Джастин Каппос

Джастин Каппос
Рожденный	( 1977-02-27 ) 27 февраля 1977 г. (47 лет)
Национальность	Американский
Альма-матер	Университет Аризоны
Научная карьера
Поля	Безопасность , операционные системы , сети
Диссертация	(2008)
Докторантура	Джон Хартман
Веб-сайт	инженерия .ню .edu /люди / Джастин-Каппос SSL .инжиниринг .ню .edu /личные страницы /jcappos /

Джастин Каппос (родился 27 февраля 1977 г.) — ученый-компьютерщик и эксперт по кибербезопасности, чье программное обеспечение для защиты данных было использовано в ряде широко используемых проектов с открытым исходным кодом. Его исследования сосредоточены на системах обновления программного обеспечения, безопасности и виртуализации , уделяя особое внимание реальным проблемам безопасности. ^{[ 1 ] [ 2 ] [ 3 ]}

Каппос является преподавателем инженерной школы Тандон Нью-Йоркского университета с 2011 года и получил должность в 2017 году. Сейчас он является доцентом кафедры компьютерных наук и инженерии и представил ряд новых программных продуктов и системных протоколов, таких как заведующий школьной лабораторией безопасных систем . К ним относятся технологии, которые обнаруживают и изолируют ошибки безопасности, ^{[ 4 ]} защитить личные данные, ^{[ 5 ]} обеспечить безопасный механизм исправления ошибок программного обеспечения в различных контекстах, ^{[ 6 ]} и даже способствовать более глубокому пониманию того, как помочь программистам избежать недостатков безопасности. ^{[ 7 ]}

Признавая практическое значение его работы, журнал Popular Science включил Каппо в число 10 лучших в 2013 году. ^{[ 8 ]} назвав его одним из 10 блестящих ученых моложе 40 лет. Его осознание рисков современной сетевой культуры — знание, достаточно сильное, чтобы удержать его от владения смартфоном или другим подключенным устройством, ^{[ 9 ]} или от использования социальных сетей, таких как Facebook и Twitter, — привело к многочисленным просьбам выступить в качестве эксперта-комментатора по вопросам кибербезопасности и конфиденциальности для местных, национальных и международных СМИ.

Тема докторской диссертации Каппоса. диссертация в Университете Аризоны называлась «Проект Аист», ^{[ 10 ]} программного обеспечения, менеджер пакетов который он создал вместе с Джоном Х. Хартманом, профессором факультета компьютерных наук. Stork до сих пор используется в некоторых приложениях, но, что более важно, проект привлек внимание к необходимости повышения безопасности процессов обновления программного обеспечения, и Cappos продолжает заниматься этой областью исследований.

Будучи постдокторантом в Вашингтонском университете в 2009 году, Каппос также разработал одноранговую вычислительную платформу под названием Seattle. ^{[ 11 ] [ 12 ]} который обеспечивает возможность подключения устройств к устройствам в децентрализованной сети. Сиэтл в настоящее время используется тысячами разработчиков, которые могут получить доступ, загрузить и использовать программу на любом типе интеллектуальных устройств. Кроме того, дополнительные технологии, такие как Sensibility Testbed, ^{[ 13 ]} расширили использование стратегий безопасности Сиэтла и усилили защиту конфиденциальности, что позволяет исследователям собирать данные с датчиков без риска для конфиденциальности владельца устройства.

