• JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
 
  Bookmark and Share
 
 
Tese de Doutorado
DOI
10.11606/T.3.2017.tde-22032017-080657
Documento
Autor
Nome completo
Gerson de Souza Faria
E-mail
Unidade da USP
Área do Conhecimento
Data de Defesa
Imprenta
São Paulo, 2016
Orientador
Banca examinadora
Kim, Hae Yong (Presidente)
Fernandez, Francisco Javier Ramírez
Bianchi, Reinaldo Augusto da Costa
Gallo Filho, Roberto Alves
Ramirez, Miguel Arjona
Título em português
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais.
Palavras-chave em português
Ataque de canal secundário
Big Data
Common Criteria
EMV
Informação (Segurança)
Internet das coisas
PCI
PIN pad
Processamento digital de sinais
Reconhecimento de padrões
Redes de computadores (Segurança)
Smartcard
Resumo em português
Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como "PIN pads". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Personal Identification Number) quando o mesmo é digitado. Demonstramos experimentalmente que é possível inferir com elevada taxa de acerto (100% em um dos ataques) a senha digitada, de forma não-invasiva. Os ataques desenvolvidos são baseados na introdução de sensores nos próprios equipamentos ou em seu ambiente de operação: acelerômetros para análise de vibração, microfones para análise acústica e células de carga para medição de forças do pressionamento. Devido à massificação no uso de sensores por dispositivos de consumo, o roubo de informação por meios não convencionais é atividade crescente. Os resultados dos ataques de baixo custo realizados expõem sérias deficiências no processo de certificação de segurança de tais equipamentos.
Título em inglês
New side-channel attacks on devices for manual input of sensitive data.
Palavras-chave em inglês
Big data
Common criteria
EMV
Information security
Internet of things
PCI
PIN Entry Device
PIN pad
Side-channel attack
Smartcard skimming
Resumo em inglês
This thesis presents three new attacks on electronic payment equipment having mechanical keypads, known as "PIN pads". We show in three different ways how they have security vulnerabilities at the physical layer allowing the leak of the PIN (Personal Identification Number) when it is entered. We experimentally demonstrated that it is possible to infer with high success rate (100% in one of the attacks) the password entered on the device, in a non-invasive way. The attacks are based on the placement of sensors inside the equipment itself or in its operating environment: accelerometers for doing vibration analysis, microphones for acoustic analysis and load cells for measuring the pressing force. Due to massive deployment of sensors in consumer devices, information theft by unconventional means is increasing. The results of the low-cost attacks here developed expose serious shortcomings in the process of security certification of such equipment.
 
AVISO - A consulta a este documento fica condicionada na aceitação das seguintes condições de uso:
Este trabalho é somente para uso privado de atividades de pesquisa e ensino. Não é autorizada sua reprodução para quaisquer fins lucrativos. Esta reserva de direitos abrange a todos os dados do documento bem como seu conteúdo. Na utilização ou citação de partes do documento é obrigatório mencionar nome da pessoa autora do trabalho.
Data de Publicação
2017-03-22
 
AVISO: Saiba o que são os trabalhos decorrentes clicando aqui.
Todos os direitos da tese/dissertação são de seus autores
CeTI-SC/STI
Biblioteca Digital de Teses e Dissertações da USP. Copyright © 2001-2018. Todos os direitos reservados.