Джастин Каппос - Justin Cappos - Wikipedia

Джастин Каппос
Туған (1977-02-27) 1977 ж., 27 ақпан (43 жас)
ҰлтыАмерикандық
Алма матерАризона университеті
Ғылыми мансап
ӨрістерҚауіпсіздік, операциялық жүйелер, желілер
Диссертация (2008)
Докторантура кеңесшісіДжон Хартман
Веб-сайтинженерлік.nyu.edu/ адамдар/ justin-cappos
SSL.инженерлік.nyu.edu/ жеке парақтар/ jcappos/

Джастин Каппос (1977 ж., 27 ақпанында туылған) - компьютерлік ғалым және киберқауіпсіздік бойынша сарапшы, оның деректерді қорғау бағдарламалық жасақтамасы кеңінен қолданылған бірқатар ашық жобалармен қабылданған. Бағдарламалық жасақтаманы жаңарту жүйелері, қауіпсіздік және виртуалдандыру, нақты әлемдегі қауіпсіздік проблемаларына назар аудара отырып. [1][2][3]

Каппос оқытушы болған Нью-Йорк университетінің Тандон инженерлік мектебі 2011 жылдан бастап 2017 жылға дейін тағайындалды. Қазір компьютерлік техника және инженерия кафедрасының доценті, ол мектептің басшысы ретінде бірқатар жаңа бағдарламалық өнімдер мен жүйелік хаттамаларды енгізді. Қауіпсіз жүйелер зертханасы. Оларға қауіпсіздік ақауларын анықтайтын және оқшаулайтын технологиялар кіреді,[4] қауіпсіз жеке деректер,[5]бағдарламалық жасақтама кемшіліктерін әр түрлі жағдайда түзетудің қауіпсіз механизмін қамтамасыз ету,[6] және тіпті бағдарламашыларға бірінші кезекте қауіпсіздік ақауларынан аулақ болуға көмектесу туралы тереңірек түсінік қалыптастыру.[7]

Оның жұмысының практикалық әсерін мойындай отырып, Ғылыми-көпшілік 2013 жылы Brilliant 10 қатарына Cappos таңдады,[8] оны 40 жасқа дейінгі керемет ғалымдардың бірі ретінде атады. Оның қазіргі заманғы мәдениеттің қауіп-қатерлері туралы білуі - оны смартфонға немесе басқа қосылған құрылғыға иелік етпеуі үшін жеткілікті күшті білім;[9] немесе Facebook және Twitter сияқты әлеуметтік медианы пайдалану - жергілікті, ұлттық және халықаралық БАҚ үшін киберқауіпсіздік пен жеке өмірге қатысты мәселелер бойынша сарапшы-комментатор ретінде қызмет ету туралы көптеген өтініштерге әкелді.

Білім беру және алғашқы зерттеу бастамалары

Каппостың кандидаты тақырыбы Аризона Университетіндегі диссертация Лейлек жобасы болды,[10] бағдарламалық жасақтама пакет менеджері ол Информатика кафедрасының профессоры Джон Х.Хартманмен бірге салған. Лейлек бүгінге дейін кейбір қосымшаларда қолданылады, бірақ, ең бастысы, жоба бағдарламалық жасақтаманы жаңарту процестерінің қауіпсіздігін жақсарту қажеттілігіне назар аударды, Cappos зерттеу бағыты жалғастырылды.

2009 жылы Вашингтон университетінде докторантурадан кейінгі зерттеуші болған кезде Каппос сонымен бірге пиринг жүйесі Сиэтл деп аталатын есептеу платформасы,[11][12] бұл орталықтандырылмаған желіде құрылғыдан құрылғыға қосылуға мүмкіндік береді. Қазіргі уақытта Сиэтлді бағдарламаны кез-келген типтегі смарт құрылғыға кіре алатын, жүктей алатын және қолдана алатын мыңдаған әзірлеушілер пайдаланады. Сонымен қатар, сезімталдық тестілеуі сияқты бөлу технологиялары,[13] зерттеушілерге құрылғы иесінің жеке өміріне қауіп төндірмейтін датчиктерден мәліметтер жинауға мүмкіндік беретін Сиэтлдің қауіпсіздігі мен құпиялылықты қорғау стратегиясын қолдануды кеңейтті.

