Matías Payer

informático de Liechtenstein

Mathias Payer (nacido en 1981) es un informático de Liechtenstein . ^[1] Su investigación se centra en la seguridad de software y sistemas. Es profesor asociado en la Escuela Politécnica Federal de Lausana (EPFL) y director del grupo de investigación HexHive. ^[2]

Carrera

Mathias Payer estudió informática en la ETH de Zúrich y recibió su maestría en 2006. Luego se unió al Laboratorio de Tecnología de Software de Thomas R. Gross en la ETH de Zúrich como estudiante de doctorado y se graduó con una tesis sobre ejecución segura en 2012, centrándose en técnicas para mitigar ataques de secuestro de flujo de control. ^[3] En 2010, trabajaba en Google como ingeniero de seguridad de software en el equipo anti-malware y anti-phishing, donde se dedicaba a detectar malware novedoso. En 2012, se unió al grupo BitBlaze de Dawn Song en la Universidad de California, Berkeley como investigador postdoctoral trabajando en el análisis y clasificación de errores de memoria. ^[4] En 2014, recibió un nombramiento como profesor asistente de la Universidad de Purdue , donde fundó su laboratorio de investigación, el Grupo HexHive. ^[5] En 2018 se trasladó a la EPFL como profesor asistente de Ciencias de la Computación ^[2] y recibió la titularidad en 2021. ^[6] El Grupo HexHive ahora está ubicado en el Campus de Lausana de la EPFL . ^[7]

Investigación

La investigación de Payer se centra en la seguridad de software y sistemas. Desarrolla y perfecciona herramientas que permiten a los desarrolladores de software descubrir y reparar errores de software, y de ese modo hacer que sus programas sean resistentes a posibles ataques de software. Para alcanzar este objetivo, Payer emplea dos estrategias. ^[7] La ​​primera son técnicas de desinfección que apuntan a problemas de seguridad de factores como la memoria, la seguridad de tipos y la seguridad del flujo de API, y de ese modo permiten productos más destacados. ^{[8] [9] [10]} La segunda son técnicas de fuzzing que crean un conjunto de datos de entrada para programas combinando análisis estático y dinámico. El nuevo conjunto de datos de entrada amplía y complementa el conjunto de vectores de prueba existentes. El uso de estos datos de entrada recién creados ayuda a descubrir vulnerabilidades explotables, como la integridad del flujo de control haciendo uso de semánticas de lenguaje específicas, requiriendo integridad de tipos y salvaguardando datos selectivos. ^{[11] [12] [13] [14]}

La investigación de Payer ha llevado al descubrimiento de varias vulnerabilidades de software. Entre ellas se encuentran los errores de Bluetooth BLURtooth ^[15] y BLESA ^[16] , y USBFuzz, una vulnerabilidad que afecta la implementación del análisis del protocolo USB en los principales sistemas operativos. ^{[17] [18] [19]}

Payer ha contribuido al desarrollo del protocolo de proximidad descentralizada que preserva la privacidad (DP-3T), sobre el que se basa la aplicación móvil SwissCovid . La aplicación permite el rastreo anónimo de contactos para mitigar la pandemia de COVID-19 . ^{[20] [21] [22] [23] [24] [25]}

Payer colaboró ​​en la creación de la empresa emergente xorlab, fundada por un antiguo alumno suyo, Antonio Barresi. ^{[26] [27]}

Obtuvo reconocimiento más allá de su campo de investigación a través de sus conferencias en el CCC - Chaos Communication Congress , ^{[28] [29] [30]} el BHEU-Black Hat Europe, ^[31] y otros. ^{[32] [33]}

Distinciones

Recibió el premio SNSF Eccellenza, ^[34] y obtuvo una beca ERC Starting Grant. ^[35] Es miembro distinguido de la ACM "por sus contribuciones a la protección de sistemas en presencia de vulnerabilidades". ^[36]

