Enquanto a Internet continua a expandir, mantemos nosso compromisso com a criação e o desenvolvimento de avanços que mantêm a Internet rápida, segura e confiável para todos os usuários.
Verisign Labs: Projetos
Nos Verisign Labs, a pesquisa não é apenas um processo sistemático sem fins práticos, mas sim uma atividade preocupada em desenvolver tecnologias que desempenharão um papel significativo na evolução da Internet. As pesquisas desenvolvidas pela Verisign abrangem um amplo leque de disciplinas técnicas e incluem um pouco de cada uma das áreas de negócios da Verisign.
A transição para IPv6
Estamos trabalhando com pesquisadores da University of Michigan na busca de informações relativas ao processo atual de transição de IPv4 a IPv6. Acreditamos que a escassez de endereços IPv4 vai ter efeitos profundos sobre várias das propriedades interessantes da Internet.
Leia maisA Verisign está promovendo uma pesquisa na Purdue University para identificar tendências do comportamento humano relacionadas com o gerenciamento de identidade na Internet de grupos em sites de redes sociais.
Estes esforços estão direcionados na identificação das tendências de comportamento na Internet atuais que ultrapassam as limitações existentes a fim de prever as tendências futuras quanto a tecnologias de redes sociais.
Estamos promovendo uma pesquisa na Carnegie-Mellon University que tem o objetivo de promover avanços na segurança de estrutura de nomes, relações de confiança mais explícitas entre os interessados e suporte ao sistema de nomes de domínio a usuários móveis e redes.
Os pesquisadores estão avaliando diferentes arquiteturas de nomes de domínio, formas separadas de a tradução do nome-endereço da confiança, suporte para usuários móveis e serviços e proteção contra ataques do tipo buraco negro ou "man-in-the-middle".
A Verisign está patrocinando pesquisas na University of North Carolina sobre análise automatizada de dados e geração automática usando uma combinação de métricas de distância para representar a semelhança entre dois valores ou objetos.
Em colaboração com pesquisadores da Purdue University, estamos investigando extensões para o atual sistema de última geração de detecção de invasão usando as informações do comportamento social de hackers disponíveis ao público.
Em colaboração com pesquisadores da Purdue University, estamos investigando extensões para o atual sistema de última geração de detecção de invasão usando as informações do comportamento social de hackers disponíveis ao público.
Os pesquisadores vão estudar como plataformas sociais podem ser aproveitadas para identificar tendências/ataques na segurança dos sistemas implantados. Serão usados retorno de inteligência coletiva e processo decisório baseado no conhecimento dinâmico para criar um sistema proativo de detecção de ameaças, dependente da natureza social de hackers, para ajudar a mitigar ataques antes que estes afetem os usuários finais. Ao contrário de fornecer revelações que apenas integram diversas ideias, este trabalho pretende propiciar a abertura de novos caminhos gerais em direção ao entendimento de ameaças e à adição do elemento social aos sistemas de última geração atuais de detecção de invasores.
Como operador global de registros. com e .net, estamos financiando uma pesquisa na Purdue University para melhor compreender as preferências dos usuários na escolha de nomes de domínio.
Os pesquisadores vão aplicar técnicas de economia comportamental em aprendizagem de máquina. Através do entendimento da relevância, singularidade e similaridade no contexto das decisões quanto a nomes de domínio, a pesquisa vai embasar a formação de um mapa cognitivo e representações quantitativas das preferências dos usuários, bem como aprimorar nosso processo de análise dos fatores que influenciam o comportamento de compras do consumidor na web.
Este estudo analisa o comportamento das implementações atuais de resolução do DNS, incluindo várias versões BIND, Unbound, PowerDNS, djbdns e Microsoft Windows 2008.
Em especial, estudamos como servidores de nomes recursivos escolhem uma determinada zona entre vários servidores autoritativos, e seus algoritmos de retransmissão quando sob pressão (ou seja, na perda de pacotes e atraso). Nós também simulamos condições de rede distintas para ver como latências diferentes podem afetar o algoritmo de seleção de resolução de servidor e operar perda de pacotes simulada para entender os algoritmos de retransmissão e retirada do resolvedor. Estes resultados podem ajudar a tomar decisões relativas à combinação certa de nameservers anycast e unicast.
