1. Securizando por construcción
mediante MDE
Dr. Pedro J. Molina
http://pjmolina.com
@pmolinamhttps://metadev.pro #supersec

2. Pedro J. Molina
Modelado y generación de código
DSLs
Arquitecturas de SW Empresarial
Desarrollo de software de Gestión
HIVEPOD

4. Agenda
Seguridad en desarrollo de aplicaciones
Desarrollo convencional
Desarrollo con MDE / MDD
Seguro por Construcción
Ejemplos Industriales

5. Seguridad
 Atributos de Seguridad
 Control de acceso
 Control de la información
 Control de privilegios en el sistema y su cumplimiento
 Software se usa para lo que fue concebido
 Cumplimiento de normativa
 Legal
 Privacidad
 Accesibilidad

6. Cumplimiento de reglamentación
 Accesibilidad
 A* / Section 503
 Seguridad
 Segregación de responsabilidades: Sabarney Oxley
 Tratamiento de tarjetas de crédito: PCI/DSS
 GPRD / Privacidad / Gestión de datos personales

7. Introducción a Seguridad para Desarrolladores
Jose A. Bautista
http://jbautistam.com/Articulos/Seguridad/Charla-seguridad-programadores.htm

8. Desarrollo convencional
 Cascada
 Requisitos ± claros
 Gobernado por un Project y
metodología (ej. CMMI)
 Foco en optimización de costes
 Defensa, Automoción,
Aeroespacial, Hardware
Analysis Design Develop Test Deploy
feedback

9. Desarrollo ágil
 Iterativo
 Requisitos ambiguos o cambiantes
 Scrum, Kanban, XP
 Foco en entrega de valor temprana
y continua
 Software empresarial, mercados
dinámicos, Startups
Analysis Design Develop Test Deploy
feedback

10. Desarrollo con MDE
Model Driven Engineering
 “El uso de modelos durante la construcción de software.”
 Algunos usos: prototipación, formalización, animación, verificación, o
automatización de parte o totalidad de procesos de construcción.
 Transformación de modelos para construcción de artefactos SW.
Analysis Design Develop Test Deploy
feedback

11. MDE. Casos de uso
Model
Checker
Model
1. Validation
Report
Interpreter
Model
Runtime
interpretation
2. Interpretation
Code
Generation
Model
3. Code Generation
Generated
Code
Code
Metadata
Doc
Config.
Tests
...

12. Textual Model Editor
Model(s)
Visual Model Editor
IDE
Model Checker
Model Transformation
Model
M2M M2T
Code
Doc, etc.
Reverse
Engineering
Metamodel(s)
Model
repository
Marco de referencia MDE

13. Nivel de abstracción adecuado al dominio
Workflow workflow = new Workflow()
{
Name = "Set closeprobability on opportunity create (async)",
Type = new OptionSetValue((int)WorkflowType.Definition),
Category = new
OptionSetValue((int)WorkflowCategory.Workflow),
PrimaryEntity = Opportunity.EntityLogicalName,
Mode = new OptionSetValue((int)WorkflowMode.Background),
Description = @"When an opportunity is created, this" +
" workflow sets the closeprobability field of the
opportunity record to 40%.",
OnDemand = false,
Subprocess = false,
Scope = new OptionSetValue((int)WorkflowScope.User),
TriggerOnCreate = true,
AsyncAutoDelete = true,
Xaml = xamlWF,
};
_workflowId = _serviceProxy.Create(workflow);
var activateRequest = new SetStateRequest
{
…

14. Generación de código
 Automatiza procesos aburridos, fontanería repetitiva
 Evita errores humanos de codificación
 Garantiza calidad por construcción
 Enfoque:
1. Regla de Pareto.
 Resolver el 80% de los casos de modo automático
 Permitir extender y realizar en código el 20% restante
2. Forward Engineering (no ingeniería inversa)
3. Separación de artefactos generados y creados manualmente para permitir
su regeneración / evolución
 No se trata de eliminar al humano, sino de una herramienta más

