Close X

VERISIGN LABS: PROYECTOS

En Verisign Labs, la investigación no solo sirve como medio de exploración, sino también para desarrollar tecnologías que desempeñarán un importante papel en la evolución de Internet. Nuestra investigación abarca una amplia variedad de disciplinas técnicas y cubre todos los negocios de Verisign.

Cables de centro de datos

BITSQUATTING

Artem Dinaburg introdujo el concepto de "bitsquatting" (un neologismo derivado de "typosquatting", ocupación por error tipográfico), en el que los nombres de dominio experimentan cambios a causa de errores de memoria, almacenamiento o en la transmisión de datos.

Más información
Proyectos actuales Proyectos anteriores

Análisis de dependencias centrados en usuarios en programas de identificación de aplicaciones móviles maliciosas

Verisign colabora actualmente con Virginia Tech para desarrollar un enfoque eficaz destinado a identificar malware en dispositivos Android.

Con el creciente uso de dispositivos móviles, los autores de malware tienen un nuevo objetivo. Según el informe de tendencias del grupo de trabajo contra la suplantación de identidad, "(…) muchos de nosotros utilizamos nuestros dispositivos móviles para consultar nuestras cuentas bancarias (…). [El grupo de trabajo contra la suplantación de identidad] observó que los autores de malware trataron de aprovecharse de esta situación en 2011, lo que podría convertirse en un vector de ataque cada vez más atractivo en 2012 (…)".

En este trabajo, estos investigadores abordan el importante problema de la clasificación del malware, es decir, en caso de un programa desconocido, cómo determinar si se trata o no de un software malicioso. La novedad del proyecto es que los investigadores adoptan el enfoque de la detección de anomalías, en contraposición con los métodos convencionales de identificación de las características del malware.

Ver más

Identificación precoz de las campañas de spam con análisis de consultas DNS

Verisign colabora con Georgia Tech para estudiar cómo los cambios repentinos en los patrones de consultas de nombres de dominio para distintos registros de intercambio de correos de DNS pueden ayudar a identificar a los spammers de forma precoz en el ciclo de una campaña de spam.

Los operadores de red tienen un gran interés en la identificación precoz de la conducta de spam en una campaña de este tipo, antes de que el spammer pueda enviar grandes volúmenes de spam. Lamentablemente, los spammers tienden a mostrar agilidad (el proceso para cambiar la forma en que envían spam, desde dónde lo envían y dónde alojan los sitios que desean que las víctimas visiten), lo que puede complicar más el mantenimiento de una caracterización actualizada y precisa de las entidades que participan en la conducta de spam en un momento dado. El estudio se aplica a la exploración de dinámicas de consultas DNS para favorecer una identificación precoz de las campañas de spam.

Ver más

Entidades con nombres de autenticación basadas en DNS (DANE)

Un nuevo enfoque que se está estandarizando en el Grupo de trabajo de Ingeniería de Internet (IETF) y en el que las zonas habilitadas para DNSSEC verifican las credenciales de certificación, en lugar de utilizar el modelo de CA que se utiliza hoy en día.

En DANE, pretendemos comprender el alcance de la "superficie de ataque" de los certificados cuando se presentan a través de un navegador web, frente a cuando se publican en DNS mediante la utilización del nuevo protocolo de DANE.

Ver más

Bitsquatting: observaciones sobre los errores de sumas de comprobación en consultas DNS

Artem Dinaburg introdujo el concepto de "bitsquatting" (un neologismo derivado de "typosquatting", ocupación por error tipográfico), en el que los nombres de dominio experimentan cambios a causa de errores de memoria, almacenamiento o en la transmisión de datos.

En este documento, analizamos las consultas DNS recibidas en servidores autorizados gestionados por Verisign para buscar pruebas de errores a nivel de bits.

Ver más

Gestión de la identidad social

Verisign apoya la investigación en la Universidad de Purdue con la que se pretende identificar las tendencias del comportamiento humano en relación con la gestión de identidades en Internet en grupos sociales a través de sitios de redes sociales.

Estos esfuerzos se centran en identificar las tendencias actuales del comportamiento en Internet relacionadas con las limitaciones de las tecnologías existentes a fin de predecir las futuras tendencias de las tecnologías de las redes sociales.

