vepRisk - A Web Based Analysis Tool for Public Security Data

We present vepRisk (Vulnerabilities, Exploits and Patches Risk analysis tool): a web-based tool for analyzing publically available security data. The tool has a backend modules that mine, extract, parse and store data from public repositories of vulnerabilities, exploits and patches; and a frontend web-based application that provides functionality for analyzing the data. The frontend uses shinyR, hence allowing integration with the R statistical analysis package and seamless use of R functions. We also present initial analysis we have done with the tool, and outline the extensions and future development we plan to integrate into the tool in the near future

Testes padronizados para configurações de segurança definidas pelo usuário para dispositivos Android

Orientadores: Eliane Martins, Marco VieiraTese (doutorado) - Universidade Estadual de Campinas, Instituto de ComputaçãoResumo: A ampla disseminação de dispositivos móveis, como smartphones e tablets, e a sua vasta capacidade de uso, que vai desde tirar fotos ao acesso a contas bancárias, torna-os um alvo atraente para os atacantes. Isso, juntamente com o fato de que os usuários frequentemente armazenam informações pessoais em tais dispositivos, e que muitas organizações atualmente implementam a política "Bring Your Own Device" (BYOD), que permite aos funcionários usarem seus dispositivos pessoais para acessarem a infraestrutura de informação corporativa e aplicações, tornando a avaliação da segurança de dispositivos móveis uma questão fundamental. Este trabalho apresenta uma abordagem de testes padronizados para avaliar as configurações de segurança definidas pelos usuários, considerando o risco, que cada configuração possui, de prejudicar o dono do dispositivo. Esta abordagem fornece informações valiosas para aqueles que precisam avaliar, comparar ou controlar as configurações de segurança em dispositivos móveis. Na prática, para cada configuração definida pelo usuário, uma intensidade de risco é calculada com base na análise da percepção de um conjunto de especialistas de segurança. A intensidade do risco das diferentes configurações são agregadas para avaliar a segurança geral, com base na análise das configurações de um determinado dispositivo. Em suma, as principais contribuições deste trabalho são: 1) uma ferramenta que permite avaliar a segurança de dispositivos Android com base nas configurações definidas pelo usuário; 2) uma análise das configurações de segurança definidas pelo usuário de dispositivos Android, a fim de entender os problemas mais comuns relacionados às configurações de segurança; 3) uma abordagem de análise de risco para qualificar / quantificar a segurança de dispositivos móveis tomando como base as configurações de segurança definidas pelo usuário; e 4) a definição de testes padronizados benchmark de configuração de segurança para dispositivos móveis, usando o Android como estudo de caso. A plataforma Android é amplamente usada e representativa com relação ao estado da arte em computação móvel. Os resultados, com base na análise de dados coletados de 561 dispositivos, mostram que os usuários do sistema Android negligenciam importantes recomendações de segurança ao configurarem seus dispositivos e que o processo de benchmarking é realmente uma boa maneira de identificar a configuração mais segura definida pelo usuárioAbstract: The wide spreading of mobile devices, such as smartphones and tablets, and their always-advancing capabilities, ranging from taking photos to accessing banking accounts, makes them an attractive target for attackers. This, together with the fact that users frequently store critical personal information in such devices and that many organizations currently implement a "bring your own device" (BYOD) policy that allows employees to use their personal devices to access the enterprise information infrastructure and applications, makes the assessment of the security of mobile devices a key issue. This work presents an approach to benchmark the user-defined security configurations of mobile devices considering the risk that each configuration has to harm or cause any type of loss to the device owner. This approach provides valuable information for those who need to evaluate, assess, compare or control the security configurations of mobile devices. In practice, for each user-defined configuration, an intensity of severity is calculated based on the analysis of the perception of a set of security experts. The intensity of severity of the different configurations are aggregated to assess overall security, based on the analysis of the concrete settings of a given device. In short, the main contributions of this work are: 1) a tool that allows assessing the security of Android devices based on the user-defined configurations; 2) a security analysis of the user-defined security configurations of Android devices in order to understand the common misconfiguration problems; 3) a risk analysis approach to qualify/quantify the security of mobile devices concerning the user-defined security configurations; and 4) a security configuration benchmark for mobile devices, using Android as case study. The Android platform is widely use and representative with respect to the state-of-the-art in mobile computing. The results presented, based on the analysis of data collected from 561 devices, show that Android users neglect important security recommendations while configuring their devices and that benchmarking is indeed a practical way to assess and compare the security of mobile devices with regard to user-defined configurations. In fact, the results can be used by both manufacturers and users to enhance the security level of their devicesDoutoradoCiência da ComputaçãoDoutor em Ciência da Computação0495/15-8CAPESBE