Simposio IEEE sobre seguridad y privacidad

Conferencia anual sobre ciberseguridad

El Simposio IEEE sobre Seguridad y Privacidad (IEEE S&P, IEEE SSP), también conocido como la Conferencia de Oakland , es una conferencia anual centrada en temas relacionados con la seguridad informática y la privacidad . La conferencia fue fundada en 1980 por Stan Ames y George Davida y está considerada como una de las conferencias más importantes del campo. ^{[1] [2]} La conferencia tiene una sola pista, lo que significa que todas las presentaciones y sesiones se llevan a cabo secuencialmente en un solo lugar. La conferencia también sigue un proceso de revisión doble ciego , donde las identidades de los autores y revisores se ocultan entre sí para garantizar la imparcialidad y la equidad durante el proceso de revisión por pares.

La conferencia comenzó como un pequeño taller en el que los investigadores intercambiaban ideas sobre seguridad informática y privacidad, con un énfasis inicial en la investigación teórica. Durante estos primeros años, hubo una división entre los criptógrafos y los investigadores de seguridad de sistemas , y los criptógrafos solían abandonar las sesiones centradas en la seguridad de sistemas. Esta cuestión se abordó finalmente combinando debates sobre criptografía y seguridad de sistemas en las mismas sesiones. En 2011, la conferencia se trasladó a San Francisco debido a problemas de tamaño del recinto.

La conferencia tiene una tasa de aceptación baja debido a que tiene una sola pista. El proceso de revisión de la conferencia tiende a evaluar los artículos según una variedad de criterios con un enfoque en la novedad . En 2022, los investigadores entrevistaron a revisores de las principales conferencias de seguridad como IEEE S&P y descubrieron que el proceso de revisión de las conferencias era explotable debido a los estándares de revisión inconsistentes entre los revisores. Los revisores recomendaron asesorar a los nuevos revisores con un enfoque en la calidad de la revisión para mitigar este problema.

En 2021, investigadores de la Universidad de Minnesota presentaron un artículo en la conferencia en el que intentaron introducir errores en el núcleo de Linux , un componente del sistema operativo ampliamente utilizado, sin la aprobación del Comité de Revisión Institucional (IRB). El artículo fue aceptado y estaba previsto publicarlo; sin embargo, tras las críticas de la comunidad del núcleo de Linux, los autores del artículo se retractaron y emitieron una disculpa pública. En respuesta a este incidente, IEEE S&P se comprometió a añadir un paso de revisión ética en su proceso de revisión de artículos y a mejorar su documentación en torno a las declaraciones éticas en los artículos de investigación.

Historia

La conferencia, inicialmente concebida por los investigadores Stan Ames y George Davida en 1980 como un pequeño taller para discutir la seguridad informática y la privacidad. Este taller evolucionó gradualmente hasta convertirse en una reunión más grande dentro del campo. Celebrada inicialmente en Claremont Resort , las primeras iteraciones del evento presenciaron una división entre criptógrafos e investigadores de seguridad de sistemas . Las discusiones durante estas primeras iteraciones se centraron predominantemente en la investigación teórica , descuidando las consideraciones de implementación práctica. ^[3] Esta división persistió, hasta el punto de que los criptógrafos a menudo dejaban las sesiones centradas en temas de seguridad de sistemas. ^[4] En respuesta, las iteraciones posteriores de la conferencia integraron paneles que abarcaban tanto discusiones sobre criptografía como sobre seguridad de sistemas dentro de las mismas sesiones. Con el tiempo, la asistencia a la conferencia aumentó, lo que llevó a una reubicación a San Francisco en 2011 debido a las limitaciones de capacidad del lugar. ^[3]

Estructura

El Simposio IEEE sobre Seguridad y Privacidad considera artículos de una amplia gama de temas relacionados con la seguridad informática y la privacidad . Cada año, los presidentes del programa de la conferencia publican una lista de temas de interés que cambia según las tendencias en el campo. En reuniones anteriores, el Simposio IEEE sobre Seguridad y Privacidad ha considerado artículos de temas como seguridad web , abuso en línea , seguridad de blockchain , seguridad de hardware , análisis de malware e inteligencia artificial . ^[5] La conferencia sigue un modelo de pista única para sus procedimientos, lo que significa que solo se lleva a cabo una sesión en un momento dado. Este enfoque se desvía del formato de múltiples pistas que se usa comúnmente en otras conferencias de seguridad y privacidad, donde se realizan múltiples sesiones sobre diferentes temas simultáneamente. ^[3] Los artículos enviados para su consideración en la conferencia se revisan utilizando un proceso doble ciego para garantizar la imparcialidad. ^[6] Sin embargo, este modelo limita la conferencia en la cantidad de artículos que puede aceptar, lo que resulta en una baja tasa de aceptación a menudo de un solo dígito, a diferencia de las conferencias que pueden tener tasas en el rango del 15 al 20 por ciento. ^[3] En 2023, el Simposio IEEE sobre Seguridad y Privacidad introdujo un Comité de Ética de Investigación que examinaría los artículos enviados a la conferencia y señalaría los casos de posibles violaciones éticas en los artículos enviados. ^[7]