Ver más

Asignación futura de nombres en Internet

Apoyamos la investigación desarrollada en la Universidad Carnegie-Mellon para avanzar en la arquitectura de asignación de nombres con mayor seguridad, con relaciones de confianza más explícitas entre los participantes y prestando asistencia en la asignación de nombres para servicios de red y usuarios móviles.

Los investigadores evalúan diferentes arquitecturas de asignación de nombres, formas de separar la traducción nombre-dirección de la confianza, la asistencia para usuarios y servicios móviles y la protección frente a ataques de intermediarios o rechazo de paquetes.

Ver más

Exploración de las aplicaciones de distancia de edición fonética

Verisign patrocina la investigación desarrollada en la Universidad de Carolina del Norte sobre análisis automatizado de datos y generación automática que utiliza métricas de distancia para representar la semejanza entre dos valores u objetos.

En colaboración con investigadores de la Universidad de Purdue, estamos investigando las extensiones en los sistemas más avanzados de detección de intrusiones mediante la utilización de información pública sobre el comportamiento social de los hackers.

Ver más

Detección de amenazas a través del comportamiento social de los hackers

En colaboración con investigadores de la Universidad de Purdue, estamos investigando las extensiones en los sistemas más avanzados de detección de intrusiones mediante la utilización de información pública sobre el comportamiento social de los hackers.

Los investigadores estudiarán cómo se pueden aprovechar las plataformas sociales para identificar las tendencias o problemas en relación con la seguridad de los sistemas implementados. Utilizarán la recuperación de la inteligencia colectiva y la toma de decisiones basada en conocimientos activados para crear un sistema orientado a la detección proactiva de amenazas que se base en la naturaleza social de los hackers a fin de ayudar a mitigar problemas antes de que estos lleguen a los usuarios finales. En lugar de realizar sugerencias sobre cómo integrar varias ideas, este trabajo pretende abrir una nueva dirección general para comprender las amenazas y añadir un elemento social a los sistemas más avanzados de detección de intrusiones que existen hoy en día.

Ver más

Preferencias de los usuarios para nombres de dominio

Como el operador de registro global para .com y .net, financiamos la investigación en la Universidad de Purdue para conocer mejor las preferencias de los usuarios a la hora de elegir nombres de dominio.

Los investigadores aplicarán técnicas de economía conductual para el aprendizaje automático. Al entender la importancia, singularidad y semejanza en contexto de las decisiones sobre nombres de dominio, la investigación nos ayudará a elaborar un mapa cognitivo y representaciones cuantitativas de las preferencias de los usuarios y mejorará nuestra capacidad para analizar los factores que influyen en el comportamiento de los consumidores a la hora de comprar en Internet.

Ver más

Estudio del comportamiento de los solucionadores

Este estudio analiza el comportamiento de las implementaciones actuales de los solucionadores de DNS, entre otras, varias versiones de BIND, Unbound, PowerDNS, djbdns y Microsoft Windows 2008.

En concreto, estudiamos cómo los servidores de nombres recursivos seleccionan entre varios servidores relevantes para una determinada zona y sus algoritmos de retransmisión bajo coacción (es decir, pérdida de paquetes y retrasos). También simulamos diferentes condiciones de conexión de red para ver cómo diferentes latencias pueden afectar al algoritmo de selección del servidor del solucionador e imponer la pérdida simulada de paquetes para comprender los algoritmos de transmisión y tiempo de espera del solucionador. Estos resultados pueden ayudar a tomar decisiones sobre la combinación adecuada de servidores de nombres de difusión limitados e ilimitados.

Ver más

Identificación y análisis de malware a escala global

Patrocinamos una investigación en Georgia Tech para identificar nuevas y avanzadas técnicas destinadas a adquirir y analizar inteligencia útil en relación con el malware.

Esta investigación está dirigida a los retos que presentan las herramientas de confusión de malware y la dependencia del malware del acceso de red para recopilar información útil sobre el malware. Los investigadores del Centro de Seguridad Informática de Georgia Tech (GTISC) han desarrollado un sistema de análisis de malware automatizado y escalable horizontalmente que se beneficia del aislamiento, la virtualización del hardware y el análisis de red para mejorar la extracción de información sobre malware.