Компромисске төзімді стратегиялар

2010 жылы Cappos дамыды Жаңарту шеңбері (TUF),[14][15] репозиторийдің тұтастығына қауіп төндіруі мүмкін негізгі ымыраларға және басқа шабуылдарға қарсы жүйенің тұрақтылығын қалыптастыратын икемді бағдарламалық жасақтама.[16][17] TUF қолданыстағы жаңарту жүйелерінің отандық бағдарламалау тілдеріне оңай интеграциялануға арналған және ол құрылған кезден бастап бірнеше жоғары деңгейлі профильдермен қабылданған немесе интеграциялану сатысында. ашық көзі жобалар. Ертерек қабылдаудың маңыздыларының бірі Docker Content Trust болды.[18][19]бастап нотариаттық жобаны жүзеге асыру Докер ол Linux контейнерлерін орналастырады.[20] TUF-та құрылған нотариат Docker кескіндерінің көздерінің жарамдылығын растай алады.[21] 2017 жылдың қазан айында нотариат пен TUF екеуі де хостинг жобалары ретінде қабылданды Linux Foundation оның Cloud Native Computing Foundation құрамына кіреді.[22] 2019 жылдың желтоқсанында TUF CNCF бағдарламасын бітірген алғашқы техникалық сипаттама және қауіпсіздікке бағытталған алғашқы жоба болды.[23] TUF стандартталған Python,[24][25] және дербес жүзеге асырылды Барыңыз Flynn-дің тілі, қосымшаларды өндіріске қосуға арналған қызмет (PaaS) ретінде ашық бастапқы платформа.[26][27][28] Бүгінгі таңда TUF пайдаланатын технологиялық компаниялар мен ұйымдардың тізіміне кіреді IBM,[29] VMware,[30] Сандық мұхит,[31] Microsoft,[32] Google,[33] Амазонка,[34] Секіру,[35] Колиде,[36] Докер,[37] және Cloudflare.[38]

Каппостың ымыраға төзімді бағдарламалық жасақтаманы жаңартудың тағы бір маңызды жүйесі - TUF-бейімделген технология деп аталатын 2017 ж. Уптан.[39][40] Uptane автомобильдерге арналған бағдарламалық жасақтаманың қауіпсіздігін қамтамасыз етуге арналған, әсіресе жеткізілімдер эфирлік бағдарламалау.[41][42][43] Серіктестігінде жасалған Мичиган университеті Көлік ғылыми-зерттеу институты және Оңтүстік-батыс ғылыми-зерттеу институты, және индустриядағы, академиядағы және үкіметтегі мүдделі тараптармен бірлесе отырып, Uptane автомобиль өнеркәсібінің қауіпсіздік қажеттіліктерін қанағаттандыру үшін TUF дизайнын өзгертеді. Бұл қажеттіліктерге жад, сақтау мүмкіндігі және Интернетке қол жетімділік жағынан едәуір ерекшеленетін есептеу қондырғыларын орналастыру кіреді, бұл ретте өндірушілер автомобильдерді арнайы клиенттің қолдануы үшін құрастыруы керек.[44] Бүгінгі күнге дейін Uptane OTA Plus және ATS Garage, Advanced Telematic Systems бағдарламалық жасақтамасын жаңартудың екі өнімі және OTAmatic бағдарламасының қауіпсіздік компоненті болып табылады. Қуаттылық.[45][46] Airbiquity жобасы 2017 жылдың жаңа өнім санатындағы Бизнеске арналған BIG сыйлығымен марапатталды, және 2018 ж Ғылыми-көпшілік журналы Uptane-ді 2017 жылғы 100 өнертабыстың бірі деп атады.[47] Жоба үшін шығарылған бірінші стандартты көлем IEEE-ISTO 6100.1.0.0 Uptane жобалау және енгізу стандарты, 2019 жылдың 31 шілдесінде шығарылды.[48] Uptane қазір Linux қорының Joint Development Foundation жобасы болып табылады, бірлескен даму қоры Projects LLC, Uptane сериясы деген ресми атаумен жұмыс істейді.

