Microsoft ID 서비스는 사용자, 디바이스, 애플리케이션 및 서비스의 모든 측면과 관련된 모든 소비자 및 상용 ID 엔터티를 포괄합니다. 이 목적을 위한 취약성, 개선 사항, 개인 정보, 보안, 기능, 사기, 남용 연구는 모두 이러한 서비스를 사용하여 인증하고 리소스에 액세스하는 고객을 보호하는 데 중요합니다. Microsoft 보안 보조금 프로젝트 프로그램은 전 세계 모든 사람과 조직이 안전하고 보안이 강화된 방식으로 더 큰 성과를 달성할 수 있도록 하겠다는 Microsoft의 지속적인 임무에 맞는 보안 측면을 탐색하도록 전 세계 연구자를 초대합니다.

보조금 수령자

 

연구 프로젝트

프로젝트 개요

연구원 정보

데스크톱 및 모바일 애플리케이션으로 교차 사이트 요청 위조 공격을 확장하여 Single Sign-On에 대한 새로운 공격 확인

SSO(Single Sign-On) 프로토콜은 최신 웹의 인증 프로세스에서 중요한 부분이 되었습니다. 지난 연구 결과, SSO 프로토콜의 잘못된 설계 및 구현이 웹 사용자의 보안 및 개인 정보에 심각한 결과를 가져올 수 있는 것으로 나타났습니다.

 

CSRF(교차 사이트 요청 위조) 공격은 웹 애플리케이션에 대한 주요한 위협입니다. SSO에 영향을 미치는 CSRF 공격은 완전한 계정 탈취 같은 심각한 결과를 가져올 수 있습니다. CSRF에 대한 이전 연구에서는 브라우저-웹 사이트 통신 모델에만 집중했습니다. 이 프로젝트에서는 이 추세에서 벗어나 모바일 및 데스크톱 애플리케이션 내 SSO 시나리오에서 CSRF 유사 공격을 탑재하는 데 브라우저-앱 및 앱-앱 통신 모델의 이용 가능성을 살펴봅니다.

Avinash Sudhodanan은 인도 케랄라 출신입니다. 그는 웹 애플리케이션과 웹 브라우저의 보안을 자동으로 테스트하는 도구와 기법 설계를 전문으로 합니다.

 

그는 현재 White Ops Inc.의 보안 연구원입니다. 이전에는 스페인의 IMDEA Software Institute에서 박사 후 연구원이었습니다. 이탈리아의 트렌토 대학에서 정보 및 통신 기술 전공으로 박사 학위를 받았습니다.

 

박사 과정 중에는 이탈리아의 Fondazione Bruno Kessler에서 근무했으며 프랑스의 SAP Labs에서 18개월간 있었습니다.

 

Avinash는 OWASP AppSec EU, NDSS, IEEE Euro S&P 등의 주요 학술 및 산업 보안 컨퍼런스에서 발표했습니다.

포스트 퀀텀 보안 ID 서비스 개발

ID 서비스는 사용자가 온라인 서비스에 인증하는 방식으로 현재 인터넷 인프라의 필수적인 부분이며 애플리케이션은 전통적인 “사이트당 하나의 사용자 이름과 암호” 설정에서 통합 접근 방식으로 바뀝니다. 최신 ID 솔루션의 보안은 위태롭게 공개 키 암호화에 의존합니다. 안타깝게도 확장성 있는 퀀텀 컴퓨팅의 필연적인 등장으로 정확히 이 널리 사용되는 구성 요소를 안전하지 않은 상태로 렌더링할 조짐이 보입니다.


저희는 전통적으로 새로운 알고리즘 및 프로토콜 버전으로 전환하는 데 오랜 시간이 걸리는 점을 예상하고 포스트 퀀텀 보안에 관하여 널리 배포된 ID 서비스 프로토콜의 시기적절한 분석을 수행합니다. 두 번째 단계에서는 효율성, 이전 버전과의 호환성 및 표준화 요구 사항을 유지 관리하면서 포스트 퀀텀 세상으로의 원활한 전환을 돕는 입증할 수 있게 안전한 하이브리드 솔루션을 설계합니다.

Jacqueline Brendel은 현재 독일 자르브뤼켄의 CISPA Helmholtz Center for Information Security에서 교수인 Cas Cremers 박사의 지도를 받는 박사 후 연구원입니다.


그녀의 주요 연구 대상은 실제 프로토콜 및 기본 형식의 암호화 분석이며, 특히 포스트 퀀텀 보안에 집중하고 있습니다.


2019년에는 독일 다름슈타트 기술 대학의 교수인 Marc Fischlin 박사의 지도를 받아 박사 논문 “Future-proofing Key Exchange Protocols”를 방어했습니다.

이제 신청이 마감되었습니다.

