Autor: Bc. Katarína Amrichová
Školiteľ: MSc. Terézia Mézešová
Abstrakt
Počítačové programy často pracujú s rôznymi citlivými údajmi, ktoré sa zväčša ukladajú a spracovávajú ako reťazce, pričom v objektovo orientovaných programovacích jazykoch sa na tento účel používa trieda String. Ukladanie citlivých údajov do objektu typu String však nie je bezpečné, pretože String je nešifrovaný a navyše sa v operačnej pamäti môže nachádzať dlho potom ako prestal byť potrebný, pričom programátor si nedokáže vynútiť jeho vymazanie – za to je zodpovedný Garbage Collector, ktorý sa správa veľmi nedeterministicky. Ak sa String obsahujúci citlivé údaje nachádza v operačnej pamäti a útočník sa dostane buď k jej časti alebo priamo k celému obrazu, dokáže tieto citlivé údaje poľahky prečítať. Táto práca sa zaoberá útokmi s týmto cieľom a analyzujú sa v nej existujúce riešenia voči podobným útokom. Výsledkom našej práce je pseudokód, ktorý popisuje štruktúru a fungovanie triedy SecureString slúžiacej ako bezpečná alternatíva ku String-u. SecureString šifruje citlivé údaje, ktoré uchováva, taktiež poskytuje metódy na ich úpravu a porovnávanie a dovoľuje programátorovi úplne odstrániť citlivý obsah z operačnej pamäte, kedykoľvek prestane byť potrebný. Náš návrh je kompatibilný so štandardom Payment Card Industry Data Security Standard (PCI DSS), je teda možné používať ho aj na spracúvanie údajov súvisiacich s platobnými kartami.
Ciele
- Analyzovať a spracovať spôsoby získania dát z pamäte alokovanej aplikáciou
- Analyzovať a spracovať aktuálne prístupy k ošetreniu úniku dát z pamäte alokovanej aplikáciou
- Navrhnúť, implementovať, a vyhodnotiť preventívne opatrenie voči úniku dát z pamäte na úrovni zdrojového kódu aplikácie
Literatúra
- Zeng, Q., Zhao, M., Liu, P.: HeapTherapy: An Efficient End-to-End Solution against Heap Buffer Overflows. Proc. Int. Conf. Dependable Syst. Networks. 2015–September, 485–496 (2015).
- Focardi, R., Palmarini, F., Squarcina, M., Steel, G., Tempesta, M.: Mind Your Keys? A Security Evaluation of Java Keystores. Proc. 2018 Netw. Distrib. Syst. Secur. Symp. (2018).
- Asad, A., Ali, H.: Working with Cryptography. In: The C Programmer’s Study Guide (MCSD). pp. 347–364. Apress, Berkeley, CA (2017).
- Mun, H.-J., Li, Y.: Secure Short URL Generation Method that Recognizes Risk of Target URL. Wirel. Pers. Commun. 93, 269–283 (2017).
Priebeh práce
Zatiaľ nezverejnené