Sobre MTP > Proyectos I+D

PSAV-TIC

El proyecto Pruebas de Seguridad y Analisis de Vulnerabilidades en Sistemas TIC - PSAV-TIC, con número de expediente 177/2010, fué cofinanciado por la Consejería de Economía y Hacienda de la Dirección General de Economía, Estadística e Innovación Tecnológica de la Comunidad de Madrid y el Fondo Europeo de Desarrollo Regional.

Con el desarrollo de este proyecto conseguimos los siguientes objetivos: a) Construir una metodología de pruebas de seguridad para sistemas móviles. b) Desarrollar un prototipo que le de soporte. c) Probar la viabilidad de la aplicación de la tecnología TTCN-3 al campo de las pruebas de intrusión.

Con ello, pudimos demostrar que es posible realizar pruebas de seguridad con TTCN-3 y, además, adquirimos el conocimiento sobre estas pruebas y cómo adaptar el TTCN-3 a diferentes tecnologías, lo que nos permitirá poder aplicarlo después a numerosos campos implementando los codificadores, adaptadores y casos de prueba necesarios para ello.


El prototipo PSAV-TIC consta de 2 módulos diferenciados y una interfaz que permite la comunicación entre ellos:

Módulo TTCN-Tool

Este módulo es el encargado de la gestión, ejecución y automatización de las pruebas. Consta, a su vez, de los siguientes módulos o subsistemas:

  • Diseño e Implementación de casos de prueba: permite diseñar los casos de prueba y codificarlos en TTCN-3 para que puedan ser ejecutados;
  • Gestión de pruebas: para configurar las baterías de prueba, pudiendo seleccionar los casos de prueba que se van a ejecutar en cada batería e identificar el orden en que se van a ejecutar (especificación del procedimiento o secuencia de prueba);
  • Ejecución de pruebas: permite realizar la ejecución de las baterías de prueba configuradas en el módulo anterior. Registra los resultados y deduce el veredicto de la prueba (ok o fallo);
  • Automatización: permite crear scripts para lanzar secuencias de pruebas de forma automatizada.

Módulo PenTesting

Módulo encargado de generar los Informes de Pruebas de Seguridad a partir de los resultados registrados en el Módulo TTCN-Tool. Los Informes disponibles son los siguientes:

  • Informe con los resultados de todos los casos ejecutados para una aplicación.
  • Informe con los resultados obtenidos en una selección de casos ejecutados para una aplicación.
  • Informe con todas las vulnerabilidades de todas las aplicaciones ordenadas por caso de prueba.
  • Informe de Vulnerabilidades de alto Nivel.

Interfaz

Permite la integración del módulo TTCN-Tool y el módulo PenTesting.

Además, como parte de la solución, nos planteábamos establecer un módulo de Gestión de Incidencias. Hemos optado por utilizar la herramientaMantis, ya que es gratuita, fácil de instalar y personalizar, permite establecer perfiles de usuario, agrupar las incidencias por proyecto y es también fácil de usar.