Close X

VERISIGN LABS : PROJETS

Au sein de Verisign Labs, la recherche ne se limite pas à l'exploration et sert à développer des technologies appelées à jouer un rôle important dans l'évolution d'Internet. Nos recherches couvrent une gamme étendue de disciplines techniques et touchent toutes les activités de Verisign.

Câbles de centre de données

BITSQUATTING

Artem Dinaburg a introduit le concept de « bitsquatting » (un néologisme basé sur le « typo-squatting ») selon lequel les noms de domaine sont modifiés en raison d'erreurs de mémoire, de stockage, de transmission des données.

Lire la suite
Projets actuels Anciens projets

Analyse de dépendance centrée sur l'utilisateur dans les programmes pour l'identification des applis mobiles malveillantes

Verisign soutient Virginia Tech dans le développement d'une approche d'identification efficace des programmes malveillants sur les appareils Android.

Les auteurs de programmes malveillants disposent d'une nouvelle cible avec l'utilisation sans cesse croissante d'appareils mobiles. Selon l'APWG (Anti-Phishing Working Group’s Trends Report), « …un grand nombre d'entre nous utilise les téléphones portables pour vérifier les soldes de comptes bancaires … [APWG] a constaté que les auteurs de programmes malveillants on cherché à exploiter ce fait en 2011, qui pourrait s'avérer être un vecteur d'attaque de plus en plus séduisant en 2012… »

Dans ces travaux, les chercheurs traitent l'important problème de la classification des programmes malveillants. En d'autres termes, comment déterminer si un programme inconnu spécifique est un logiciel malveillant. L'aspect nouveau des travaux réside dans le fait que les chercheurs adoptent une approche de détection d'anomalie plutôt que les méthodes conventionnelles d'identification des caractéristiques du programme malveillant.

Afficher plus

Identification précoce des campagnes de messages non sollicités grâce à l'analyse des recherches DNS

Verisign collabore avec Georgia Tech pour étudier comment les changements soudains des modèles de consultation du nom de domaine dans différents enregistrements d'échange de messages DNS peuvent contribuer à l'identification des polluposteurs au stade précoce d'une campagne de messages non sollicités.

Les opérateurs de réseau sont vivement intéressés par l'identification du comportement au stade précoce d'une campagne de messages non sollicités, avant qu'un polluposteur puisse envoyer de grands volumes de ces messages. Malheureusement, les polluposteurs font généralement preuve d'agilité (le processus de modification de leur méthode d'envoi des messages non sollicités, du point d'envoi et du lieu d'hébergement des sites où ils souhaitent attirer la visite des victimes) qui rend plus difficile la caractérisation des entités qui se livrent à un comportement de polluposteur à un moment donné. Les travaux appliquent l'exploration de la dynamique de recherche DNS pour identifier précocement les campagnes de messages non sollicités.

Afficher plus

DNS-based Authentication Named Entities (DANE)

Nouvelle approche normalisée par l'IETF (Internet Engineering Task Force), selon laquelle les identifiants de certification sont vérifiés par des zones compatibles DNSSEC plutôt que par le modèle CA actuellement utilisé.

Notre réseau DANE a pour but de comprendre l'étendue de la « surface d'attaque » des certificats lorsqu'ils sont présentés via un navigateur web plutôt que publiés dans le DNS à l'aide du nouveau protocole DANE.

Afficher plus

Bitsquatting : observations sur les erreurs de somme de contrôle dans les requêtes DNS

Artem Dinaburg a introduit le concept de « bitsquatting » (un néologisme basé sur le « typo-squatting ») selon lequel les noms de domaine sont modifiés en raison d'erreurs de mémoire, de stockage, de transmission des données.

Cet article examine les requêtes DNS reçues sur des serveurs officiels exploités par Verisign, à la recherche de manifestations d'erreurs au niveau des bits.

Afficher plus

Gestion d'identité sociale

Verisign soutient la recherche de l'Université de Purdue afin d'identifier les tendances de comportement humain en ligne liées à la gestion d'identité en ligne au sein de réseaux sociaux sur plusieurs sites de réseaux sociaux.

Ces efforts sont concentrés sur l'identification des tendances de comportement en ligne actuelles contournant les limitations des technologies existantes afin de prévoir les tendances futures des technologies de réseaux sociaux.

