Os serviços de identidade da Microsoft abrangem todas as entidades de identidade de consumidor e comercial, em todos os aspectos do usuário, do dispositivo, do aplicativo e dos serviços. Para essa finalidade, pesquisas sobre vulnerabilidades, melhorias, privacidade, segurança, função, fraudes e abusos são críticos para o nosso objetivo de proteger os nossos clientes que usam esses serviços para autenticar e acessar recursos. O programa do Projeto de Bolsas de Segurança da Microsoft convida pesquisadores ao redor de todo o mundo a explorar aspectos de segurança que estejam alinhados à contínua missão da Microsoft de capacitar cada pessoa e organização do planeta para alcançar mais, de maneira segura.

DESTINATÁRIOS DA BOLSA

 

Projeto de pesquisa

Descrição do projeto

Biografia do pesquisador

Identificando novos ataques a logons únicos ao estender ataques de solicitações entre sites forjadas a aplicativos móveis e da área de trabalho

Os protocolos de SSO (logon único) tornaram-se parte integrante do processo de autenticação da Web moderna. Pesquisas passadas mostraram que o design e a implementação incorretos dos protocolos de SSO podem causar consequências sérias à segurança e privacidade dos usuários da Web.

 

Os ataques CSRF (solicitação entre sites forjada) são uma grande ameaça aos aplicativos Web. Os ataques CSRF afetando o SSO podem trazer consequências sérias, como a tomada de controle completa da conta. Os trabalhos sobre CSRF anteriores focam apenas no modelo de comunicação navegador/site da Web. Neste projeto, nos afastamos dessa tendência para explorar a possibilidade de aproveitar os modelos de comunicação navegador/aplicativo e aplicativo/aplicativo para montar ataques do tipo CSRF em cenários com SSO em aplicativos móveis e de área de trabalho.

Avinash Sudhodanan é de Kerala, Índia. Ele especializou-se no design de técnicas e ferramentas para testar automaticamente a segurança de aplicativos e navegadores da Web.

 

Atualmente, ele é pesquisador de segurança na White Ops Inc. Anteriormente, foi pesquisador no pós-doutorado do IMDEA Software Institute, na Espanha. Ele obteve o grau de doutor em Tecnologia da Informação e Comunicação pela Universidade de Trento, na Itália.

 

Durante seu doutorado, ele trabalhou na Fondazione Bruno Kessler, também na Itália, e passou 18 meses na SAP Labs, na França.

 

Avinash já palestrou em conferências acadêmicas e de segurança industrial, incluindo a Conferência OWASP AppSec EU e os Simpósios NDSS e IEEE Euro S&P.

Desenvolvendo serviços de identidade de segurança pós-quântica

Os serviços de identidade são uma parte vital da infraestrutura da Internet, dado que a maneira como os usuários autenticam serviços e aplicativos online está se afastando da configuração clássica que envolve um nome de usuário e senha para cada site e se aproximando de uma abordagem mais unificada. A segurança das soluções de identidade modernas depende crucialmente da criptografia por chave pública. No entanto, o advento inevitável da computação quântica escalonável pode fazer com que esses blocos construção amplamente usados se tornem potencialmente inseguros.


Em antecipação aos tempos de transição tradicionalmente longos para novos algoritmos e versões de protocolo, conduziremos uma análise oportuna de protocolos de serviço de identidade amplamente implantados no que diz respeito à segurança pós-quântica desses protocolos. Em uma segunda etapa, projetaremos soluções híbridas comprovadamente seguras que facilitem uma transição suave para o mundo pós-quântico e, ao mesmo tempo, mantenham requisitos de eficiência, compatibilidade com versões anteriores e padronização.

Jacqueline Brendel é atualmente pós-doutoranda do Prof. Dr. Cas Cremers no CISPA Helmholtz Center for Information Security em Saarbrücken, na Alemanha.


A principal pesquisa dela trata da análise criptográfica de primitivos e protocolos do mundo real, com foco especial em segurança pós-quântica.


Em 2019, ela defendeu sua tese de doutorado, intitulada "Protocolos de troca de chaves à prova de obsolescência", com o Prof. Dr. Marc Fischlin pela Technische Universität Darmstadt, na Alemanha.

AS INSCRIÇÕES ESTÃO ENCERRADAS

O MSRC (Microsoft Security Response Center) convida os pesquisadores a enviarem propostas para explorar a segurança das soluções de identidade para consumidores (conta Microsoft) e empresas (Azure Active Directory) de novas maneiras.