Estamos patrocinando uma pesquisa no Georgia Tech para identificar técnicas novas e avançadas com o objetivo de obter e analisar informações de inteligência acionável de malware.
Esta pesquisa tem como alvo os desafios que as ferramentas de ocultação de malware e dependência de malware representam no acesso à rede na coleta de informações de malware aplicáveis. Os pesquisadores do Georgia Tech Information Security Center (GTISC) (link para a página de colaboração) desenvolveram um sistema de análise de malware automatizado, horizontalmente escalável, que aproveita o isolamento, a virtualização de hardware e a análise de rede para aprimorar o filtro de informações de malware.
A Verisign está promovendo uma pesquisa no Georgia Tech que objetiva desenvolver um sistema de monitoramento da internet em larga escala.
A pesquisa proporcionará entendimento mais sofisticado sobre o papel da infraestrutura da Internet quanto à facilidade de ataques de botnets, como spam, fraudes em hosts e ataques de negação de serviço. Bots têm explorado vários protocolos de Internet, como o Border Gateway Protocol (BGP) e o Sistema de Nomes de Domínio (DNS) para ir de uma zona da Internet a outra. Esta infraestrutura de monitoramento vai identificar os principais componentes desta infraestrutura básica, especificamente sistemas autônomos que facilitam a agilidade do BGP e servidores e registradores de nomes que propiciam a agilidade DNS. Dessa forma, o sistema poderá oferecer inteligência de ponta em sistemas de reputação, tanto em infraestrutura de hospedagem DNS, como em sistemas autônomos.
À medida que a Internet evolui, o protocolo SSL/TLS desempenha um papel cada vez mais importante na criação de conexões privadas e autenticadas de ponta-a-ponta e na prevenção de adulteração de tráfego por proxies "úteis".
Tudo indica que um aumento considerável da uso do SSL/TLS ocorrerá nos próximos anos. A comunicação SSL/TLS no momento refere-se a um protocolo bipartido entre um navegador e um cliente.
Estamos trabalhando com a Stanford University neste projeto de investigação da possibilidade de adaptar a comunicação SSL/TLS a um protocolo tripartido, em que o terceiro seria um servidor de DNS (de preferência um servidor DNSSEC). Atualmente, o servidor de DNS é usado na resolução de endereço de IP do cliente, mas não desempenha nenhum papel ainda relativamente à criação de uma sessão segura com o servidor. O objetivo principal deste projeto é mostrar que através do aprimoramento da comunicação SSL/TLS, incluindo uma terceira função ao DNS, o protocolo se tornará mais eficiente e em alguns casos mais seguro.
Projetos de produtos de hardware atuais apresentam diversos núcleos rodando a uma frequência reduzida.
Os sistemas integrados de ferramentas existentes usados para determinar o potencial de desempenho de hardware têm lacunas. É necessário criar programas que tratem as lacunas e proporcionem a extensão e profundidade do hardware. Este projeto investiga a alternativa de design AMP como um meio para proporcionar o maior desempenho possível de hardware.
O Programa de depuração DNSSEC é uma ferramenta da Internet que visa garantir que a "cadeia de confiança" relativa a um nome de domínio DNSSEC específico habilitado não seja afetada.
A ferramenta mostra uma validação passo-a-passo de um determinado nome de domínio e destaca os problemas encontrados.
Se desejar usar a ferramenta, visite http://dnssec-debugger.verisignlabs.com e insira o nome de domínio que deseja testar. Primeiramente, a ferramenta executa a consulta do servidor raiz. A seguir, passa as respostas ao servidor autoritativo, validando as chaves e as assinaturas DNSSEC no processo. Cada etapa recebe uma resposta, um código de status indicando validade (verde), aviso (amarelo) ou erro (vermelho). É possível passar o mouse sobre os ícones de aviso e erro para ver uma explicação mais detalhada. Pressione o botão mais (+) e menos (-) para aumentar ou diminuir o nível de depuração. No nível mais alto de depuração é possível ver as mensagens DNS em texto original, de forma completa em quase todas as consultas.