Ver más

Control de la agilidad de BGP y DNS

Verisign respalda la investigación de Georgia Tech para desarrollar un sistema de control de Internet a gran escala.

Este sistema proporcionará una comprensión más amplia de la función que desempeña la infraestructura de Internet para facilitar ataques de botnet como spam, alojamiento para estafas y ataques de denegación de servicio. Los robots informáticos o bots han aprovechado varios protocolos de Internet, como el protocolo de pasarela de frontera (BGP) y el sistema de nombres de dominio (DNS), para pasar de una parte de Internet a la otra. Esta infraestructura de control identificará los principales componentes de la infraestructura subyacente, concretamente, sistemas autónomos que facilitan la agilidad de BGP y servidores de nombres y registradores que facilitan la agilidad de DNS. Como resultado, este sistema puede ofrecer tecnología punta para sistemas de reputación tanto en la infraestructura de alojamiento de DNS como en los sistemas autónomos.

Ver más

Aceleración del protocolo de enlace HTTPS mediante DNS

A medida que Internet continúa evolucionando, el protocolo SSL/TLS desempeña un papel cada vez más importante para crear conexiones de extremo a extremo, privadas y autenticadas, así como para prevenir que proxies "útiles" alteren el tráfico.

Todas las indicaciones sugieren que el uso de SSL/TLS aumentará considerablemente en los próximos años. SSL/TLS está diseñado actualmente como un protocolo de dos partes entre un navegador y un servidor web.

Colaboramos con la Universidad de Stanford en este proyecto para investigar la posibilidad de adaptar SSL/TLS a un protocolo de tres partes donde la tercera parte sea un servidor DNS (preferiblemente un servidor DNSSEC). Actualmente, el servidor DNS se usa para resolver la dirección IP del servidor web, pero no tiene ninguna otra función en la configuración de una sesión segura con el servidor. El objetivo principal de este proyecto es mostrar que, al ampliar SSL/TLS para que incluya el servidor DNS como una tercera parte, el protocolo puede resultar más eficaz y, en algunos casos, más seguro.

Ver más

Sistemas de software de multiprocesador asimétrico (AMP)

Los diseños actuales de hardware no especializado incluyen varios núcleos que funcionan a una frecuencia reducida.

Los ecosistemas de herramientas actuales disponibles para desbloquear el potencial de rendimiento del hardware han creado lagunas. Es necesario crear entornos de software que intenten solucionar estas lagunas y desbloquear la capacidad de amplitud y profundidad del hardware. Este proyecto investiga la alternativa de diseño AMP como un recurso para proporcionar el mejor rendimiento posible del hardware.

Ver más

Depurador de DNSSEC

El depurador de DNSSEC es una herramienta basada en la web diseñada para garantizar que la "cadena de confianza" se mantenga intacta para un nombre de dominio concreto habilitado para DNSSEC.

La herramienta muestra una validación paso a paso para un determinado nombre de dominio y resalta los problemas detectados.

Para usar la herramienta, primero visite http://dnssec-debugger.verisignlabs.com y, a continuación, introduzca un nombre de dominio para probarlo. La herramienta empieza con una consulta a un servidor de nombres raíz. A continuación, sigue las referencias hasta el servidor de nombres autorizado, validando las claves y firmas de DNSSEC a medida que avanza. A cada paso del proceso, se le asigna un código de estado correcto (verde), de advertencia (amarillo) o de error (rojo). Puede pasar el ratón por los iconos de advertencia y error para ver una descripción más detallada. Pulse las teclas de los signos más (+) y menos (-) para aumentar o reducir el nivel de depuración. Con el máximo nivel de depuración, puede ver los mensajes DNS completos sin procesar para casi todas las consultas.

A continuación, mostramos algunos resultados de ejemplo de la herramienta para el dominio whitehouse.gov:

DNS Debugging
Ver más

Medición de la transición de IPv4 a IPv6

Estamos trabajando con investigadores en la Universidad de Michigan para obtener más información sobre la transición actual de IPv4 a IPv6.