MSRC(Microsoft 보안 대응 센터)는 소비자(Microsoft 계정) 및 기업(Azure Active Directory)의 새로운 ID 솔루션 보안 방식을 살펴보는 제안서를 제출하도록 연구원을 초대합니다.

제안서는 다음을 포함하되 이에만 제한되지 않고, 지속적인 관심 영역에 부합해야 합니다.

프로젝트 범주

ID 연구 프로젝트 아이디어

프로토콜 디자인 및 구현

보안 취약성을 확인하고 솔루션을 제안하여 Microsoft ID 서비스(예: OAuth 2.0)에서 사용되는 프로토콜 및 표준(소유 또는 오픈 소스) 디자인을 강화합니다.

 

보안 취약성을 확인하고 솔루션을 제안하여 Microsoft ID 서비스에서 사용되는 표준 및 프로토콜 구현을 강화합니다.

보안 및 사용자 인식

연구를 통해 Microsoft ID 서비스에서 제공하는 보안 보증과 이러한 서비스, 특히 보안에 영향을 미칠 수 있는 서비스에 대한 사용자 이해 간의 잠재적 격차를 확인하고 연결합니다.

애플리케이션 보안

ID와 관련된 개별 Microsoft 특정 소프트웨어, 기능 및 제품의 새로운 취약성과 완화를 연구합니다.

PII 및 프라이빗 데이터 유출

우발적이거나 의도적으로 PII 유출 또는 도난 기능을 잘못 표현할 수 있는, 자주 사용하는 자사 또는 타사 애플리케이션을 연구합니다.

위협 작업자, 아키텍처 및 추세

특히 Microsoft 서비스를 토대로 빌드된 ID 및 서비스를 대상으로 하는, 악의적이거나 혐오감을 주는 작업자 및 애플리케이션의 작업자, 아키텍처 및 추세를 연구합니다.

프로젝트 정보:
  • 개인이나 소규모 협업 팀이 제안서를 작성할 수 있습니다.
  • 프로젝트 기간은 12개월 이하여야 하며, 더 짧은 기간을 사용하는 것이 좋습니다.
  • 제안서는 특정 요구 사항에 따라 최대 $75,000 USD의 자금 지원을 요청할 수 있습니다.
  • 성공적인 수상자는 MSRC 웹 사이트에 나열되며, 작업에서 얻은 결과/인사이트를 게시할 수 있습니다. 단, 확인되지 않았을 취약성이 결과를 통해 공개될 경우 공개 조정이 요청됩니다.
신청하려면 다음을 수행합니다.

신청자는 다음을 포함하는 2~3페이지 제안서를 제출해야 합니다.

  • 연구 질문 및 명확한 작업 명세서
  • 포커스 영역, 프로젝트 설명, 관련된 이전 작업, 결과물과 예상 결과 마일스톤이 포함된 타임라인을 지정하는 프로젝트 요약(1~2페이지)
  • 대략적인 지급액과 자금 지출 내역을 포함하는 초안 예산 설명(최대 1페이지)
  • 제안된 프로젝트에 관련된 담당자 이름 및 모든 관련 CV 링크
  • Microsoft, Microsoft Research 및/또는 MSRC 취약성 신고서를 사용하여 이전 또는 현재 연결/협업 표시
타이밍 및 날짜:
  • 이제 신청이 마감되었습니다. 2020년 1월 9일~2020년 3월 6일 제안서 공모 기간의 연구 보조금 수령자를 선정했습니다. 
  • 질문이 있는 경우 MSRCResearcherGrant@microsoft.com으로 문의하세요.
자격:
  • 신청자는 요청당 하나의 제안서를 제출할 수 있습니다.
  • 신청자는 결과 보조금의 주 연구원이어야 합니다.
  • 연구원은 MSRC 장려금 계약조건의 “프로그램 자격” 하위 섹션에 설명된 자격을 갖춰야 합니다.
사용 약관:
  • 활성 연구 보조금 기간에 발견된 범위 내 취약성여기서 신고할 수 있습니다.
  • Microsoft에 제출된 보조금 제안서는 반환되지 않습니다. Microsoft는 제출된 보조금 제안서에 있는 정보의 기밀성을 책임지지 않습니다. 따라서 기밀 정보, 제한된 정보 또는 중요한 정보는 제안서에 포함하면 안 됩니다.
  • 불완전한 보조금 제안서는 고려되지 않습니다.
  • 제출 볼륨이 많기 때문에 MSRC는 제안했지만 보조금을 받지 못한 개별 사용자에게 피드백을 제공하지 않습니다.
  • 모든 연구는 MSRC 사용 규정을 준수해야 합니다.
수정 기록
  • 2020년 1월 9일: 프로그램을 시작했습니다.
  • 2020년 3월 6일: 제안서 공모가 마감되었습니다.
  • 2020년 4월 9일: 보조금 수령자를 발표했습니다.