Medförfattare till "Why Crypto-detectors Fail" är (från vänster) Nathan Cooper, Adwait Nadkarni, Amit Seal Ami, Kaushal Kafle och Denys Poshyvanyk. Nadkarni och Poshyvanyk är fakulteter vid William &Marys datavetenskapsavdelning. De andra är Ph.D. studenter på institutionen. Ami är huvudförfattare på tidningen. (Inte på bilden, före detta doktorand Kevin Moran.). Kredit:Stephen Salpukas
Datasäkerheten är beroende av användningen av korrekt, väl genomförd kryptografi – vetenskapen och konsten att konstruera algoritmer som gör information säker från nyfikna och möjligen illvilliga ögon.
"Kryptografi etablerar egenskaper som konfidentialitet för information och integritet för information," sa Amit Seal Ami. "De är baserade på mycket strikta matematiska principer. Ofta förlitar sig mjukvaruingenjörer eller programmerare på applikationsprogrammeringsgränssnitt - ungefär som förbyggda program - som de använder för att försöka uppnå dessa egenskaper i applikationer."
Han förklarade att utvecklares beroende av de där vanliga, enstaka applikationsgränssnitten, eller API:er, ofta resulterar i ett avsteg från sunda kryptografiska principer – och därför leder till att konfidentiell data är mogen för exponering.
"Så det är som att de försöker göra rätt saker, men de gör det på ett felaktigt sätt," förklarade Ami. "Det är vad missbruk handlar om. Sedan har vi krypto-API-missbruksdetektorer, som är analysverktyg som hjälper oss att hitta sådan missbruk i programvara. Dessa kryptodetektorer kan dock ha brister. Och om vi inte känner till dessa brister , vi har en falsk känsla av säkerhet."
Ami är en Ph.D. kandidat vid William &Marys institution för datavetenskap, och huvudstudentförfattaren till artikeln "Why Crypto-detectors Fail:A Systematic Evaluation of Cryptographic Misuse Detection Techniques", som han presenterade vid det 43:e symposiet om säkerhet och integritet vid Institute of Elektro- och elektronikingenjörer (IEEE).
Medförfattare på uppsatsen inkluderar Amis rådgivare, Adwait Nadkarni och Denys Poshyvanyk, båda fakulteter vid William &Marys datavetenskapsavdelning, och en trio av nuvarande och tidigare CS Ph.D. elever:Nathan Cooper, Kaushal Kafle och Kevin Moran.
Ami, som valdes ut som 2022 Commonwealth of Virginia Engineering and Science (COVES) Fellow och tilldelades Commonwealth of Virginia, Commonwealth Cyber Initiative (CoVA-CCI) Dissertation Fellowship samma år, säger det nuvarande tillståndet för krypto-API-detektorer innehåller ett beklagligt stort antal brister.
"Vad vi försöker göra är att hjälpa människor att göra bättre detektorer - det vill säga detektorer som kan upptäcka missbruk i praktiken," förklarade Ami.
Samarbetspartnerna försökte undersöka bristerna i krypto-API-detektorer som har till uppgift att övervaka och korrigera säkerhetsbrister på grund av missbruk av krypto-API. De etablerade ett ramverk som de kallar MASC för att utvärdera hur väl ett antal krypto-API-detektorer fungerar i praktiken.
"Vad vi gör först är att titta på vad vi vet om missbruket i första hand - hur krypto-API används och missbrukas", sa Ami. "Men vilka andra sätt kan de missbrukas?"
Med hjälp av MASC tar kollaboratörerna de kända och etablerade sårbarheterna och justerar dem, vilket skapar mutationer. Sedan, sa Ami, studerar de dessa mutationer med hjälp av detektorerna som utvärderas.
"Och sedan försöker vi se om detektorerna kan hitta de muterade eller ändrade missbruksfallen", sa han. "Och när de inte kan det vet vi att något går fel där."
MASC-ramverket avslöjade brister i detektorerna:"Några av de sårbarheter som detektorerna missade var något uppenbara," sa Ami. "Men några var väldigt uppenbara.", dvs som detektorerna borde ha fångat.
Samarbetspartnerna gick tillbaka till utvecklarna av de defekta detektorerna för att diskutera varför och hur felproblemet skulle ha. Ami sa att de hittade skillnader i perspektiv. Några av utvecklarna fokuserade på teknik och arbetade mot ett resultat baserat på säkerhetsstandarder.
"Vad vi gjorde, å andra sidan, är att titta på dessa verktyg från ett fientligt perspektiv," sa han. "För att när människor försöker dra fördel av bristerna kommer de inte att vara snälla om det."
Gruppen förespråkar ett paradigmskifte:att utvecklare överger sitt teknikcentrerade tillvägagångssätt till förmån för ett mer säkerhetsfokuserat tillvägagångssätt.
"Det är vad vi skulle vilja bidra med", sa Ami. "Alla dessa detektorer, när de utvecklas, bör gå igenom en fientlig granskning, så att utvecklarna kan göra sina verktyg mer tillförlitliga genom att använda vårt tillvägagångssätt." + Utforska vidare