Consideramos que IANA asignará los últimos /8s durante el próximo año y el primer RIR agotará todo su espacio IPv4 poco después. Como resultado, partimos de la hipótesis de que la escasez de direcciones IPv4, como consecuencia del llamado "agotamiento de IPv4", afectará significativamente a varias de las propiedades deseadas de Internet. Entre las propiedades que se verán afectadas destaca: soporte para la heterogeneidad y apertura, seguridad, escalabilidad, fiabilidad, disponibilidad, concurrencia y transparencia. Con la intención de conocer la repercusión de la escasez de estas propiedades deseables, pretendemos estudiar las técnicas y metodologías mediante las que se asignan direcciones y el modo en que se usan estos recursos posteriormente. Aunque no existen modelos de escasez completamente formados para direcciones IPv4, consideramos que hay varios fenómenos interesantes que cabe estudiar: la tasa de transición a IPv6, el aumento en el uso de NAT, enrutamiento más detallado, desasignación y reclamaciones de bloqueos, y asignación de direcciones en función del mercado. Con el objetivo de la manejabilidad, esta propuesta se centra en medir la transición de IPv4 al espacio de IPv6. Estamos especialmente interesados en las cuestiones que puedan aportar datos sobre las tasas de adopción y los eventuales patrones de uso en IPv6. Aunque resulta interesante desde el punto de vista del modelado y la caracterización, también creemos que este trabajo tiene una repercusión importante en las operaciones, ya que puede ayudar a detectar incoherencias mientras se realiza la transición, así como ayudar en la planificación y optimización de las capacidades.

Ver más

Solidez de la infraestructura de DNS

En colaboración con los investigadores de UCLA, pretendemos conocer la resiliencia de los servicios de DNS como un conjunto midiendo la interdependencia de diferentes zonas.

Esta interdependencia se puede introducir mediante la colocación de un gran número de servidores DNS autorizados en la misma ubicación (por ejemplo, en la misma zona geográfica o en la misma red del proveedor de servicios de Internet) o, con mayor frecuencia, mediante la tendencia cada vez mayor de externalizar el servidor DNS, lo que ha supuesto la concentración de servicios DNS de un gran número de zonas en unos pocos proveedores de servicios DNS. En consecuencia, un solo fallo puede interrumpir el funcionamiento de los servidores DNS para un gran número de dominios.

Ver más

Caracterización de los dominios maliciosos

¿Es posible desarrollar técnicas que permitan incluir en listas negras nombres de dominio usados para actividades maliciosas en función de patrones de consulta de DNS?

Analizamos los nombres de dominio que se sabe que se utilizan para actividades relacionadas con ataques de suplantación de identidad, spam y malware para determinar si se pueden identificar en función de patrones de consulta de DNS. Hasta la fecha, hemos descubierto que los nombres de dominio maliciosos tienden a mostrar más variación en las redes que consultan los dominios y también detectamos que estos dominios se hacen más populares después del registro inicial. También observamos que los dominios peligrosos muestran clústeres diferenciados relacionados con las redes que consultan estos dominios. Las características espaciales y temporales distintivas de estos dominios, así como su tendencia a mostrar un comportamiento de consulta parecido, sugieren que cabe la posibilidad de desarrollar técnicas de creación de listas negras que resulten más rápidas y efectivas en función de estos patrones de consulta diferenciados.

Ver más

Laboratorio de interoperabilidad de DNSSEC

Verisign Labs ha establecido un laboratorio de interoperabilidad de DNSSEC en Dulles (Virginia, EE. UU.) para comprobar la compatibilidad de las soluciones de TI con nuestra implementación de DNSSEC para los TLD com y .net.

DNSSEC añade nuevas funciones de seguridad al protocolo DNS que evitan ataques como el envenenamiento de caché. Habida cuenta de que los paquetes DNSSEC tienen un tamaño y una estructura diferentes con respecto a los paquetes DNS tradicionales, algunos componentes de la infraestructura informática, como los routers y los cortafuegos, no pueden gestionar solicitudes y respuestas DNSSEC correctamente, lo que provoca fallos en la infraestructura de Internet y en los entornos informáticos empresariales.

El laboratorio de interoperabilidad está formado por un entorno autónomo con un paquete de más de 8.000 casos de prueba para una amplia variedad de fallos posibles. Además, se trata de un servicio gratuito que Verisign Labs ofrece a la comunidad para probar un amplio abanico de soluciones informáticas. Si desea obtener más información, póngase en contacto con nosotros en dnssec@verisign.com.

