资料列表
Preview Name 作者 Date File info
  • A Systematic Analysis of the Juniper Dual EC Incident
  • A Systematic Analysis of the Juniper Dual EC Incident。作者分析了Juniper公司的VPN路由器系统ScreenOS,研究了其随机数生成和IKE协议中的问题及带来的危害,可无须任何流量直接解密一次IKE握手和VPN流量。

    2015年12月Juniper公司表示自己的VPN路由器系统ScreenOS被植入未经授权的代码,作者分析了该系统的随机数生成和IKE协议中的问题和带来的危害,可无须任何流量直接解密一次IKE握手和VPN流量

    Background

    Juniper使用的随机数生成器是Dual EC PRNG。Dual EC使用椭圆曲线上的两个点P、Q来生成随机数,在2007 Crypto,Shumow 和Ferguson指出 得到 logPQ = e 可以恢复出生成器的内部状态,从而预测之后的输出。因此2013年NIST不建议使用Dual EC,Juniper表示Dual EC仍在使用,但是Q点与NIST标准不同,是由Juniper选择的点,而且Dual EC的结果不直接输出,再经过X9.31 PRNG后输出。

    • CVE-2015-77554 (“Administrative Access”):ssh 后门密码 <<< %s(un=‘%s’) = %u
    • CVE-2015-77565 (“VPN Decryption”):There is no way to detect that this vulnerability was exploited.

    对vulnerable和patch后的binary比较分析,发现攻击者修改了原始版本中的Q,patch 把Q改回原始的值。但是根据Juniper之前的申明,即使可以修改Q也无法解密,输出还要经过X9.31 PRNG。这就产生了对Juniper之前声明的准确性的疑问:

    • 为什么Q点的改变会导致VPN被解密的漏洞?
    • 为什么X9.31没能保护Q点被改变带来的问题?
    • ScreenOS中PRNG代码的历史是什么?
    • Juniper的Q点是如何产生的?
    • Juniper产生的Q点能否被攻击?
GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 0.68 M
  • Extract Me if You Can: Abusing PDF Parsers in Malware Detectors
  • 论文Extract Me if You Can: Abusing PDF Parsers in Malware Detectors 发表在NDSS'2016上。作者对PDF的malware做了个JS提取工具来自动化提取恶意PDF里的JS代码,同时分析了现有PDF病毒分析工具的缺陷,总结了PDF JS的常见混淆方法。

    这篇文章发表在NDSS 16上,作者是Syracuse University的Curtis Carmony。这篇文章里,作者针对PDF的malware,对Adobe Reader做了个javascript提取工具,来自动化地提取恶意PDF里的javascript。然后作者分析了现有PDF病毒分析工具存在的缺陷,并总结了一些PDF javascript的混淆方法,来绕过PDF病毒分析工具和杀软。最后,作者提出了一些应对的措施,来加强PDF病毒的检测。

GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 1.1 M
  • Cisco IOS Router Exploitation
  • Cisco IOS Router Exploitation 来自BlackHat'2009。作者讨论了Cisco IOS路由器中的漏洞利用问题。