En 2022, un estudio realizado por Ananta Soneji et al. demostró que los procesos de revisión de las principales conferencias de seguridad, incluido el Simposio IEEE sobre Seguridad y Privacidad, eran explotables. Los investigadores entrevistaron a 21 revisores sobre los criterios que utilizaban para juzgar los artículos durante el proceso de revisión. Entre estos revisores, 19 identificaron la novedad (si el artículo avanzaba el problema de investigación o el estado del arte ) como su criterio principal. Nueve revisores también enfatizaron la importancia de la solidez técnica en la implementación, mientras que siete mencionaron la necesidad de una evaluación autónoma y completa, asegurando que todas las áreas identificadas se exploraran a fondo. Además, seis revisores destacaron la importancia de una redacción clara y eficaz en sus evaluaciones. Con base en estas entrevistas, los investigadores identificaron una falta de criterios objetivos para la evaluación de los artículos y notaron un grado de aleatoriedad entre las revisiones proporcionadas por los revisores de la conferencia como las principales debilidades del proceso de revisión por pares utilizado por las conferencias. Para remediarlo, los investigadores recomendaron asesorar a los nuevos revisores con un enfoque en mejorar la calidad de la revisión en lugar de otras métricas de productividad. Reconocieron una iniciativa de IEEE S&P que permite a los estudiantes de doctorado e investigadores postdoctorales acompañar a los revisores del comité del programa, pero también señalaron los hallazgos de un informe de 2017 que sugiere que estos estudiantes tienden a ser más críticos en sus evaluaciones en comparación con los revisores experimentados, ya que no fueron calificados en la calidad de la revisión. ^[2]

Controversia

En 2021, investigadores de la Universidad de Minnesota presentaron un artículo titulado "Sobre la viabilidad de introducir sigilosamente vulnerabilidades en software de código abierto a través de confirmaciones hipócritas" ^[8] en la 42.a iteración de una conferencia. ^{[9] [10]} Su objetivo era destacar las vulnerabilidades en el proceso de revisión de los parches del kernel de Linux , y el artículo fue aceptado para su presentación en 2021. ^[10] El kernel de Linux es un componente del sistema operativo de código abierto ampliamente utilizado que forma el núcleo del sistema operativo Linux , ^[8] que es una opción popular en servidores y en dispositivos orientados al consumidor como Steam Deck , ^[11] Android y ChromeOS . ^[12] Sus métodos implicaban escribir parches para errores triviales existentes en el kernel de Linux de manera que introdujeran intencionalmente errores de seguridad en el software. ^[13] Los investigadores presentaron cuatro parches bajo seudónimos, tres de los cuales fueron rechazados por sus respectivos revisores de código que identificaron correctamente el código con errores. ^[14] El cuarto parche se fusionó, sin embargo, durante una investigación posterior se encontró que los investigadores habían entendido mal la forma en que funcionaba el código y habían enviado una corrección válida. ^[15] Este intento de incluir errores se realizó sin la aprobación de la Junta de Revisión Institucional (IRB). ^{[16] [15]} A pesar de someterse a revisión por parte de la conferencia, esta violación de las responsabilidades éticas no se detectó durante el proceso de revisión del artículo. ^[10] Este incidente provocó críticas de la comunidad Linux y la comunidad de ciberseguridad en general. ^{[16] [17] [18]} Greg Kroah-Hartman , uno de los principales mantenedores del kernel, prohibió a los investigadores y a la universidad realizar más contribuciones al proyecto Linux, lo que finalmente llevó a los autores y a la universidad a retractarse del artículo ^[8] y emitir una disculpa a la comunidad de desarrolladores del kernel de Linux. ^{[9] [18]} En respuesta a este incidente, IEEE S&P se comprometió a agregar un paso de revisión ética en su proceso de revisión de artículos y mejorar su documentación sobre las declaraciones éticas en los artículos de investigación. ^[10]

