Investigadores de la Universidad de Alabama en Birmingham y la Universidad de Aalto han encontrado vulnerabilidades en un sistema de seguridad de verificación de usuarios recientemente propuesto para computadoras.
Este nuevo sistema de seguridad, desarrollado por investigadores del Dartmouth College, fue creado en respuesta a la necesidad de sistemas fáciles de usar que determinen si alguien es, de hecho, quién declara ser, un proceso conocido comoautenticación.
"En nuestra sociedad con base tecnológica, necesitamos una contraseña para hacer casi todo, desde la banca hasta la comunicación", dijo Nitesh Saxena, Ph.D., director de Seguridad y Privacidad en Sistemas Emergentes de Computación y Redes SPIES laboratorio y profesor asociado de informática y ciencias de la información en la Facultad de Artes y Ciencias de la UAB. "Debido a que las personas a menudo tienen problemas para recordar todas sus diversas contraseñas para diferentes plataformas, es muy valioso identificar formas simples pero seguras de iniciar sesiónentrar y cerrar sesión de lo que sea que estamos haciendo "
Es particularmente crucial en organizaciones multiusuario, como hospitales que involucran información confidencial del paciente, evitar que una persona use la sesión de inicio de sesión de otra persona, incluso accidentalmente.
"La comunidad de seguridad ha progresado para lograr el sistema de autenticación correcto", dijo Saxena. "Pero diseñar uno que sea fácil de usar y seguro no es una tarea fácil".
Los investigadores de Dartmouth College trataron de abordar este problema y crear una autenticación segura y fácil de usar, mediante el desarrollo de ZEBRA, o la autenticación recurrente bilateral de esfuerzo cero. Los sistemas de autenticación de esfuerzo cero como ZEBRA sacan al usuario de la ecuación, por lo quese requiere poco o ningún esfuerzo del usuario para garantizar sesiones seguras.
El nuevo sistema fue diseñado para abordar posibles problemas de seguridad con la autenticación, cuando lo ideal es que el dispositivo del usuario cierre la sesión o se bloquee inmediatamente después de salir de una sesión. ZEBRA ofrece un método de eliminación de autenticación sin esfuerzo mediante la autenticación continua de un usuario conectado porcomparar lo que el usuario está haciendo en un dispositivo, como un terminal de computadora, con las mediciones de un brazalete que lleva puesto en la muñeca.
En el sistema ZEBRA, cada usuario debe usar un brazalete con Bluetooth, similar a un Fitbit, y el sistema sabe quién lleva cada brazalete. Cuando el usuario inicia sesión en un dispositivo por primera vez, el sistema establece un seguroconexión al brazalete. Mientras el usuario interactúa con el dispositivo, el brazalete enviará las mediciones generadas por las interacciones al dispositivo. El dispositivo luego usa un clasificador de aprendizaje automático para mapear esas acciones en una secuencia de interacciones predichas.
"Ahora el dispositivo tiene dos vistas bilaterales diferentes del mismo fenómeno: la primera es la secuencia de interacciones directas y la segunda es la secuencia de interacciones predichas inferidas de las mediciones", dijo N. Asokan, profesor de laDepartamento de Informática de la Universidad de Aalto ". Si las dos secuencias coinciden, ZEBRA puede concluir que la persona que está interactuando con ella es la misma persona que lleva el brazalete adecuado para la sesión de inicio de sesión actual. Por el contrario, si las secuencias divergen,ZEBRA puede autenticar rápida y automáticamente la sesión de inicio de sesión actual ".
El estudio de la UAB y la Universidad de Aalto, que fue financiado por la National Science Foundation y la Academia de Finlandia, muestra que, aunque ZEBRA, un sistema destinado a permitir la autenticación rápida y fácil de usar, funciona muy bien con personas honestas, atacantes oportunistaspuede engañar al sistema, explica Asokan.
En el estudio, 20 participantes de la prueba desempeñaron el papel de víctimas mientras que los investigadores actuaron como atacantes. Los atacantes imitaron lo que las víctimas estaban haciendo en sus dispositivos.
"Queríamos evaluar si ZEBRA podía ser derrotado o no, para medir qué tan seguro sería cuando se enfrentara a alguien que intentara secuestrar activamente la sesión de inicio de sesión de un usuario", dijo Saxena. "Descubrimos que un atacante oportunista puede aprovecharel usuario con bastante facilidad "
El atacante oportunista puede elegir estar cerca de la víctima y ver o escuchar lo que la víctima está haciendo y decide qué interacciones imitar. Por ejemplo, un atacante con solo teclado puede dejar de escribir antes que la víctima e ignorar todo menos el teclado del usuariointeracciones
"Cuando el atacante accedió a una computadora con una sesión abierta y eligió cuidadosamente lo que hizo en la computadora, ZEBRA no pudo cerrar sesión", dijo Asokan. "De hecho, los atacantes oportunistas evadieron la detección el 40 por ciento del tiempo,imitando a la víctima solo cuando él o ella pensó que sería exitoso "
Aunque susceptible a adversarios oportunistas, ZEBRA todavía funciona bien contra el mal uso accidental por adversarios inocentes.
"Modelar lo que puede hacer un atacante es difícil. Señalamos cómo un modelado inadecuado del atacante puede llevar a conclusiones incorrectas sobre la seguridad de un sistema", dijo Asokan. "Con un modelo realista de atacante, las deficiencias en un sistemaserá más evidente y puede ser abordado ".
Este trabajo conjunto entre la Universidad de Aalto y la UAB se presenta hoy en el Simposio de Seguridad de Redes y Sistemas Distribuidos 2016 en San Diego. Los estudiantes graduados Prakash Shrestha de la UAB y Otto Huhta, Mika Juuti y Swapnil Udar de la Universidad de Aalto co-escribieron el documentocon Asokan y Saxena.
Fuente de la historia :
Materiales proporcionado por Universidad de Alabama en Birmingham . Original escrito por Katherine Shonesy. Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :