Trabalho HASLab/INESC TEC em destaque na Universidade de Bristol
Um trabalho colaborativo que contou com a participação de um investigador do High Assurance Software Laboratory (HASLab – Laboratório de Software Confiável), Parceiro Privilegiado do INESC TEC, e de mais três investigadores estrangeiros (da Finlândia, Bélgica e Reino Unido), mereceu destaque na University of Bristol, do Reino Unido, pela sua contribuição para a área do software confiável.
Intitulado "Practical Realisation and Elimination of an ECC-Related Software Bug Attack”, este trabalho debruça-se sobre os componentes criptográficos fundamentais a qualquer mecanismo de proteção da segurança da informação em sistemas informáticos. A correção da implementação desses componentes criptográficos, seja em hardware, seja em software, é um fator crítico à preservação dessa segurança. Em particular, desde 2008 que se conhece o potencial impacto que um erro de implementação, ainda que extremamente subtil, poderia ter sobre a segurança de algoritmos criptográficos utilizados de forma generalizada nos sistemas informáticos. Este tipo de ataques são genericamente denominados de "bug attacks".
De acordo com Manuel Barbosa, membro do HASLab responsável por este trabalho, “até recentemente, não se conhecia nenhum ataque deste tipo a um sistema real, isto é, não havia uma realização prática de um "bug attack" e, para além disso, a ênfase era geralmente colocada nos riscos associados a uma implementação maliciosa em hardware, em que um erro de implementação seria propositadamente incluído pelo fabricante”, explica.
Neste artigo, os autores mudaram a perspetiva sobre os "bug attacks". Por um lado, demonstraram o primeiro ataque a um sistema real, explorando um erro de implementação numa versão da biblioteca openSSL. Por outro lado, o facto de esse erro ser acidental e residir numa implementação em software vem realçar a necessidade de adotar um tratamento rigoroso da correção das implementações nos processos de desenvolvimento de componentes críticos. Esta área de conhecimento faz parte do "core-business" do HASLab.
Este trabalho foi ainda recentemente apresentado na RSA Conference, um dos maiores e mais importantes evento na área de segurança informática a nível mundial.