Wetenschap
Co-auteurs van "Why Crypto-detectors Fail" zijn (van links naar rechts) Nathan Cooper, Adwait Nadkarni, Amit Seal Ami, Kaushal Kafle en Denys Poshyvanyk. Nadkarni en Poshyvanyk zijn faculteiten van de informatica-afdeling van William &Mary. De anderen zijn Ph.D. studenten op de afdeling. Ami is hoofdauteur van de krant. (Niet afgebeeld, voormalig promovendus Kevin Moran.). Krediet:Stephen Salpukas
De beveiliging van gegevens is afhankelijk van het gebruik van de juiste, goed uitgevoerde cryptografie - de wetenschap en de kunst van het construeren van algoritmen die informatie beschermen tegen nieuwsgierige en mogelijk kwaadwillende ogen.
"Cryptografie stelt eigenschappen vast zoals vertrouwelijkheid van informatie en integriteit van informatie", zei Amit Seal Ami. "Ze zijn gebaseerd op zeer strikte wiskundige principes. Vaak vertrouwen software-engineers of programmeurs op Application Programming Interfaces - een soort van vooraf gebouwde programma's - die ze gebruiken om die eigenschappen in applicaties te bereiken."
Hij legde uit dat het vertrouwen van ontwikkelaars op die kant-en-klare, one-size-fits-many Application Programming Interfaces, of API's, vaak resulteert in een afwijking van degelijke cryptografische principes - en er daarom toe leidt dat vertrouwelijke gegevens rijp zijn voor blootstelling.
"Dus het is alsof ze de juiste dingen proberen te doen, maar ze doen het op een verkeerde manier", legt Ami uit. "Dat is waar misbruik over gaat. Dan hebben we crypto-API-misbruikdetectoren, dit zijn analysetools die ons helpen dergelijk misbruik in software op te sporen. Deze crypto-detectoren kunnen echter gebreken hebben. En als we die fouten niet kennen , we hebben een vals gevoel van veiligheid."
Ami is een Ph.D. kandidaat in William &Mary's Department of Computer Science, en de hoofdstudent auteur van het artikel "Why Crypto-detectors Fail:A Systematic Evaluation of Cryptographic Misuse Detection Techniques", dat hij presenteerde op het 43e symposium over beveiliging en privacy van het Institute of Electrical and Electronics Engineers (IEEE).
Co-auteurs van het artikel zijn onder meer Ami's adviseurs, Adwait Nadkarni en Denys Poshyvanyk, beide faculteiten van de William &Mary Computer Science-afdeling, en een drietal huidige en voormalige CS Ph.D. studenten:Nathan Cooper, Kaushal Kafle en Kevin Moran.
Ami, die werd geselecteerd als een 2022 Commonwealth of Virginia Engineering and Science (COVES) Fellow en in hetzelfde jaar de Commonwealth of Virginia, Commonwealth Cyber Initiative (CoVA-CCI) Dissertation Fellowship ontving, zegt de huidige staat van crypto-API-detectoren bevat een verontrustend grote hoeveelheid gebreken.
"Wat we proberen te doen, is mensen helpen betere detectoren te maken, dat wil zeggen detectoren die misbruik in de praktijk kunnen detecteren", legt Ami uit.
De medewerkers gingen op zoek naar de gebreken in crypto-API-detectoren die de taak hebben om toezicht te houden en zwakke punten in de beveiliging te corrigeren als gevolg van misbruik van crypto-API. Ze hebben een raamwerk opgezet dat ze MASC noemen om te evalueren hoe goed een aantal crypto-API-detectoren in de praktijk werken.
"Wat we eerst doen, is kijken naar wat we weten over het misbruik in de eerste plaats - de manieren waarop crypto-API's worden gebruikt en misbruikt," zei Ami. "Maar wat zijn de andere manieren waarop ze kunnen worden misbruikt?"
Met behulp van MASC nemen de medewerkers die bekende en vastgestelde kwetsbaarheden en tweaken ze, waardoor mutaties ontstaan. Vervolgens, zei Ami, bestuderen ze die mutaties met behulp van de detectoren die worden geëvalueerd.
"En dan proberen we te zien of de detectoren die gemuteerde of gewijzigde gevallen van misbruik kunnen vinden", zei hij. "En als ze dat niet kunnen, weten we dat daar iets misgaat."
Het MASC-framework onthulde gebreken in de detectoren:"Sommige kwetsbaarheden die door detectoren werden gemist, waren enigszins duidelijk", zei Ami. "Maar sommige waren heel duidelijk.", d.w.z. die de detectoren hadden moeten opvangen.
De medewerkers gingen terug naar de ontwikkelaars van de defecte detectoren om het waarom en het hoe van het foutprobleem te bespreken. Ami zei dat ze verschillen in perspectieven vonden. Sommige ontwikkelaars concentreerden zich op techniek en werkten naar een resultaat op basis van beveiligingsnormen.
"Wat we daarentegen aan het doen waren, was naar deze tools kijken vanuit een vijandig perspectief", zei hij. "Want wanneer mensen proberen te profiteren van de gebreken, zullen ze daar niet aardig tegen zijn."
De groep pleit voor een paradigmaverschuiving:dat ontwikkelaars hun techniekgerichte benadering opgeven ten gunste van een meer op veiligheid gerichte benadering.
"Dat is wat we willen bijdragen", zei Ami. "Al deze detectoren moeten, wanneer ze worden ontwikkeld, een vijandige beoordelingsbenadering ondergaan, zodat de ontwikkelaars hun tools betrouwbaarder kunnen maken door onze aanpak over te nemen." + Verder verkennen
Wetenschap © https://nl.scienceaq.com