Dissertação
Attack SureThing! Offensive security assessment of a location certification system EVALUATED
O projeto SureThing está a desenvolver uma estrutura de certificação para evitar a falsificação de localização em serviços. Os protótipos existentes permitem a emissão e a verificação de provas de localização a partir de dispositivos móveis e suportam diversos casos de uso, como CROSS, uma aplicação de turismo inteligente. Apesar dos esforços dos programadores e administradores de sistemas, um sistema não pode ser considerado realmente seguro e robusto até ter sido exposto a ataques de atacantes qualificados e motivados. Partindo desta premissa, realizou-se uma avaliação de segurança ofensiva do sistema CROSS, constituído por uma aplicação móvel de turismo inteligente que permite a emissão de certificados de localização e um servidor que expõe uma interface na Internet. A nossa avaliação consistiu no uso de técnicas de ataque, nomeadamente na identificação de vulnerabilidades e testes de penetração. Usaram-se ferramentas genéricas, a partir de diferentes pontos na rede, sempre na perspectiva de um atacante. Nesta dissertação apresentamos as ferramentas e as técnicas usadas para atacar o servidor do sistema CROSS, os resultados obtidos, e os procedimentos para tornar o servidor mais seguro. A nossa avaliação de segurança consistiu no uso de diferentes ferramentas. Ao usá-las, foi-nos possível encontrar uma vulnerabilidade anteriormente desconhecida que permitia fazer escritas não autorizadas diretamente na base de dados do servidor. Foram também preparados os materiais necessários, permitindo que a mesma abordagem ofensiva seja replicada com a organização de futurs torneios competitivos, onde os mesmos ataques podem ser reproduzidos num ambiente de jogo permitindo a descoberta de novos ataques.
novembro 29, 2021, 9:0
Publicação
Obra sujeita a Direitos de Autor
Orientação
ORIENTADOR
Departamento de Engenharia Informática (DEI)
Professor Auxiliar