CYBERSECURITY IN THE APPLICATIONAL CONTEXT. KEYCLOAK, KONG AND CODE VERIFIER

Sousa, André Jorge Martins

http://hdl.handle.net/10362/164323

Utilize este identificador para referenciar este registo.

Nome:	Descrição:	Tamanho:	Formato:
Sousa_2023.pdf		3.43 MB	Adobe PDF	Ver/Abrir

Contacte-nos

Autores

Sousa, André Jorge Martins

Orientador(es)

Epifânio, Tiago

Ravara, António

Resumo(s)

Cybercrime has increased over the past few years, as has the number of victims and the amount of data lost and stolen. This escalation in cybercrime has led to greater concern about cybersecurity, which has resulted in the creation of norms, rules and standards to guide and protect users in cyberspace. This special concern for cybersecurity has also reached Link Consulting, which, as an IT company, endeavours to guarantee the security of its products. Link Consulting, responsible forsuggesting the topic of this dissertation, is a technology company that seeks to offer its customers IT solutions that not only fulfil their requirements, but also guarantee reliability and trust. The Egov department is one of the various departments in the company that will be the subject of this dissertation. The most significant difference between Egov and the other departments is that it focuses on work in the public sector only. The department currently has a reference architecture to guide programmers in their work. With this increase in concern for Link, there was an interest in reinforcing and guaranteeing the security of the architecture. It is possible to identify some tools and possible vulnerabilities. These possible points of failure were studied, identifying the causes of the problem and possible solutions. To help Link mitigate the existing vulnerabilities in its architecture, a mechanism was created to automate the verification of these points of failure, complementing the current mechanisms with another tool that could be beneficial to the company. After analysing the entire architecture and mitigating the possible existing vulnerabilities, it was then possible to obtain a plugin that can not only identify the vulnerabilities present in Keycloak, but also check for them and report them to users. The result allows users to visualize in Jenkins (or in an output file) the result of the checks made on Keycloak, showing the vulnerabilities found and the proposed solution to them. Since Keycloak is widely known and used, in order to allow users to have greater confidence in it, and considering the results obtained to be of public use, it is intended to publish the results as open-source, so that they can be implemented by other users and thus minimize the chance of vulnerabilities in their Keycloak instances as well. Therefore, the vulnerabilities present in the reference architecture are considered to be mitigated, and it has been possible to take another step towards guaranteeing its security.

O cibercrime aumentou ao longo dos anos, aumentando também a quantidade de lesados e de dados perdidos e roubados. Este escalar do cibercrime resultou numa maior preocupação com cibersegurança, que resultou na criação de normas, regras e padrões com o intuito de guiar e proteger os utilizadores no ciberespaço. Esta atenção especial para com a cibersegurança também chegou à Link Consulting que, como empresa informática, procura garantir a segurança dos seus produtos. ALink Consulting,responsável pela sugestão do tema desta dissertação,éumaempresa do ramo tecnológico que procura oferecer aos seus clientes soluções informáticas que, não só preencham os requisitos dos clientes, como também garantam fiabilidade e confiança. De entre os vários departamentos existentes na empresa, é com o departamento de Egov que será desenvolvido o tema. A diferença mais significativa entre Egov e os restantes departamentos, é que este se foca em trabalhos apenas no setor público. Atualmente, este departamento conta com uma arquitetura de referência que permite guiar os programadores na sua tarefa. Com este aumento da preocupação da Link, surgiu o interesse em reforçar e garantir a segurança da arquitetura.Na mesma é possível identificar algumas ferramentas e possíveis vulnerabilidades. Esses possíveis pontos de falha foram estudados, identificando as causas do problema e possíveis soluções. Para ajudar a Link a mitigar as vulnerabilidades existentes na sua arquitetura, foi criado um mecanismo de automatização de verificação desses pontos de falha, complementando os mecanismos atuais com outra ferramenta que possa ser benéfica para a empresa. Após analisada toda a arquitetura, e mitigadas as possíveis vulnerabilidades existentes, foi possível, então, obter um plugin que consegue, não só, identificar as vulnerabilidades presentes no Keycloak, como também verificar as mesmas e informar os utilizadores. O resultado permite que os utilizadores visualizem no Jenkins (ou num ficheiro de output) o resultado das verificações feitas ao Keycloak, mostrando as vulnerabilidades encontradas e a solução proposta para as mesmas. Uma vez que o Keycloak é largamente conhecido e utilizado, para permitir uma maior confiança por parte dos utilizadores, no mesmo, e considerando os resultados obtidos como sendo de utilidade pública, tencionase publicar os resultados como open-source, para poderem ser implementados por outros utilizadores e dessa forma minimizarem a probabilidade de existência de vulnerabilidades nas suas instâncias de Keycloak também. Assim sendo, consideram-se mitigadas as vulnerabilidades presentes na arquitetura de referência, e foi possível dar mais um passo no caminho de garantir a segurança da mesma.

Palavras-chave

cybercrime cybersecurity vulnerabilities architecture plugin

URI

http://hdl.handle.net/10362/164323

Coleções

FCT: DI - Dissertações de Mestrado

Ver registo completo