• JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
  • JoomlaWorks Simple Image Rotator
 
  Bookmark and Share
 
 
Doctoral Thesis
DOI
10.11606/T.3.2017.tde-22032017-080657
Document
Author
Full name
Gerson de Souza Faria
E-mail
Institute/School/College
Knowledge Area
Date of Defense
Published
São Paulo, 2016
Supervisor
Committee
Kim, Hae Yong (President)
Fernandez, Francisco Javier Ramírez
Bianchi, Reinaldo Augusto da Costa
Gallo Filho, Roberto Alves
Ramirez, Miguel Arjona
Title in Portuguese
Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais.
Keywords in Portuguese
Ataque de canal secundário
Big Data
Common Criteria
EMV
Informação (Segurança)
Internet das coisas
PCI
PIN pad
Processamento digital de sinais
Reconhecimento de padrões
Redes de computadores (Segurança)
Smartcard
Abstract in Portuguese
Esta tese apresenta três novos ataques a equipamentos de pagamento eletrônico que possuem teclado mecânico, conhecidos como "PIN pads". Mostramos de três formas distintas como tais equipamentos possuem vulnerabilidades de segurança na camada física que permitem o vazamento do PIN (Personal Identification Number) quando o mesmo é digitado. Demonstramos experimentalmente que é possível inferir com elevada taxa de acerto (100% em um dos ataques) a senha digitada, de forma não-invasiva. Os ataques desenvolvidos são baseados na introdução de sensores nos próprios equipamentos ou em seu ambiente de operação: acelerômetros para análise de vibração, microfones para análise acústica e células de carga para medição de forças do pressionamento. Devido à massificação no uso de sensores por dispositivos de consumo, o roubo de informação por meios não convencionais é atividade crescente. Os resultados dos ataques de baixo custo realizados expõem sérias deficiências no processo de certificação de segurança de tais equipamentos.
Title in English
New side-channel attacks on devices for manual input of sensitive data.
Keywords in English
Big data
Common criteria
EMV
Information security
Internet of things
PCI
PIN Entry Device
PIN pad
Side-channel attack
Smartcard skimming
Abstract in English
This thesis presents three new attacks on electronic payment equipment having mechanical keypads, known as "PIN pads". We show in three different ways how they have security vulnerabilities at the physical layer allowing the leak of the PIN (Personal Identification Number) when it is entered. We experimentally demonstrated that it is possible to infer with high success rate (100% in one of the attacks) the password entered on the device, in a non-invasive way. The attacks are based on the placement of sensors inside the equipment itself or in its operating environment: accelerometers for doing vibration analysis, microphones for acoustic analysis and load cells for measuring the pressing force. Due to massive deployment of sensors in consumer devices, information theft by unconventional means is increasing. The results of the low-cost attacks here developed expose serious shortcomings in the process of security certification of such equipment.
 
WARNING - Viewing this document is conditioned on your acceptance of the following terms of use:
This document is only for private use for research and teaching activities. Reproduction for commercial use is forbidden. This rights cover the whole data about this document as well as its contents. Any uses or copies of this document in whole or in part must include the author's name.
Publishing Date
2017-03-22
 
WARNING: Learn what derived works are clicking here.
All rights of the thesis/dissertation are from the authors
CeTI-SC/STI
Digital Library of Theses and Dissertations of USP. Copyright © 2001-2020. All rights reserved.