Veja a seguir um exemplo do processo executado pela ferramenta usando o domínio whitehouse.gov:
Estamos trabalhando com pesquisadores da University of Michigan na busca de informações relativas ao processo atual de transição de IPv4 a IPv6.
Acreditamos que a IANA alocará todos os blocos com prefixo /8 no próximo ano e o primeiro RIR irá esgotar todos os seus espaços IPv4 logo em seguida. Consequentemente, pensamos que a escassez de endereços IPv4, como resultado do chamado "esgotamento do IPv4" terá efeitos profundos em diversas propriedades interessantes da Internet. Estas propriedades afetadas incluem, entre outras: suporte a heterogeneidade e abertura, segurança, escalabilidade, confiabilidade, disponibilidade, concorrência e transparência. A fim de compreender o impacto da escassez sobre estas propriedades, planejamos observar as técnicas e as metodologias de alocação de endereços e o uso deste recurso no futuro. Apesar de não existir atualmente uma estrutura totalmente formada de esgotamento para endereços IPv4, pensamos serem necessárias investigações devido à diversidade de fenômenos que merecem atenção: velocidade da transição para IPv6, aumento do uso de tradução de endereços de rede, roteamento de alta granularidade, reserva e recuperação de bloco e alocação de endereços comerciais. No plano prático, esta proposta concentra-se em avaliar a transição do espaço IPv4 ao IPv6. Estamos dedicando atenção especial a indicadores de adoção e padrões de utilização do IPv6 no futuro. Embora interessante do ponto de vista da estruturação e caracterização, acreditamos que este trabalho também tem impacto significativo sobre a operacionalidade, em que auxilia na descoberta de inconsistências durante a transição, como também embasa o planejamento e a otimização quanto à execução.
Em colaboração com pesquisadores da UCLA, pretendemos entender a resiliência do serviço de DNS como um todo por meio da avaliação da interdependência entre zonas diferentes.
Cria-se uma interdependência quando vários servidores de DNS autoritativos são colocados no mesmo local (por exemplo, na mesma área geográfica ou na mesma rede ISP), ou, de forma mais comum, quando há aumento da tendência em terceirização do servidor de DNS, ocasionada pela concentração de serviços de DNS de diversas regiões em alguns prestadores de serviços DNS. Consequentemente, uma simples falha tem o potencial de derrubar os servidores de DNS de um grande número de domínios.
É possível desenvolver técnicas de consulta a uma lista negra de nomes de domínio usados em atividades maliciosas com base em padrões de consulta DNS?
Analisamos os nomes de domínio que são conhecidos em ataques de phishing, spam e atividades de malware para determinar se é possível identificá-los com base em padrões de consulta DNS. Até o presente momento, sabemos que nomes de domínios maliciosos costumam apresentar maior resistência nas redes em que há pesquisa de domínio e, também, que estes domínios se tornaram populares rapidamente após o período de registro inicial. Além disso, observamos que os domínios inimigos apresentam clusters distintos relativamente às redes que pesquisam estes domínios. A identificação de características espaciais e temporais distintas destes domínios e a tendência a apresentar um comportamento de buscas semelhante sugere que talvez seja possível desenvolver técnicas para consulta a uma lista negra mais eficazes e rápidas baseadas nestes padrões de buscas diferentes.
Os Verisign Labs estabeleceram um laboratório de interoperabilidade DNSSEC em Dulles, VA, para testar a compatibilidade de soluções de TI com a implementação do DNSSEC nos TLDs .com e .net.
O DNSSEC adiciona novos recursos de segurança ao protocolo DNS que evitam ataques, como envenenamento de cache. Visto que os pacotes DNSSEC são diferentes em tamanho e estrutura em comparação a pacotes tradicionais de DNS, alguns componentes de infraestrutura de TI, como roteadores e firewalls não conseguem atender as solicitações e respostas de DNSSEC adequadamente, causando falhas na infraestrutura da Internet e em ambientes de computação empresarial.