Afficher plus

Attribution des noms dans l'Internet de demain

Nous soutenons la recherche de l'Université Carnegie-Mellon pour faire progresser l'architecture d'attribution des noms de façon plus sécurisée, dans le cadre de relations de confiance plus explicites entre les acteurs, et la prise en charge de l'attribution des noms pour les utilisateurs mobiles et les services en réseau.

Les chercheurs évaluent différentes architectures d'attribution des noms, des méthodes de séparation des traductions attribution des noms-adresse de confiance, de prise en charge des utilisateurs et des services mobiles et de protection contre les attaques de trou noir ou d'homme du milieu correspondantes.

Afficher plus

Exploration des applications de distance d'édition phonétique

Verisign subventionne la recherche de l'Université de Caroline du Nord qui porte sur l'analyse automatisée des données et la génération automatique faisant appel aux mesures de distance pour représenter la similarité entre deux valeurs ou objets.

En collaboration avec les chercheurs de l'Université de Purdue, nous étudions les extensions des systèmes de détection d'intrusion actuellement à la pointe de la technologie, en utilisant les informations du domaine public sur le comportement social des pirates.

Afficher plus

Détection des menaces via le comportement social des pirates

En collaboration avec les chercheurs de l'Université de Purdue, nous étudions les extensions des systèmes de détection d'intrusion actuellement à la pointe de la technologie, en utilisant les informations du domaine public sur le comportement social des pirates.

Les chercheurs étudieront comment les plates-formes sociales peuvent être exploitées pour identifier les tendances ou les manifestations dans la sécurité des systèmes déployés. Ils utiliseront l'extraction de renseignements collectifs et le processus décisionnel actif basé sur les connaissances pour créer un système de détection des menaces dynamiques, en s'appuyant sur la nature sociale des pirates, pour contribuer à réduire le risque de manifestation avant que les utilisateurs soient touchés. Plutôt que d'offrir des perspectives de simple intégration de différentes idées, ces travaux ont pour objectif d'ouvrir une nouvelle orientation générale afin de comprendre les menaces et d'ajouter un élément social aux systèmes de détection d'intrusion de pointe actuels.

Afficher plus

Préférences des utilisateurs en matière de noms de domaine

En qualité d'exploitant mondial des registres .com et .net, nous finançons la recherche de l'Université de Purdue afin de mieux comprendre les préférences des utilisateurs dans le choix des noms de domaine.

Les chercheurs appliqueront les techniques économiques comportementales au machine learning. En comprenant la pertinence, l'originalité et la similarité dans le contexte des décisions concernant les noms de domaine, la recherche nous aidera à élaborer une carte cognitive et des représentations quantitatives des préférences des utilisateurs et renforcera nos capacités d'analyse des facteurs qui influencent le comportement d'achat des consommateurs en ligne.

Afficher plus

Étude de comportement du résolveur

Cette étude examine le comportement des implémentations actuelles du résolveur DNS, notamment différentes versions de BIND, Unbound, PowerDNS, djbdns et Microsoft Windows 2008.

Nous avons plus particulièrement étudié comment les serveurs de noms récursifs choisissent parmi plusieurs serveurs de référence pour une zone donnée, et leurs algorithmes de retransmission sous contrainte (par exemple, perte de paquets et délais). Nous avons également simulé différentes conditions réseau, pour découvrir comment diverses latences peuvent affecter l'algorithme de sélection du serveur du réseau et imposer des pertes de paquets simulées pour comprendre les algorithmes de retransmission et de temporisation du résolveur. Ces résultats peuvent contribuer au processus décisionnel concernant la combinaison appropriée de serveurs de noms monodiffusion et unidiffusion.

Afficher plus

Analyse et identification des programmes malveillants à l'échelle mondiale

Nous subventionnons les recherches de Georgia Tech visant à identifier les techniques nouvelles et perfectionnées d'acquisition et d'analyse de renseignements décisionnels relatifs aux programmes malveillants.

Ces recherches ciblent les défis que les outils de brouillage des programmes malveillants et que la dépendance de ces derniers à l'accès au réseau présentent pour recueillir des informations utiles sur les programmes malveillants. Les chercheurs du Georgia Tech Information Security Center (GTISC) ont développé un système d'analyse des programmes malveillants, évolutif horizontalement et qui exploite l'isolation, la virtualisation matérielle et l'analyse réseau pour mieux extraire les informations relatives à ces programmes.