15. Marco de trabajo en Generación de Código
Metamodel
Model
Templates
Code
Transformations
Higher Abstraction Level Lower
InstancesTypes
Code Generator

16. Código en MDE
Model Gen. Code
Code Generator
Manual Code
+
Product
Gen. Tests
Manual Tests
Model
Checker
80%
20%

17. Características de la generación de código
Pros
 Sin errores manuales
 Determinista: misma entrada 
mismo resultado
 Predecible
 Rápido, efectivo
 Certificable respecto a
cumplimiento de normativa
Contras
 Código no creativo (instanciado
a partir de un conjunto de
plantillas)
 Subóptimo en algunos casos
 Limitado a la expresividad del
modelo
Código descartable. El valor está en el modelo y en el generador de código.

18. Respuesta ante una vulnerabilidad
Model Gen. Code
Code Generator
Manual Code
+
Product
Gen. Tests
Manual Tests
Model
Checker
Static
Analysis
80%
20%

19. Infraestructura Inmutable
 Menor superficie de ataque  Mayor seguridad
 Análisis estático (código, binarios, imágenes)  Automatizable
 Despliegues  Automatizable
 Ante una vulnerabilidad 0-Day
 Se necesita agilidad. Tests y Despliegues automatizados
 Contenedores p.e. permiten análisis forense

20. Ejemplos industriales (no sólo académicos)

21. Analizadores de vulnerabilidades de dependencias
 Snyk https://snyk.io
 Github Vulnerabilities
 Npm Audit
 BitHound
https://www.bithound.io
a
==
if
null
Analizadores estáticos
basados en parsing, AST y
pattern matching

22. Analizadores de vulnerabilidades de contenedores
 Más de 20 herramientas https://sysdig.com/blog/20-docker-security-tools/
 Anchore https://anchore.io
 Aquasec https://www.aquasec.com
 Clair https://coreos.com/clair

23. Bitnami
 https://bitnami.com/stacksmith
 Despliegue de aplicaciones en la nube
 Imágenes y contenedores para grandes proveedores de nube
 Producto StackSmith
 Alerta ante vulnerabilidades y reconstrucción automática de las imágenes

24. Bancaja PISA, 2007
 DSL para definición de lenguaje de
operaciones bancarias
 Por ejemplo: pedir una hipoteca
 Generación de UI completa
 Lenguaje restringido por seguridad al
dominio
 Código generado y firmado en maquinas de
Integración Continua

25. Petroquímica, 2009
 Requisito: Auditoria fuerte para empresas cotizadas en bolsa en EE.UU.
 Reglamentación: Sabarney Oxley (derivada del caso Enron)
 Sistema con 200 tablas de información relacionadas
 Diseño de solución con tablas espejo de auditoria y triggers en BD
 Generación de código solvento el problema en 1 mes de trabajo
 Con tests de integración demostrando su efectividad para todos los casos
 Una solución manual habría sido carísima de implementar, garantizar ausencia
de errores y evolucionar en el futuro.

26. Sematic Designs 2009
 Ira Baxter
 Caso del bombardero B-2 Spirit
 Ingeniería inversa de 1.2 M de líneas de código en JOVIAL
 Reescritas en C de modo automático
 Sin acceso al código fuente
=:-O
https://youtu.be/C-_dw9iEzhA?t=10m6s