В 2010 году компания Cappos разработала The Update Framework (TUF) , ^{[ 14 ] [ 15 ]} гибкая программная среда, которая повышает устойчивость системы к взлому ключей и другим атакам, которые могут поставить под угрозу целостность репозитория. ^{[ 16 ] [ 17 ]} TUF был разработан для простой интеграции с родными языками программирования существующих систем обновлений, и с момента своего создания он был принят или находится в процессе интеграции в ряде громких проектов с открытым исходным кодом . Одним из наиболее значительных ранних внедрений было Docker Content Trust. ^{[ 18 ]} реализация проекта Notary от Docker , который развертывает контейнеры Linux. ^{[ 19 ]} Notary, созданный на основе TUF, может подтвердить достоверность источников образов Docker. ^{[ 20 ]} В октябре 2017 года Notary и TUF были приняты в качестве размещенных проектов Linux Foundation как часть Cloud Native Computing Foundation. ^{[ 21 ]} В декабре 2019 года TUF стал первой спецификацией и первым проектом, ориентированным на безопасность, вышедшим из CNCF. ^{[ 22 ]} TUF также стандартизирован в Python . ^{[ 23 ] [ 24 ]} и был независимо реализован на языке Go компанией Flynn, платформой с открытым исходным кодом как услуга (PaaS) для запуска приложений в рабочей среде. ^{[ 25 ] [ 26 ] [ 27 ]} На сегодняшний день список технологических компаний и организаций, использующих TUF, включает Foundries.io. ^{[ 28 ]} , ИБМ , ^{[ 29 ]} VMware, ^{[ 30 ]} Цифровой океан, ^{[ 31 ]} Майкрософт, ^{[ 32 ]} Google, ^{[ 33 ]} Амазонка, ^{[ 34 ]} Прыгнуть, ^{[ 35 ]} двигаться, ^{[ 36 ]} Докер, ^{[ 37 ]} и Клаудфлер. ^{[ 38 ]}

Еще одна важная, устойчивая к компрометации платформа обновления программного обеспечения от Cappos — это запуск в 2017 году адаптированной к TUF технологии под названием Uptane . ^{[ 39 ] [ 40 ]} Uptane предназначен для защиты обновлений программного обеспечения для автомобилей, особенно тех, которые доставляются посредством беспроводного программирования . ^{[ 41 ] [ 42 ] [ 43 ]} Разработанный в сотрудничестве с Институтом транспортных исследований Мичиганского университета и Юго-западным исследовательским институтом , а также в сотрудничестве с заинтересованными сторонами в промышленности, научных кругах и правительстве, Uptane модифицирует конструкцию TUF для удовлетворения конкретных потребностей безопасности автомобильной промышленности. Эти потребности включают в себя размещение вычислительных блоков, которые сильно различаются по объему памяти, емкости хранения и доступу к Интернету, сохраняя при этом возможность настройки, необходимую производителям для разработки автомобилей для конкретного использования клиентом. ^{[ 44 ]} На сегодняшний день Uptane интегрирован в OTA Plus и ATS Garage, два продукта беспроводного обновления программного обеспечения от Advanced Telematic Systems, и является ключевым компонентом безопасности программы OTAmatic, созданной Airbiquity . ^{[ 45 ] [ 46 ]} В январе 2018 года проект Airbiquity был удостоен награды BIG Award for Business в категории «Новый продукт 2017», а журнал Popular Science назвал Uptane одним из 100 лучших изобретений 2017 года. ^{[ 47 ]} Первый стандартный том, выпущенный для проекта, под названием IEEE-ISTO 6100.1.0.0 Uptane Standard for Design and Implementation , был выпущен 31 июля 2019 года. ^{[ 48 ]} Uptane теперь является проектом Фонда совместного развития Linux Foundation, действующим под официальным названием Joint Development Foundation Projects, LLC, Uptane Series.

В 2016 году Cappos представила in-toto, ^{[ 49 ]} стандарт открытого метаданных, который обеспечивает документацию сквозной безопасности цепочки поставок программного обеспечения. Платформа собирает как ключевую информацию, так и подписи всех, кто имеет доступ к программному обеспечению на различных этапах кодирования, тестирования, сборки и упаковки, тем самым делая прозрачными все шаги, которые были выполнены, кем и в каком порядке. Создавая подотчетность, in-toto может помешать злоумышленникам напрямую вносить вредоносные изменения в код или изменять метаданные, в которых фиксируются эти изменения по всей цепочке поставок. ^{[ 50 ]} in-toto сотрудничает с сообществами открытого исходного кода, такими как Docker и OpenSUSE. Datadog использует как in-toto, так и TUF. ^{[ 51 ]} В декабре 2020 года фреймворк выпустил свою первую основную версию.

