Taint Analysis for Graph APIs Focusing on Broken Access Control

Questo lavoro presenta il primo approccio sistematico di analisi statica e dinamica del flusso di dati per le API grafiche, focalizzato sulla rilevazione di controlli di accesso compromessi attraverso la modellazione delle chiamate API con regole di trasformazione e l'uso dell'analisi delle coppie critiche, come dimostrato dall'applicazione all'API GraphQL di GitHub.

L'essenziale

Immagina di avere una biblioteca digitale gigantesca (come GitHub) dove le persone possono creare, modificare e cancellare libri, appunti e progetti. In questa biblioteca, ogni libro è un "nodo" e le relazioni tra i libri (chi ha scritto cosa, chi ha commentato) sono "archi". Questa è l'idea alla base delle API Grafiche (come GraphQL): un modo per organizzare i dati come una rete di connessioni.

Il problema? Come facciamo a essere sicuri che solo le persone autorizzate possano toccare i libri giusti? Se un ladro (o un utente sprovveduto) riesce a rubare un libro riservato o a strappare una pagina da un libro che non gli appartiene, abbiamo un "accesso rotto" (Broken Access Control).

Questo articolo presenta un nuovo metodo per cacciare questi ladri digitali prima che facciano danni. Chiamiamo questo metodo "Analisi delle Macchie" (Taint Analysis).

Ecco come funziona, spiegato con metafore semplici:

1. Il Concetto di "Macchia" (Taint)

Immagina che i dati sensibili (come i tuoi appunti privati o i progetti aziendali) siano macchie di inchiostro rosso.

• Se un dato è "macchiato", significa che è pericoloso se finisce nelle mani sbagliate.
• L'obiettivo è tracciare il percorso di queste macchie: da dove sono state create (la fonte) fino a dove vengono lette o modificate (il lavandino o "sink").

2. I Tre Passi del Metodo

Gli autori hanno creato un processo in tre fasi, come un'ispezione di sicurezza in tre atti:

Fase 1: L'Allestimento (Setup)

Prima di tutto, dobbiamo mappare la biblioteca.

• Il Disegno: Trasformiamo la struttura della biblioteca (chi può fare cosa) in un disegno tecnico chiamato "Grafo".
• L'Inchiostro: L'ispettore di sicurezza (l'analista) prende il pennello e colora di rosso (taint) i nodi che contengono dati sensibili. Ad esempio, colora di rosso i "Progetti" perché non tutti dovrebbero poterli cancellare.
• Le Regole: Definiamo le regole del gioco: chi può creare un progetto (Fonte) e chi può modificarlo (Lavandino).

Fase 2: L'Ispettore Statico (Analisi Statica)

Qui entra in gioco un robot matematico molto intelligente.

• Il robot non esegue le azioni, ma simula tutte le possibili combinazioni di mosse. Chiede: "Se creo un progetto rosso e poi qualcuno prova a modificarlo, c'è un modo in cui queste due azioni possono collegarsi senza che il sistema blocchi il ladro?"
• Usa una tecnica chiamata Analisi delle Coppie Critiche. Immagina due pezzi di un puzzle: il robot cerca di incastrarli. Se riescono a combaciare perfettamente senza che ci sia un "muro" (una regola di sicurezza) in mezzo, allora c'è un potenziale buco di sicurezza.
• Il Risultato: Il robot genera una lista di "sospetti". Alcuni sono veri pericoli, altri sono falsi allarmi (il robot è molto attento e non vuole perdere nulla, quindi controlla tutto).

Fase 3: L'Ispettore Dinamico (Analisi Dinamica)

Ora che il robot ha trovato i sospetti, dobbiamo testarli sul campo.

• Qui l'analista umano (aiutato da script automatici) esegue le azioni reali.
• Il Test: "Ok, ho creato un progetto con il mio account 'Admin'. Ora provo a modificarlo con l'account 'Ladro'. Cosa succede?"
  • Se il sistema dice "Accesso Negato" (come dovrebbe), il test è passato: la sicurezza funziona.
  • Se il sistema lascia passare il ladro e modifica il progetto, abbiamo trovato il bug! È una vulnerabilità reale.

3. L'Esempio Reale: GitHub

Gli autori hanno provato questo metodo su una parte di GitHub (il sito dove gli sviluppatori salvano il loro codice).