Ver más

Afinidad del servidor DNS

Una herramienta para visualizar los patrones de tráfico entre clientes y servidores DNS, incluidos los datos de muestra de los servidores de nombres raíz.

La herramienta de visualización de la afinidad cliente/servidor DNS aporta nuevos datos sobre las complejidades del tráfico DNS. En esta aplicación basada en OpenGL, los clientes DNS están representados como puntos de diferentes tamaños y colores. Los servidores se colocan en un espacio tridimensional. Cada vez que un cliente envía una consulta de DNS a un servidor concreto, se aproxima un poco a ese servidor. El tamaño y color de un cliente están determinados por su tasa de consultas.

La visualización resulta útil para saber cómo se comportan los clientes a la hora de seleccionar entre varios servidores de nombres autorizados, como los 13 servidores de nombres raíz. Muchos clientes no muestran una gran afinidad y no se mantienen cerca de ningún servidor concreto. Algunos clientes, sin embargo, favorecen claramente a un servidor concreto.

La herramienta también resulta útil para visualizar el comportamiento del enrutamiento BGP en un clúster de difusión ilimitada. Los datos de muestra para una raíz A del 9 de febrero de 2010 revelan cómo los clientes migran de un nodo de difusión limitada a otro a medida que se retiran y reemplazan las pasarelas con el paso del tiempo.

El código fuente para la herramienta de visualización está ubicado en un servidor de Verisign Labs Subversion. Se puede acceder a través de un navegador web o un cliente Subversion.

Ver más

Gestión de la identidad social

Verisign apoya la investigación en la Universidad de Purdue con la que se pretende identificar las tendencias del comportamiento humano en relación con la gestión de identidades en Internet en grupos sociales a través de sitios de redes sociales.

Estos esfuerzos se centran en identificar las tendencias actuales del comportamiento en Internet relacionadas con las limitaciones de las tecnologías existentes a fin de predecir las futuras tendencias de las tecnologías de las redes sociales.

Ver más

Cifrado de Intel Westmere

La reducción de 45 nm a 32 nm de la línea de productos Intel Xeon “Westmere” presenta las instrucciones de clase AES-NI SIMD, que se pueden usar para acelerar significativamente el rendimiento de las operaciones criptográficas.

La “lógica combinatoria” de AES-NI sustituye la consulta de tablas basadas en software del estándar de cifrado simétrico FIPS 197 AES. Este proyecto se crea a partir de AESENC, AESENCLAST, AESDEC, AESDECLAST, CLMUL, AESIMC y AESKEYGENASSIST para realizar 10 (128 bits), 12 (192 bits) y 14 (256 bits) rondas. El proyecto continúa verificando la duración de la protección frente a ataques del canal lateral y la capacidad de usar los bloques de creación para acelerar Elliptic, ECHO, SHAVITE-3, etc. Los puntos adicionales de diseño incluyen, entre otros, el uso de operaciones lógicas combinatorias canalizadas, el cifrado completo del disco y la interoperabilidad con otros proyectos como OpenSSL. Si AES-NI introduce un rendimiento criptográfico duradero en el ciclo de bloqueo de red del ordenador, ¿cómo puede y debe cambiar esto la experiencia del usuario con Internet? ¿Pueden estas instrucciones sustituir a las caras tarjetas de coprocesador criptográfico? Esta investigación se reconducirá con la introducción de la CPU con AVX “Sandy Bridge” de Intel para evaluar las nuevas funciones de hardware implementadas.

Ver más

Aplicaciones informáticas de GPU

Verisign puede beneficiarse de los significativos avances de la tecnología GPU (unidad de procesamiento gráfico) para mejorar nuestros servicios.

Aunque los dispositivos introducidos recientemente comparten el mismo nombre que sus homólogos heredados, el número de amenazas y de estructuras de hardware interconectadas ha mejorado notablemente con la introducción de la capacidad de enteros. ¿Cuáles son las características de punto flotante y entero de las nuevas unidades? ¿Se pueden introducir en arquitecturas de alta disponibilidad? ¿Puede un servidor cliente, como un modelo informático, volver a implementarse correctamente con GPU en un servidor? ¿Cuáles son las características de la programación en OpenCL con respecto a CUDA?

Ver más