Um estudo realizado por dois portugueses (em co-autoria com investigadores de um instituto espanhol) e que oferece novas soluções para ataques de hackers recebeu o prémio de melhor artigo na Conferência International Fast Software Encryption.
Um estudo realizado por dois portugueses (em co-autoria com investigadores de um instituto espanhol) e que oferece novas soluções para ataques de 'hackers' (piratas informáticos) recebeu o prémio de Melhor Artigo na Conferência International Fast Software Encryption, que decorreu em Março, na Alemanha.
O trabalho, intitulado “Verifiable side-channel security of cryptographic implementations: constant-time MEE-CBC”, é assinado por José Bacelar Almeida, do Laboratório de Investigação em Software Confiável da Universidade do Minho (HASLab/INESC TEC), Manuel Barbosa, professor da Faculdade de Ciências da Universidade do Porto e membro do HASLab/INESC TEC, e por Gilles Barthe e François Dupressoir, do Madrid Institute for Advanced Studies in Software Development Technologies.
O projeto apresenta uma nova metodologia para o desenvolvimento de software seguro, com o objetivo de garantir maior proteção contra ataques de hackers, que exploram as variações nos tempos de execução dos programas (designados por “timing attacks”) para extraírem “informação sensível”.
O 'upgrade' sugerido pelos investigadores é assegurado por uma ferramenta de verificação formal de programas capaz de validar os mecanismos de defesa que acautelam este tipo de vulnerabilidades. Os “timing attacks” foram recentemente explorados por comprometerem a segurança de várias implementações do protocolo HTTPS, responsável pela comunicação segura na web.
O trabalho premiado na Alemanha será apresentado esta quarta-feira, dia 25, às 14h00, no auditório A2 do Departamento de Informática da UMinho, no campus de Gualtar, em Braga.
“A proteção contra este tipo de ataques é difícil e tem levado a situações constrangedoras. Até em produtos desenvolvidos por equipas altamente especializadas se tem identificado problemas que comprometem a segurança dos sistemas. O que se preconiza no artigo é a adesão a uma política de programação estrita que permite que o processo de validação do código resultante possa ser realizado de forma mecânica”, explicam, em comunicado, os investigadores José Bacelar Almeida e Manuel Barbosa.
Solução elogiada pela Amazon Web Services
O artigo traz ainda novidades no que toca à implementação do protocolo TLS, que suporta as ligações HTTPS e que é utilizado, por exemplo, pela Amazon Web Services (AWS).
Neste âmbito, os cientistas identificaram e corrigiram uma falha detetada na implementação dos mecanismos de defesa, descritos acima, suscetíveis de abrir a porta a ataques semelhantes a outros já registados em sistemas do mesmo tipo. Esta contribuição foi elogiada pelo principal engenheiro informático da AWS, Colm MacCarthaigh.
A Fast Software Encryption é uma conferência promovida há 23 anos pela International Association for Cryptologic Research, a associação responsável pelas principais conferências e publicações ligadas ao domínio da criptografia, da segurança da informação e de outras áreas relacionadas. O evento reúne anualmente alguns dos melhores especialistas da área.