27. B-2 Spirit
JOVIAL
START
%define records%
TABLE tbl'one'grp W 1;
BEGIN
ITEM itm'one'A S 3 POS(3,0) = 1;
ITEM itm'one'B S 3 POS(8,0) = 2;
END;
TABLE tbl'two'grp W 1;
BEGIN
ITEM itm'two'A S 3 POS(3,0) = 3;
ITEM itm'two'B S 3 POS(8,0) = 4;
END
%access members of records%
DEFINE get'A(G) "itm'!G'A";
DEFINE get'B(G) "itm'!G'B";
%test procedure%
PROC test(:param) S;
BEGIN
ITEM param S;
ITEM sumA S = get'A(one) + get'A(two);
ITEM sumB S = get'B(one) + get'B(two);
test = sumA + param + sumB;
%perform sumA times%
FOR I: 1 BY 1 WHILE I<= sumA;
C
#include "jovial.h"
static struct
{
U(3) : 3 _align_to_bit;
S(3) itm_one_a : 4 _align_to_bit;
U(1) : 1 _align_to_bit;
S(3) itm_one_b : 4 _align_to_bit;
U(4) : 4 _align_to_bit;
} tbl_one_grp = { .itm_one_a = 1, .itm_one_b = 2 };
static struct
{
U(3) : 3 _align_to_bit;
S(3) itm_two_a : 4 _align_to_bit;
U(1) : 1 _align_to_bit;
S(3) itm_two_b : 4 _align_to_bit;
U(4) : 4 _align_to_bit;
} tbl_two_grp = { .itm_two_a = 3, .itm_two_b = 4 };
/* access members of records */
#define GET_A(__g__)
tbl_##__g__##_grp.itm_##__g__##_a
#define GET_B(__g__)
tbl_##__g__##_grp.itm_##__g__##_b
static S test(S *ARG(param));
/* test procedure */
static S test(S *ARG(param))
{

28. ObjectSecurity
 Ulrich Lang, PhD.
 https://objectsecurity.com
 OpenPMF Security Policy Automation
 Software para ciberseguridad en contextos médicos, IoT
 Modelos en EMF basado en herramientas de Eclipse
 Modelos de seguridad: IBAC, RBAC, ABAC
 Security Policy Compliance
 HIPPA

29. Metacase
 https://www.metacase.com
 Producto MetaEdit+
 Herramienta grafica para modelado, metamodelado y definión de
lenguajes visuales.
 Sistemas embebidos, automoción, telco, aeroespacial

31. Automoción
 Generación de código embebido a MISRA-C
MISRA = Motor Industry Software Reliability Association
 MISRA-C: Secure and safe Coding in C
 Standard cerrado de pago
 Analizadores estáticos disponibles
https://en.wikipedia.org/wiki/MISRA_C
AUTOSAR
https://en.wikipedia.org/wiki/AUTOSAR

32. Intelliment Security
http://www.intellimentsec.com
 Securización de redes
 Producto basado en MDE
 Modelos en EMF basado en herramientas de
Eclipse
 Modelado de redes, VPN, NAT y seguridad de
red
 Generación de configuraciones a diferentes
Hardware
 Monitorización y comprobación de políticas de
seguridad de red

33. JetBrains MPS
 https://www.jetbrains.com/mps
 Language Workbech Proyeccional para creación de DSLs
 Ejemplos
 Sistemas embebidos http://mbeddr.com

34. Mbeddr
 C99 extendido para seguridad en sistemas embebidos
 http://mbeddr.com
 Basado en MPS
 Características destacables
 Soporte a Unidades Físicas
(ej. Mars Climate, NASA, 1999)
 Trazabilidad de requisitos
 Verificación Fomal
 Soporte a máquinas de estado
 En uso en: Siemens, BMW, Automoción

35. Impuestos en Países Bajos
Diederik Dulfer & Meinte Boersma
 Agile Execution of Legislation
 Modelado de Leyes de impuestos
 Simulación del impacto
 Trazabilidad de especificaciones a leyes

36. Conclusiones
 Trabajar en el nivel de abstracción adecuado importa y puede marcar
la diferencia
 Automatizar todo lo posible  proporciona tiempos de respuesta
mas agiles ante incidencias y vulnerabilidades
 El código aburrido puede automatizarse en un gran porcentaje, y
puede certificarse el generador para garantizar que incluye
consideraciones de seguridad en el código generado.

37. ¿Preguntas?
@pmolinam #supersec

38. ¡Gracias!
@pmolinam #supersec