[11-15]云服务集成中的安全问题,以及程序分析技术在这一领域的潜力

文章来源:  |  发布时间:2014-10-31  |  【打印】 【关闭

  

Title: 云服务集成中的安全问题,以及程序分析技术在这一领域的潜力

      Security Problems in Cloud Services Integration, and the Potential of Program Analysis Technologies in This Field

Speaker: 陈硕

       Shuo Chen (Microsoft Research, Redmond, USA)

Time: 15th November 2014, 10:00

Venue: Seminar Room (334), Level 3, Building 5, Institute of Software, CAS

Abstract:

当今越来越多的在线应用需要集成多个云服务,比如第三方支付、第三方认证等。每个公司开发自己的云服务,以Web API形式供其它方调用。这意味着系统的安全性取决于各方是否充分互相理解。遗憾的是,目前的软件开发方法没有充分保证安全性,各种逻辑漏洞非常普遍。

这个报告的第一部分向大家介绍为什么多方安全协议很难被实际的程序员充分理解,因而实际系统中的逻辑漏洞很难避免。我们前几年做了一系列研究,发现很多严重的逻辑漏洞,导致黑客可以不付款而购物、或不知道密码而登陆别人的网站。这类问题并不是由于某一方程序员的无能或粗心,而是因为多方之间的互相理解出现了漏洞。

报告的第二部分以我们去年和今年的工作为实例,介绍如何采用程序分析技术帮助避免上面提到的这类逻辑漏洞。其中一项工作是寻找SDK(software development kit)中的“隐性的安全前提”;另一项工作是关于如何能安全地集成云服务,而其安全性却不依赖于对安全协议的充分理解。

报告所介绍的工作见以下论文:

Rui Wang, Shuo Chen, XiaoFeng Wang, and Shaz Qadeer, How to Shop for Free Online – Security Analysis of Cashier-as-a-Service Based Web Stores, in Proceedings of the IEEE Symposium on Security and Privacy(Oakland), IEEE Computer Society, May 2011

Rui Wang, Shuo Chen, and XiaoFeng Wang, Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services, in Proceedings of the IEEE Symposium on Security and Privacy (Oakland), IEEE Computer Society, May 2012

Rui Wang, Yuchen Zhou, Shuo Chen, Shaz Qadeer, David Evans, and Yuri Gurevich,Explicating SDKs: Uncovering Assumptions Underlying Secure Authentication and Authorization, in Proceedings of the USENIX Security Symposium, USENIX, August 2013

Eric Chen, Shuo Chen, Shaz Qadeer, and Rui Wang, A Practical Approach to Protocol-Agnostic Security for Multiparty Online Services, no. MSR-TR-2014-72, 22 May 2014

Biography:

陈硕现任微软研究院(Microsoft Research Redmond)资深研究员。其主要研究方向是软件系统安全,尤其关注于发现和思考实际系统中的安全漏洞和挑战。

2007-2009年,他研究浏览器安全,期间发现一系列“用户界面逻辑错误”,可以导致严重的钓鱼攻击;并且发现所有浏览器在处理HTTPS响应中均存在一类逻辑漏洞,导致HTTPS失效。这些发现大多数被厂商确认和修复。2010年,他发现“Web侧信道(side channel)”问题在使用Web 2.0技术的网站中非常普遍且危险。用户隐私信息,如投资、收入、医疗等,即使加密传输,仍然通过侧信道暴露给网络监听者。2011年至今,他关注云服务集成中的逻辑正确性问题。他和同事发现许多使用第三方支付和第三方认证的系统存在逻辑漏洞,使得攻击者可以免费购物或在登陆别人的网站。针对这些问题,他们提出了一系列分析方法和安全编程方法。

他的工作曾获得IEEE S&P会议最佳实践论文奖和两次微软Gold Star奖。许多研究项目受到科技传媒的报道,包括CNN, CNET, MIT Technology Review, Ars Technica, Computer World, 等。他经常担任主要安全会议的程序委员,包括IEEE S&P,USENIX Security, ACM CCS, WWW, 等。他毕业于北京大学、清华大学和伊利诺伊大学Urbana-Champaign分校,获得计算机科学学士、硕士和博士学位。