Anais do X Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2010)
Código malicioso (malware) disseminado através da Internet—vírus, worms, trojans—é a maior ameaça... more Código malicioso (malware) disseminado através da Internet—vírus, worms, trojans—é a maior ameaça atual à segurança da informação e um negócio lucrativo para criminosos. Há abordagens para analisar malware que monitoram suas ações durante a execução em ambiente controlado, permitindo identificar comportamentos maliciosos. Neste artigo, propõe-se uma ferramenta de análise comportamental de malware não intrusiva, a qual amplia a análise a exemplares que contornam as abordagens atuais e corrige alguns problemas presentes nestas, preenchendo assim uma lacuna na área.
Anais do XIII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2013)
Nowadays, software products are developed with security vulnerabilities due to bad coding. Vulner... more Nowadays, software products are developed with security vulnerabilities due to bad coding. Vulnerability scanner tools automatically detect security vulnerabilities in web applications; thus, trustworthiness on the results of these tools is essential and, sometimes, the evaluation of their results is done manually or even empirically. This work presents a semi automated approach, based on fault injection techniques, to assess the efficacy of these tools. Three scanner tools were assessed with the presence of realistic software faults responsible for security vulnerabilities in web applications. Results show that the approach is effective and has the advantage of predicting security vulnerabilities through the fault injection techniques.
Este trabalho apresenta as principais caracteristicas de uma ferramenta de apoio ao teste de regr... more Este trabalho apresenta as principais caracteristicas de uma ferramenta de apoio ao teste de regressao estrutural baseado na familia de Criterios Potenciais-Usos e uma estrategia para sua aplicacao. A ferramenta, denominada RePoKe- Tool (Regression Testing support for Potencial-Uses Criteria Tool), pode ser aplicada em unidades (e.g., funcoes, procedimentos) que foram testadas atraves da ferramenta de teste POKE-TOOL e sofreram manutencao corretiva (teste de regressao corretivo) ou entao adaptativa ou perfectiva (teste de regressao progressivo), utiliza estrategia seletiva para identificar apenas os elementos requeridos para o teste estrutural (caminhos e associacoes) que foram inseridos ou modificados apos essa manutencao e sugere um subconjunto dos casos de teste originais que, potencialmente, cobre esses elementos. Alem disso, configura e atualiza os arquivos necessarios para que a POKE-TOOL possa realizar o teste de regressao. o trabalho apresenta tambem estudos de casos que mostram a viabilidade da aplicacao de uma estrategia de selecao de casos de testes de regressao baseada em conceitos de teste funcional, com objetivo de atingir um bom indice de cobertura de elementos requeridos selecionados para o teste de regressao estrutural. Os resultados obtidos atraves desses estudos de casos contribuiram para a definicao de um Guia de Referencia para Programadores de Manutencao, cujo objetivo e diminuir os altos custos envolvidos com o Teste de Regressao, sem relevar para segundo plano o principal objetivo de qualquer atividade de teste: a revelacao de defeitos no software Abstract
Abstract A tool and techniques are presented for test data generation and infeasibility identific... more Abstract A tool and techniques are presented for test data generation and infeasibility identification in structural software testing technique. The tool is based on: the Dynamic Technique; search using Genetic Algorithms; and reuse of solutions through Case-Based ...
16th International Conference on Information Technology-New Generations (ITNG 2019), 2019
Internet has become the main communication instrument between criminals. Expressions used by crim... more Internet has become the main communication instrument between criminals. Expressions used by criminals are ciphered, by replacing language terms with regionalized and mutant expressions. There is a need to reveal, understand and formalize these obscure dialects to enable the automation of searches and the analysis of intentions. OntoCexp (Ontology of Criminal Expressions) aims at providing a common and extensible model for identifying usage of crime expressions in Internet. Its foundations come from an initial terminology and a semantic analysis of written communication between criminals (from Twitter) in Brazil (Portuguese language). 17 papers on ontologies, out of 63 articles of interest, have been selected and used as input to our proposal. The initial version of OntoCexp and its core elements are presented here; the complete ontology (OWL file) is available publicly to be used. We expect it to be useful for cyber-security researchers and criminal investigators who wish to formal...
2008 The Third International Conference on Software Engineering Advances, 2008
... Abstract The relevance of reactive capabilities as a unifying paradigm for handling a number ... more ... Abstract The relevance of reactive capabilities as a unifying paradigm for handling a number of database features and applications is well-established. ... The set of manipulation commands in Rx that can cause persistent data flow of interaction as-sociations was targeted ...
