A medida que Internet sigue creciendo, nos comprometemos a crear e impulsar avances que permitan que Internet sea rápida, segura y confiable para todos los usuarios.
Verisign Labs: Proyectos
En Verisign Labs, la investigación no es simplemente una cuestión de explorar, sino de desarrollar tecnologías que tendrán un papel significativo en la evolución de Internet. "La investigación de Verisign Labs comprende una amplia gama de disciplinas técnicas y abarca a todos los negocios de Verisign.
La transición a IPv6
Trabajamos con investigadores de la Universidad de Michigan para comprender mejor la actual transición de IPv4 a IPv6 de Internet. Planteamos la hipótesis de que la escasez de direcciones IPv4 tendrá efectos profundos sobre varias de las propiedades deseadas de Internet.
Leer másVerisign respalda la investigación que realiza la Universidad Purdue para identificar las tendencias del comportamiento humano en línea, en relación a la gestión de identidad en línea dentro de grupos sociales en los sitios de las redes sociales.
Estos esfuerzos se centran en identificar las tendencias actuales del comportamiento en línea que funcionan en torno a las limitaciones de las tecnologías existentes, para así poder predecir tendencias futuras sobre las tecnologías de las redes sociales.
Respaldamos la investigación de la Universidad Carnegie-Mellon para avanzar en una arquitectura de la nomenclatura que proporcione mayor seguridad, relaciones de confianza más explícitas entre las partes interesadas y soporte en la nomenclatura para usuarios de tecnología móvil y servicios de redes.
Los investigadores evalúan diferentes arquitecturas de nomenclaturas, formas para separar la traducción nombre-dirección, soporte a los usuarios de tecnología móvil y servicios, y protección contra agujeros negros o ataques mediante intermediario (man-in-the-middle) relacionados.
Verisign patrocina la investigación de la Universidad de North Carolina sobre análisis automatizado de datos y generación automática que emplea la métrica de distancia para representar la similitud entre dos valores u objetos.
En colaboración con investigadores de la Universidad Purdue, investigamos ampliaciones para los sistemas actuales de detección de intrusiones de vanguardia por medio del uso de información sobre comportamiento social de los piratas informáticos disponible públicamente.
En colaboración con investigadores de la Universidad Purdue, investigamos ampliaciones para los sistemas actuales de detección de intrusiones de vanguardia por medio del uso de información sobre comportamiento social de los piratas informáticos disponible públicamente.
Los investigadores estudiarán cómo se pueden aprovechar las plataformas sociales para identificar tendencias/ataques a la seguridad de los sistemas implementados. Utilizarán la recuperación de inteligencia colectiva y la toma de decisiones en base al conocimiento activada para crear un sistema para la detección activa de amenazas que dependen de la naturaleza social de los piratas informáticos, para ayudar a mitigar los ataques antes de que lleguen a los usuarios finales. En lugar de proporcionar reflexiones simplemente para integrar diferentes ideas, este trabajo tiende a abrir una nueva dirección general para comprender las amenazas y agregar un elemento social a los actuales sistemas de detección de intrusiones de vanguardia.
Como operador del registro global de .com y .net, financiamos una investigación en la Universidad Purdue para comprender mejor las preferencias de los usuarios en la selección de los nombres de dominio.
Los investigadores aplicarán técnicas económicas de comportamiento al aprendizaje automático. Mediante la comprensión de la importancia, exclusividad y similitud de contexto en las decisiones acerca de los nombres de dominio, la investigación nos ayudará a crear un mapa cognitivo y representaciones cuantitativas de las preferencias de los usuarios y mejorará nuestra capacidad para analizar factores que influyen en el comportamiento de compra en línea del consumidor.
En este estudio se analiza el comportamiento de las implementaciones actuales del resolver de DNS que incluyen diferentes versiones de BIND, Unbound, PowerDNS, djbdns, y Microsoft Windows 2008.
