Justin Cappos

Justin Cappos
Född ( 1977-02-27 ) 27 februari 1977 (46 år)
Nationalitet amerikansk
Alma mater University of Arizona
Vetenskaplig karriär
Fält Säkerhet , operativsystem , nätverk
Avhandling  (2008)
Doktorandrådgivare John Hartman
Hemsida
engineering .nyu .edu /people /justin-cappos ssl .engineering .nyu .edu /personalpages /jcappos /

Justin Cappos (född 27 februari 1977) är en datavetare och cybersäkerhetsexpert vars datasäkerhetsprogram har antagits av ett antal allmänt använda projekt med öppen källkod. Hans forskning fokuserar på mjukvaruuppdateringssystem, säkerhet och virtualisering , med fokus på verkliga säkerhetsproblem.

Cappos har varit fakultetsmedlem vid New York University Tandon School of Engineering sedan 2011, och tilldelades anställning 2017. Nu är han docent vid institutionen för datavetenskap och teknik, och har introducerat ett antal nya mjukvaruprodukter och systemprotokoll som föreståndare för skolans Säkra Systemlaboratorium . Dessa inkluderar teknologier som upptäcker och isolerar säkerhetsfel, säkrar privata data, tillhandahåller en säker mekanism för att åtgärda mjukvarubrister i olika sammanhang och till och med främjar en djupare förståelse för hur man hjälper programmerare att undvika säkerhetsbrister i första hand.

Genom att inse de praktiska effekterna av hans arbete valde Popular Science Cappos som en av sina Brilliant 10 2013, och utnämnde honom till en av 10 briljanta vetenskapsmän under 40. Hans medvetenhet om riskerna med dagens uppkopplade kultur – en kunskap som är stark nog att hålla honom från äga en smartphone eller annan ansluten enhet, eller från att använda sociala medier som Facebook och Twitter – har lett till många förfrågningar om att fungera som expertkommentator i frågor om cybersäkerhet och integritet för lokala, nationella och internationella medier.

Utbildning och tidiga forskningsinitiativ

Ämnet för Cappos Ph.D. avhandling vid University of Arizona var Stork Project, en programvarupakethanterare som han byggde tillsammans med John H. Hartman, professor vid institutionen för datavetenskap. Stork används fortfarande idag i vissa applikationer, men, ännu viktigare, projektet uppmärksammade behovet av förbättrad säkerhet för mjukvaruuppdateringsprocesser, ett forskningsområde Cappos har fortsatt att ägna sig åt.

Medan han var forskare vid University of Washington 2009, utvecklade Cappos också en peer-to-peer- datorplattform kallad Seattle, som möjliggör anslutning från enhet till enhet i ett decentraliserat nätverk. Seattle används för närvarande av tusentals utvecklare, som kan komma åt, ladda ner och använda programmet på alla typer av smarta enheter. Dessutom har spin-off-teknologier, såsom Sensibility Testbed, utökat användningen av Seattles säkerhetsstrategier och framtvingat integritetsskyddsstrategier, vilket gör det möjligt för forskare att samla in data från sensorer utan risk för enhetsägarens integritet.

Kompromissfasta strategier

2010 utvecklade Cappos The Update Framework (TUF) , ett flexibelt mjukvaruramverk som bygger systemets motståndskraft mot viktiga kompromisser och andra attacker som kan hota integriteten hos ett arkiv. TUF designades för enkel integrering i de inhemska programmeringsspråken för befintliga uppdateringssystem, och sedan starten har det antagits eller håller på att integreras av ett antal högprofilerade open-source- projekt . En av de mer betydande tidigare adoptionerna var Docker Content Trust. en implementering av Notary-projektet från Docker som distribuerar Linux-containrar. Notary, som bygger på TUF, kan intyga giltigheten av källorna till Docker-bilder. I oktober 2017 antogs Notary och TUF båda som värdprojekt av Linux Foundation som en del av dess Cloud Native Computing Foundation. I december 2019 blev TUF det första specifikations- och första säkerhetsfokuserade projektet som tog examen från CNCF. TUF har också standardiserats i Python och implementerats oberoende i Go- språket av Flynn, en öppen källkodsplattform som en tjänst (PaaS) för att köra applikationer i produktion. Hittills inkluderar listan över teknikföretag och organisationer som använder TUF IBM , VMware, Digital Ocean, Microsoft, Google, Amazon, Leap, Kolide, Docker och Cloudflare.