Afficher plus

Surveillance du BGP et de l'agilité du DNS

Verisign soutient les recherches de Georgia Tech pour le développement d'un système de surveillance d'Internet à grande échelle.

Il permettra une appréhension plus sophistiquée du rôle joué par l'infrastructure d'Internet pour faciliter les attaques de réseaux zombie tels que les messages non sollicités, l'hébergement de sites d'escroquerie et les attaques par déni de service. Les réseaux zombie ont exploité différents protocoles d'Internet, comme le BGP (Border Gateway Protocol) et le DNS (Domain Name System) pour se déplacer d'une partie d'Internet vers une autre. Cette structure de surveillance identifiera les éléments principaux de cette infrastructure sous-jacente, en particulier les systèmes autonomes qui facilitent l'agilité du BGP et les serveurs de noms et bureaux d'enregistrement qui favorisent l'agilité du DNS. Par conséquent, ce système est susceptible de fournir des renseignements pointus pour les systèmes de réputation, à la fois pour les infrastructures d'hébergement du DNS et les systèmes autonomes.

Afficher plus

Accélération de la liaison HTTPS utilisant le DNS

À mesure qu'Internet poursuit son évolution, le protocole SSL/TLS joue un rôle sans cesse plus important pour créer des connexions complètes privées et authentifiées et pour empêcher les proxy « obligeants » d'altérer le trafic.

Toutes les indications suggèrent que l'utilisation du protocole SSL/TLS se développera considérablement dans les années à venir. Le protocole SSL/TLS est actuellement conçu en deux parties, entre un navigateur et un serveur web.

Nous collaborons sur ce projet avec l'Université de Stanford pour étudier la possibilité d'adapter le SSL/TLS en protocole tripartite, dans lequel la troisième partie est un serveur DNS (un serveur DNSSEC de préférence). Actuellement, le serveur DNS sert à résoudre les adresses IP du serveur web, sans jouer d'autre rôle pour établir une session sécurisée avec le serveur. L'objectif principal de ce projet consiste à démontrer qu'en étendant le SSL/TLS afin d'inclure le DNS comme troisième partie, le protocole peut devenir plus efficace et, dans certains cas, plus sûr.

Afficher plus

Systèmes logiciels pour multiprocesseur asymétrique (AMP)

Les conceptions actuelles de matériel de base présentent plusieurs cœurs fonctionnant selon une fréquence décroissante.

Les écosystèmes d'outils existants destinés à libérer le potentiel de performance du matériel ont créé des failles. Les environnements logiciels capables de traiter les failles et de libérer l'ampleur et la profondeur du matériel restent à créer. Ce projet étudie d'autres concepts AMP comme moyen de fournir la plus haute performance possible du matériel.

Afficher plus

Débogueur de DNSSEC

Le débogueur de DNSSEC est un outil Web qui permet de vérifier que la « chaîne de confiance » est intacte pour un nom de domaine spécifique compatible DNSSEC.

L'outil affiche la validation étape par étape d'un nom de domaine et indique les éventuels problèmes découverts.

Pour utiliser l'outil, consultez préalablement le site http://dnssec-debugger.verisignlabs.com en saisissant un nom de domaine à tester. L'outil commence par une requête adressée à un serveur de noms racine. Il suit alors les renvois jusqu'au serveur de noms officiel, validant les clés et les signatures DNSSEC au passage. Chacune des étapes du processus reçoit un code d'état bon (vert), avertissement (jaune) ou erreur (rouge). Vous pouvez positionner votre souris sur les icônes d'avertissement et d'erreur pour afficher une explication plus détaillée. Appuyez sur la touche plus (+) et moins (-) pour augmenter ou diminuer le débogage. Au plus haut niveau de débogage, vous pouvez afficher les messages DNS bruts complets pour pratiquement toutes les requêtes.

Voici quelques exemples de résultats de l'outil pour le domaine whitehouse.gov :

DNS Debugging
Afficher plus

Mesure de la transition d'IPv4 vers IPv6

Nous collaborons avec les chercheurs de l'université du Michigan pour obtenir une perspective précise de la transition d'IPv4 vers IPv6 en cours au sein d'Internet.

