I coautori di "Why Crypto-detectors Fail" sono (da sinistra) Nathan Cooper, Adwait Nadkarni, Amit Seal Ami, Kaushal Kafle e Denys Poshyvanyk. Nadkarni e Poshyvanyk sono docenti nel dipartimento di informatica di William &Mary. Gli altri sono dottorandi. studenti del dipartimento. Ami è l'autore principale del giornale. (Non nella foto, l'ex dottorando Kevin Moran.). Credito:Stephen Salpukas
La sicurezza dei dati si basa sull'uso di una crittografia corretta e ben eseguita, la scienza e l'arte di costruire algoritmi che rendono le informazioni al sicuro da occhi indiscreti e possibilmente dannosi.
"La crittografia stabilisce proprietà come la riservatezza delle informazioni e l'integrità delle informazioni", ha affermato Amit Seal Ami. "Si basano su principi matematici molto severi. Spesso gli ingegneri del software oi programmatori si affidano alle interfacce di programmazione delle applicazioni, un po' come programmi predefiniti, che utilizzano per cercare di ottenere tali proprietà nelle applicazioni."
Ha spiegato che l'affidamento degli sviluppatori a quelle API o API standard e standardizzate, spesso si traduce in un allontanamento da solidi principi crittografici e quindi porta a dati riservati maturi per l'esposizione.
"Quindi è come se stessero cercando di fare le cose giuste, ma in modo sbagliato", ha spiegato Ami. "Questo è l'uso improprio. Quindi, abbiamo rilevatori di abuso di API crittografiche, che sono strumenti di analisi che ci aiutano a trovare tale uso improprio nel software. Tuttavia, questi rilevatori di crittografia possono avere dei difetti. E se non siamo a conoscenza di questi difetti , abbiamo un falso senso di sicurezza."
Ami ha un dottorato di ricerca. candidato al Dipartimento di Informatica di William &Mary e principale studente autore del documento "Why Crypto-detectors Fail:A Systematic Evaluation of Cryptographic Misuse Detection Techniques", che ha presentato al 43° Symposium on Security and Privacy of the Institute of Ingegneri elettrici ed elettronici (IEEE).
I coautori dell'articolo includono i consulenti di Ami, Adwait Nadkarni e Denys Poshyvanyk, entrambi docenti del dipartimento di informatica William &Mary, e un trio di dottorandi in CS attuali ed ex. studenti:Nathan Cooper, Kaushal Kafle e Kevin Moran.
Ami, che è stata selezionata come Commonwealth of Virginia Engineering and Science (COVES) Fellow nel 2022 e nello stesso anno ha ricevuto il Commonwealth of Virginia, Commonwealth Cyber Initiative (CoVA-CCI) Dissertation Fellowship, afferma lo stato attuale dei rilevatori di criptovalute include una quantità angosciante di difetti.
"Quello che stiamo cercando di fare è aiutare le persone a creare rilevatori migliori, ovvero rilevatori in grado di rilevare l'uso improprio nella pratica", ha spiegato Ami.
I collaboratori hanno deciso di sondare i difetti nei rilevatori di criptovalute che hanno il compito di controllare e correggere i punti deboli della sicurezza dovuti all'uso improprio delle criptovalute. Hanno stabilito un framework che chiamano MASC per valutare il funzionamento pratico di un certo numero di rilevatori di criptovalute.
"Quello che facciamo per prima cosa è guardare in primo luogo ciò che sappiamo sull'uso improprio:i modi in cui le criptovalute vengono utilizzate e utilizzate in modo improprio", ha affermato Ami. "Ma quali sono gli altri modi in cui possono essere utilizzati in modo improprio?"
Utilizzando MASC, i collaboratori prendono quelle vulnerabilità note e stabilite e le modificano, creando mutazioni. Quindi, ha detto Ami, studiano quelle mutazioni usando i rivelatori in fase di valutazione.
"E poi proviamo a vedere se i rilevatori possono trovare quei casi di uso improprio mutati o modificati", ha detto. "E quando non possono, sappiamo che qualcosa sta andando storto."
Il framework MASC ha rivelato difetti nei rilevatori:"Alcune delle vulnerabilità perse dai rilevatori erano in qualche modo ovvie", ha detto Ami. "Ma alcuni erano molto evidenti.", cioè che i rilevatori avrebbero dovuto catturare.
I collaboratori sono tornati dagli sviluppatori dei rilevatori difettosi per discutere il perché e il come del problema dei difetti. Ami ha detto di aver trovato differenze nelle prospettive. Alcuni sviluppatori si sono concentrati sulla tecnica, lavorando per un risultato basato sugli standard di conformità della sicurezza.
"Quello che stavamo facendo, d'altra parte, è guardare questi strumenti da una prospettiva ostile", ha detto. "Perché quando le persone cercano di sfruttare i difetti, non saranno gentili al riguardo."
Il gruppo sostiene un cambio di paradigma:che gli sviluppatori abbandonino il loro approccio incentrato sulla tecnica a favore di un approccio più incentrato sulla sicurezza.
"Questo è ciò che vorremmo contribuire", ha detto Ami. "Tutti questi rilevatori, quando vengono sviluppati, dovrebbero passare attraverso un approccio di revisione ostile, in modo che gli sviluppatori possano rendere i loro strumenti più affidabili adottando il nostro approccio". + Esplora ulteriormente
