Jump to content

Джастин Каппос

Джастин Каппос
Рожденный ( 1977-02-27 ) 27 февраля 1977 г. (47 лет)
Национальность Американский
Альма-матер Университет Аризоны
Научная карьера
Поля Безопасность , операционные системы , сети
Диссертация  (2008)
Докторантура Джон Хартман
Веб-сайт инженерия .ню .edu /люди / Джастин-Каппос
SSL .инжиниринг .ню .edu /личные страницы /jcappos /

Джастин Каппос (родился 27 февраля 1977 г.) — ученый-компьютерщик и эксперт по кибербезопасности, чье программное обеспечение для защиты данных было использовано в ряде широко используемых проектов с открытым исходным кодом. Его исследования сосредоточены на системах обновления программного обеспечения, безопасности и виртуализации , уделяя особое внимание реальным проблемам безопасности. [ 1 ] [ 2 ] [ 3 ]

Каппос является преподавателем инженерной школы Тандон Нью-Йоркского университета с 2011 года и получил должность в 2017 году. Сейчас он является доцентом кафедры компьютерных наук и инженерии и представил ряд новых программных продуктов и системных протоколов, таких как заведующий школьной лабораторией безопасных систем . К ним относятся технологии, которые обнаруживают и изолируют ошибки безопасности, [ 4 ] защитить личные данные, [ 5 ] обеспечить безопасный механизм исправления ошибок программного обеспечения в различных контекстах, [ 6 ] и даже способствовать более глубокому пониманию того, как помочь программистам избежать недостатков безопасности. [ 7 ]

Признавая практическое значение его работы, журнал Popular Science включил Каппо в число 10 лучших в 2013 году. [ 8 ] назвав его одним из 10 блестящих ученых моложе 40 лет. Его осознание рисков современной сетевой культуры — знание, достаточно сильное, чтобы удержать его от владения смартфоном или другим подключенным устройством, [ 9 ] или от использования социальных сетей, таких как Facebook и Twitter, — привело к многочисленным просьбам выступить в качестве эксперта-комментатора по вопросам кибербезопасности и конфиденциальности для местных, национальных и международных СМИ.

Образование и ранние исследовательские инициативы

[ редактировать ]

Тема докторской диссертации Каппоса. диссертация в Университете Аризоны называлась «Проект Аист», [ 10 ] программного обеспечения, менеджер пакетов который он создал вместе с Джоном Х. Хартманом, профессором факультета компьютерных наук. Stork до сих пор используется в некоторых приложениях, но, что более важно, проект привлек внимание к необходимости повышения безопасности процессов обновления программного обеспечения, и Cappos продолжает заниматься этой областью исследований.

Будучи постдокторантом в Вашингтонском университете в 2009 году, Каппос также разработал одноранговую вычислительную платформу под названием Seattle. [ 11 ] [ 12 ] который обеспечивает возможность подключения устройств к устройствам в децентрализованной сети. Сиэтл в настоящее время используется тысячами разработчиков, которые могут получить доступ, загрузить и использовать программу на любом типе интеллектуальных устройств. Кроме того, дополнительные технологии, такие как Sensibility Testbed, [ 13 ] расширили использование стратегий безопасности Сиэтла и усилили защиту конфиденциальности, что позволяет исследователям собирать данные с датчиков без риска для конфиденциальности владельца устройства.

Устойчивые к компромиссам стратегии

[ редактировать ]

В 2010 году компания Cappos разработала The Update Framework (TUF) , [ 14 ] [ 15 ] гибкая программная среда, которая повышает устойчивость системы к взлому ключей и другим атакам, которые могут поставить под угрозу целостность репозитория. [ 16 ] [ 17 ] TUF был разработан для простой интеграции с родными языками программирования существующих систем обновлений, и с момента своего создания он был принят или находится в процессе интеграции в ряде громких проектов с открытым исходным кодом . Одним из наиболее значительных ранних внедрений было Docker Content Trust. [ 18 ] реализация проекта Notary от Docker , который развертывает контейнеры Linux. [ 19 ] Notary, созданный на основе TUF, может подтвердить достоверность источников образов Docker. [ 20 ] В октябре 2017 года Notary и TUF были приняты в качестве размещенных проектов Linux Foundation как часть Cloud Native Computing Foundation. [ 21 ] В декабре 2019 года TUF стал первой спецификацией и первым проектом, ориентированным на безопасность, вышедшим из CNCF. [ 22 ] TUF также стандартизирован в Python . [ 23 ] [ 24 ] и был независимо реализован на языке Go компанией Flynn, платформой с открытым исходным кодом как услуга (PaaS) для запуска приложений в рабочей среде. [ 25 ] [ 26 ] [ 27 ] На сегодняшний день список технологических компаний и организаций, использующих TUF, включает Foundries.io. [ 28 ] , ИБМ , [ 29 ] VMware, [ 30 ] Цифровой океан, [ 31 ] Майкрософт, [ 32 ] Google, [ 33 ] Амазонка, [ 34 ] Прыгнуть, [ 35 ] двигаться, [ 36 ] Докер, [ 37 ] и Клаудфлер. [ 38 ]