Басқа маңызды ғылыми жобалар

2016 жылы Cappos in-toto ұсынды,[49] бағдарламалық қамтамасыздандыру тізбегінің қауіпсіздігі туралы құжаттаманы қамтамасыз ететін ашық метадеректер стандарты. Рамка бағдарламалық қамтамасыздандыруға кодтау, тестілеу, құрастыру және ораудың әр түрлі кезеңдері арқылы кіре алатын барлық адамдардан маңызды ақпаратты және қолтаңбаларды жинайды, осылайша барлық сатыларды кім және қандай тәртіппен жүзеге асырады. Есеп беруді құру арқылы in-toto шабуылдаушылардың кодқа тікелей зиянды өзгерістер енгізуіне немесе жеткізілім тізбегі бойында сол өзгерістер туралы жазбаны сақтайтын метадеректерді өзгертуіне жол бермейді.[50] in-toto Docker және OpenSUSE сияқты ашық көзі бар қоғамдастықтармен ынтымақтастық жасады. Datadog in-toto және TUF қолданады.[51] 2020 жылдың желтоқсанында рамка өзінің алғашқы негізгі нұсқасын шығарды.

In-toto жұмысында Cappos және SSL зерттеу тобы метамәліметтерді манипуляцияны Version Control Systems сияқты жаңа қауіп ретінде анықтады. Гит. Оның командасы осы мәселені шешу үшін бірнеше жаңа тәсілдеме жасады, соның ішінде осы шабуылдарды жеңілдететін қорғаныс схемасы, тиісті әзірлеушілер әрекеттерінің криптографиялық қолтаңбалы журналын жүргізу.[52] Репозиторийдің қандай-да бір әрекетті жасаған кездегі күйін құжаттау арқылы әзірлеушілерге ортақ тарих беріледі, сондықтан заңсыздықтар оңай анықталады. Бұл зерттеу аренасындағы соңғы жетістіктердің бірі - Arch Linux пакеттегі утилитасының келесі шығарылымына жарамсыз тегтерді тексеру үшін патчты біріктіру.[53] Жақында Cappos және оның серіктестері GitHub немесе GitLab сияқты ыңғайлы веб-хостинг қызметтерін пайдаланушыларға сервер өздері сұраған әрекеттерді адал орындайтындығына кепілдік бере алатын браузер кеңейтуін дамытуға ден қойды.

2014 жылы әзірленген тағы бір Cappos жобасы дерекқорларға парольдерді бұзуды қиындату әдісін енгізді. PolyPasswordHasher,[54] - бұл құпия сөздерді жиынтықта бұзуға мәжбүр ететін сақталған пароль туралы мәліметтермен өзара байланысты қауіпсіз схема.[55][56] Шабуылдаушыларға қол жеткізуге қажетті құпия сөздердің табалдырығын анықтауды едәуір қиындата отырып, PolyPasswordHasher қолдайтын дерекқорларды бұзу өте қиын болады. PPH қазіргі уақытта бірнеше жобаларда қолданылады, соның ішінде Сиэтл клирингтік орталығы мен BioBank. Іске асыру жеті тілде, оның ішінде Java,[57] Python,[58] C,[59] және Рубин.[60]

