Les co-auteurs de "Why Crypto-detectors Fail" sont (de gauche à droite) Nathan Cooper, Adwait Nadkarni, Amit Seal Ami, Kaushal Kafle et Denys Poshyvanyk. Nadkarni et Poshyvanyk sont professeurs au département d'informatique de William &Mary. Les autres sont titulaires d'un doctorat. étudiants du département. Ami est l'auteur principal de l'article. (Pas sur la photo, ancien étudiant au doctorat Kevin Moran.). Crédit :Stephen Salpukas
La sécurité des données repose sur l'utilisation d'une cryptographie appropriée et bien exécutée - la science et l'art de construire des algorithmes qui protègent les informations des regards indiscrets et éventuellement malveillants.
"La cryptographie établit des propriétés telles que la confidentialité des informations et l'intégrité des informations", a déclaré Amit Seal Ami. "Ils sont basés sur des principes mathématiques très stricts. Souvent, les ingénieurs en logiciel ou les programmeurs s'appuient sur des interfaces de programmation d'applications, un peu comme des programmes prédéfinis, qu'ils utilisent pour essayer d'obtenir ces propriétés dans les applications."
Il a expliqué que la dépendance des développeurs à l'égard de ces interfaces de programmation d'application, ou API, prêtes à l'emploi et à taille unique, entraîne souvent un écart par rapport aux principes cryptographiques solides et conduit donc à ce que les données confidentielles soient mûres pour être exposées. /P>
"Donc, c'est comme s'ils essayaient de faire les bonnes choses, mais ils le font de manière incorrecte", a expliqué Ami. "C'est de cela qu'il s'agit. Ensuite, nous avons des détecteurs d'abus de crypto-API, qui sont des outils d'analyse qui nous aident à trouver de tels abus dans les logiciels. Cependant, ces crypto-détecteurs peuvent avoir des défauts. Et si nous ne connaissons pas ces défauts , nous avons un faux sentiment de sécurité."
Ami est titulaire d'un doctorat. candidat au département d'informatique de William &Mary, et auteur étudiant principal de l'article "Why Crypto-detectors Fail:A Systematic Evaluation of Cryptographic Misuse Detection Techniques", qu'il a présenté au 43e Symposium sur la sécurité et la confidentialité de l'Institute of Ingénieurs électriciens et électroniciens (IEEE).
Les co-auteurs de l'article incluent les conseillers d'Ami, Adwait Nadkarni et Denys Poshyvanyk, tous deux professeurs du département d'informatique William &Mary, et un trio d'anciens et actuels titulaires d'un doctorat CS. élèves :Nathan Cooper, Kaushal Kafle et Kevin Moran.
Ami, qui a été sélectionné comme boursier du Commonwealth de Virginie en ingénierie et sciences (COVES) en 2022 et a reçu la bourse de thèse du Commonwealth de Virginie, Commonwealth Cyber Initiative (CoVA-CCI) la même année, explique l'état actuel des détecteurs de crypto-API comprend une quantité affligeante de défauts.
"Ce que nous essayons de faire, c'est d'aider les gens à fabriquer de meilleurs détecteurs, c'est-à-dire des détecteurs capables de détecter les abus dans la pratique", a expliqué Ami.
Les collaborateurs ont entrepris de sonder les failles des détecteurs de crypto-API qui ont pour tâche de surveiller et de corriger les faiblesses de sécurité dues à une mauvaise utilisation de la crypto-API. Ils ont établi un cadre qu'ils appellent MASC pour évaluer le fonctionnement pratique d'un certain nombre de détecteurs de crypto-API.
"Ce que nous faisons d'abord, c'est d'examiner ce que nous savons de l'utilisation abusive en premier lieu - la manière dont les crypto-API sont utilisées et mal utilisées", a déclaré Ami. "Mais quelles sont les autres façons dont ils peuvent être utilisés à mauvais escient ?"
À l'aide de MASC, les collaborateurs prennent ces vulnérabilités connues et établies et les modifient, créant des mutations. Ensuite, dit Ami, ils étudient ces mutations à l'aide des détecteurs en cours d'évaluation.
"Et puis nous essayons de voir si les détecteurs peuvent trouver ces cas d'utilisation abusive mutés ou modifiés", a-t-il déclaré. "Et quand ils ne peuvent pas, nous savons que quelque chose ne va pas là-bas."
Le framework MASC a révélé des failles dans les détecteurs :"Certaines des vulnérabilités manquées par les détecteurs étaient quelque peu évidentes", a déclaré Ami. "Mais certains étaient très évidents.", c'est-à-dire que les détecteurs auraient dû détecter.
Les collaborateurs sont retournés voir les développeurs des détecteurs défectueux pour discuter du pourquoi et du comment du problème des défauts. Ami a dit qu'ils avaient trouvé des différences de points de vue. Certains des développeurs se concentraient sur la technique, travaillant vers un résultat basé sur les normes de conformité de sécurité.
"Ce que nous faisions, en revanche, regardait ces outils d'un point de vue hostile", a-t-il déclaré. "Parce que lorsque les gens essaient de profiter des défauts, ils ne vont pas être gentils avec ça."
Le groupe préconise un changement de paradigme :que les développeurs abandonnent leur approche centrée sur la technique au profit d'une approche plus axée sur la sécurité.
"C'est ce que nous aimerions apporter", a déclaré Ami. "Tous ces détecteurs, lors de leur développement, devraient passer par une approche de révision hostile, afin que les développeurs puissent rendre leurs outils plus fiables en adoptant notre approche." Une nouvelle théorie sur la détection des ondes électromagnétiques térahertz laisse espérer des progrès en informatique et en médecine