Programación básica y pro, tecnología y sistemas Información acerca del lenguaje php, tecnologías, programación y sus técnicas
Hoy en día, cuando una persona quiere comprar algo por Internet, teclea los datos de su tarjeta de crédito, su nombre y su dirección sin pensarlo dos veces. Pero una sola vulnerabilidad en una aplicación web puede permitir a un atacante robar esa información personal.
Adam Doupé, profesor adjunto de Ciencias de la Computación e Ingeniería en las Escuelas de Ingeniería Ira A. Fulton de la Universidad Estatal de Arizona, quiere desarrollar herramientas que puedan encontrar automáticamente esas vulnerabilidades en una aplicación web, de modo que puedan ser encontradas y remediadas antes de que un atacante pueda explotarlas.
Career
Doupé está desarrollando estas herramientas en el marco de un premio CAREER de la National Science Foundation de cinco años de duración, «Next Generation Black-Box Web Application Vulnerability Analysis».
«La inspiración para este proyecto fue mi propia experiencia como probador de penetración de aplicaciones web», dijo Doupé. «Me di cuenta de que, como humano, cuando estoy interactuando con una aplicación web, no sólo estoy construyendo un modelo mental de cómo funciona la aplicación web, sino que también estoy tratando de entender cómo se escribió el código de la aplicación web. Esto es esencialmente ingeniería inversa del código de la aplicación web».
Doupé se preguntó si esta idea podría aplicarse a una herramienta automatizada. ¿Podría una herramienta automatizada hacer ingeniería inversa del código de la aplicación web simplemente interactuando con ella?
«Resulta que hay una rama del aprendizaje automático, llamada programación inductiva, que podría ayudar», dijo Doupé. «Por tanto, la idea del proyecto es aplicar técnicas de programación inductiva para revertir automáticamente el código fuente de una aplicación web, simplemente interactuando con ella, y luego identificar las vulnerabilidades en el código fuente revertido de la aplicación web. Esto debería dar lugar a herramientas más inteligentes que puedan encontrar vulnerabilidades tan bien como un humano».
La creciente necesidad de soluciones de datos seguros hace que investigaciones como la de Doupé sean muy solicitadas.
Áreas de investigación
«Creo que la propuesta fue elegida porque presenta una combinación de áreas de investigación interesantes y diversas que se aplican a un área de gran impacto», dijo Doupé.
El entusiasmo y el potencial de las innovaciones contribuyeron a atraer a Doupé a la ASU.
«Todo el mundo con el que hablé era positivo y estaba entusiasmado con su investigación», dijo Doupé. «Supe que quería formar parte de la familia de la ASU».
El sólido sistema de apoyo de la ASU ayudó a Doupé a elaborar la propuesta con éxito. Él da crédito a Steven Ayer, profesor asistente de gestión de la construcción y la ingeniería; Stacy Esposito, director de Fomento de la Investigación en las Escuelas Fulton; y sus compañeros de la ciencia de la computación y la facultad de ingeniería en ayudar a fortalecer la propuesta.