Еще одна важная, устойчивая к компрометации платформа обновления программного обеспечения от Cappos — это запуск в 2017 году адаптированной к TUF технологии под названием Uptane . [ 39 ] [ 40 ] Uptane предназначен для защиты обновлений программного обеспечения для автомобилей, особенно тех, которые доставляются посредством беспроводного программирования . [ 41 ] [ 42 ] [ 43 ] Разработанный в сотрудничестве с Институтом транспортных исследований Мичиганского университета и Юго-западным исследовательским институтом , а также в сотрудничестве с заинтересованными сторонами в промышленности, научных кругах и правительстве, Uptane модифицирует конструкцию TUF для удовлетворения конкретных потребностей безопасности автомобильной промышленности. Эти потребности включают в себя размещение вычислительных блоков, которые сильно различаются по объему памяти, емкости хранения и доступу к Интернету, сохраняя при этом возможность настройки, необходимую производителям для разработки автомобилей для конкретного использования клиентом. [ 44 ] На сегодняшний день Uptane интегрирован в OTA Plus и ATS Garage, два продукта беспроводного обновления программного обеспечения от Advanced Telematic Systems, и является ключевым компонентом безопасности программы OTAmatic, созданной Airbiquity . [ 45 ] [ 46 ] В январе 2018 года проект Airbiquity был удостоен награды BIG Award for Business в категории «Новый продукт 2017», а журнал Popular Science назвал Uptane одним из 100 лучших изобретений 2017 года. [ 47 ] Первый стандартный том, выпущенный для проекта, под названием IEEE-ISTO 6100.1.0.0 Uptane Standard for Design and Implementation , был выпущен 31 июля 2019 года. [ 48 ] Uptane теперь является проектом Фонда совместного развития Linux Foundation, действующим под официальным названием Joint Development Foundation Projects, LLC, Uptane Series.

Другие важные исследовательские проекты

[ редактировать ]

В 2016 году Cappos представила in-toto, [ 49 ] стандарт открытого метаданных, который обеспечивает документацию сквозной безопасности цепочки поставок программного обеспечения. Платформа собирает как ключевую информацию, так и подписи всех, кто имеет доступ к программному обеспечению на различных этапах кодирования, тестирования, сборки и упаковки, тем самым делая прозрачными все шаги, которые были выполнены, кем и в каком порядке. Создавая подотчетность, in-toto может помешать злоумышленникам напрямую вносить вредоносные изменения в код или изменять метаданные, в которых фиксируются эти изменения по всей цепочке поставок. [ 50 ] in-toto сотрудничает с сообществами открытого исходного кода, такими как Docker и OpenSUSE. Datadog использует как in-toto, так и TUF. [ 51 ] В декабре 2020 года фреймворк выпустил свою первую основную версию.

Работая над in-toto, Каппос и исследовательская группа SSL определили манипулирование метаданными как новую угрозу для систем контроля версий, таких как Git . Его команда разработала несколько новых подходов к решению этой проблемы, включая схему защиты, которая смягчает эти атаки путем ведения криптографически подписанного журнала соответствующих действий разработчика. [ 52 ] Документируя состояние репозитория в определенный момент выполнения действия, разработчикам предоставляется общая история, поэтому нарушения можно легко обнаружить. Одним из недавних достижений в этой области исследований является интеграция Arch Linux патча для проверки недействительных тегов в git в следующую версию утилиты pacman. [ 53 ] Совсем недавно Каппос и его коллеги сосредоточились на разработке расширения для браузера, которое может гарантировать пользователям удобных служб веб-хостинга, таких как GitHub или GitLab, что сервер добросовестно выполнит запрошенные ими действия.