Resumo Neste texto são apresentados alguns critérios de teste de software, conceitos pertinentes ... more Resumo Neste texto são apresentados alguns critérios de teste de software, conceitos pertinentes e ferramentas de apoio. São abordados critérios de teste funcional, estrutural baseados em fluxo de controle e em fluxo de dados e baseados em mutação. Ênfase é dada no teste ...
A literature survey on ontologies concerning the Security Assessment domain has been carried out ... more A literature survey on ontologies concerning the Security Assessment domain has been carried out to uncover initiatives that aim at formalizing concepts from the Security Assessment field of research. A preliminary analysis and a discussion on the selected works are presented. Our main contribution is an updated literature review, describing key characteristics, results, research issues, and application domains of the papers. We have also detected gaps in the Security Assessment literature that could be the subject of further studies in the field. This work is meant to be useful for security researchers who wish to adopt a formal approach in their methods.
a b s t r a c t We present a new test data generation technique which uses the concept of diversi... more a b s t r a c t We present a new test data generation technique which uses the concept of diversity of test sets as a basis for the diversity oriented test data generation -DOTG. Using DOTG we translate into an automatic test data generation technique the intuitive belief that increasing the variety, or diversity, of the test data used to test a program can lead to an improvement on the completeness, or quality, of the testing performed. We define the input domain perspective for diversity (DOTG-ID), which considers the distances among the test data in the program input domain to compute a diversity value for test sets. We describe metaheuristics which can be used to automate the generation of test sets for the DOTG-ID testing technique: simulated annealing; a genetic algorithm; and a proposed metaheuristic named simulated repulsion. The effectiveness of DOTG-ID was evaluated by using a Monte Carlo simulation, and also by applying the technique to test simple programs and measuring ...
Anais do XI Simpósio Brasileiro de Qualidade de Software (SBQS 2012)
MPS tem sido utilizada com sucesso nas organizações intensivas em software geralmente com base em... more MPS tem sido utilizada com sucesso nas organizações intensivas em software geralmente com base em um único modelo de capacidade ou de maturidade da capacidade, tal como o CMMI-DEV ou MR MPS.BR. Porém tem crescido a necessidade de utilização de múltiplos modelos de referência para melhoria de processo. As soluções atuais envolvem geralmente a criação prévia de um novo modelo que integra um determinado conjunto de modelos. Este artigo apresenta um Metamodelo de Perfis de Capacidade de Processo, que utiliza os conceitos da MDE para a integração dinâmica de elementos de múltiplos modelos. Apresenta também a racionalidade, especificação, estratégia de implementação e um exemplo de uso do metamodelo.
The use of ontologies and taxonomies contributes by providing means to define concepts, minimize ... more The use of ontologies and taxonomies contributes by providing means to define concepts, minimize the ambiguity, improve the interoperability and manage knowledge of the security domain. Thus, this paper presents a literature survey on ontologies and taxonomies concerning the Security Assessment domain. We carried out it to uncover initiatives that aim at formalizing concepts from the Information Security and Test and Assessment fields of research. We applied a systematic review approach in seven scientific databases. 138 papers were identified and divided into categories according to their main contributions, namely: Ontology, Taxonomy and Survey. Based on their contents, we selected 47 papers on ontologies, 22 papers on taxonomies, and 11 papers on surveys. A taxonomy has been devised to be used in the evaluation of the papers. Summaries, tables, and a preliminary analysis of the selected works are presented. Our main contributions are: 1) an updated literature review, describing k...
O crescimento acentuado da Internet e a consequente demanda por novos servicos levam ao desenvolv... more O crescimento acentuado da Internet e a consequente demanda por novos servicos levam ao desenvolvimento de aplicacoes cada vez mais complexas. Devido a esta complexidade e as pressoes para o cumprimento de cronogramas cada vez mais restritivos, muitas vezes a seguranca desses sistemas acaba sendo negligenciada, originando aplicacoes com mais vulnerabilidades e portanto sujeitas a um maior numero de ataques. Um dos ataques mais frequentes e o do tipo buffer overflow. Permite que um atacante insira codigos maliciosos em um programa, alterando seu fluxo de controle original, com o objetivo de conseguir acesso a um sistema ou aumentar seus privilegios. Neste trabalho foi utilizada a tecnica denominada Teste de Vulnerabilidade de Seguranca proposta para detectar vulnerabilidade do tipo buffer overflow no software por meio da aplicacao do Teste de Mutacao. Uma ferramenta chamada SEVMUT - Security Vulnerabilities Mutation Tool foi desenvolvida e sua aplicabilidade, escalabilidade e eficacia foram validadas. Abstract
Anais do X Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2010)
Código malicioso (malware) disseminado através da Internet—vírus, worms, trojans—é a maior ameaça... more Código malicioso (malware) disseminado através da Internet—vírus, worms, trojans—é a maior ameaça atual à segurança da informação e um negócio lucrativo para criminosos. Há abordagens para analisar malware que monitoram suas ações durante a execução em ambiente controlado, permitindo identificar comportamentos maliciosos. Neste artigo, propõe-se uma ferramenta de análise comportamental de malware não intrusiva, a qual amplia a análise a exemplares que contornam as abordagens atuais e corrige alguns problemas presentes nestas, preenchendo assim uma lacuna na área.