Бастап

Әдебиеттер тізімі

  1. ^ Каппос, Джастин; Сэмюэль, Джастин; Бейкер, Скотт; Хартман, Джон Х. (1 қаңтар 2008). «Айнадағы көзқарас». Айнаға көзқарас: пакет менеджерлеріне шабуыл. ACM. 565–574 беттер. дои:10.1145/1455770.1455841. ISBN  9781595938107.
  2. ^ Каппос, Дж .; Ванг, Л .; Вайс, Р .; Янг, Ю .; Чжуан, Ю. (1 ақпан 2014). «BlurSense: смартфонның жеке өміріне қол жетімділікті динамикалық тұрғыдан бақылау». 2014 IEEE сенсорларының қосымшалары симпозиумы (SAS). 329-332 беттер. дои:10.1109 / SAS.2014.6798970. ISBN  978-1-4799-2179-9 - IEEE Xplore арқылы.
  3. ^ Куппусамы, Тришанк Картик; Торрес-Ариас, Сантьяго; Диас, Владимир; Каппос, Джастин (наурыз 2016). «Дипломат: Қоғамдық репозитарийді қорғау үшін делегацияларды пайдалану». Усеникс: 567-581. Журналға сілтеме жасау қажет | журнал = (Көмектесіңдер)
  4. ^ Ли, Иуэн; Долан-Гавитт, Брендан; Вебер, Сэм; Каппос, Джастин (2017). «Lock-in-pop: ұрып-соққан жолмен жүру арқылы артықшылығы бар операциялық жүйенің ядроларын қорғау» (PDF). USENIX қауымдастығы. 1-13 бет.
  5. ^ Чжуан, Янян; Рафецедер, Альберт; Ху, Ю; Тянь, Юань; Каппос, Джастин (2018). «Сезімталдықты тексеру: мобильді зерттеу қосымшаларында IRB саясатын автоматтандырылған енгізу (PDF). ACM.
  6. ^ Куппусамы, Тришанк; Диас, Владимир; Каппос, Джастин (2017). «Меркурий: қауымдастық репозитарийлеріне қарсы кері шабуылдардың өткізу қабілеттілігінің тиімді алдын алу». USENIX қауымдастығы. 673-688 бет.
  7. ^ Гопштейн, Дэн; Яннакон, Джейк; Ян, Ю; Делонг, Луис; Чжуан, Янян; Ие, Мартин К.-С .; Каппос, Джастин (2017). «Бастапқы кодтағы түсінбеушіліктерді түсіну». Бағдарламалық жасақтама негіздері бойынша 2017 жылғы 11-ші бірлескен мәжіліс материалдары - ESEC / FSE 2017. ACM. 129-139 бет. дои:10.1145/3106237.3106264. ISBN  9781450351058.
  8. ^ Гринвуд, Вероник. «Джастин Каппос бұлтты есептеудің жаңа әдісін қалай құрды». www.Popsci.com. Ғылыми-көпшілік. Алынған 1 қазан 2016.
  9. ^ «Интернетте қауіпсіз болу». Al Jazeera America. 28 қыркүйек 2013. Алынған 15 мамыр 2019.
  10. ^ Каппос, Джастин (11 қараша 2007). «Лейлек: Таралатын VM орталарына арналған пакеттерді басқару». www.usenix.org: 79–94. Алынған 1 қазан 2016.
  11. ^ Каппос, Джастин; Бесчастних, Иван; Кришнамурти, Арвинд; Андерсон, Том (1 қаңтар 2009). «Сиэтл». Сиэттл: бұлтты білім берудің платформасы. ACM. 111–115 бб. дои:10.1145/1508865.1508905. ISBN  9781605581835.
  12. ^ Каппос, Джастин. «NSF сыйлығын іздеу: Сыйлық # 1205415 - CI-ADDO-EN: қауымдастықтың сынақ алаңын жақсарту және қолдау». www.nsf.gov. Ұлттық ғылыми қор. Алынған 1 қазан 2016.
  13. ^ «Sensbed Testbed.com». Алынған 19 қазан 2017.
  14. ^ Каппос, Джастин. «NSF сыйлығын іздеу: № 1345049 сыйлығы - TTP: жаңарту шеңберімен (TUF) Python пакетін басқаруды қауіпсіздендіру». www.nsf.gov. Алынған 2 қазан 2016.
  15. ^ Сэмюэль, Джастин; Мэтьюсон, Ник; Каппос, Джастин; Дингледин, Роджер. «Бағдарламалық жасақтаманы жаңарту жүйесіндегі тірі шешуші ымыраға келу» (PDF). ACM. 61-72 бет. Алынған 13 қараша 2017 - CCS 2010 арқылы.