    Available Vulnerabilities

    • 2008 年Cisco Systems’ Product Security Advisory公开了14个漏洞,基本上所有的描述都是造成DoS
    • 有理由相信不是memory corruption而是 insufficient handling of exceptional states
    • Service Vulnerabilities
      • 防火墙,导致现在(2009年)攻击开始从server向client转移
      • Cisco IOS里有HTTP(S), FTP, TFTP, SSH, TELNET, 但是”For attackers seeking to gain control of important network infrastructure, such services are not of interest, as well-managed networks will not make use of such services on their core routing infrastructure.”
      • 网络设备中会使用的协议EIGRP, OSPF, ISIS, BGP
        • BGP: the service will not be visible as such to any remote network node
        • Other routing specific services, such as OSPF and EIGRP, require the network traffic to be received on an IPv4 multicast address, effectively making - sure that the sender is within the same multicast domain as the receiving router.
        • 但是Cisco IOS IP options vulnerability是一个例外
        • 其他今年加入到IOS的服务包括VoIP, SSL VPN, 包过滤Web Service Management Agent(SOAP),XML-PI和H.323
    • Client Side Vulnerabilities:But up until now, client side vulnerabilities have not played any role in Cisco IOS attacks.
    • Transit Vulnerabilities
      • triggered by traffic passing through the router
      • Transit Vulnerabilities are extremely rare.
        • 原因在于包转发通过fast-path转发,所以除了第一个包之外,其他的处理过程都通过硬件来做了。。
        • 还有一些包会被”punted”, 从硬件退回给CPU来处理,作者提了两个可能:(1)目的IP是Router自己,但是这就不再是一个Transit Vul了;(2)IP fragment reassembly
      • So far, no true Transit Vulnerability is known to the author.
GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 1 个
  • 大小: 0.1 M
  • Checking Intent-based Communication in Android With Intent Space Analysis
  • Checking Intent-based Communication in Android With Intent Space Analysis 发表在AisaCCS'2016上。作者提出了IntentScope工具,能够综合系统中所有的security extensions规则,得出一个完整的,所有APP之间能否互相以intent通信的关系

    • Intent在Android中是APP之间主要的交互方式。处于安全考虑,需要限制部分APP之间的intent交互。这些限制模块可以称为security extensions。
    • 系统内部的security extensions包括:Intent Filter,Intent Firewall(可在系统路径/data/system/ifw/*.xml下查看,会记录哪些APP发送的怎样的intent会被block),Permissions,Protected Broadcasts(某些系统广播只能由系统APP接受,发送等)。
    • 除了系统内部的,目前也有很多额外的安全增强模块被提出来,比如:Saint,TISSA,CRePe,APEX,SE Android等等。
    • 由于security extensions太多,各有各的规则,各有各的逻辑,就导致很难明确的知道到底系统中,每个APP之间到底能不能用intent通信。同时,每个security extension,很难证明自己真正起到了效果。
    • 因此,作者提出了IntentScope这个工具。这个工具会综合系统中所有的security extensions的规则,最后得出一个完整的,所有APP之间能否互相以intent通信的关系。
GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 0.77 M
  • Building Privacy-Preserving Cryptographic Credentials From Federated Online Identities
  • Building Privacy-Preserving Cryptographic Credentials From Federated Online Identities 是一篇发表在CODASPY'2016会议上的论文。这篇文章提出了Crypto-Book方案,用于解决跨站认证过程(SSO)中的隐私泄露和追踪问题。

    Abstract & Introduction

    • 这篇文章提出了Crypto-Book方案,用于解决跨站认证过程(SSO)中的隐私泄露和追踪问题。
    • 贡献主要有4点:
      • 提出了一种现实可行方案能够在SSO中提供隐私保护。
      • 提出了多种插件化的认证凭据方案可以支持不同级别的隐私和匿名性。
      • 认证凭据来自多个不同的身份提供商,避免了单个身份被攻破带来的安全问题。
      • 对本系统的现实可行性进行了充分的评估。
GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 0.67 M
  • Checking Correctness of Code Generator Architecture Specifications
  • Checking Correctness of Code Generator Architecture Specifications 是一篇发表在CGO'2015会议上的论文。这篇文章的主要贡献就在于提供了一个GCC的RTL的解释器,以及一个有效的架构无关的test case生成策略

    Intro & Abstract

    • 由于现代指令集架构的复杂化,导致编译器需要时常地去维护更新coder generator使用的architecture specifications,但是例如GCC这类的编译器在测试时并不会对编译器中某个单独的部分进行测试,而只是进行end-toend testing

    • 本文目的就是要去检测编译器中coder generator所使用的architecture specifications的正确性。由于现代编译器普遍地利用一个特定语言的前端将源代码转化为中间语言表示,再将这个中间语言表示利用coder generator转化为汇编代码。因此本文检测code generator正确性的方法就是检测IR片段以及它对应生成的汇编代码是否等价。