Nous estimons que l'IANA attribuera les derniers /8s dans l'année qui vient et que le premier RIR épuisera l'ensemble de son espace IPv4 peu après. Par conséquent, nous supposons que la pénurie d'adresses IPv4 découlant de « l'épuisement d'IPv4 » affectera profondément plusieurs des propriétés souhaitables d'Internet. Les propriétés concernées comprennent, entre autres : la prise en charge de hétérogénéité et de l'ouverture, la sécurité, l'évolutivité, la fiabilité, la disponibilité, la simultanéité et la transparence. Dans un effort de compréhension de l'impact qu'exercera la pénurie de ces propriétés souhaitables, nous envisageons d'étudier les techniques et méthodologies par l'intermédiaire desquelles les adresses sont attribuées et comment ces ressources sont ensuite utilisées. Bien qu'il n'existe pas de modèles complets de pénurie des adresses IPv4, nous présumons que plusieurs phénomènes intéressants justifient l'étude : taux de transition vers IPv6, utilisation accrue du NAT, routage affiné, désattribution et récupération en bloc, attribution d'adresses en fonction du marché. Dans un but d'utilité, cette proposition est centrée sur la mesure de la transition entre IPv4 et l'espace IPv6. Nous sommes particulièrement soucieux des questions susceptibles d'éclairer les taux d'adoption et les éventuels modèles d'utilisation d'IPv6. Bien qu'ils soient intéressants sur le plan de la modélisation et de la caractérisation, nous pensons également que ces travaux touchent considérablement les exploitations en contribuant à découvrir les incohérences au fil de la transition et en facilitant la planification de capacité et l'optimisation.

Afficher plus

Robustesse de l'infrastructure DNS

En collaboration avec les chercheurs de l'UCLA, nous avons pour but de comprendre la résilience du service DNS dans son ensemble en mesurant les interdépendances des différentes zones.

Ces interdépendances peuvent être créées par un grand nombre de serveurs DNS officiels regroupés (par exemple, dans une même zone géographique ou sur le réseau d'un même FAI) ou plus communément par la tendance croissante à l'externalisation des serveurs DNS, qui a conduit à la concentration des services DNS d'un grand nombre de zones sur quelques prestataires de services DNS. Par conséquent, une seule défaillance peut potentiellement arrêter les serveurs DNS de très nombreux domaines.

Afficher plus

Caractérisation des domaines malveillants

Est-il possible de développer des techniques de liste noire pour les noms de domaine utilisés pour des activités malveillantes, sur la base des modèles de requête DNS ?

Nous examinons les noms de domaine notoirement utilisés pour les attaques de phishing, de messages non sollicités et d'activités malveillantes, afin de déterminer s'ils peuvent être identifiés sur la base des modèles de requête DNS. À ce jour, nous avons découvert que les noms de domaine malveillants tendent à présenter davantage de variance dans les réseaux qui recherchent les domaines, et que ces domaines deviennent populaires plus rapidement après leur enregistrement initial. Nous avons également observé que les domaines scélérats présentent des clusters distincts, relatifs aux réseaux qui recherchent ces domaines. Les caractéristiques spatiotemporelles de ces domaines et leur tendance à présenter un comportement de consultation similaire, suggèrent qu'il peut être possible de développer des techniques de liste noire plus efficaces et opportunes sur la base de ces modèles de consultation différents.

Afficher plus

Laboratoire d'interopérabilité DNSSEC

Verisign Labs a établi un laboratoire d'interopérabilité DNSSEC à Dulles, VA afin de tester la compatibilité des solutions informatiques avec notre implémentation des DNSSEC pour les TLD .com et .net.

Les DNSSEC apportent de nouvelles fonctions de sécurité au protocole DNS, qui préviennent les attaques de type empoisonnement de cache. Les paquets DNSSEC étant de taille et de structure différentes des paquets DNS conventionnels, certains éléments d'infrastructure informatique comme les routeurs et les pare-feu sont susceptibles de ne pas gérer correctement les requêtes et les réponses DNSSEC, provoquant des défaillances dans l'infrastructure d'Internet et dans les environnements informatiques des entreprises.

Le laboratoire d'interopérabilité consiste en un environnement autonome contenant une suite de plus de 8 000 cas de test pour un large éventail de défaillances possibles. Le laboratoire d'interopérabilité est un service gratuit offert à la communauté par Verisign Labs pour tester un large éventail de solutions informatiques. Pour des informations plus détaillées, contactez nous à dnssec@verisign.com.