As propostas devem estar alinhadas às nossas áreas de interesse atuais, incluindo mas não limitando-se às seguintes:

Categoria do projeto

Ideia de projeto de pesquisa de identidade

Design de protocolo e implementação

Identificar vulnerabilidades de segurança e/ou propor soluções para fortalecer o design dos protocolos e padrões (proprietários ou de software livre) usados pelos serviços de identidade da Microsoft (por exemplo, OAuth 2.0).

 

Identificar vulnerabilidades de segurança e/ou propor soluções para fortalecer as implementações de padrões e protocolos usados pelos serviços de identidade da Microsoft.

Segurança e percepção do usuário

Pesquisas com a finalidade de identificar e/ou fechar possíveis lacunas entre as garantias de segurança fornecidas pelos serviços de Identidade da Microsoft e a compreensão que o usuário tem desses serviços, especialmente quando puder haver consequências relacionadas à segurança.

Segurança de aplicativo

Pesquisas voltadas a vulnerabilidades e mitigações dentro de programas de software, recursos e ofertas da Microsoft relacionados à identidade.

Vazamento de dados privados e informações de identificação pessoal

Pesquisas sobre aplicativos próprios ou de terceiros que são de uso intenso e que podem estar, de maneira intencional ou não, indicando erroneamente qual é sua funcionalidade a fim de vazar ou roupar informações de identificação pessoal.

Atores, arquiteturas e tendências de ameaça

Pesquisas sobre atores, arquiteturas e tendências de atores e aplicativos mal-intencionados ou abusivos, cujo alvo específico são as identidades e serviços baseados nos serviços da Microsoft.

Informações do projeto:
  • As propostas podem ser feitas por indivíduos ou pequenas equipes colaborativas.
  • Os projetos podem durar no máximo 12 meses, com preferência por períodos mais curtos.
  • As propostas podem solicitar fundos de até USD 75.000, dependendo dos requisitos específicos.
  • Os pesquisadores contemplados serão listados no site do MSRC e poderão publicar as descobertas/insights do próprio trabalho, embora solicitemos que a divulgação seja coordenada caso suas descobertas tenham o potencial de revelar vulnerabilidades não resolvidas.
Para se candidatar:

Solicitamos que os candidatos enviem uma proposta de 2 a 3 páginas que deve incluir:

  • Uma pergunta de pesquisa e uma declaração de trabalho clara.
  • Um resumo do projeto (1 a 2 páginas) especificando a área de foco, uma descrição do projeto, trabalhos anteriores relevantes e um cronograma com marcos de entregas e resultados esperados.
  • Um rascunho descritivo do orçamento (no máximo 1 página), incluindo o custo aproximado do prêmio e uma explicação de como os fundos seriam gastos.
  • Nomes das pessoas envolvidas no projeto proposto, com links para todos os CVs relevantes.
  • Indicação de qualquer conexão/colaboração anterior ou atual para relatórios de vulnerabilidade da Microsoft, da Microsoft Research e/ou do MSRC.
Prazo e datas:
  • As inscrições estão encerradas. Selecionamos os destinatários da bolsa de pesquisa para o período de chamada para propostas que vai de 9 de janeiro de 2020 a 6 de março de 2020. 
  • Em caso de dúvidas, entre em contato pelo site MSRCResearcherGrant@microsoft.com.
Qualificação:
Termos e condições:
  • Vulnerabilidades dentro do escopo encontradas durante uma bolsa de pesquisa ativa podem ser relatadas aqui.
  • Propostas de bolsa enviadas à Microsoft não serão devolvidas. A Microsoft não pode assumir a responsabilidade pela confidencialidade das informações contidas nas propostas de bolsa enviadas. Sendo assim, as propostas não devem conter informações confidenciais, restritas ou sigilosas.
  • Propostas de bolsa incompletas não serão consideradas.
  • Devido ao volume de envios, o MSRC não pode fornecer feedback aos indivíduos que enviarem propostas e não receberem uma bolsa.
  • Todas as pesquisas precisam ser conduzidas em conformidade com o Código de conduta do MSRC.
HISTÓRICO DE REVISÃO
  • 9 de janeiro de 2020: lançamento do programa
  • 6 de março de 2020: Período de chamada para propostas encerrado
  • 9 de abril de 2020: Destinatários da bolsa anunciados