  16. ^ Ли, Ин; Лоуренс, Дэвид. «Тұсаукесер: қиын болған кезде, TUF-ті алыңыз». us.pycon.org. Python бағдарламалық қамтамасыздандыру қоры. Алынған 2 қазан 2016.
  17. ^ Сейфрид, Курт. «TUF Love». Linux журналы. Linux Pro журналы. Алынған 3 қазан 2016.
  18. ^ Моника, Диого (12 тамыз 2015). «Docker Content Trust - Docker блогын енгізу». Blog.Docker.com. Докер. Алынған 2 қазан 2016.
  19. ^ «Докер мазмұнына деген сенім докерленген мазмұнның тұтастығын қорғайды». www.CIOReview.com. CIO шолуы. Алынған 2 қазан 2016.
  20. ^ Фултон III, Скотт М. (12 тамыз 2015). «Докер: Мазмұнға сенім артып, контейнерлерді сенімсіз желілерде іске қосуға болады - жаңа стек». TheNewStack.io. Жаңа стек. Алынған 3 қазан 2016.
  21. ^ Вон-Николс, Стивен Дж. «Docker 1.8 ZDNet контейнерінің маңызды қауіпсіздігін қосады». ZDNet. CBS интерактивті. Алынған 3 қазан 2016.
  22. ^ Джексон, Джоаб (24 қазан 2017). «CNCF қауіпсіздікті бұлтты жергілікті стекке қауіпсіздікті нотариатпен, TUF асырап алуымен қамтамасыз етеді». Жаңа стек.
  23. ^ Мелансон, Майк (19 желтоқсан 2019). «TUF - бұлтты жергілікті есептеу қорын бітіруге арналған алғашқы қауіпсіздік жобасы». Жаңа стек.
  24. ^ Куппусамы, Тришанк Картик; Диас, Владимир; Штат, Дональд; Каппос, Джастин (27 қыркүйек 2013). «PEP 458 - PyPI ымырасынан аман қалу». Алынған 2 сәуір 2018.
  25. ^ Куппусами, Тришанк Картик; Диас, Владимир; Штат, Дональд; Каппос, Джастин (8 қазан 2014). «PEP 480 - PyPI ымырасынан аман қалу: қауіпсіздіктің максималды моделі». Алынған 2 сәуір 2018.
  26. ^ Егулалп, Сердар. «Flynn ашық көзі қолданбаларды орналастырудан бас ауруын шығарады». www.Infoworld.com. IDG. Алынған 3 қазан 2016.
  27. ^ «Қауіпсіздік - Флинн». flynn.io. Алынған 3 қазан 2016.
  28. ^ «flynn / go-tuf». www.github.com. GitHub, Inc. Алынған 3 қазан 2016.
  29. ^ «Сенімді мазмұнға суреттерге қол қою». IBM Cloud Docs. 13 ақпан 2020. Алынған 13 сәуір 2020.
  30. ^ . VMware https://www.vmware.com/. Алынған 13 сәуір 2020. Жоқ немесе бос | тақырып = (Көмектесіңдер)
  31. ^ . Сандық мұхит https://www.digitalocean.com/. Алынған 13 сәуір 2020. Жоқ немесе бос | тақырып = (Көмектесіңдер)
  32. ^ «Azure Container тізіліміндегі мазмұнның сенімділігі». Microsoft. 6 қыркүйек 2019. Алынған 13 сәуір 2020.
  33. ^ «Фуксия жобасы». Google. 2 сәуір 2020. Алынған 13 сәуір 2020.
  34. ^ «AWS қатаң репозиторийі». Amazon. 9 сәуір 2020. Алынған 13 сәуір 2020.
  35. ^ «Жаңа жылға арналған жаңа шығарылымдар». Секірісті шифрлау әрекеті жобасы. 23 желтоқсан 2014 ж. Алынған 13 сәуір 2020.
  36. ^ «Kolide Updater». Колиде. 1 қараша 2014 ж. Алынған 13 сәуір 2020.
  37. ^ «Docker сенімді тізілімі». Mirantis.com. Алынған 13 сәуір 2020.
  38. ^ Салливан, Ник (16 наурыз 2018). «Контейнердің жеке басын жүктеу құралы». Cloudflare блогы. Алынған 13 сәуір 2020.
  39. ^ Detsch, Джек (18 қаңтар 2017). «Бағдарламалық жасақтаманың жаңартулары қылмыстық автокөлік хакерлерін тоқтату үшін маңызды ма?». www.csmonitor.com. Christian Science Monitor. Алынған 20 ақпан 2017.