• Hanno scoperto che il loro metodo riesce a trovare due tipi di problemi:
  1. Il Ladro: Qualcuno che non dovrebbe vedere i tuoi dati, li vede (es. un collaboratore che cancella un progetto che non gli appartiene).
  2. Il Blocco Inutile: Qualcuno che dovrebbe poter fare qualcosa, ma il sistema glielo impedisce per errore (es. un proprietario che non riesce a modificare il proprio progetto).

Perché è importante?

Fino a poco tempo fa, controllare la sicurezza di queste reti complesse era come cercare un ago in un pagliaio guardando solo un filo alla volta. Questo metodo è come avere una mappa completa che ti dice esattamente dove i fili si intrecciano pericolosamente.

In sintesi:

1. Disegni la mappa dei dati.
2. Macchi di rosso i dati importanti.
3. Chiedi a un robot se ci sono percorsi pericolosi tra chi crea i dati e chi li usa.
4. Fai una prova pratica per vedere se il robot aveva ragione.

È un modo sistematico, matematico e sicuro per dire: "Ehi, prima di mettere in giro la tua app, assicuriamoci che i ladri non possano entrare dalla finestra che hai dimenticato aperta".

Sommario tecnico

Titolo

Analisi della Taint per le API Grafiche con Focus sul Controllo degli Accessi Rott

1. Il Problema

Le API grafiche (come GraphQL) modellano i dati delle applicazioni web basandosi su un modello a grafo, dove gli oggetti dati sono nodi e le relazioni sono archi. Sebbene sempre più diffuse (es. GitHub, Facebook), queste API presentano nuove sfide per la sicurezza, in particolare per quanto riguarda il Controllo degli Accessi Rott (Broken Access Control - BAC).
Il controllo degli accessi garantisce che gli utenti possano agire solo entro i limiti delle loro autorizzazioni. I fallimenti in questo ambito portano a disclosure non autorizzate di informazioni, modifiche o distruzione di dati.

• Limiti delle attuali soluzioni: Esistono pochi strumenti e metodi consolidati per l'analisi di sicurezza delle API grafiche. L'analisi della taint (taint analysis), una tecnica che traccia il flusso di dati "sporchi" (sensibili) dalle sorgenti ai sink, è promettente ma non è stata ancora sistematicamente applicata alle API grafiche per rilevare vulnerabilità BAC.
• La sfida specifica: Come modellare formalmente le interazioni complesse di un'API grafica e identificare automaticamente quando un utente senza privilegi sufficienti riesce a creare, leggere o modificare dati sensibili.

2. Metodologia

Gli autori propongono un approccio sistematico che combina analisi statica e dinamica, basato sulla Trasformazione di Grafi (Graph Transformation) e sull'analisi delle dipendenze.

A. Formalizzazione

• Rappresentazione: L'API grafica e le sue chiamate (query e mutation) sono formalizzate come un sistema di regole di trasformazione di grafi tipate su un grafo di tipo (Type Graph).
• Politiche di Accesso: Le politiche di controllo degli accessi basate sui ruoli (RBAC) sono definite tramite un "Policy Oracle" (che specifica cosa dovrebbe essere permesso) e una "Policy Implementation" (ciò che è effettivamente implementato).
• Tainting: I nodi del grafo di tipo che rappresentano dati sensibili (es. un Repository privato) vengono "tinteggiati" (marcati).
  • Regole Sorgente (Source): Regole che creano istanze di nodi tinteggiati.
  • Regole Sink: Regole che leggono o manipolano nodi tinteggiati.

B. Analisi Statica

L'obiettivo è identificare potenziali flussi di informazioni non sicuri senza eseguire il codice.

1. Analisi delle Dipendenze: Utilizzando l'Analisi delle Coppie Critiche (Critical Pair Analysis - CPA), il sistema calcola le dipendenze di tipo "produce-usa" tra le regole sorgente e le regole sink.
2. Flusso di Informazione Tinteggiato: Si identificano tutte le coppie di regole (sorgente, sink) che potrebbero essere eseguite in sequenza, creando un flusso di dati sensibili.
3. Rilevamento di Vulnerabilità:
   • Vulnerabilità Dirette: Quando una regola sink segue immediatamente una regola sorgente. L'analisi è sound (garantisce di trovare tutte le vulnerabilità dirette).
   • Vulnerabilità Indirette: Quando ci sono regole intermedie. L'analisi è sound solo sotto condizioni specifiche (indipendenza sequenziale delle regole e stabilità della politica rispetto allo spostamento dell'ordine delle chiamate).
4. Revisione Umana: L'analista di sicurezza esamina i flussi identificati per classificarli come Flussi Sicuri ($S_f$) o Flussi Non Sicuri ($U_f$) in base alla documentazione della politica.

