МІНІМАЛІСТИЧНИЙ ПІДХІД ДО СЕМАНТИЧНИХ АНОТАЦІЙ ДЛЯ КОМПОЗИЦІЙ ВЕБ-ПРОЦЕСІВ. ПЕРЕКЛАД СТАТТІ «A MINIMALIST APPROACH TO SEMANTIC ANNOTATIONS FORWEB PROCESSES COMPOSITIONS» (ПЕРЕКЛАД РЕМАРОВИЧ С.)

Семантичні описи Веб-сервісів відкривають шлях до автоматизації їх композиції. Проте, поточні підходи до автоматизованої композиції, які використовують семантику,\ud незважаючи на їх виразну силу, являються важкими у використанні на практиці. Вони вимагають дійсно всеохоплюючих і, зазвичай, великих онтологічних описів процесів, а також досить складних (і часто неефективних) механізмів міркувань. У цій роботі пропонується мінімалістський підхід до семантичної анотації Веб-сервісів,\ud описаних як процеси, такий, що ми можемо виконати обмежене, але ефективне і корисне семантичне міркування для композиції Веб-сервісів на рівні процесу

Security analysis of a blockchain-based protocol for the certification of academic credentials

We consider a blockchain-based protocol for the certification of academic credentials named Blockcerts, which is currently used worldwide for validating digital certificates of competence compliant with the Open Badges standard. We study the certification steps that are performed by the Blockcerts protocol to validate a certificate, and find that they are vulnerable to a certain type of impersonation attacks. More in detail, authentication of the issuing institution is performed by retrieving an unauthenticated issuer profile online, and comparing some data reported there with those included in the issued certificate. We show that, by fabricating a fake issuer profile and generating a suitably altered certificate, an attacker is able to impersonate a legitimate issuer and can produce certificates that cannot be distinguished from originals by the Blockcerts validation procedure. We also propose some possible countermeasures against an attack of this type, which require the use of a classic public key infrastructure or a decentralized identity system integrated with the Blockcerts protocol.Comment: 12 pages, 14 figure

ВИЯВЛЕННЯ ВЕБ-СЕРВІСІВ НА РІВНІ ПРОЦЕСУ НА ОСНОВІ CЕМАНТИЧНОЇ АНОТАЦІЇ / ПЕРЕКЛАД СТАТТІ «WEB SERVICE DISCOVERY AT PROCESS-LEVEL BASED ON SEMANTIC ANNOTATION»(ПЕРЕКЛАД РЕМАРОВИЧ С.)\ud

У даній роботі пропонується новий підхід до виявлення (discovery) розподілених процесів, описаних як семантичні Веб-сервіси. В існуючих підходах виявлення здійснюється за допомогою ключових слів, які пошуковий механізм використовує для класифікації та вибору Веб-сервісів, або на основі "функціонального" опису сервісу з точки зору його входів, виходів, передумов і наслідків. Проте, цей спосіб виявлення Веб-сервісів не завжди є задовільним. Справді, користувач може мати вимоги до поведінки Веб-сервісів. У даній роботі визначено формальну структуру, яка дозволяє виявлення сервісів на рівні процесу, тобто, виявлення сервісів з урахуванням вимог до поведінки сервісу. Підхід заснований на представленні сервісів на рівні процесу, яке базується на\ud специфікації BPEL для поведінки, і який розширює BPEL специфікацію семантичними анотаціями, що дозволяють виконувати обмежене, але ефективне і корисне, семантичне\ud міркування для виявлення Веб-сервісів

Verifying temporal specifications of Java programs

Many Java programs encode temporal behaviors in their source code, typically mixing three features provided by the Java language: (1) pausing the execution for a limited amount of time, (2) waiting for an event that has to occur before a deadline expires, and (3) comparing timestamps. In this work, we show how to exploit modern SMT solvers together with static analysis in order to produce a network of timed automata approximating the temporal behavior of a set of Java threads. We also prove that the presented abstraction preserves the truth of MTL and ATCTL formulae, two well-known logics for expressing timed specifications. As far as we know, this is the first feasible approach enabling the user to automatically model check timed specifications of Java software directly from the source code

ВИБІР СЕМАНТИЧНОГО ВЕБ-СЕРВІСУ НА РІВНІ ПРОЦЕСУ: НА ПРИКЛАДІ EBAY/AMAZON/PAYPAL / ПЕРЕКЛАД СТАТТІ «SEMANTICWEB SERVICE SELECTION AT THE PROCESS-LEVEL: THE EBAY/AMAZON/PAYPAL CASE STUDY» (ПЕРЕКЛАД РЕМАРОВИЧ С.)