En particular, estudiamos de qué forma los servicios de nombres recurrentes eligen entre múltiples servidores autoritativos para una zona determinada y sus algoritmos de retransmisión cuando están bajo coacción (por ejemplo, pérdida de paquetes y demoras). También simulamos diferentes condiciones de las redes para ver de qué manera diferentes latencias pueden afectar el algoritmo de selección de servidor de resolver e imponer la pérdida de paquetes simulada para comprender la retransmisión del resolver y los algoritmos de retardo del envío (backoff). Estos resultados pueden ayudar a tomar decisiones acerca de la mezcla correcta de servidores de nombres anycast y unicast.
Patrocinamos la investigación de Georgia Tech para identificar técnicas nuevas y de avanzada para adquirir y analizar la inteligencia accionable acerca de software malintencionados.
Esta investigación se ocupa de los desafíos de las herramientas de confusión de software malintencionados y la dependencia de software malintencionados sobre el acceso a la red para recoger información útil acerca de software malintencionado. Los investigadores del Centro de seguridad de la información de (GTISC) (vínculo a la página de colaboración) desarrollaron un sistema de análisis de software malintencionado automático, escalable horizontalmente que provoca aislamiento, virtualización de hardware y análisis de la red para extraer mejor la información sobre software malintencionado.
Verisign apoya la investigación de Georgia Tech para desarrollar un sistema de monitoreo de Internet en gran escala.
Proporcionará un entendimiento más sofisticado del papel de la infraestructura de Internet para facilitar los ataques de botnet como los ataques de spam, alojamiento de scam, y negación de servicio. Los bots han explotado diferentes protocolos de Internet como el Protocolo de compuerta de borde (BGP) y el Sistema de nombres de dominio (DNS) para moverse de una parte de Internet a otra. Esta infraestructura de monitoreo identificará componentes clave de esta infraestructura subyacente, específicamente sistemas autónomos que faciliten la agilidad del BGP y servidores para nombres y registros que faciliten la agilidad de DNS. Como resultado, el sistema puede proporcionar una inteligencia innovadora para sistemas de reputación tanto para la infraestructura de alojamiento de DNS como para los sistemas autónomos.
Mientras Internet continúa su evolución, el protocolo SSL/TLS tiene un papel cada vez más importante en la creación de conexiones extremo a extremo privadas y autenticadas, y en la prevención de proxies "útiles" que manipulan el tráfico.
Todas las indicaciones sugieren que el uso de SSL/TLS aumentará considerablemente en los años siguientes. Los SSL/TLS actualmente están diseñados como un protocolo en dos partes entre un navegador y un servidor web.
Trabajamos con la Universidad de Stanford en este proyecto para investigar la posibilidad de adaptar SSL/TLS a un protocolo en tres partes donde la tercera parte es un servidor DNS (preferentemente un servidor DNSSEC). Actualmente se utiliza el servidor DNS para resolver la dirección IP del servidor web pero no tiene utilidad para establecer una sesión segura con el servidor. El principal objetivo de este proyecto es demostrar que al ampliar SSL/TLS para incluir DNS como una tercera parte, el protocolo puede ser más eficiente y en algunos casos más seguro.
Los diseños actuales de hardware comerciales muestran numerosos núcleos que actúan a una menor frecuencia.
Los ecosistemas de herramientas existentes para desbloquear el rendimiento potencial del hardware ha creado brechas. Es necesario crear entornos de software que se ocupen de las brechas y desbloqueen la amplitud y la profundidad del hardware. Este proyecto investiga la alternativa de diseño de AMP como forma de proporcionar el rendimiento mayor posible del hardware.
El depurador de las DNSSEC es una herramienta basada en la web para asegurar que la "cadena de confianza" permanezca intacta para un nombre de dominio DNSSEC permitido en particular.
La herramienta muestra una validación paso a paso de un nombre de dominio determinado y resalta cualquier problema encontrado.
Para usar la herramienta, comience visitando http://dnssec-debugger.verisignlabs.com e ingrese un nombre de dominio para ser verificado. La herramienta comienza con una consulta a un servidor de nombres raíz. Luego siguen las derivaciones al servidor de nombres autoritativo, y la validación de claves y firmas de DNSSEC. A cada paso en el proceso se le da un código de estado bueno (verde), advertencia (amarillo) o error (rojo). Puede desplazar el ratón sobre los iconos de advertencia y error para visualizar una explicación más amplia. Presione las teclas más (+) y menos (-) para aumentar o disminuir la depuración. Con el mayor nivel de depuración se puede ver la totalidad de los mensajes de DNS sin procesar para casi todas las consultas.