C. Analisi Dinamica

L'obiettivo è verificare se le vulnerabilità potenziali rilevate staticamente si manifestano realmente nell'implementazione.

1. Generazione di Test: Vengono generati casi di test (taint tests) basati sui flussi identificati.
   • Test Positivi: Esecuzione con ruoli autorizzati (si aspetta successo).
   • Test Negativi: Esecuzione con ruoli non autorizzati (si aspetta un errore/BAC exception).
2. Criteri di Copertura:
   • Flow Coverage: Ogni dipendenza (sorgente-sink) deve essere testata sia in modo positivo che negativo.
   • Role Coverage: I test devono coprire le diverse combinazioni di ruoli definiti nella politica.
3. Esecuzione: Gli script eseguono le chiamate API reali e verificano se le eccezioni di sicurezza vengono sollevate correttamente.

3. Contributi Chiave

1. Primo Approccio Sistematico: È il primo lavoro che applica l'analisi della taint statica e dinamica specificamente alle API grafiche per il rilevamento di BAC.
2. Formalizzazione Basata su Grafi: Utilizza la trasformazione di grafi come fondamento formale per modellare le API, sfruttando la natura intrinsecamente grafica di queste tecnologie.
3. Estensione alle Vulnerabilità Indirette: A differenza di lavori precedenti, questo approccio estende l'analisi per includere (sotto certe condizioni) vulnerabilità indirette, dove il flusso di dati sensibili avviene attraverso regole intermedie.
4. Nuovi Criteri di Copertura: Introduce il concetto di Role Coverage, assicurando che i test di sicurezza coprano adeguatamente le diverse gerarchie di ruoli e privilegi.
5. Validazione Reale: L'approccio è stato applicato con successo a una parte dell'API GraphQL di GitHub, dimostrando la capacità di rilevare sia vulnerabilità teoriche che un problema reale di permessi riportato nella community di GitHub (issue #106598).

4. Risultati

• Applicazione all'Esempio di Esercizio: L'analisi ha identificato correttamente le dipendenze tra operazioni di creazione e aggiornamento/eliminazione di Repository, Issue e Project. Ha distinto tra flussi coperti dalla documentazione (sicuri) e flussi non documentati (da verificare).
• Riproduzione di un Bug Reale: L'approccio è stato utilizzato per analizzare l'issue #106598 di GitHub, riguardante un problema di permessi nel campo compare degli oggetti Ref.
  • L'analisi ha permesso di generare test che hanno confermato che, utilizzando token "fine-grained" senza lo scope repo, un utente poteva eseguire operazioni che avrebbero dovuto essere bloccate (o viceversa, a seconda della configurazione), dimostrando la capacità dello strumento di rilevare vulnerabilità reali.
• Soundness: L'analisi statica è stata provata essere sound per le vulnerabilità dirette e per un sottogruppo di vulnerabilità indirette (quando le regole intermedie sono indipendenti sequenzialmente).

5. Significato e Impatto

Questo lavoro è significativo perché:

• Colma un Gap: Fornisce un metodo formale e automatizzabile per la sicurezza delle API grafiche, un'area finora carente di strumenti dedicati.
• Approccio Ibrido: Combina la rigore dell'analisi statica (per la copertura completa delle possibilità) con la certezza dell'analisi dinamica (per la verifica dell'implementazione), riducendo i falsi positivi tipici delle analisi statiche pure.
• Scalabilità e Automazione: Dimostra che è possibile modellare schemi GraphQL complessi (come quello di GitHub) in sistemi di trasformazione di grafi e utilizzare strumenti esistenti (come Henshin) per l'analisi delle dipendenze.
• Futuro: Apre la strada all'automazione completa della generazione di test di sicurezza per le API moderne, suggerendo che in futuro la traduzione da GraphQL a modelli formali potrebbe essere completamente automatizzata.

In sintesi, gli autori offrono un framework robusto per garantire che le API grafiche rispettino le politiche di controllo degli accessi, identificando proattivamente i rischi di accesso non autorizzato ai dati sensibili.