Investigação portuguesa premiada na Alemanha

José Bacelar Almeida, do Laboratório de Investigação em Software Confiável da Universidade do Minho, foi distinguido com o prémio de melhor artigo na Conferência Internacional Fast Software Encryption, na Alemanha. O trabalho, tem coautoria de Manuel Barbosa, professor da Faculdade de Ciências da Universidade do Porto e membro do Laboratório de Investigação em Software Confiável, além de Gilles Barthe e François Dupressoir, do Madrid Institute for Advanced Studies in Software Development Technologies. O projeto apresenta uma nova metodologia para o desenvolvimento de software seguro, com o objetivo de garantir maior proteção contra ataques de hackers, que exploram as variações nos tempos de execução dos programas (designados por timing attacks) para extraírem “informação sensível”. Este upgrade é assegurado por uma ferramenta de verificação formal de programas capaz de validar os mecanismos de defesa que acautelam este tipo de vulnerabilidades. Os timing attacks foram recentemente explorados por comprometer a segurança de várias implementações do protocolo HTTPS, responsável pela comunicação segura na web. “A proteção contra este tipo de ataques é difícil e tem levado a situações constrangedoras. Até em produtos desenvolvidos por equipas altamente especializadas se tem identificado problemas que comprometem a segurança dos sistemas. O que se preconiza no artigo é a adesão a uma política de programação estrita que permite que o processo de validação do código resultante possa ser realizado de forma mecânica”, realçam José Bacelar Almeida e Manuel Barbosa. O artigo traz ainda novidades no que toca à implementação do protocolo TLS, que suporta as ligações HTTPS, na Amazon Web Services. Neste âmbito, os cientistas identificaram e corrigiram uma falha detetada na implementação dos mecanismos de defesa, descritos acima, suscetíveis de abrir a porta a ataques semelhantes a outros já registados em sistemas do mesmo tipo. Esta contribuição foi elogiada pelo principal engenheiro informático da Amazon Web Services.