Analysis of Security Relevant Logging in the Wild and step towards a Log Recommendation System

La registrazione degli eventi e il loro monitoraggio rivestono un ruolo importante nello sviluppo software e permettono di individuare attacchi e capire le azioni e gli scopi dei cracker. Il più delle volte gli sviluppatori non seguono le buone pratiche per la creazione dei messaggi di log; infatti, gli errori di registrazione e monitoraggio della sicurezza sono nella OWASP Top 10 da molti anni. Questa tesi è il risultato di un tirocinio svolto con lo scopo di familiarizzare con i requisiti necessari per la registrazione di eventi legati alla sicurezza. Lavorando sul codice sorgente di un grande gruppo di applicazioni web, è stato possibile analizzare i registri e quali librerie sono usate per gestirli, osservando le buone e le cattive pratiche. In particolare, ci si è soffermati sul problema dei registri contenenti informazioni insufficienti a garantire la sicurezza. Inizialmente, analizzando alcuni standard di sicurezza, sono stati sistematizzati i requisiti necessari per una corretta registrazione degli eventi e si è arrivati alla definizione di categorie di eventi legati alla sicurezza che necessitano la registrazione. Dopodiché, l’utilizzo di tecniche di analisi di argomenti applicate ai messaggi di log legati alla sicurezza estratti da 206 applicazioni Java open source, ha permesso di correlare questi argomenti con gli eventi di sicurezza definiti precedentemente. Conseguentemente, è stato possibile notare che alcune categorie sono state identificate in reali applicazioni, mentre altre sono troppo generiche per poter essere collegate a metodi del codice sorgente Java. Inoltre, si osserva che i registri delle applicazioni contenenti messaggi di log legati alla sicurezza, non presentano sempre i log necessari per tutti gli eventi legati alla sicurezza che si possono identificare nell’applicazione stessa. Il lavoro svolto ha permesso di fare i primi passi verso la definizione di un sistema di raccomandazione di log legati alla sicurezza. L’idea generale è quella di identificare i metodi Java che contengono un evento rilevante per la sicurezza, e, se presente, identificarne la categoria, così che lo sviluppatore possa inserire il messaggio adeguato dove necessario. Infine, è stata condotta un’analisi delle librerie utilizzate per gestire i registri, delle posizioni dei log nel codice sorgente e del livello di gravità dei messaggi raccolti. Queste analisi presentano una visione d’insieme delle pratiche comuni nella gestione dei registri di eventi di sicurezza.