Работая над in-toto, Каппос и исследовательская группа SSL определили манипулирование метаданными как новую угрозу для систем контроля версий, таких как Git . Его команда разработала несколько новых подходов к решению этой проблемы, включая схему защиты, которая смягчает эти атаки путем ведения криптографически подписанного журнала соответствующих действий разработчика. ^{[ 52 ]} Документируя состояние репозитория в определенный момент выполнения действия, разработчикам предоставляется общая история, поэтому нарушения можно легко обнаружить. Одним из недавних достижений в этой области исследований является интеграция Arch Linux патча для проверки недействительных тегов в git в следующую версию утилиты pacman. ^{[ 53 ]} Совсем недавно Каппос и его коллеги сосредоточились на разработке расширения для браузера, которое может гарантировать пользователям удобных служб веб-хостинга, таких как GitHub или GitLab, что сервер добросовестно выполнит запрошенные ими действия.

Другой проект Cappos, разработанный в 2014 году, представил метод, усложняющий взлом паролей к базам данных. ПолиПарольХашер, ^{[ 54 ]} представляет собой безопасную схему, которая связывает сохраненные данные паролей, заставляя хакеров взламывать пароли группами. ^{[ 55 ] [ 56 ]} Из-за того, что злоумышленникам значительно сложнее определить необходимый порог паролей, необходимых для получения доступа, базы данных с поддержкой PolyPasswordHasher становится очень трудно взломать. PPH в настоящее время используется в нескольких проектах, включая Информационную палату Сиэтла и BioBank. Реализации доступны для семи языков, включая Java , ^{[ 57 ]} Питон, ^{[ 58 ]} С , ^{[ 59 ]} и Руби . ^{[ 60 ]}

• Проф. Джастин Каппос , Нью-Йоркского университета профильная страница
• Джастин Каппос , Инженерной школы Тандон Нью-Йоркского университета Профильная страница
• Сайт Лаборатории безопасных систем

• Список публикаций из Microsoft Academic Search
• Публикации Джастина Каппоса, проиндексированные Google Scholar