  40. ^ Роу, Мартин (23 қаңтар 2017). «Автомобильдік ECU жаңартулары: хакерлерді аулақ ұстау». www.eetimes.com. EE Times. Алынған 20 ақпан 2017.
  41. ^ «Бағдарламалық жасақтаманы қашықтан жаңарту: болашақтағы өсу бизнесі». IHS Markit Automotive блогы. IHS.com. 14 қаңтар 2015 ж. Алынған 13 қараша 2017.
  42. ^ Мериан, Лукас (15 наурыз 2016). «Киберқауіпсіздік және қайтарып алу 2022 жылға қарай 203 миллион автомобильге ауада жаңартуды білдіреді». Computerworld. Алынған 13 қараша 2017.
  43. ^ Sage, Александрия (29 қыркүйек 2017). «Үлкен Автотехникалық компанияларға әуе көлігін жөндеуге деген көзқарас». Reuters. Алынған 29 қаңтар 2018.
  44. ^ Куппусамы, Тришанк Картик; Делонг, Луис Анн; Каппос, Джастин (2017 жаз). Uptane көмегімен автомобильдерге арналған бағдарламалық жасақтаманың қауіпсіздігін қамтамасыз ету (PDF). 42. кіру.
  45. ^ «ATS қосылған бағдарламалық жасақтамаға бағдарламалық жасақтаманы жаңартуға арналған Uptane қауіпсіздік шеңберін біріктіреді». Әлем жаңалықтары. 13 маусым 2017.
  46. ^ «Airbiquity қосылған әуе кемесіне арналған OTAmatic (OTA) бағдарламалық жасақтамасын жаңартады және деректерді басқарады». Airbiquity.com. 18 мамыр 2017 ж. Алынған 16 наурыз 2018.
  47. ^ Атертон, Келси Д .; Feltman, Rachel (17 қазан 2017). «Қауіпсіздік саласындағы ең маңызды жаңалықтар». Ғылыми-көпшілік.
  48. ^ «IEEE-ISTO 6100.1.0.0 Uptane жобалау және енгізу стандарты» (PDF). IEEE / ISTO. 31 шілде 2019. Алынған 8 қаңтар 2020.
  49. ^ «in-toto веб-сайты». Алынған 19 қазан 2017.
  50. ^ «in-toto сипаттамасы» (PDF). 11 сәуір 2017 ж. Алынған 6 сәуір 2018.
  51. ^ «Datadog агент интеграциясының TUF және in-toto көмегімен қауіпсіз жариялануы». 3 маусым 2019. Алынған 14 желтоқсан 2020.
  52. ^ Торрес-Ариас, Сантьяго; Аммула л, Анил Кумар; Куртмола, Реза; Каппос, Джастин. «Міндеттемелерді жіберіп алу және жіберіп алулар туралы: бағдарламалық жасақтаманың осалдықтарын енгізетін (қайта) метадеректердің бұзылуына жол бермеу» (PDF). 25-ші USENIX қауіпсіздік симпозиумының еңбектері. 379–395 бб.
  53. ^ «libmakepkg: жарамсыз тегтердің бар-жоғын тексеру». Arch Linux <. Алынған 13 қыркүйек 2017.
  54. ^ «PolyPasswordHasher веб-сайты». NYU-дағы Secure Systems Lab. Алынған 14 желтоқсан 2020.
  55. ^ Ханзада, Брайан. «Жаңа қорғаныс схемасы әлсіз парольдерді іс жүзінде бұзылмайтын етеді». Сымды бизнес медиа. Алынған 14 желтоқсан 2020.
  56. ^ «Нью-Полидің профессоры Джастин Каппоспен сұхбат: бөлшек сауда ережелерін бұзудан қауіпсіздік сабақтары». блог.varonis.com. Varonis блогы. 6 қаңтар 2015 ж. Алынған 3 қазан 2016.
  57. ^ «PolyPasswordHasher-Java енгізу». NYU-дағы Secure Systems Lab. Алынған 19 қазан 2017.
  58. ^ «PolyPasswordHasher / python-reference-іске асыру». NYU-дағы Secure Systems Lab. Алынған 19 қазан 2017.
  59. ^ «PolyPasswordHasher-C». NYU-дағы Secure Systems Lab. Алынған 19 қазан 2017.
  60. ^ «PolyPasswordHasher / PolyPasswordHasher-Ruby /». Нью-Йорктегі қауіпсіз жүйелер зертханасы. Алынған 19 қазан 2017.

Сыртқы сілтемелер

Таңдалған басылымдар

БАҚ сілтемелері мен түсініктемелері