Obras seleccionadas

• Durumeric, Zakir; Payer, Mathias; Paxson, Vern; Kasten, James; Adrian, David; Halderman, J. Alex; Bailey, Michael; Li, Frank; Weaver, Nicolas; Amann, Johanna; Beekman, Jethro (2014). "El asunto de Heartbleed". Actas de la Conferencia de 2014 sobre medición de Internet - IMC '14 . págs. 475–488. doi :10.1145/2663716.2663755. ISBN 9781450332132.S2CID 142767  .
• Szekeres, L.; Payer, M.; Tao Wei; Song, Dawn (2013). "SoK: Guerra eterna en la memoria". Simposio IEEE sobre seguridad y privacidad de 2013. págs. 48–62. doi :10.1109/SP.2013.13. ISBN 978-0-7695-4977-4. Número de identificación del sujeto  2937041.
• Burow, Nathan; Carr, Scott A.; Nash, Joseph; Larsen, Per; Franz, Michael; Brunthaler, Stefan; Payer, Mathias (2017). "Integridad del flujo de control". Encuestas de computación ACM . 50 : 1–33. doi : 10.1145/3054924 . S2CID  1688011.
• Peng, Hui; Shoshitaishvili, Yan; Payer, Mathias (2018). "T-Fuzz: Fuzzing por transformación de programas". Simposio IEEE sobre seguridad y privacidad de 2018 (SP) . págs. 697–710. doi :10.1109/SP.2018.00056. ISBN. 978-1-5386-4353-2.S2CID 4662297  .
• Payer, Mathias; Barresi, Antonio; Gross, Thomas R. (2015). "Integridad de flujo de control de grano fino mediante endurecimiento binario". Detección de intrusiones y malware, y evaluación de vulnerabilidades . Apuntes de clase en informática. Vol. 9148. págs. 144–164. doi :10.1007/978-3-319-20550-2_8. ISBN 978-3-319-20549-6.
• Payer, Mathias (2016). "HexPADS: una plataforma para detectar ataques "ocultos". Ingeniería de software y sistemas seguros . Apuntes de clase en informática. Vol. 9639. págs. 138–154. doi :10.1007/978-3-319-30806-7_9. ISBN 978-3-319-30805-0.
• Ge, Xinyang; Talele, Nirupama; Payer, Mathias; Jaeger, Trent (2016). "Integridad de flujo de control de grano fino para software de núcleo". Simposio europeo IEEE sobre seguridad y privacidad de 2016 (EuroS&P) . págs. 179–194. doi :10.1109/EuroSP.2016.24. ISBN 978-1-5090-1751-5.S2CID1407691  .​

