Webinar on "Placement New Attacks, Function-based Attacks and Graph HMAC" - Samgacchadhwam Series webinar 12

Date/s: 10 Jun 2020

Organising Partners: CySeck & Ciphense


ಸಂಗಚ್ಛಧ್ವಂ ಸರಣಿ  ವೆಬಿನಾರ್‌ಗಳ ಭಾಗವಾಗಿ – ವಿದ್ಯಾರ್ಥಿಗಳು / ಅಧ್ಯಾಪಕರು /  ವೃತ್ತಿನಿರತರರಿಗೆ  ಸೈಸೆಕ್ (CySecK)   “ಪ್ಲೇಸ್‌ಮೆಂಟ್ ಹೊಸ ದಾಳಿಗಳು, ಕಾರ್ಯ-ಆಧಾರಿತ ದಾಳಿಗಳು ಮತ್ತು ಗ್ರಾಫ್ ಎಚ್‌ಎಂಎಸಿ”  ಎಂಬ ವಿಷಯದ ಕುರಿತು  ಒಂದು ಉಚಿತ ವೆಬಿನಾರನ್ನು ನಡೆಸುತ್ತಿದೆ. ಈ ವೆಬಿನಾರ್ ಸೈಫೆನ್ಸ್ ಸಂಸ್ಥೆಯ ಸಹಭಾಗಿತ್ವದಲ್ಲಿದೆ.

ನೋಂದಣಿ ಲಿಂಕ್: https://meeting.zoho.in/meeting/register?sessionId=1340537447

ದಿನಾಂಕ: 10 ಜೂನ್ 2020

ಸಮಯ – ಸಂಜೆ 5:00 ರಿಂದ 6:30 ರವರೆಗೆ

ಭಾಷಣಗಾರರು: ಡಾ. ಆಶಿಷ್ ಕುಂಡು

ಸಾರಾಂಶ

ಈ ಭಾಷಣದಲ್ಲಿ ಮೂರು ಸಣ್ಣ ಭಾಷಣಗಳಿರುತ್ತವೆ:

  1. ಒಂದು ಸಿ ++ ಕೋಡ್ ಮೇಲಿನ ದಾಳಿಯ ಬಗ್ಗೆ
  2.  ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಕಾರ್ಯಗಳಿಂದಾಗಿ(ಫಂಕ್ಷನ್)  ಮೆಮೊರಿ ದಾಳಿ ಯ ಬಗ್ಗೆ
  3. ಗ್ರಾಫಿಕ್ -ರಚನಾತ್ಮಕ ಮಾಹಿತಿ(ಡೇಟಾ) ಸಮಗ್ರತೆಯ ಮೇಲಿನ ದಾಳಿಯ ಬಗ್ಗೆ
  4. ಮೊದಲನೆಯದು ಸಿ ++ ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿಯುತ್ತದೆ ಮತ್ತು ಅದರ ಆಧಾರದ ಮೇಲೆ ದಾಳಿ ಮಾಡುತ್ತದೆ: ಇದು ಸಿ ++ ನಲ್ಲಿನ “ಪ್ಲೇಸ್‌ಮೆಂಟ್ ನ್ಯೂ” ಅಭಿವ್ಯಕ್ತಿಯಿಂದ ಉಂಟಾಗುವ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ದಾಳಿಯ ಒಂದು ವರ್ಗವಾಗಿದೆ. ನಾವು ನಿರ್ದಿಷ್ಟ ಮೆಮೊರಿ ಸ್ಥಳದಲ್ಲಿ ಒಂದು ವಸ್ತು / ರಚನೆ ಇರುವಂತೆ ಮಾಡುವ “ಪ್ಲೇಸ್‌ಮೆಂಟ್ ನ್ಯೂ” ವಿನ  ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದೇವೆ.

