Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais.
Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como \"PIN pads\". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Person...
Main Author: | |
---|---|
Other Authors: | |
Format: | Others |
Language: | pt |
Published: |
Biblioteca Digitais de Teses e Dissertações da USP
2016
|
Subjects: | |
Online Access: | http://www.teses.usp.br/teses/disponiveis/3/3142/tde-22032017-080657/ |
id |
ndltd-usp.br-oai-teses.usp.br-tde-22032017-080657 |
---|---|
record_format |
oai_dc |
spelling |
ndltd-usp.br-oai-teses.usp.br-tde-22032017-0806572019-05-09T20:47:58Z Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. New side-channel attacks on devices for manual input of sensitive data. Faria, Gerson de Souza Ataque de canal secundário Big data Big Data Common criteria Common Criteria EMV EMV Informação (Segurança) Information security Internet das coisas Internet of things PCI PCI PIN Entry Device PIN pad PIN pad Processamento digital de sinais Reconhecimento de padrões Redes de computadores (Segurança) Side-channel attack Smartcard Smartcard skimming Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como \"PIN pads\". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Personal Identification Number) quando o mesmo é digitado. Demonstramos experimentalmente que é possível inferir com elevada taxa de acerto (100% em um dos ataques) a senha digitada, de forma não-invasiva. Os ataques desenvolvidos são baseados na introdução de sensores nos próprios equipamentos ou em seu ambiente de operação: acelerômetros para análise de vibração, microfones para análise acústica e células de carga para medição de forças do pressionamento. Devido à massificação no uso de sensores por dispositivos de consumo, o roubo de informação por meios não convencionais é atividade crescente. Os resultados dos ataques de baixo custo realizados expõem sérias deficiências no processo de certificação de segurança de tais equipamentos. This thesis presents three new attacks on electronic payment equipment having mechanical keypads, known as \"PIN pads\". We show in three different ways how they have security vulnerabilities at the physical layer allowing the leak of the PIN (Personal Identification Number) when it is entered. We experimentally demonstrated that it is possible to infer with high success rate (100% in one of the attacks) the password entered on the device, in a non-invasive way. The attacks are based on the placement of sensors inside the equipment itself or in its operating environment: accelerometers for doing vibration analysis, microphones for acoustic analysis and load cells for measuring the pressing force. Due to massive deployment of sensors in consumer devices, information theft by unconventional means is increasing. The results of the low-cost attacks here developed expose serious shortcomings in the process of security certification of such equipment. Biblioteca Digitais de Teses e Dissertações da USP Kim, Hae Yong 2016-12-09 Tese de Doutorado application/pdf http://www.teses.usp.br/teses/disponiveis/3/3142/tde-22032017-080657/ pt Liberar o conteúdo para acesso público. |
collection |
NDLTD |
language |
pt |
format |
Others
|
sources |
NDLTD |
topic |
Ataque de canal secundário Big data Big Data Common criteria Common Criteria EMV EMV Informação (Segurança) Information security Internet das coisas Internet of things PCI PCI PIN Entry Device PIN pad PIN pad Processamento digital de sinais Reconhecimento de padrões Redes de computadores (Segurança) Side-channel attack Smartcard Smartcard skimming |
spellingShingle |
Ataque de canal secundário Big data Big Data Common criteria Common Criteria EMV EMV Informação (Segurança) Information security Internet das coisas Internet of things PCI PCI PIN Entry Device PIN pad PIN pad Processamento digital de sinais Reconhecimento de padrões Redes de computadores (Segurança) Side-channel attack Smartcard Smartcard skimming Faria, Gerson de Souza Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
description |
Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como \"PIN pads\". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Personal Identification Number) quando o mesmo é digitado. Demonstramos experimentalmente que é possível inferir com elevada taxa de acerto (100% em um dos ataques) a senha digitada, de forma não-invasiva. Os ataques desenvolvidos são baseados na introdução de sensores nos próprios equipamentos ou em seu ambiente de operação: acelerômetros para análise de vibração, microfones para análise acústica e células de carga para medição de forças do pressionamento. Devido à massificação no uso de sensores por dispositivos de consumo, o roubo de informação por meios não convencionais é atividade crescente. Os resultados dos ataques de baixo custo realizados expõem sérias deficiências no processo de certificação de segurança de tais equipamentos. === This thesis presents three new attacks on electronic payment equipment having mechanical keypads, known as \"PIN pads\". We show in three different ways how they have security vulnerabilities at the physical layer allowing the leak of the PIN (Personal Identification Number) when it is entered. We experimentally demonstrated that it is possible to infer with high success rate (100% in one of the attacks) the password entered on the device, in a non-invasive way. The attacks are based on the placement of sensors inside the equipment itself or in its operating environment: accelerometers for doing vibration analysis, microphones for acoustic analysis and load cells for measuring the pressing force. Due to massive deployment of sensors in consumer devices, information theft by unconventional means is increasing. The results of the low-cost attacks here developed expose serious shortcomings in the process of security certification of such equipment. |
author2 |
Kim, Hae Yong |
author_facet |
Kim, Hae Yong Faria, Gerson de Souza |
author |
Faria, Gerson de Souza |
author_sort |
Faria, Gerson de Souza |
title |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
title_short |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
title_full |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
title_fullStr |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
title_full_unstemmed |
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
title_sort |
novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais. |
publisher |
Biblioteca Digitais de Teses e Dissertações da USP |
publishDate |
2016 |
url |
http://www.teses.usp.br/teses/disponiveis/3/3142/tde-22032017-080657/ |
work_keys_str_mv |
AT fariagersondesouza novosataquesdecanalsecundarioadispositivosdeentradamanualdedadosconfidenciais AT fariagersondesouza newsidechannelattacksondevicesformanualinputofsensitivedata |
_version_ |
1719070059679186944 |