    • 本文的主要贡献就在于提供了一个GCC的RTL的解释器,以及一个有效的架构无关的test case生成策略。

GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 0.44 M
  • Control Flow Integrity for COTS Binaries
  • Control Flow Integrity for COTS Binaries 是一篇发表在USENIX‘13会议上的论文 。本文提出了一种技术可以将CFI运用到去除了信息的x86/Linux 二进制程序中,文中的实验是第一个能够将CFI技术运用到复杂的共享库(glibc)中的工作。

    Abstract

    CFI作为一种重要的底层安全属性,能够抵御大多数注入和已有的攻击,包括ROP。以前的实现通常需要编译器支持或者二进制程序中的重定位或调试信息。本文提出了的技术能将CFI运用到去除了信息(stripped)的x86/Linux 二进制程序中。本文中的实验是第一个能够将CFI技术运用到复杂的共享库(glibc)中的工作。实验结果显示,文中的CFI实现能够有效对抗控制流劫持攻击,并且消除了大部分ROP gadget。为达到这个目标,作者开发了许多robust的技术,包括反汇编,静态分析,大型binary的转换。实验中成功在超过300MB的binary上测试通过。

GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 0.57 M
  • SKEE: A Lightweight Secure Kernel-level Execution Environment for ARM
  • SKEE: A Lightweight Secure Kernel-level Execution Environment for ARM 是一篇发表在NDSS‘16会议上的论文 。这篇论文提出了SKEE,一个ARM平台上提供与kernel相同执行权限的独立轻量级运行环境。

    Introduction

    为内核提供检测与保护

    以前的一些方法:

    • Virtualization-based Approaches:TCB 必须足够大,能够处理资源分配、硬件虚拟化。而且虚拟机例如VMware、XEN有自身的安全问题。
    • Microhypervisor Approaches:小型的hypervisor,旨在提供隔离。microhypervisors do not provide a good fit to host security tools that require a relatively large code base.
    • sandbox:需要虚拟化提供隔离,需要hypervisor来管理分配sandbox,因此会增大TCB的大小。
    • hardware protection:Intel: Software Guard Extensions (SGX).在ARM中没有类似的防护,ARM提出TrustZone,但也会增大code base和需要对高权限的Trustzone层的维护

    SKEE

    • 完美地与内核隔离
    • 提供一个切换到隔离区域的接口
    • 能够让安全工具检测内核
GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 2.51 M
  • Combining Symbolic Execution and Model Checking for Data Flow Testing
  • Combining Symbolic Execution and Model Checking for Data Flow Testing 是一篇发表在ICSE‘15会议上的论文 。本文提出了通过符号执行和模型测试以提高动态数据流分析代码覆盖率的方法。

    Overview

    • Data Flow Testing(DFT)的目的是通过观察程序中变量所有被使用的情况以证明其被使用正确
    • 问题:
      • 现存的 data flow coverage 工具很少,已知的只有20年前的ATAC
      • 数据流的test data的生成复杂度高;要生成覆盖变量定义、使用的测试用例比只覆盖程序语句要复杂 (路径爆炸)
      • 不可达的测试目标使得DFT更加困难
    • 方法:
      • Dynamic Symbolic Execution (DSE)
      • Counter example-Guided Abstraction Refinement(CEGAR)
        • 给定源码和假设,静态分析证明程序满足假设、或者给出反例
GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 附件: 2 个
  • 大小: 1.04 M
  • Shreds: Fine-grained Execution Units With Private Memory
  • Shreds: Fine-grained Execution Units With Private Memory 是一篇发表在S&P‘16会议上的论文 。本文为开发人员提供一个机制,可以保护程序中的特殊数据,令这个程序被溢出之后,攻击者也无法获得内存中敏感的数据(如heartbleed泄露服务器私钥)。

    • 文章的目标:为开发人员提供一个机制,可以保护程序中的特殊数据,令这个程序被溢出之后,攻击者也无法获得内存中敏感的数据(如heartbleed泄露服务器私钥)
    • idea:
      • 提出Shred的概念,本身是一个thread执行中的一小段过程。
      • 只有特定的shred有读取敏感数据池s-pool中数据的权限。
      • 保证shred安全的前提下,确保效率
  • 附件: 2 个
  • 大小: 1.74 M