de vulnerabilidade: representação do status do sistema a ser testado, análise do sistema e a apresentação do resultado da análise.

Isto forma uma base de informações que pode ser acessada e compartilhada pela comunidade. O principal repositório é chamado de "OVAL Repository" e fica hospedado no Mitre. Nesse site é possível buscar por vulnerabilidades e fazer o download da base de dados com todas as vulnerabilidades cadastradas (na página de database, é possível abaixar o repositório por sistema operacional). Essa base de dados nada mais é do que um "arquivão" .xml com a descrição, na linguagem OVAL, de todas as vulnerabilidades conhecidas.

Por exemplo, indo na página de "Latest Updates", o link "oval:org.mitre.oval:def:220" permite ir na página de descrição de uma vulnerabilidade recente no PowerPoint que permite ao atacante executar aplicativos através de arquivos mal-formados. Nessa página é possível abaixar o arquivo XML com a especificação técnica da vulnerabilidade e descrição dos sistemas afetados. Fuçando nesse arquivo, vemos que a tag "description" descreve a vulnerabilidade, a tag "tests" descreve os testes necessários para saber se o equipamento está vulnerável (se o Power Point estáinstalado e qual é a versão vulnerável). Na tag "objects" é especificado como verificar estas informações (no caso, quais chaves de registry consultar).

Essas informações podem ser tratadas por aplicativos compatíveis (aí depende do fabricante da ferramenta de segurança utilizar esse padrão ou não). No site do OVAL está disponibilizado um aplicativo muito simples para exemplificar o uso destas informações, chamado "OVAL Interpreter".

A versão Windows dele roda no prompt do DOS. Após fazer o download e copiar ele para algum diretório em sua máquina, copie o XML de definições para a plataforma Windows para a pasta e o renomeie este arquivo para "definitions.xml". Ao executar o comando "ovaldi -m", ele irá verificar se seus sistema possui alguma das vulnerabilidades cadastradas e vai gerar um XML com o resultado (e, aí, se vire para entender... heheheheh).

Também no site do projeto OVAL é possível ver quais são os programas e produtos compatíveis (na página "OVAL Compatibility").

Um comentário:

Wagner Elias, CBCP disse...

Fala mestre! Eu tenho acompanhado o OVAL faz um tempo, inclusive havia conversado com o Gustavo Bittencourt sobre. A mais interessante aplicação do OVAL que eu vi, foi a do NIST. Juntamente com o projeto 800-70 (http://checklists.nist.gov) eles estão usando o OVAl para automatização de testes. (http://checklists.nist.gov/nist-final.u.pdf).

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.