O Laboratório de Interoperabilidade consiste em um ambiente independente, com um conjunto de mais de 8.000 casos de teste referentes a uma vasta gama de falhas possíveis. O Laboratório de Interoperabilidade é um serviço gratuito dos Verisign Labs oferecido à comunidade para testar uma vasta gama de soluções de TI. Se você deseja obter mais informações, entre em contato através do endereço dnssec@verisign.com.
Ferramenta para visualizar padrões de tráfego entre servidores e clientes DNS, incluindo dados de amostra dos servidores raiz.
A ferramenta de afinidade de visualização de cliente/servidor DNS revela as complexidades do tráfego DNS. Nesta aplicação OpenGL, os clientes DNS são representados com pontos de tamanho e cor variáveis. Os servidores são arranjados em ambiente tridimensional. Cada vez que um cliente envia uma consulta DNS para um servidor particular, diminui a distância entre este e o servidor. O tamanho e a cor de um cliente são determinados pela velocidade de consulta.
A visualização é útil para se entender o comportamento dos clientes quando a escolha é feita entre vários servidores DNS autoritativos, como por exemplo os 13 servidores DNS raiz. Muitos clientes não apresentam grande afinidade e não transitam perto de nenhum servidor em particular. Em alguns casos, por outro lado, é percebível a preferência a um servidor em particular.
A ferramenta é igualmente útil para visualizar o comportamento do roteamento BGP em um cluster anycast. A amostra de dados de uma raiz A em 9 de fevereiro de 2010 mostra como os clientes migram de um nó anycast para outro à medida que as rotas são retiradas e substituídas ao longo do tempo.
O código fonte da ferramenta de visualização está localizado no servidor Subversion dos Verisign Labs. É possível acessá-lo através de um navegador da Web ou cliente Subversion.
A linha de produtos Xeon "Westmere" de compactação 45nm a 32nm Die Shrink da Intel introduz instruções de classe AES-NI SIMD que podem ser usadas na agilização do desempenho das operações criptográficas.
A "lógica combinatória" AES-NI substitui a busca de tabela em programa dos padrões de criptografia simétrica FIPS 197 AES. Este projeto se baseia nas instruções AESENC, AESENCLAST, AESDEC, AESDECLAST, CLMUL, AESIMC e AESKEYGENASSIST para execução nas versões 10 (128 bits), 12 (192 Bit) e 14 (256 Bit). O projeto busca verificar a resistência da proteção quanto a ataques de canal e a possibilidade de utilizar os blocos constitutivos para agilizar os serviços Elliptic, ECHO, SHAVITE-3, etc. Objetos de desenvolvimento adicionais incluem, entre outros, utilização de operações de lógica combinatória de pipeline em outros aplicativos, criptografia total de disco e interoperabilidade com outros projetos, como OpenSSL. Quando o AES-NI apresenta desempenho criptográfico resistente dentro do ciclo de sustentação de redes do computador, como ocorre, e como deveria ocorrer, a mudança da experiência de Internet do consumidor? Estas instruções conseguirão substituir co-processadores criptográficos de chip de custo pouco acessível? Esta pesquisa será conduzida novamente após a introdução da Intel da CPU AVX "Sandy Bridge" para avaliar as novas funcionalidades implementadas de hardware.
Avanços significativos na tecnologia GPU (Graphics Processor Unit) poderão ser aproveitados pela Verisign para melhorar nossos serviços.
Embora os dispositivos introduzidos recentemente tenham o mesmo nome das versões anteriores, o número de segmentos e estruturas interligadas de hardware melhorou bastante, juntamente com a introdução da função integer. Quais são as características de ponto flutuante e integer das novas unidades? Eles podem ser introduzidos em arquiteturas de alta disponibilidade? É possível implementar novamente e com sucesso um modelo de TI cliente-servidor usando uma GPU em um servidor? Quais são as características de programação em arquitetura OpenCL versus CUDA?