• WLIW 21-PBS TV Лонг-Айленд (26 марта 2018 г.). SciTech Now «Защита современных высококомпьютеризированных автомобилей от хакеров»
• Грани (14 февраля 2018 г.). О'Кейн, Шон. «Фиаско беспроводного обновления Chrysler ограничивается северо-востоком, но клиенты все еще ждут исправления»
• WBRC Ch.6-TV (4 января 2018 г.). Гаунтт, Джошуа. «Заряжая ваш телефон в сервисах совместного использования поездок, аэропорты могут подвергнуть риску вашу информацию»
• Аналитика здравоохранения (29 декабря 2017 г.) Стептоу, Джордж. «Худшие нарушения кибербезопасности в сфере здравоохранения в 2017 году»
• IEEE CyberSecurity (4 октября 2017 г.). «Джастин Каппос о том, почему автомобили не похожи на компьютеры, когда дело касается кибербезопасности»
• The Washington Post (11 июля 2017 г.) «Хакеры уже несколько месяцев крадут номера кредитных карт из отелей Трампа»
• AdAge (27 июня 2017 г.) «Заплати или потеряешь все: что Мэдисон-авеню следует знать об атаке с выкупом на WPP»
• Общественное радио KSTX-Техас (21 июня 2017 г.) Все учтено: «Программное обеспечение, защищающее автомобили будущего, начинает проникать»
• Файнэншл Таймс (14 июня 2017 г.). «Три руководителя банков США стали жертвами электронных шутников»
• Fox 5-TV News (23 мая 2017 г.) Тухи, Джо. «Может ли анализ больших данных повлиять на политические выборы?»
• Fox 5-TV News (15 мая 2017 г.) Чиен, Артур. «Вредоносное ПО WannaCry использовало слабость ОС для распространения»
• The Los Angeles Times (15 мая 2017 г.) Дэйв, Пареш и Джеймс Ф. Пельц. «Кибератака WannaCry: кто виноват, когда хакер закрыл больницу»
• BBC (4 мая 2017 г.) «Пользователи Google Docs пострадали от фишинга»
• WBUR-NPR Бостон (4 мая 2017 г.) В точку. «Фишинг, хакерские атаки и повышение безопасности в Интернете»
• Reuters (3 мая 2017 г.) «Спам-кампания нацелена на пользователей Google с помощью вредоносных ссылок»
• Fox 5-TV News (25 апреля 2017 г.) Кинг, Mac. «Вам действительно следует прочитать условия обслуживания приложения»
• Новости Fox 5-TV (30 марта 2017 г.). «Продажа истории онлайн-поиска»
• International Business Times (24 марта 2017 г.). «Реальна ли конфиденциальность? ЦРУ ставит под угрозу цифровую безопасность Америки»
• WBUR-NPR Бостон (17 марта 2017 г.), Здесь и сейчас, «Исследователи стремятся разработать программное обеспечение для предотвращения взлома автомобилей»
• Вашингтон Пост (10 марта 2017 г.). «42 слова, которые нельзя произносить в электронных письмах правительству округа Колумбия»
• WNBC-TV Нью-Йорк (9 марта 2017 г.). «WikiLeaks поможет защитить технологические компании от хакерских инструментов ЦРУ»
• Новости Fox 5-TV (7 марта 2017 г.). «WikiLeaks публикует тысячи документов ЦРУ о кибершпионаже»
• Микрофон (3 марта 2017 г.). Взлом электронной почты Пенса: Чем разгром частной электронной почты вице-президентов можно сравнить с провалом Хиллари Клинтон»
• KSTX - Общественное радио Техаса (26 января 2017 г.), Здесь и сейчас. «Автомобиль будущего может быть защищен от взлома с помощью программного обеспечения, разработанного в Сан-Антонио»
• Reuters Live на Facebook (18 января 2017 г.). «Как Uptane может защитить вашу машину от хакеров»
• WWL AM 870 / FM 105.3 (9 января 2017 г.). «Как произошли русские хакеры?»
• Новости Fox 5-TV (18 ноября 2016 г.). «Стоят ли умные устройства риска взлома?»
• WPIX-11-TV News (31 октября 2016 г.) Диас, Марио. «Расследование электронной переписки Клинтон стало сенсацией в предвыборной кампании обоих кандидатов»
• CNN Money (15 августа 2016 г.) Пальери, Хосе. «Хакер утверждает, что продает украденные шпионские инструменты АНБ»
• Vice (6 июля 2016 г.) Перл, Майк. «Мы спросили эксперта по кибербезопасности, могла ли система электронной почты Клинтон поставить под угрозу национальную безопасность»
• Scientific American (23 марта 2016 г.) Снид, Энни. «Наиболее уязвимыми целями программ-вымогателей являются учреждения, на которые мы больше всего полагаемся»
• Час новостей PBS (29 февраля 2016 г.). «Атака программы-вымогателя на несколько часов разрушила больницу Лос-Анджелеса»
• Час новостей PBS (18 апреля 2015 г.). «Хакерская атака, которая берет ваш компьютер в заложники, пока вы не заплатите»
• Нью-Йорк Дейли Ньюс (4 марта 2015 г.). «Следует ли вам проверять личную электронную почту на работе?»
• CBS News (3 декабря 2014 г.). «5 нелогичных способов защиты от хакеров»
• Новости CBS-TV (15 августа 2014 г.). «Как менеджер паролей может помочь вам оставаться в большей безопасности в Интернете»
• Варонис (6 января 2015 г.). «Интервью с профессором Политехнического университета Нью-Йорка Джастином Каппосом: уроки безопасности, полученные от взломов в розничной торговле»
• Обзор технологий MIT (21 февраля 2013 г.) Лим, Дон. «Стартап Red Balloon Security предлагает защитить принтеры, телефоны и другие устройства от хакеров»