Anais do XIII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2013)
Nowadays, software products are developed with security vulnerabilities due to bad coding. Vulner... more Nowadays, software products are developed with security vulnerabilities due to bad coding. Vulnerability scanner tools automatically detect security vulnerabilities in web applications; thus, trustworthiness on the results of these tools is essential and, sometimes, the evaluation of their results is done manually or even empirically. This work presents a semi automated approach, based on fault injection techniques, to assess the efficacy of these tools. Three scanner tools were assessed with the presence of realistic software faults responsible for security vulnerabilities in web applications. Results show that the approach is effective and has the advantage of predicting security vulnerabilities through the fault injection techniques.
Este trabalho apresenta as principais caracteristicas de uma ferramenta de apoio ao teste de regr... more Este trabalho apresenta as principais caracteristicas de uma ferramenta de apoio ao teste de regressao estrutural baseado na familia de Criterios Potenciais-Usos e uma estrategia para sua aplicacao. A ferramenta, denominada RePoKe- Tool (Regression Testing support for Potencial-Uses Criteria Tool), pode ser aplicada em unidades (e.g., funcoes, procedimentos) que foram testadas atraves da ferramenta de teste POKE-TOOL e sofreram manutencao corretiva (teste de regressao corretivo) ou entao adaptativa ou perfectiva (teste de regressao progressivo), utiliza estrategia seletiva para identificar apenas os elementos requeridos para o teste estrutural (caminhos e associacoes) que foram inseridos ou modificados apos essa manutencao e sugere um subconjunto dos casos de teste originais que, potencialmente, cobre esses elementos. Alem disso, configura e atualiza os arquivos necessarios para que a POKE-TOOL possa realizar o teste de regressao. o trabalho apresenta tambem estudos de casos que mostram a viabilidade da aplicacao de uma estrategia de selecao de casos de testes de regressao baseada em conceitos de teste funcional, com objetivo de atingir um bom indice de cobertura de elementos requeridos selecionados para o teste de regressao estrutural. Os resultados obtidos atraves desses estudos de casos contribuiram para a definicao de um Guia de Referencia para Programadores de Manutencao, cujo objetivo e diminuir os altos custos envolvidos com o Teste de Regressao, sem relevar para segundo plano o principal objetivo de qualquer atividade de teste: a revelacao de defeitos no software Abstract
Abstract A tool and techniques are presented for test data generation and infeasibility identific... more Abstract A tool and techniques are presented for test data generation and infeasibility identification in structural software testing technique. The tool is based on: the Dynamic Technique; search using Genetic Algorithms; and reuse of solutions through Case-Based ...
16th International Conference on Information Technology-New Generations (ITNG 2019), 2019
Internet has become the main communication instrument between criminals. Expressions used by crim... more Internet has become the main communication instrument between criminals. Expressions used by criminals are ciphered, by replacing language terms with regionalized and mutant expressions. There is a need to reveal, understand and formalize these obscure dialects to enable the automation of searches and the analysis of intentions. OntoCexp (Ontology of Criminal Expressions) aims at providing a common and extensible model for identifying usage of crime expressions in Internet. Its foundations come from an initial terminology and a semantic analysis of written communication between criminals (from Twitter) in Brazil (Portuguese language). 17 papers on ontologies, out of 63 articles of interest, have been selected and used as input to our proposal. The initial version of OntoCexp and its core elements are presented here; the complete ontology (OWL file) is available publicly to be used. We expect it to be useful for cyber-security researchers and criminal investigators who wish to formal...
2008 The Third International Conference on Software Engineering Advances, 2008
... Abstract The relevance of reactive capabilities as a unifying paradigm for handling a number ... more ... Abstract The relevance of reactive capabilities as a unifying paradigm for handling a number of database features and applications is well-established. ... The set of manipulation commands in Rx that can cause persistent data flow of interaction as-sociations was targeted ...