Aquí tenemos algunos ejemplos de salida de la herramienta para el dominio whitehouse.gov:
Trabajamos con investigadores de la Universidad de Michigan para comprender mejor la transición actual de IPv4 a IPv6 de Internet.
Estimamos que IANA asignará los últimos /8s dentro del año siguiente y el primer RIR agotará todo su espacio IPv4 poco después. Como resultado, elaboramos la hipótesis de que la escasez de direcciones IPv4, como resultado del así llamado "agotamiento de IPv4" tendrá profundos efectos sobre varias de las propiedades deseables de Internet. Estas propiedades que han recibido el impacto incluyen, sin limitación: el soporte para la heterogeneidad y la apertura, seguridad, escalabilidad, confiabilidad, disponibilidad, concurrencia y transparencia. En un esfuerzo para comprender el impacto de la escasez de estas propiedades deseables planeamos estudiar esas técnicas y metodologías por las cuales se asignan direcciones y cómo se utilizan posteriormente estos recursos. Si bien no existen modelos de escasez totalmente formados para las direcciones IPv4, nuestra conjetura es que varios fenómenos interesantes justifican el estudio: velocidad de transición a IPv6, mayor uso de NAT’ing, enrutación más fina y detallada, desasignación y reclamo de bloqueo, y asignación de direcciones basadas en el mercado. En función de la tratabilidad, esta propuesta se centraliza en la medición de la transición desde el espacio IPv4 a IPv6. Nos preocupan específicamente las cuestiones sobre tasas de adopción y los patrones de uso eventuales en IPv6. Si bien es interesante desde una perspectiva de modelización y caracterización, también creemos que este trabajo tiene un impacto significativo sobre las operaciones, y ayudan a revelar inconsistencias mientras hacemos la transición y apoyamos la planificación de la capacidad y la optimización.
En colaboración con investigadores de la UCLA, tenemos el objetivo de entender la resiliencia del servicio de DNS como una totalidad midiendo la interdependencia de diferentes zonas.
Esa interdependencia puede introducirse mediante grandes números de servidores DNS autoritativos colocados en la misma localización (por ejemplo tanto en la misma área geográfica o en la misma red de ISP) o más comúnmente por el aumento de la tendencia de externalización del servidor DNS que ha conducido a la concentración de servicios de DNS de una gran cantidad de zonas y unos pocos proveedores de servicios de DNS. En consecuencia, una simple falla puede hacer caer potencialmente los servidores de DNS de una gran cantidad de dominios.
¿Es posible desarrollar técnicas de listas negras para nombres de dominios utilizados para actividades malintencionadas en base a patrones de consultas de DNS?
Analizamos nombres de dominios que se sabe se utilizan para ataques de suplantación de identidad (phishing), spam, y actividades relacionadas con software malintencionados para determinar si pueden ser identificados en base a patrones de consulta de DNS. Hasta la fecha, encontramos que los nombres de dominio malintencionados tienden a presentar más variaciones en las redes que hacen búsqueda de dominios y también observamos que estos dominios se vuelven populares más rápidamente después de un tiempo inicial de registro. También observamos que los dominios peligrosos exhiben grupos diferentes relacionados con las redes que buscan estos dominios. Las diferentes características espaciales y temporales de estos dominios y su tendencia a presentar un comportamiento de búsqueda similar sugiere que puede ser posible desarrollar técnicas de listas negras más efectivas y oportunas en base a estos patrones de búsqueda diferentes.
Verisign Labs creó un laboratorio de interoperabilidad de DNSSEC en Dulles, VA para probar la compatibilidad de soluciones de TI con nuestra implementación de DNSSEC para .TLD .com y .net.
DNSSEC agrega nuevas funciones de seguridad al protocolo DNS para evitar ataques como el envenenamiento de caché. Debido a que los paquetes DNSSEC tienen un tamaño y estructura diferentes de los paquetes DNS tradicionales, algunos componentes de la infraestructura de TI como enrutadores y firewalls pueden no manejar los requisitos y las respuestas de DNSSEC correctamente, lo cual provoca fallas en la infraestructura de Internet y en los entornos informáticos empresariales.