У цій статті ми представляємо підхід до вибору сервісу на рівні процесу та оцінки його на реальній ситуації, що спричиняє високий рівень складності: eBay Веб-сервіси, Amazon E-Commerce сервіси та сервіс e-payment, запропонований PayPal. Підхід заснований на представленні сервісів на рівні процесу, тобто на BPEL і WSDL специфікаціях, і який розширює ці стандартні специфікації мінімальними семантичними анотаціями, які дозволяють виконувати ефективні, але все ж корисні, семантичні міркування для вибору Веб-сервісів на рівні процесу

Automatic repair of timestamp comparisons

Automated program repair has the potential to reduce the developers’ effort to fix errors in their code. In particular, modern programming languages, such as Java, C, and C#, represent time as integer variables that suffer from integer overflow, introducing subtle errors that are hard to discover and repair. Recent researches on automated program repair rely on test cases to discover failures to correct, making them suitable only for regression errors. We propose a new strategy to automatically repair programs that suffer from timestamp overflows that are manifested in comparison expressions. It unifies the benefits of static analysis and automatic program repair avoiding to depend on testing to identify and correct defected code. Our approach performs an abstract analysis over the time domain of a program using a Time Type System to identify the problematic comparison expressions. The repairing strategy rewrites the timestamp comparisons exploiting the binary representation of machine numbers to correct the code. We have validated the applicability of our approach with 20 open source Java projects. The results show that it is able to correctly repair all 246 identified errors. Furthermore, several patches for three open source projects have been acknowledged and accepted by their developers

Modeling time in Java programs for automatic error detection

Modern programming languages, such as Java, represent time as integer variables, called timestamps. Timestamps allow developers to tacitly model incorrect time values resulting in a program failure because any negative value or every positive value is not necessarily a valid time representation. Current approaches to automatically detect errors in programs, such as Randoop and FindBugs, cannot detect such errors because they treat timestamps as normal integer variables and test them with random values verifying if the program throws an exception. In this paper, we present an approach that considers the time semantics of the Java language to systematically detect time related errors in Java programs. With the formal time semantics, our approach determines which integer variables handle time and which statements use or alter their values. Based on this information, it translates these statements into an SMT model that is passed to an SMT solver. The solver formally verifies the correctness of the model and reports the violations of time properties in that program. For the evaluation, we have implemented our approach in a prototype tool and applied it to the source code of 20 Java open source projects. The results show that our approach is scalable and it is capable of detecting time errors precisely enough allowing its usability in real-world applications

Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici

Il presente volume nasce come continuazione del precedente, con l’obiettivo di delineare un insieme di ambiti progettuali e di azioni che la comunità nazionale della ricerca ritiene essenziali a complemento e a supporto di quelli previsti nel DPCM Gentiloni in materia di sicurezza cibernetica, pubblicato nel febbraio del 2017. La lettura non richiede particolari conoscenze tecniche; il testo è fruibile da chiunque utilizzi strumenti informatici o navighi in rete. Nel volume vengono considerati molteplici aspetti della cybersecurity, che vanno dalla definizione di infrastrutture e centri necessari a organizzare la difesa alle azioni e alle tecnologie da sviluppare per essere protetti al meglio, dall’individuazione delle principali tecnologie da difendere alla proposta di un insieme di azioni orizzontali per la formazione, la sensibilizzazione e la gestione dei rischi. Gli ambiti progettuali e le azioni, che noi speriamo possano svilupparsi nei prossimi anni in Italia, sono poi accompagnate da una serie di raccomandazioni agli organi preposti per affrontare al meglio, e da Paese consapevole, la sfida della trasformazione digitale. Le raccomandazioni non intendono essere esaustive, ma vanno a toccare dei punti che riteniamo essenziali per una corretta implementazione di una politica di sicurezza cibernetica a livello nazionale. Politica che, per sua natura, dovrà necessariamente essere dinamica e in continua evoluzione in base ai cambiamenti tecnologici, normativi, sociali e geopolitici. All’interno del volume, sono riportati dei riquadri con sfondo violetto o grigio; i primi sono usati nel capitolo introduttivo e nelle conclusioni per mettere in evidenza alcuni concetti ritenuti importanti, i secondi sono usati negli altri capitoli per spiegare il significato di alcuni termini tecnici comunemente utilizzati dagli addetti ai lavori. In conclusione, ringraziamo tutti i colleghi che hanno contribuito a questo volume: un gruppo di oltre 120 ricercatori, provenienti da circa 40 tra Enti di Ricerca e Università, unico per numerosità ed eccellenza, che rappresenta il meglio della ricerca in Italia nel settore della cybersecurity. Un grazie speciale va a Gabriella Caramagno e ad Angela Miola che hanno contribuito a tutte le fasi di produzione del libro. Tra i ringraziamenti ci fa piacere aggiungere il supporto ottenuto dai partecipanti al progetto FILIERASICURA