Другой проект Cappos, разработанный в 2014 году, представил метод, усложняющий взлом паролей к базам данных. ПолиПарольХашер, [ 54 ] представляет собой безопасную схему, которая связывает сохраненные данные паролей, заставляя хакеров взламывать пароли группами. [ 55 ] [ 56 ] Из-за того, что злоумышленникам значительно сложнее определить необходимый порог паролей, необходимых для получения доступа, базы данных с поддержкой PolyPasswordHasher становится очень трудно взломать. PPH в настоящее время используется в нескольких проектах, включая Информационную палату Сиэтла и BioBank. Реализации доступны для семи языков, включая Java , [ 57 ] Питон, [ 58 ] С , [ 59 ] и Руби . [ 60 ]

  1. ^ Каппос, Джастин; Сэмюэл, Джастин; Бейкер, Скотт; Хартман, Джон Х. (1 января 2008 г.). «Взгляд в зеркало». Взгляд в зеркало: атаки на менеджеры пакетов . АКМ. стр. 565–574. дои : 10.1145/1455770.1455841 . ISBN  9781595938107 . S2CID   132035 .
  2. ^ Каппос, Дж.; Ван, Л.; Вайс, Р.; Ян, Ю.; Чжуан, Ю. (1 февраля 2014 г.). «BlurSense: динамический детальный контроль доступа для обеспечения конфиденциальности смартфона». Симпозиум IEEE по применению датчиков (SAS) , 2014 г. стр. 329–332. дои : 10.1109/SAS.2014.6798970 . ISBN  978-1-4799-2179-9 . S2CID   18791689 – через IEEE Xplore.
  3. ^ Куппусами, Тришанк Картик; Торрес-Ариас, Сантьяго; Диас, Владимир; Каппос, Джастин (март 2016 г.). Дипломат: использование делегирования для защиты репозиториев сообщества . Усеникс. стр. 567–581. ISBN  9781931971294 .
  4. ^ Ли, Ивэнь; Долан-Гэвитт, Брендан; Вебер, Сэм; Каппос, Джастин (2017). «Lock-in-Pop: защита привилегированных ядер операционной системы, следуя проторенным путем» (PDF) . Ассоциация ЮСЕНИКС. стр. 1–13.
  5. ^ Чжуан, Яньян; Рафецедер, Альберт; Ху, Ю; Тянь, Юань; Каппос, Джастин (2018). «Испытательный стенд на чувствительность: автоматизированное соблюдение политики IRB в мобильных исследовательских приложениях» (PDF) . АКМ.
  6. ^ Куппусами, Тришанк; Диас, Владимир; Каппос, Джастин (2017). Mercury: эффективное предотвращение атак отката на репозитории сообщества с учетом пропускной способности . Ассоциация ЮСЕНИКС. стр. 673–688. ISBN  9781931971386 .
  7. ^ Гопштейн, Дэн; Яннаконе, Джейк; Ян, Ю; Делонг, Лоис; Чжуан, Яньян; Ага, Мартин К.-К.; Каппос, Джастин (2017). «Понимание недоразумений в исходном коде». Материалы 11-го совместного совещания по основам программной инженерии 2017 г. - ESEC/FSE 2017 . АКМ. стр. 129–139. дои : 10.1145/3106237.3106264 . ISBN  9781450351058 . S2CID   5537907 .
  8. ^ Гринвуд, Вероника (16 октября 2013 г.). «Как Джастин Каппос создал новый способ облачных вычислений» . www.Popsci.com . Популярная наука . Проверено 1 октября 2016 г.
  9. ^ «Безопасность в Интернете» . Аль Джазира Америка. 28 сентября 2013 года . Проверено 15 мая 2019 г.
  10. ^ Каппос, Джастин (11 ноября 2007 г.). «Stork: Управление пакетами для распределенных сред виртуальных машин» . www.usenix.org : 79–94 . Проверено 1 октября 2016 г.
  11. ^ Каппос, Джастин; Бесчастных Иван; Кришнамурти, Арвинд; Андерсон, Том (1 января 2009 г.). «Сиэтл». Сиэтл: платформа для образовательных облачных вычислений . АКМ. стр. 111–115. дои : 10.1145/1508865.1508905 . ISBN  9781605581835 . S2CID   2892867 .
  12. ^ Каппос, Джастин. «Поиск награды NSF: Award#1205415 — CI-ADDO-EN: улучшение и поддержка испытательного стенда сообщества» . www.nsf.gov . Национальный научный фонд . Проверено 1 октября 2016 г.
  13. ^ «Sensibility Testbed.com» . Проверено 19 октября 2017 г.
  14. ^ Каппос, Джастин. «Поиск награды NSF: награда № 1345049 — TTP: защита управления пакетами Python с помощью платформы обновлений (TUF)» . www.nsf.gov . Проверено 2 октября 2016 г.