El laboratorio de interoperabilidad consiste en un entorno independiente con una gama de más de 8.000 casos de prueba para un amplio rango de fallas posibles. El laboratorio de interoperabilidad es un servicio sin cargo que Verisign Labs ofrece a la comunidad para probar una amplia gama de soluciones de TI. Si desea obtener más información sobre el laboratorio de interoperabilidad de las DNSSEC , comuníquese con nosotros a dnssec@verisign.com.
Herramienta para visualizar los patrones de tráfico entre clientes y servidores de DNS, incluidos los datos de muestras de los servidores de nombres raíz.
La herramienta de visualización de afinidad cliente/servidor de DNS arroja nueva luz sobre la complejidad del tráfico de DNS. Dentro de esta aplicación en base a OpenGL, los clientes de DNS se representan con puntos de varios tamaños y colores. Los servidores se colocan en un espacio tridimensional. Cada vez que un cliente envía una consulta de DNS a un servidor particular, éste se acerca un poco a ese servidor. El tamaño y el color de un cliente está determinado por su velocidad de consulta.
La visualización es útil para entender cómo se comportan los clientes cuando seleccionan entre múltiples servidores de nombres autoritativos, como los 13 servidores raíz. Muchos clientes no muestran una fuerte afinidad ni deambulan cerca de algún servidor en particular. Por otra parte, algunos clientes favorecen claramente algún servidor en particular.
La herramienta igualmente es útil para visualizar el comportamiento del enrutamiento BGP dentro del grupo anycast. Los datos de muestra para la raíz A del 9 de febrero de 2010 muestran cómo migran los clientes de un nodo anycast a otro cuando las rutas se dan de baja y se reemplazan con el tiempo.
El código fuente para la herramienta de visualización está localizado en el servidor de Subversion de Verisign Labs. Se puede acceder a ella por medio del buscador de la Web o un cliente de Subversion.
El circuito retráctil de 45nm a 32nm de la línea de productos "Westmere" de Intel Xeon introduce instrucciones de clase AES-NI SIMD, que pueden usarse para acelerar mucho el rendimiento de las operaciones criptográficas.
La “lógica combinatoria” AES-NI reemplaza la tabla de búsqueda basada en software del estándar de cifrado simétrico FIPS 197 AES. Este proyecto crea instrucciones AESENC, AESENCLAST, AESDEC, AESDECLAST, CLMUL, AESIMC, y AESKEYGENASSIST para realizar rondas de 10 (128 Bits), 12 (192 Bits), y 14 (256 Bits). El proyecto continúa verificando la durabilidad de la protección contra ataques de canal lateral y la capacidad de usar los elementos básicos para acelerar Elliptic, ECHO, SHAVITE-3, etc. Otros puntos del diseño incluyen, sin limitación, el uso de operaciones lógicas combinatorias interconectadas para otras aplicaciones, cifrado de disco completo e interoperabilidad con otros proyectos como OpenSSL. Si AES-NI introduce un desempeño criptográfico duradero dentro del ciclo de bloqueo de la red de la computadora ¿esto debe cambiar la experiencia de Internet del consumidor?¿cómo lo hace? ¿Estas instrucciones reemplazan las costosas tarjetas criptográficas con coprocesador? Esta investigación volverá a realizarse con la presentación del Intel “Sandy Bridge” AVX CPU para evaluar nuevas funciones de hardware implementadas.
Verisign podría desarrollar avances significativos en tecnología GPU (unidad de procesador gráfico) para mejorar sus servicios.
Si bien los dispositivos presentados recientemente comparten el mismo nombre que sus contrapartes heredadas, la cantidad de hilos y estructuras de hardware interconectadas ha mejorado ampliamente junto con la introducción de la capacidad de números enteros. ¿Cuáles son las características de los enteros y de punto flotante de las nuevas unidades? ¿Pueden presentarse en arquitecturas altamente disponibles? ¿Puede reimplementarse con éxito un modelo de computación similar a un servidor cliente usando un GPU en el servidor? ¿Cuáles son las características de la programación en OpenCL comparado con CUDA?