ದುರದೃಷ್ಟವಶಾತ್, “ಪ್ಲೇಸ್‌ಮೆಂಟ್ ನ್ಯೂ”ನಿಂದಾಗಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ಆಗುವುದರ ಬಗ್ಗೆ  ಪುಸ್ತಕದಲ್ಲಿ  ಅಧ್ಯಯನ ಮಾಡಿಲ್ಲ ಅಥವಾ ಬಫರ್ ಫ್ಲೋ ಅನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು / ಅಥವಾ ಪರಿಹರಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಯಾವುದೇ ಸಾಧನದಲ್ಲಿ ಸೇರಿಸಿಲ್ಲ. ಈ ಕಾರ್ಯದ  ಕುರಿತು ನಮ್ಮ ಅಧ್ಯಯನದ  ಆಧಾರದಲ್ಲಿ  ಜಿಸಿಸಿಯು  ಪ್ಲೇಸ್‌ಮೆಂಟ್ ನ್ಯೂ ದೌರ್ಬಲ್ಯತೆಯನ್ನು ಪರಿಹರಿಸಲು ಒಂದು  ಪ್ಯಾಚ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ.

  1. ಎರಡನೆಯದು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಕಾರ್ಯಗಳಿಂದ (ಫಂಕ್ಷನ್) ಉಂಟಾಗುವ ದುರ್ಬಲತೆಯನ್ನು ಮತ್ತು ಅದರ ಆಧಾರದ ಮೇಲೆ ಉಂಟಾಗುವ ಆಕ್ರಮಣಗಳು ಕಂಡುಹಿಡಿಯುತ್ತದೆ.  ಇದು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಕಾರ್ಯಗಳಿಂದ (ಫಂಕ್ಷನ್) ಉಂಟಾಗುವ  ಮೆಮೊರಿ ಆಕ್ಸೆಸಿನ  ಒಂದು ವರ್ಗ.

ಈ ದಾಳಿಗಳು ಬಹುಬಾರಿ ಪ್ರೊಸೆಸ್ ಮೆಮೊರಿಯಲ್ಲಿ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡದೆ ಶೇಖರಿಸಿರುವ  ಅಂಶವನ್ನು ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಮೂರನೇ ಪಕ್ಷೀಯ ಲೈಬ್ರರಿ ಫಂಕ್ಷನ್ ಗಳನ್ನೂ ಸೇರಿಸಿ ಅದೇ ಪ್ರೋಸೆಸಿನೊಳಗೆ ಯಾವುದೇ ಫಂಕ್ಷನ್ ನಿಂದ ಪ್ರವೇಶಿಸಬಹುದಾದ ಅಂಶವನ್ನು ಉಪಯೋಗಿಸಿಕೊಳ್ಳುತ್ತದೆ.

ಈ ಭಾಷಣವು  ಇಂಟ್ರಾ ಪ್ರೊಸೆಸಿಂಗ್ಫಂಕ್ಷನ್ ಮೂಲಕ ಅನಧಿಕೃತ ರೀತಿಯಲ್ಲಿ ಸೂಕ್ಷ್ಮ ಸ್ಟಾಕ್ ಆಧಾರಿತ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ತಡೆಯಲು ಒಂದು ತಿರುಳಿನ ಆಧಾರದ  ವ್ಯವಸ್ಥೆಯಾದ  ಸ್ಟಾಕ್‌ವಾಲ್ಟ್ ಅನ್ನು ಪ್ರಸ್ತುತಪಡಿಸುತ್ತದೆ.

ಸ್ಟಾಕ್-ಆಧಾರಿತ ಡೇಟಾ    ಸ್ಟಾಕ್‌ನಲ್ಲಿನ ಡೇಟಾ  ಮತ್ತು ಸ್ಟಾಕ್‌ನಲ್ಲಿನ ಪಾಯಿಂಟರ್ ವೇರಿಯಬಲ್ ಗಳಿಂದ  ಸೂಚಿಸಲಾದ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿದೆ.

  1. ಮೂರನೆಯದು ಡೇಟಾ ಸುರಕ್ಷತೆಯ ಪ್ರಮುಖ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುತ್ತದೆ: ಇಲ್ಲಿ ಗ್ರಾಫ್-ರಚನಾತ್ಮಕ ಡೇಟಾದಲ್ಲಿ ಹ್ಯಾಷ್ ಬೇಸ್ಡ್ ಮೆಸೇಜ್ ಅತೆಂಟಿಕೇಟೆಡ್ ಕೋಡ್ (HMAC )  ಅನ್ನು ಕಂಪ್ಯೂಟಿಂಗ್ ಮಾಡಲು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಅಲ್ಗೋರಿದಂಗಳ  ಒಂದು ಗುಂಪನ್ನು ಒದಗಿಸುತ್ತದೆ.