  15. ^ Сэмюэл, Джастин; Мэтьюсон, Ник; Каппос, Джастин; Дингледин, Роджер. «Компрометация защищенного ключа в системах обновления программного обеспечения» (PDF) . АКМ. стр. 61–72 . Проверено 13 ноября 2017 г. - через CCS 2010.
  16. ^ Ли, Ин; Лоуренс, Дэвид. «Презентация: Когда дела идут плохо, запустите TUF» . us.pycon.org . Фонд программного обеспечения Python . Проверено 2 октября 2016 г.
  17. ^ Зейфрид, Курт. «ТЮФ Любовь» . Журнал Линукс . Журнал Linux Pro . Проверено 3 октября 2016 г.
  18. ^ Моника, Диого (12 августа 2015 г.). «Представляем Docker Content Trust — блог Docker» . Блог.Docker.com . Докер . Проверено 2 октября 2016 г.
  19. ^ Фултон III, Скотт М. (12 августа 2015 г.). «Docker: с помощью Content Trust вы можете запускать контейнеры в ненадежных сетях — новый стек» . TheNewStack.io . Новый стек . Проверено 3 октября 2016 г.
  20. ^ Воган-Николс, Стивен Дж. «Docker 1.8 добавляет серьезную безопасность контейнеров ZDNet» . ЗДНет . CBS Интерактив . Проверено 3 октября 2016 г.
  21. ^ Джексон, Иоав (24 октября 2017 г.). «CNCF обеспечивает безопасность облачного стека с помощью нотариуса, принятие TUF» . Новый стек.
  22. ^ Мелансон, Майк (19 декабря 2019 г.). «TUF — первый проект по безопасности, получивший диплом Фонда облачных вычислений» . Новый стек.
  23. ^ Куппусами, Тришанк Картик; Диас, Владимир; Стаффт, Дональд; Каппос, Джастин (27 сентября 2013 г.). «PEP 458 — выживание после компрометации PyPI» . Проверено 2 апреля 2018 г.
  24. ^ Куппусами, Тришанк Картик; Диас, Владимир; Стаффт, Дональд; Каппос, Джастин (8 октября 2014 г.). «PEP 480 — выживание после компрометации PyPI: модель максимальной безопасности» . Проверено 2 апреля 2018 г.
  25. ^ Егулалп, Сердар (28 июля 2016 г.). «Flynn с открытым исходным кодом избавляет от головной боли при развертывании приложений» . www.Infoworld.com . ИДГ . Проверено 3 октября 2016 г.
  26. ^ «Охрана – Флинн» . Флинн.io . Проверено 3 октября 2016 г.
  27. ^ "флинн/готуф" . www.github.com . ГитХаб, Инк . Проверено 3 октября 2016 г.
  28. ^ «Ротация ключей FoundriesFactory TUF» . Foundries.io . 05.03.2020 . Проверено 17 августа 2023 г.
  29. ^ «Подписание изображений для доверенного контента» . Документы IBM Cloud. 13 февраля 2020 г. Проверено 13 апреля 2020 г.
  30. ^ . VMware https://www.vmware.com/ . Проверено 13 апреля 2020 г. {{cite web}}: Отсутствует или пусто |title= ( помощь )
  31. ^ . Цифровой океан https://www.digitalocean.com/ . Проверено 13 апреля 2020 г. {{cite web}}: Отсутствует или пусто |title= ( помощь )
  32. ^ «Доверие к содержимому в реестре контейнеров Azure» . Майкрософт. 6 сентября 2019 года . Проверено 13 апреля 2020 г.
  33. ^ «Проект Фуксия» . 2 апреля 2020 г. Проверено 13 апреля 2020 г.
  34. ^ «Репозиторий AWS Tough» . Амазонка. 9 апреля 2020 г. Проверено 13 апреля 2020 г.
  35. ^ «Новинки к новому году» . Проект действий по шифрованию Leap. 23 декабря 2014 года . Проверено 13 апреля 2020 г.
  36. ^ «Колид Обновление» . Двигаться. 1 ноября 2014 года . Проверено 13 апреля 2020 г.
  37. ^ «Доверенный реестр Docker» . Мирантис.com . Проверено 13 апреля 2020 г.
  38. ^ Салливан, Ник (16 марта 2018 г.). «Инструмент загрузки идентификаторов контейнера» . Блог Cloudflare . Проверено 13 апреля 2020 г.
  39. ^ Детч, Джек (18 января 2017 г.). «Являются ли обновления программного обеспечения ключом к предотвращению криминальных взломов автомобилей?» . www.csmonitor.com . Христианский научный монитор . Проверено 20 февраля 2017 г.
  40. ^ Роу, Мартин (23 января 2017 г.). «Обновления автомобильного ЭБУ: защита от хакеров» . www.eetimes.com . ЭЭ Таймс . Проверено 20 февраля 2017 г.
  41. ^ «Обновление удаленного программного обеспечения: будущий рост бизнеса» . Автомобильный блог IHS Markit . IHS.com. 14 января 2015 года . Проверено 13 ноября 2017 г.
  42. ^ Мериан, Лукас (15 марта 2016 г.). «Кибербезопасность и отзыв будут означать беспроводные обновления для 203 миллионов автомобилей к 2022 году» . Компьютерный мир . Проверено 13 ноября 2017 г.
  43. ^ Сейдж, Александрия (29 сентября 2017 г.). «Большие автомобильные компании обращаются к технологическим компаниям, чтобы они ремонтировали автомобили по воздуху» . Рейтер . Проверено 29 января 2018 г.
  44. ^ Куппусами, Тришанк Картик; Делонг, Лоис Энн; Каппос, Джастин (лето 2017 г.). Защита обновлений программного обеспечения для автомобилей с помощью Uptane (PDF) . Том. 42. войти.
  45. ^ «ATS интегрирует платформу безопасности Uptane для беспроводных обновлений программного обеспечения в подключенных транспортных средствах» . Мировые новости.com. 13 июня 2017 г.
  46. ^ «Airbiquity представляет OTAmatic для беспроводного обновления программного обеспечения и управления данными подключенных транспортных средств» . Airbiquity.com. 18 мая 2017 года . Проверено 16 марта 2018 г.
  47. ^ Атертон, Келси Д.; Фельтман, Рэйчел (17 октября 2017 г.). «Самые важные инновации года в области безопасности» . Популярная наука .
  48. ^ «Стандарт IEEE-ISTO 6100.1.0.0 Uptane для проектирования и реализации» (PDF) . IEEE/ИСТО. 31 июля 2019 года . Проверено 8 января 2020 г.
  49. ^ "сайт in-toto" . Проверено 19 октября 2017 г.
  50. ^ «Полная спецификация» (PDF) . Гитхаб . 11 апреля 2017 года . Проверено 6 апреля 2018 г.
  51. ^ «Безопасная публикация интеграций агента Datadog с TUF и in-toto» . 3 июня 2019 года . Проверено 14 декабря 2020 г.
  52. ^ Торрес-Ариас, Сантьяго; Аммула л, Анил Кумар; Куртмола, Реза; Каппос, Джастин. «Об пропуске коммитов и совершении пропусков: предотвращение подделки метаданных git, которая (повторно) приводит к уязвимостям программного обеспечения» (PDF) . Материалы 25-го симпозиума USENIX по безопасности. стр. 379–395.
  53. ^ «libmakepkg: проверьте недопустимые теги в git» . Арч Линукс < . Проверено 13 сентября 2017 г.
  54. ^ «Сайт PolyPasswordHasher» . Лаборатория безопасных систем Нью-Йоркского университета . Проверено 14 декабря 2020 г.
  55. ^ Принц, Брайан. «Новая схема защиты делает слабые пароли практически неуязвимыми» . Проводные деловые СМИ . Проверено 14 декабря 2020 г.
  56. ^ «Интервью с профессором Политехнического университета Нью-Йорка Джастином Каппосом: уроки безопасности, полученные от взломов в розничной торговле» . blog.varonis.com . Блог Варониса. 6 января 2015 года . Проверено 3 октября 2016 г.
  57. ^ «Реализация PolyPasswordHasher-Java» . Лаборатория безопасных систем Нью-Йоркского университета. 6 октября 2015 г. Проверено 19 октября 2017 г.
  58. ^ «PolyPasswordHasher/python-reference-implementation» . Лаборатория безопасных систем Нью-Йоркского университета . Проверено 19 октября 2017 г.
  59. ^ «ПолиПарольХашер-C» . Лаборатория безопасных систем Нью-Йоркского университета. 26 января 2017 года . Проверено 19 октября 2017 г.
  60. ^ "PolyPasswordHasher/PolyPasswordHasher-Ruby/" . Лаборатория безопасных систем Нью-Йоркского университета . Проверено 19 октября 2017 г.
[ редактировать ]

Избранные публикации

[ редактировать ]

Цитаты и комментарии СМИ

[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: b663f715f124b7c8af122290b754259b__1720184940
URL1:https://arc.ask3.ru/arc/aa/b6/9b/b663f715f124b7c8af122290b754259b.html
Заголовок, (Title) документа по адресу, URL1:
Justin Cappos - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)