Referencias

1. Carver, Jeffrey C.; Burcham, Morgan; Kocak, Sedef Akinli; Bener, Ayse; Felderer, Michael; Gander, Matthias; King, Jason; Markkula, Jouni; Oivo, Markku; Sauerwein, Clemens; Williams, Laurie (19 de abril de 2016). "Establecer una línea de base para medir el avance en la ciencia de la seguridad: un análisis de las actas de seguridad y privacidad del IEEE de 2015". Actas del Simposio y campamento de entrenamiento sobre la ciencia de la seguridad . ACM. págs. 38–51. doi :10.1145/2898375.2898380. ISBN . 978-1-4503-4277-3.
2. Soneji, Ananta; Kokulu, Faris Bugra; Rubio-Medrano, Carlos; Bao, Tiffany; Wang, Ruoyu; Shoshitaishvili, Yan; Doupé, Adam (1 de mayo de 2022). ""Defectuoso, pero al igual que la democracia, no tenemos un sistema mejor": las ideas de los expertos sobre el proceso de revisión por pares para evaluar los documentos de seguridad". Simposio IEEE sobre seguridad y privacidad de 2022 (SP) . IEEE. págs. 1845–1862. doi :10.1109/SP46214.2022.9833581. ISBN . 978-1-6654-1316-9.
3. Neumann, Peter G.; Peisert, Sean; Schaefer, Marvin (1 de mayo de 2014). "El Simposio IEEE sobre Seguridad y Privacidad, en retrospectiva". IEEE Security & Privacy . 12 (3): 15–17. doi :10.1109/MSP.2014.59. ISSN  1540-7993.
4. Neumann, Peter G.; Bishop, Matt; Peisert, Sean; Schaefer, Marv (2010). "Reflexiones sobre el 30.º aniversario del Simposio IEEE sobre seguridad y privacidad". Simposio IEEE sobre seguridad y privacidad de 2010. IEEE. págs. 3–13. doi :10.1109/sp.2010.43. ISBN 978-1-4244-6894-2.
5. "Simposio IEEE sobre seguridad y privacidad 2023". sp2023.ieee-security.org . Consultado el 25 de agosto de 2024 .
6. "Simposio IEEE sobre seguridad y privacidad 2024". sp2024.ieee-security.org . Consultado el 6 de mayo de 2024 .
7. "Mensaje de los presidentes del programa". Simposio IEEE sobre seguridad y privacidad de 2023 (SP) . IEEE. 1 de mayo de 2023. págs. 34-35. doi :10.1109/SP46215.2023.10179462. ISBN 978-1-6654-9336-9.
8. Chin, Monica (30 de abril de 2021). "Cómo una universidad se vio excluida del núcleo Linux". The Verge . Consultado el 12 de mayo de 2024 .
9. Salter, Jim (26 de abril de 2021). «El equipo del kernel de Linux rechaza la disculpa de los investigadores de la Universidad de Minnesota». Ars Technica . Consultado el 12 de mayo de 2024 .
10. "Declaración del Comité del Programa IEEE S&P'21 sobre el documento "Hypocrite Commits"" (PDF) . IEEE SSP . 6 de mayo de 2021 . Consultado el 22 de agosto de 2024 .
11. Dexter, Alan (9 de agosto de 2021). "Por eso Valve está cambiando de Debian a Arch para el sistema operativo Linux de Steam Deck". PC Gamer . Consultado el 25 de agosto de 2024 .
12. "¿Linux tiene más del 3% del mercado de escritorio? Es más complicado que eso". ZDNET . Consultado el 25 de agosto de 2024 .
13. "Greg Kroah-Hartman prohíbe a la Universidad de Minnesota desarrollar Linux por parches deliberadamente defectuosos". ZDNET . Consultado el 12 de mayo de 2024 .
14. "Una actualización sobre el asunto UMN [LWN.net]". lwn.net . Consultado el 22 de agosto de 2024 .
15. "Informe sobre el incidente de violación de la confianza en la Universidad de Minnesota - Kees Cook". lore.kernel.org . Consultado el 22 de agosto de 2024 .
16. "Las demandas de la Fundación Linux a la Universidad de Minnesota por su proyecto de seguridad de parches defectuosos para Linux". ZDNET . Consultado el 12 de mayo de 2024 .
17. "Compromisos intencionalmente llenos de errores para conseguir fama y artículos [LWN.net]". lwn.net . Consultado el 22 de agosto de 2024 .
18. "Investigadores de seguridad de la Universidad de Minnesota se disculpan por parches de Linux deliberadamente defectuosos". ZDNET . Consultado el 22 de agosto de 2024 .