Los coautores de «Por qué fallan los criptodetectores» son (desde la izquierda) Nathan Cooper, Adwait Nadkarni, Amit Seal Ami, Kaushal Kafle y Denys Poshyvanyk. Nadkarni y Poshyvanyk son profesores del departamento de informática de William & Mary. Los otros son Ph.D. estudiantes en el departamento. Ami es la autora principal del artículo. (No se muestra, ex estudiante de doctorado Kevin Moran.). Crédito: Stephen Salpukas
La seguridad de los datos se basa en el uso de criptografía adecuada y bien ejecutada: la ciencia y el arte de construir algoritmos que hacen que la información esté a salvo de miradas indiscretas y posiblemente maliciosas.
«La criptografía establece propiedades como la confidencialidad de la información y la integridad de la información», dijo Amit Seal Ami. «Se basan en principios matemáticos muy estrictos. A menudo, los ingenieros de software o los programadores confían en las interfaces de programación de aplicaciones, algo así como programas preconstruidos, que usan para tratar de lograr esas propiedades en las aplicaciones».
Explicó que la confianza de los desarrolladores en esas interfaces de programación de aplicaciones o API listas para usar, de tamaño único para muchas, a menudo resulta en una desviación de los principios criptográficos sólidos y, por lo tanto, conduce a que los datos confidenciales estén listos para ser expuestos.
«Entonces es como si estuvieran tratando de hacer las cosas correctas, pero lo están haciendo de manera incorrecta», explicó Ami. «De eso se trata el uso indebido. Luego, tenemos detectores de uso indebido de cripto-API, que son herramientas de análisis que nos ayudan a encontrar dicho uso indebido en el software. Sin embargo, estos detectores de criptografía pueden tener fallas. Y si no conocemos esas fallas , tenemos una falsa sensación de seguridad».
Ami es un Ph.D. candidato en el Departamento de Ciencias de la Computación de William & Mary, y estudiante principal autor del artículo «Por qué fallan los criptodetectores: una evaluación sistemática de las técnicas de detección de uso indebido criptográfico», que presentó en el 43.º Simposio sobre seguridad y privacidad del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE).
Los coautores del artículo incluyen a los asesores de Ami, Adwait Nadkarni y Denys Poshyvanyk, ambos profesores del departamento de Ciencias de la Computación de William & Mary, y un trío de actuales y anteriores CS Ph.D. estudiantes: Nathan Cooper, Kaushal Kafle y Kevin Moran.
Ami, quien fue seleccionada como becaria de ingeniería y ciencia de la Commonwealth of Virginia (COVES) de 2022 y recibió la beca de disertación Commonwealth of Virginia, Commonwealth Cyber Initiative (CoVA-CCI) en el mismo año, dice el estado actual de los detectores de cripto-API incluye una cantidad angustiosamente grande de defectos.
«Lo que estamos tratando de hacer es ayudar a las personas a fabricar mejores detectores, es decir, detectores que puedan detectar el mal uso en la práctica», explicó Ami.
Los colaboradores se propusieron investigar las fallas en los detectores de cripto-API que tienen el trabajo de vigilar y corregir las debilidades de seguridad debido al mal uso de cripto-API. Establecieron un marco que llaman MASC para evaluar qué tan bien funcionan en la práctica varios detectores de cripto-API.
«Lo primero que hacemos es observar lo que sabemos sobre el mal uso en primer lugar: las formas en que se usan y se usan mal las API criptográficas», dijo Ami. «Pero, ¿cuáles son las otras formas en que pueden ser mal utilizados?»
Usando MASC, los colaboradores toman esas vulnerabilidades conocidas y establecidas y las modifican, creando mutaciones. Luego, dijo Ami, estudian esas mutaciones usando los detectores que se están evaluando.
«Y luego tratamos de ver si los detectores pueden encontrar esos casos de mal uso mutados o modificados», dijo. «Y cuando no pueden, sabemos que algo anda mal allí».
El marco MASC reveló fallas en los detectores: «Algunas de las vulnerabilidades pasadas por alto por los detectores eran algo obvias», dijo Ami. «Pero algunos eran muy obvios», es decir, que los detectores deberían haber captado.
Los colaboradores volvieron a hablar con los desarrolladores de los detectores defectuosos para discutir el por qué y el cómo del problema de las fallas. Ami dijo que encontraron diferencias en las perspectivas. Algunos de los desarrolladores se estaban enfocando en la técnica, trabajando para obtener un resultado basado en estándares de cumplimiento de seguridad.
«Lo que estábamos haciendo, por otro lado, es mirar estas herramientas desde una perspectiva hostil», dijo. «Porque cuando las personas intentan aprovechar los defectos, no van a ser amables al respecto».
El grupo aboga por un cambio de paradigma: que los desarrolladores abandonen su enfoque centrado en la técnica a favor de un enfoque más centrado en la seguridad.
«Eso es lo que nos gustaría contribuir», dijo Ami. «Todos estos detectores, cuando se están desarrollando, deben pasar por un enfoque de revisión hostil, para que los desarrolladores puedan hacer que sus herramientas sean más confiables al adoptar nuestro enfoque».
Amit Seal Ami et al, Por qué fallan los criptodetectores: una evaluación sistemática de las técnicas de detección de uso indebido criptográfico. arXiv:2107.07065v5 [cs.CR], arxiv.org/abs/2107.07065
Amit Seal Ami et al, Por qué fallan los criptodetectores: una evaluación sistemática de las técnicas de detección de uso indebido criptográfico, Simposio IEEE 2022 sobre seguridad y privacidad (SP) (2022). DOI: 10.1109/SP46214.2022.9833582
Citación: Los criptodetectores listos para usar dan una falsa sensación de seguridad de datos (14 de septiembre de 2022) consultado el 14 de septiembre de 2022 de https://techxplore.com/news/2022-09-off-the-shelf-crypto-detectors -falso.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