Resumo Neste texto são apresentados alguns critérios de teste de software, conceitos pertinentes ... more Resumo Neste texto são apresentados alguns critérios de teste de software, conceitos pertinentes e ferramentas de apoio. São abordados critérios de teste funcional, estrutural baseados em fluxo de controle e em fluxo de dados e baseados em mutação. Ênfase é dada no teste ...
A literature survey on ontologies concerning the Security Assessment domain has been carried out ... more A literature survey on ontologies concerning the Security Assessment domain has been carried out to uncover initiatives that aim at formalizing concepts from the Security Assessment field of research. A preliminary analysis and a discussion on the selected works are presented. Our main contribution is an updated literature review, describing key characteristics, results, research issues, and application domains of the papers. We have also detected gaps in the Security Assessment literature that could be the subject of further studies in the field. This work is meant to be useful for security researchers who wish to adopt a formal approach in their methods.
a b s t r a c t We present a new test data generation technique which uses the concept of diversi... more a b s t r a c t We present a new test data generation technique which uses the concept of diversity of test sets as a basis for the diversity oriented test data generation -DOTG. Using DOTG we translate into an automatic test data generation technique the intuitive belief that increasing the variety, or diversity, of the test data used to test a program can lead to an improvement on the completeness, or quality, of the testing performed. We define the input domain perspective for diversity (DOTG-ID), which considers the distances among the test data in the program input domain to compute a diversity value for test sets. We describe metaheuristics which can be used to automate the generation of test sets for the DOTG-ID testing technique: simulated annealing; a genetic algorithm; and a proposed metaheuristic named simulated repulsion. The effectiveness of DOTG-ID was evaluated by using a Monte Carlo simulation, and also by applying the technique to test simple programs and measuring ...
Anais do XI Simpósio Brasileiro de Qualidade de Software (SBQS 2012)
MPS tem sido utilizada com sucesso nas organizações intensivas em software geralmente com base em... more MPS tem sido utilizada com sucesso nas organizações intensivas em software geralmente com base em um único modelo de capacidade ou de maturidade da capacidade, tal como o CMMI-DEV ou MR MPS.BR. Porém tem crescido a necessidade de utilização de múltiplos modelos de referência para melhoria de processo. As soluções atuais envolvem geralmente a criação prévia de um novo modelo que integra um determinado conjunto de modelos. Este artigo apresenta um Metamodelo de Perfis de Capacidade de Processo, que utiliza os conceitos da MDE para a integração dinâmica de elementos de múltiplos modelos. Apresenta também a racionalidade, especificação, estratégia de implementação e um exemplo de uso do metamodelo.
The use of ontologies and taxonomies contributes by providing means to define concepts, minimize ... more The use of ontologies and taxonomies contributes by providing means to define concepts, minimize the ambiguity, improve the interoperability and manage knowledge of the security domain. Thus, this paper presents a literature survey on ontologies and taxonomies concerning the Security Assessment domain. We carried out it to uncover initiatives that aim at formalizing concepts from the Information Security and Test and Assessment fields of research. We applied a systematic review approach in seven scientific databases. 138 papers were identified and divided into categories according to their main contributions, namely: Ontology, Taxonomy and Survey. Based on their contents, we selected 47 papers on ontologies, 22 papers on taxonomies, and 11 papers on surveys. A taxonomy has been devised to be used in the evaluation of the papers. Summaries, tables, and a preliminary analysis of the selected works are presented. Our main contributions are: 1) an updated literature review, describing k...
O crescimento acentuado da Internet e a consequente demanda por novos servicos levam ao desenvolv... more O crescimento acentuado da Internet e a consequente demanda por novos servicos levam ao desenvolvimento de aplicacoes cada vez mais complexas. Devido a esta complexidade e as pressoes para o cumprimento de cronogramas cada vez mais restritivos, muitas vezes a seguranca desses sistemas acaba sendo negligenciada, originando aplicacoes com mais vulnerabilidades e portanto sujeitas a um maior numero de ataques. Um dos ataques mais frequentes e o do tipo buffer overflow. Permite que um atacante insira codigos maliciosos em um programa, alterando seu fluxo de controle original, com o objetivo de conseguir acesso a um sistema ou aumentar seus privilegios. Neste trabalho foi utilizada a tecnica denominada Teste de Vulnerabilidade de Seguranca proposta para detectar vulnerabilidade do tipo buffer overflow no software por meio da aplicacao do Teste de Mutacao. Uma ferramenta chamada SEVMUT - Security Vulnerabilities Mutation Tool foi desenvolvida e sua aplicabilidade, escalabilidade e eficacia foram validadas. Abstract
Uploads
Papers by Mario Jino