Rémy Marchand : Du nouveau du côté de la sécurité des Web services (preuves légales)

Le National Institute of Standards and Technology (NIST) vient d’annoncer la publication d’un document qui traite des aspects légaux des Web services (« Forensics Web Services (FWS) ». Les auteurs en sont Anoop Singhal, Murat Gunestas, et Duminda Wijesekara. Ce document décrit une conception et une architecture de tiers Web service traitant des aspects légaux et de notarisation des Web services utilisateurs. Ce service aurait pour but de garantir la sécurité des enregistrements de transactions entre les Web services. Ces enregistrements sécurisés pourraient être re-liés en vue de faire reproduire l’histoire d’une transaction par une agence indépendante des parties à la transaction.

Les progrès des technologies de Web services promettent des avancées importantes relativement à l’usage d’Internet et des réseaux d’entreprises solidaires. S’appuyant sur XML (eXtensible Markup Language), SOAP (Simple Object Access Protocol) et divers autres standards publiquement disponibles (open), déployés au moyen d’architectures orientées services (SOA), les Web services permettent aux données et aux applications d’inter agir sans interventions humaines au moyen de connexions ad hoc et dynamiques, pourvu bien entendu que les systèmes d’information et applications concernées aient été préalablement alignées du point de vue de la sémantique des données, exigence trop souvent omise. Les technologies de Web services peuvent être implémentées suivant des architectures variées et coexister avec d’autres technologies et conceptions de logiciels (et applications). Ces technologies peuvent être adoptées dans le cadre d’évolutions progressives sans exiger des transformations radicales des applications installées et de leurs bases de données..

Avec les Web services, la composition des techniques du niveau des services crée des interdépendances complexes entre des services appartenant à des organisations différentes, services qui peuvent être malicieusement exploités grâce à des défauts localisés et/ou de composition qu’ils présentent.

De telles exploitations ou attaques peuvent affecter de nombreux serveurs et avoir pour conséquence des pertes financières et des dommages affectant les infrastructures.

Conduire des investigations relatives à ces incidents requiert que les dépendances entre des invocations de services soient conservées en toute sécurité et pérennité par une tierce partie participante et neutre .

Les évidences matérielles extractibles des serveurs web telles que les enregistrements de logs, les alertes des pare-feux des extrémités de services (end points) n’ont pas de valeur légale car les organisations incriminées peuvent clamer qu’elles n’ont envoyé aucun message. Dans le rapport, on décrit une solution neutre participant à la collecte de preuves à caractère légal concernant le fonctionnement de Web services.

Le document décrit donc un cadre de Web services légaux apportant des services à des Web services utilisateurs au moyen de logs (enregistrement) des invocations de services. La conception du service montre comment les enregistrements d’invocations services permettent de produire une collection de preuves digitales décrivant les attaques faites. Le document est disponible

Tagged:

Comments are closed.

Rémy Marchand : Du nouveau du côté de la sécurité des Web services (preuves légales)

Le National Institute of Standards and Technology (NIST) vient d’annoncer la publication d’un document qui traite des aspects légaux des Web services (« Forensics Web Services (FWS) ». Les auteurs en sont Anoop Singhal, Murat Gunestas, et Duminda Wijesekara. Ce document décrit une conception et une architecture de tiers Web service traitant des aspects légaux et de notarisation des Web services utilisateurs. Ce service aurait pour but de garantir la sécurité des enregistrements de transactions entre les Web services. Ces enregistrements sécurisés pourraient être re-liés en vue de faire reproduire l’histoire d’une transaction par une agence indépendante des parties à la transaction.

Les progrès des technologies de Web services promettent des avancées importantes relativement à l’usage d’Internet et des réseaux d’entreprises solidaires. S’appuyant sur XML (eXtensible Markup Language), SOAP (Simple Object Access Protocol) et divers autres standards publiquement disponibles (open), déployés au moyen d’architectures orientées services (SOA), les Web services permettent aux données et aux applications d’inter agir sans interventions humaines au moyen de connexions ad hoc et dynamiques, pourvu bien entendu que les systèmes d’information et applications concernées aient été préalablement alignées du point de vue de la sémantique des données, exigence trop souvent omise. Les technologies de Web services peuvent être implémentées suivant des architectures variées et coexister avec d’autres technologies et conceptions de logiciels (et applications). Ces technologies peuvent être adoptées dans le cadre d’évolutions progressives sans exiger des transformations radicales des applications installées et de leurs bases de données..

Avec les Web services, la composition des techniques du niveau des services crée des interdépendances complexes entre des services appartenant à des organisations différentes, services qui peuvent être malicieusement exploités grâce à des défauts localisés et/ou de composition qu’ils présentent.

De telles exploitations ou attaques peuvent affecter de nombreux serveurs et avoir pour conséquence des pertes financières et des dommages affectant les infrastructures.

Conduire des investigations relatives à ces incidents requiert que les dépendances entre des invocations de services soient conservées en toute sécurité et pérennité par une tierce partie participante et neutre .

Les évidences matérielles extractibles des serveurs web telles que les enregistrements de logs, les alertes des pare-feux des extrémités de services (end points) n’ont pas de valeur légale car les organisations incriminées peuvent clamer qu’elles n’ont envoyé aucun message. Dans le rapport, on décrit une solution neutre participant à la collecte de preuves à caractère légal concernant le fonctionnement de Web services.

Le document décrit donc un cadre de Web services légaux apportant des services à des Web services utilisateurs au moyen de logs (enregistrement) des invocations de services. La conception du service montre comment les enregistrements d’invocations services permettent de produire une collection de preuves digitales décrivant les attaques faites. Le document est disponible

Tagged:

Comments are closed.