Ett annat betydande ramverk för kompromisssäker mjukvaruuppdatering från Cappos är lanseringen 2017 av en TUF-anpassad teknologi som heter Uptane . Uptane är utformad för att säkra mjukvaruuppdateringar för bilar, särskilt de som levereras via trådlös programmering . Utvecklad i samarbete med University of Michigan Transportation Research Institute och Southwest Research Institute , och i samarbete med intressenter inom industri, akademi och myndigheter, modifierar Uptane TUF-designen för att möta fordonsindustrins specifika säkerhetsbehov. Dessa behov inkluderar tillgodoseende av datorenheter som varierar mycket vad gäller minne, lagringskapacitet och tillgång till Internet, samtidigt som de behåller anpassningsbarheten som tillverkarna behöver för att designa bilar för specifik klientanvändning. Hittills har Uptane integrerats i OTA Plus och ATS Garage, två trådlösa mjukvaruuppdateringsprodukter från Advanced Telematic Systems, och är en viktig säkerhetskomponent i OTAmatic-programmet skapat av Airbiquity . Airbiquity-projektet hedrades med ett BIG Award for Business i 2017 års New Product Category i januari 2018, och Popular Science utsåg Uptane till en av de 100 bästa uppfinningarna för 2017. Den första standardvolymen som gavs ut för projektet, med titeln IEEE-ISTO 6100.1 .0.0 Uptane Standard for Design and Implementation , släpptes den 31 juli 2019. Uptane är nu ett Joint Development Foundation-projekt av Linux Foundation, som verkar under den formella titeln Joint Development Foundation Projects, LLC, Uptane Series.

Andra betydande forskningsprojekt

2016 introducerade Cappos in-toto, en öppen metadatastandard som tillhandahåller dokumentation av end-to-end-säkerheten i en mjukvaruförsörjningskedja. Ramverket samlar både nyckelinformation och signaturer från alla som kan komma åt en mjukvara genom de olika stadierna av kodning, testning, byggande och paketering, och gör på så sätt transparenta alla steg som utfördes, av vem och i vilken ordning. Genom att skapa ansvarsskyldighet kan in-toto förhindra angripare från att antingen direkt införa skadliga ändringar i koden, eller från att ändra metadata som håller register över dessa förändringar längs leveranskedjan. in-toto har samarbetat med open source-gemenskaper som Docker och OpenSUSE. Datadog använder både in-toto och TUF. I december 2020 släppte ramverket sin första större version.

Under arbetet med intoto identifierade Cappos och SSL-forskargruppen metadatamanipulation som ett nytt hot mot versionskontrollsystem som Git . Hans team har utvecklat flera nya metoder för att lösa detta problem, inklusive ett försvarssystem som mildrar dessa attacker genom att upprätthålla en kryptografiskt signerad logg över relevanta utvecklaråtgärder. Genom att dokumentera tillståndet för förvaret vid en viss tidpunkt när en åtgärd vidtas, ges utvecklare en delad historia, så att oegentligheter lätt upptäcks. En nyligen genomförd prestation på denna forskningsarena är att Arch Linux integrerar en patch för att leta efter ogiltiga taggar i git i nästa utgåva av dess pacman-verktyg. På senare tid har Cappos och hans medarbetare fokuserat på utvecklingen av en webbläsartillägg som kan säkerställa användare av bekväma webbaserade värdtjänster, såsom GitHub eller GitLab, att servern troget kommer att utföra sina begärda åtgärder.

Ett annat Cappos-projekt, utvecklat 2014, introducerade en metod för att göra lösenord för databaser svårare att knäcka. PolyPasswordHasher, är ett säkert system som kopplar ihop lagrade lösenordsdata, vilket tvingar hackare att knäcka lösenord i uppsättningar. Genom att göra det betydligt svårare för angripare att ta reda på den nödvändiga tröskeln för lösenord som behövs för att få åtkomst, blir PolyPasswordHasher-aktiverade databaser mycket svåra att bryta. PPH används för närvarande i flera projekt, inklusive Seattle Clearinghouse och BioBank. Implementeringar är tillgängliga för sju språk, inklusive Java , Python, C och Ruby .

externa länkar

Utvalda publikationer

Mediecitat och kommentarer

Hämtad från " https://en.wikipedia.org/w/index.php?title=Justin_Cappos&oldid=1139770478 "