Referencias

1. "La aplicación Corona-Warn se encuentra en el Startlöchern". Vaterland en línea . 13 de mayo de 2020 . Consultado el 30 de septiembre de 2020 .
2. "15 nuevos profesores nombrados en la ETH de Zúrich y la EPFL". www.admin.ch . Consultado el 22 de noviembre de 2021 .
3. Payer, MJ, 2012. Carga segura y confinamiento eficiente del tiempo de ejecución: una base para la ejecución segura (tesis doctoral, ETH Zurich). PDF
4. Szekeres, L.; Payer, M.; Tao Wei; Song, Dawn (25 de junio de 2013). "SoK: Guerra eterna en la memoria". Simposio IEEE sobre seguridad y privacidad de 2013. Berkeley, CA: IEEE. págs. 48–62. doi :10.1109/SP.2013.13. ISBN 978-0-7695-4977-4. Número de identificación del sujeto  2937041.
5. "Purdue University - Department of Computer Science -" (Universidad de Purdue - Departamento de Ciencias de la Computación -). www.cs.purdue.edu . Consultado el 30 de septiembre de 2020 .
6. "15 nuevos profesores nombrados en la ETH de Zúrich y la EPFL – Junta Directiva de la ETH" . Consultado el 30 de noviembre de 2022 .
7. "HexHive". hexhive.epfl.ch . Consultado el 30 de septiembre de 2020 .
8. Gurses, Seda; Diaz, Claudia (3 de marzo de 2013). "Dos relatos de privacidad en las redes sociales en línea". IEEE Security & Privacy . 11 (3): 29–37. doi :10.1109/MSP.2013.47. ISSN  1540-7993. S2CID  3732217.
9. Burow, Nathan; Carr, Scott A.; Nash, Joseph; Larsen, Per; Franz, Michael; Brunthaler, Stefan; Payer, Mathias (13 de abril de 2017). "Integridad del flujo de control: precisión, seguridad y rendimiento". Encuestas de informática de ACM . 50 (1): 1–33. doi : 10.1145/3054924 . ISSN  0360-0300. S2CID  1688011.
10. Payer, Mathias (2016), Caballero, Juan; Bodden, Eric; Athanasopoulos, Elias (eds.), "HexPADS: una plataforma para detectar ataques "furtivos"", Ingeniería de software y sistemas seguros , Lecture Notes in Computer Science, vol. 9639, Cham: Springer International Publishing, págs. 138–154, doi :10.1007/978-3-319-30806-7_9, ISBN 978-3-319-30805-0, consultado el 30 de septiembre de 2020
11. Reilly, Jack; Martin, Sébastien; Payer, Mathias; Bayen, Alexandre M. (13 de junio de 2016). "Creación de patrones de congestión complejos mediante el control de tráfico óptimo multiobjetivo en autopistas con aplicación a la ciberseguridad". Transportation Research Part B: Methodological . 91 : 366–382. doi : 10.1016/j.trb.2016.05.017 .
12. Payer, Mathias (25 de marzo de 2019). "El tren de la exageración del fuzzing: cómo las pruebas aleatorias desencadenan miles de fallos". IEEE Security & Privacy . 17 (1): 78–82. doi :10.1109/MSEC.2018.2889892. ISSN  1540-7993. S2CID  90263473.
13. Peng, Hui; Shoshitaishvili, Yan; Payer, Mathias (26 de julio de 2018). "T-Fuzz: Fuzzing por transformación de programas". Simposio IEEE sobre seguridad y privacidad de 2018 (SP) . San Francisco, CA: IEEE. págs. 697–710. doi : 10.1109/SP.2018.00056 . ISBN. 978-1-5386-4353-2.S2CID 4662297  .
14. Payer, Mathias; Barresi, Antonio; Gross, Thomas R. (2015), Almgren, Magnus; Gulisano, Vincenzo; Maggi, Federico (eds.), "Integridad de flujo de control de grano fino mediante endurecimiento binario", Detección de intrusiones y malware, y evaluación de vulnerabilidades , vol. 9148, Cham: Springer International Publishing, págs. 144–164, doi :10.1007/978-3-319-20550-2_8, ISBN 978-3-319-20549-6, consultado el 30 de septiembre de 2020
15. Lou, Remi (11 de septiembre de 2020). "BLURtooth: esta falla de seguridad de Bluetooth no es una solución". Journal du Geek (en francés) . Consultado el 30 de septiembre de 2020 .
16. Cimpanu, Catalin. "Miles de millones de dispositivos vulnerables a la nueva falla de seguridad de Bluetooth 'BLESA'". ZDNet . Consultado el 30 de septiembre de 2020 .
17. Cimpanu, Catalin. "Nueva herramienta de fuzzing encuentra 26 errores USB en Linux, Windows, macOS y FreeBSD". ZDNet . Consultado el 30 de septiembre de 2020 .
18. Mayo de 2020, Anthony Spadafora 28 (28 de mayo de 2020). "Los sistemas USB pueden tener algunas fallas de seguridad graves, especialmente en Linux". TechRadar . Consultado el 30 de septiembre de 2020 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
19. "Nueva herramienta de fuzzing detecta código de controlador USB inseguro". iTnews . Consultado el 7 de octubre de 2020 .
20. "Libro blanco de DP-3T". GitHub . 2020-05-20 . Consultado el 2020-09-30 .
21. "Coronavirus: comienza la prueba de la aplicación de rastreo de contactos de Inglaterra". BBC News . 2020-08-13 . Consultado el 2020-10-07 .
22. "Los investigadores de la EPFL ponen a prueba una aplicación de rastreo de proximidad". Ciencia|Negocios . Consultado el 30 de septiembre de 2020 .
23. "Wissenschaftler warnen vor beispielloser Überwachung der Gesellschaft". www.netzwoche.ch (en alemán). 22 de abril de 2020 . Consultado el 30 de septiembre de 2020 .
24. "Coronavirus y rastreo de contactos: esta aplicación desaparecerá en Suiza con el bloqueo". Basler Zeitung (en alemán). 21 de abril de 2020 . Consultado el 7 de octubre de 2020 .
25. "Distanzmessung mit Bluetooth - Die" Swiss Covid "-App könnte zu vielen Fehlalarmen führen". Tages-Anzeiger (en alemán). 20 de junio de 2020 . Consultado el 7 de octubre de 2020 .
26. "Aviso de seguridad: "Introspección ASL entre máquinas virtuales (CAIN)"" . Consultado el 7 de octubre de 2020 .
27. "Acerca de". www.xorlab.com . Consultado el 7 de octubre de 2020 .
28. Nspace; gannimo (29 de diciembre de 2019), ¡Sin fuente, no hay problema! Fuzzing binario de alta velocidad , consultado el 7 de octubre de 2020
29. gannimo (30 de diciembre de 2017), Confusión de tipos: descubrimiento, abuso y protección , consultado el 7 de octubre de 2020
30. gannimo; [email protected] (28 de diciembre de 2015), Nuevos ataques de corrupción de memoria: ¿por qué no podemos tener cosas buenas? , consultado el 7 de octubre de 2020
31. "Black Hat Europe 2015". www.blackhat.com . Consultado el 7 de octubre de 2020 .
32. "Del estándar Bluetooth a los días cero compatibles con el estándar | Daniele Antonioli y Mathias Payer | Conferencia virtual hardwear.io". hardwear.io . Consultado el 7 de octubre de 2020 .
33. "Programa de charlas 2020 | Insomni'Hack" . Consultado el 7 de octubre de 2020 .
34. "Eccellenza: Lista de premiados" (PDF) . 2019-11-01 . Consultado el 2020-09-30 .
35. "PROYECTOS FINANCIADOS POR EL CEI". ERC: Consejo Europeo de Investigación . Consultado el 30 de septiembre de 2020 .
36. "La Sociedad Internacional de Computación reconoce a los miembros distinguidos de 2023 por sus logros significativos". 17 de enero de 2024.

Enlaces externos

• Publicaciones de Mathias Payer indexadas en Google Scholar
• Sitio web del grupo HexHive