Afficher plus

Affinité avec le serveur DNS

Outil de visualisation des modèles de trafic entre clients et serveurs DNS, contenant des exemples de données entre serveurs de noms racine.

L'outil de visualisation d'affinité client/serveur DNS apporte un éclairage nouveau sur les complexités du trafic DNS. Grâce à cette application OpenGL, les clients DNS sont représentés par des points de différentes tailles et couleurs. Les serveurs sont placés dans un espace tridimensionnel. Chaque fois qu'un client adresse une requête DNS à un serveur spécifique, il se rapproche un peu de ce serveur. La taille et la couleur d'un client sont déterminées par son taux de requêtes.

La visualisation sert à comprendre le comportement des clients dans leur choix parmi plusieurs serveurs de noms officiels, comme les 13 serveurs de noms racine. De nombreux clients ne présentent pas de fortes affinités et ne s'approchent pas d'un serveur spécifique. Par ailleurs, certains clients présentent une prédilection évidente pour un serveur spécifique.

L'outil est également utile pour visualiser le comportement du routage BGP au sein d'un cluster unidiffusion. Les exemples de données pour une racine A le 9 février 2010 indiquent comment les clients migrent d'un nœud unidiffusion vers un autre, à mesure que les chemins sont supprimés et remplacés dans le temps.

Le code source de l'outil de visualisation se trouve sur le serveur Verisign Labs Subversion. Il est accessible via un navigateur web ou un client Subversion.

Afficher plus

Gestion d'identité sociale

Verisign soutient la recherche de l'Université de Purdue afin d'identifier les tendances de comportement humain en ligne liées à la gestion d'identité en ligne au sein de réseaux sociaux sur plusieurs sites de réseaux sociaux.

Ces efforts sont concentrés sur l'identification des tendances de comportement en ligne actuelles contournant les limitations des technologies existantes afin de prévoir les tendances futures des technologies de réseaux sociaux.

Afficher plus

Cryptage sur Intel Westmere

La gravure 45 nm à 32 nm de la gamme de produits Intel Xeon « Westmere » introduit des instructions de classe AES-NI SIMD, utilisables pour accélérer considérablement la performance des opérations cryptographiques.

La « logique combinatoire » AES-NI remplace la consultation de table de la norme de cryptage symétrique FIPS 197 AES. Ce projet s'appuie sur les instructions AESENC, AESENCLAST, AESDEC, AESDECLAST, CLMUL, AESIMC et AESKEYGENASSIST pour effectuer 10 (128 bits), 12 (192 bits) et 14 (256 bits) cycles. Le projet continue à vérifier la durabilité de la protection contre les attaques de canal latéral et la possibilité d'utiliser les blocs constitutifs pour accélérer Elliptic, ECHO, SHAVITE-3, etc. Les aspects conceptuels supplémentaires comprennent, entre autres, l'utilisation d'opérations de logique combinatoire en pipeline pour d'autres applications, le cryptage de disque complet et l'interopérabilité avec d'autres projets comme OpenSSL. Dans la mesure ou AES-NI introduit une performance cryptographique durable au sein du cycle d'arrêt réseau de l'ordinateur, en quoi Internet sera-t-il modifié pour le consommateur, et cela est-il souhaitable ? Ces instructions peuvent-elles remplacer les coûteuses cartes cryptographiques supplémentaires des processeurs ? Cette étude sera reconduite lors de l'introduction du processeur Intel AVX « Sandy Bridge » pour évaluer les nouvelles fonctionnalités matérielles mises en œuvre.

Afficher plus

Calculateur GPU

D'importantes avancées de la technologie des processeurs graphiques (GPU) peuvent être exploitées par Verisign pour améliorer ses services.

Bien que les nouveaux dispositifs portent le même nom que leurs prédécesseurs, le nombre de threads et de structures matérielles interconnectées a été infiniment amélioré, parallèlement à l'introduction d'une capacité d'entier. Quelles sont les caractéristiques des nouveaux modèles en termes d'entier et de virgule flottante ? Peuvent-ils être introduits dans des architectures à haute disponibilité ? Un modèle informatique client serveur basé sur la similitude peut-il être remis en œuvre en utilisant un GPU sur un serveur ? Quelles sont les caractéristiques de programmation en OpenCL par rapport à CUDA ?

Afficher plus