Investigadores de Microsoft presentan maneras de hacer más segura la tecnología nueva y vieja

Los investigadores de Microsoft están en la búsqueda de maneras de asegurar mejor tanto las más recientes e innovadoras tecnologías de consumo, como las herramientas más tradicionales en las que nos apoyamos para nuestras actividades diarias como acceder a registros bancarios e identificarnos en el trabajo.

Los investigadores presentaron cuatro documentos en el 37 Simposio sobre Seguridad y Privacidad de IEEE, una conferencia líder en seguridad que se realizó en San José, California

A continuación, un vistazo a algunos de los documentos presentados.

Reducir la Resistencia en protocolos clave de intercambio

Un grupo de investigadores en Microsoft y la organización francesa de investigación INRIA, hicieron noticia cuando descubrieron y ayudaron a solucionar serias vulnerabilidades, entre las que se encuentran Freak y Logjam, en un sistema popular para habilitar transacciones seguras de Internet.

Ahora, esos mismos investigadores, junto con colaboradores de la Universidad de Tecnología de Hamburgo y la Universidad Johns Hopkins, presentan mecanismos que podrían prevenir ese tipo de ataques de ser posibles.

Cedric_Fournet

“Ahora entendemos, de manera general, cómo prevenir ese tipo de problemas”, comentó Cedric Fournet, investigador principal en Microsoft Research Cambridge.

Ellos presentaron un documento sobre esos ataques y contramedidas en el simposio de seguridad IEEE.

Fournet comentó que los investigadores esperan que estas nuevas mejoras sean incluidas en la siguiente generación de la Capa de Seguridad de Transporte, o TLS por sus siglas en inglés. Ese es un sistema que muchos de nosotros utilizamos diario, lo sepamos o no, para cosas como comprar zapatos en línea o revisar el mail corporativo.

Cinderella: Convertir certificados Shabby X.509 en elegantes credenciales anónimas con la magia del cómputo verificable.

Cada vez que escanean su tarjeta en el trabajo, acceden a sus registros bancarios o ingresan a un servidor seguro de internet, es posible que utilicen algo llamado infraestructura de llave pública, o PKI por sus siglas en inglés, para autentificar que son en verdad quien dicen que son.

Estos sistemas son increíbles para saber quién eres, y en ocasiones también transmiten una infinidad de información adicional sobre ustedes.

Ahí es cuando entra Cinderella. Es un sistema de software que la gente puede correr en la parte superior de su infraestructura PKI para mostrar sólo información parcial sobre la identificación de una persona.

Por ejemplo, digamos que quieren un sistema que verifique si un usuario tiene por lo menos 21 años. Podrían utilizar Cinderella para crear una herramienta que verifique la edad de una persona sin compartir todos sus datos personales, como su nombre o dirección. El sistema también puede ser utilizado para verificar que una persona trabaja para una empresa en particular –y si es elegible para descuentos de la compañía– sin mostrar otra información temporal como su nombre o puesto.

De manera eventual, tal sistema podría ser incluso utilizado para algo como una identificación para votar.

Bryan_Parno2 Bryan Parno, un investigador de Microsoft especializado en seguridad y privacidad, comentó que los científicos computacionales han trabajado por un tiempo en cómo realizar una identificación parcial. Cinderella es única porque el software puede correr en la parte superior de la infraestructura existente que la mayoría de las empresas y organizaciones utilizan en la actualidad.

Por ahora se trata de un proyecto de investigación y Parno comenta que no hay planes de convertirlo en un producto.

Prepose: Privacidad, seguridad y confiabilidad para programación basada en gestos

El uso de gestos en el cómputo se ha vuelto más popular de manera gradual, conforme los desarrolladores mejoran la tecnología detrás de estos y buscan maneras de incorporarlos en aplicaciones que van más allá de los juegos.

Al mismo tiempo, los investigadores comentan, se ha vuelto más probable que una persona pueda ser identificada de manera exacta basada en cosas como la medida exacta de ciertos huesos de su cuerpo.

Un grupo de investigadores de Microsoft comentaron que esos dos desarrollos combinados significan que es tiempo de comenzar a pensar de manera más cuidadosa sobre cómo mantener privadas las identidades personales de las personas mientras utilizan herramientas basadas en gestos.

El sistema que proponen es llamado Prepose y está integrado en la parte superior del prover Z3 del teorema de Microsoft y el SDK de Kinect.

Prepose agrega una capa de seguridad a los sistemas basados en gestos al construir un nivel de abstracción que evita que el sistema lance las especificaciones exactas del cuerpo del usuario. En lugar de eso, el sistema muestra, por ejemplo, que el área del brazo es menor a o mayor que una cierta cantidad, para que pueda funcionar sin dar la medida verdadera.

Prepose también está diseñado para ayudar a los usuarios a realizar gestos de manera segura y efectiva. Esto incluye evitar poses que podrían causarles daños, detectar gestos conflictivos y prevenir al usuario de crear un gesto que se superponga con un gesto existente y reservado, tal como uno que señale al sistema que quieres su atención.

Margus Veanes, uno de los investigadores de Microsoft que trabajó en el proyecto, comentó que ellos aún no saben de algún intento de robar información privada basada en gestos -  y esa es una buena razón para comenzar a construir ahora ese tipo de garantías de seguridad.

“Creo que será un preocupación potencial porque las aplicaciones crecerán”, comentó Veanes.