ಸೋಷಿಯಲ್  ನೆಟ್‌ವರ್ಕ್‌ಗಳು, ಸಿಮಾಂಟಿಕ್  ಜಾಲಗಳು ಮತ್ತು ಜೈವಿಕ ನೆಟ್‌ವರ್ಕ್‌ಗಳಂತಹ ಹಲವಾರು ಅಳವಡಿಕೆಗಳನ್ನು   ಹಾಗೂ  ವಸ್ತುಗಳು ಮತ್ತು ಅವುಗಳ ಸಂಬಂಧಗಳನ್ನು ಪ್ರತಿನಿಧಿಸಲು   ಗ್ರಾಫ್‌ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.

ಗ್ರಾಫ್ ಡೇಟಾಬೇಸ್‌ಗಳಿಗೆ  ಇಂಟೆಗ್ರಿಟಿ ಅಷುರೆನ್ಸ್ ಡಾಟಾ ಮತ್ತು ಪ್ರಶ್ನೆ ಫಲಿತಾಂಶಗಳು   ಸೆಕ್ಯುರಿಟಿಯ ಪ್ರಮುಖ ಅವಶ್ಯಕತೆಯಾಗಿದೆ.

ಈ ಭಾಷಣದಲ್ಲಿ, ಎರಡು ಸಮರ್ಥ ಇಂಟಿಗ್ರಿಟಿ ಪರಿಶೀಲನೆ ಯೋಜನೆಗಳು – ಅಂದರೆ   ಕ್ಲೌಡ್-ಆಧಾರಿತ ಗ್ರಾಫ್ ಡೇಟಾಬೇಸ್ ಸೇವೆಯಂತಹ ದ್ವಿಪಕ್ಷೀಯ ಡಾಟಾ ಹಂಚಿಕೆಗಾಗಿ ಗ್ರಾಫ್‌ಗಳಿಗೆ  HMAC ಗಳನ್ನು ಮತ್ತು  ಮೂರನೇ  ಪಕ್ಷದ ಡೇಟಾ ಹಂಚಿಕೆಗಾಗಿ  ಗ್ರಾಫ್‌ಗಳಿಗೆ (rgHMAC) ರಿಡಾಕ್ಟಬಲ್  HMAC ಗಳನ್ನು ಪ್ರಸ್ತಾಪಿಸುತ್ತೇವೆ.

ಎರಡೂ ಯೋಜನೆಗಳಿಗೆ ಒಂದು HMAC ಮೌಲ್ಯವನ್ನು ಮತ್ತು ಪರಿಶೀಲನೆಗಾರರ (ವೆರಿಫೈಯರ್)  ಜೊತೆಗೆ ಹಂಚಿಕೊಳ್ಳುವ ಎರಡು ಬೇರೆ ಪರಿಶೀಲನೆ ವಸ್ತುಗಳನ್ನು(ಆಬ್ಜೆಕ್ಟುಗಳು) rgHMAC   (ಆರ್‌ಜಿಹೆಚ್‌ಎಂಎಸಿ) ಯೋಜನೆಗೆ ನಾವು ಕಂಪ್ಯೂಟ್ ಮಾಡುತ್ತೇವೆ.

ಗಮನಿಸಿ: ಭಾಷಣದ ನಂತರ  ಪ್ರಶ್ನೋತ್ತರ ಕಾರ್ಯಕ್ರಮ ಹಾಗೂ ಮೌಲ್ಯಮಾಪನ ಪರೀಕ್ಷೆ ನಡೆಸಲಾಗುತ್ತದೆ. .

ಮೌಲ್ಯಮಾಪನ ಪರೀಕ್ಷೆಯಲ್ಲಿ ಪಾಸಾದವರಿಗೆ  ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಲಾಗುವುದು.