Detail publikace

A Concept of Automated Vulnerability Search in Contactless Communication Applications

HENZL Martin, HANÁČEK Petr, JURNEČKA Peter a KAČIC Matej. A Concept of Automated Vulnerability Search in Contactless Communication Applications. In: Proceedings 46th Annual IEEE International Carnahan Conference on Security Technology. Boston: Institute of Electrical and Electronics Engineers, 2012, s. 180-186. ISBN 978-1-4673-4807-2.
Název česky
Koncept automatického hledání zranitelností v aplikacích využívajících bezkontaktní komunikaci
Typ
článek ve sborníku konference
Jazyk
angličtina
Autoři
Abstrakt

Návrh a implementace bezpečných aplikací, které využívají bezkontaktní komunikaci, je těžké, i když je použit bezpečný hardware. Mnoho současných bezkontaktních zařízení má verifikovánu bezpečnost na vysoké úrovni, nicméně nesprávná implementace komunikačního protokolu může vést k úniku citlivých informací, přestože samotný protokol je také bezpečný. V tomto článku představujeme koncept automatického hledání zranitelností v implementaci protokolu pomocí verifikačních metod, který by měl pomoci vývojářům verifikovat jejich aplikace. Dále ukazujeme jednoduchý příklad možného útoku na zdánlivě bezpečný platební protokol, který je implementován pomocí zdánlivě bezpečné čipové karty, abychom ukázali způsob, jakým může útočník využít chybu v implementaci. Zranitelnost, kterou může útočník využít, může být v jednom příkazu, nebo v kombinaci příkazů, které nejsou zranitelné samy o sobě. Není jednoduché najít takové kombinace manuálně, zde se mohou použít automatizované verifikační metody. Složité zranitelnosti se dají nalézt pomocí model checkingu. Chtěli jsme ukázat, že útočník nemusí mít k dispozici zdrojové kódy, tak jsme vyvinuli platformu pro analýzu protokolu z bezkontaktní komunikace. Tato platforma umožňuje odposlech, změnu dat a dokáže emulovat obě zúčastněné strany. Když je pomocí model checkingu nalezena zranitelnost, může být proveden útok. Útok je buď úspěšný, čímž se potvrdí nalezení zranitelnosti, nebo neúspěšný, potom se zpřesní model a můžeme znovu použít model checking.

Rok
2012
Strany
180-186
Sborník
Proceedings 46th Annual IEEE International Carnahan Conference on Security Technology
Konference
46th IEEE INTERNATIONAL CARNAHAN CONFERENCE ON SECURITY TECHNOLOGY, Boston, US
ISBN
978-1-4673-4807-2
Vydavatel
Institute of Electrical and Electronics Engineers
Místo
Boston, US
BibTeX
@INPROCEEDINGS{FITPUB10026,
   author = "Martin Henzl and Petr Han\'{a}\v{c}ek and Peter Jurne\v{c}ka and Matej Ka\v{c}ic",
   title = "A Concept of Automated Vulnerability Search in Contactless Communication Applications",
   pages = "180--186",
   booktitle = "Proceedings 46th Annual IEEE International Carnahan Conference on Security Technology",
   year = 2012,
   location = "Boston, US",
   publisher = "Institute of Electrical and Electronics Engineers",
   ISBN = "978-1-4673-4807-2",
   language = "english",
   url = "https://www.fit.vut.cz/research/publication/10026"
}
Nahoru