How Professional Hackers Understand Protected Code while Performing Attack Tasks

Il contenuto (Full text) non è disponibile all'interno di questo archivio. Spedisci una richiesta all'autore per una copia del documento
Tipo di pubblicazione: Articolo in atti di convegno
Tipologia MIUR: Contributo in Atti di Convegno (Proceeding) > Contributo in atti di convegno
Titolo: How Professional Hackers Understand Protected Code while Performing Attack Tasks
Autori: Mariano, Ceccato; Paolo, Tonella; Cataldo, Basile; Bart, Coppens; Bjorn, De Sutter; Paolo, Falcarin; Marco, Torchiano
Autori di ateneo:
Intervallo pagine: pp. 154-164
Tipo di referee: Esperti anonimi
Editore: IEEE Computer Society
ISBN: 978-1-5386-0535-6
Titolo del convegno: ICPC 2017: 25th International Conference on Program Comprehension
Luogo dell'evento: Bueno Aires (Argentina)
Data dell'evento: 22-23 Maggio
Abstract: Code protections aim at blocking (or at least delaying) reverse engineering and tampering attacks to critical assets within programs. Knowing the way hackers understand protected code and perform attacks is important to achieve a stronger protection of the software assets, based on realistic assumptions about the hackers' behaviour. However, building such knowledge is difficult because hackers can hardly be involved in controlled experiments and empirical studies. The FP7 European project Aspire has given the authors of this paper the unique opportunity to have access to the professional penetration testers employed by the three industrial partners. In particular, we have been able to perform a qualitative analysis of three reports of professional penetration test performed on protected industrial code. Our qualitative analysis of the reports consists of open coding, carried out by 7 annotators and resulting in 459 annotations, followed by concept extraction and model inference. We identified the main activities: understanding, building attack, choosing and customizing tools, and working around or defeating protections. We built a model of how such activities take place. We used such models to identify a set of research directions for the creation of stronger code protections.
Data: 2017
Status: Pubblicato
Lingua della pubblicazione: Inglese
Parole chiave: computer science, cryptography and security, computer science, software engineering, computer science, software engineering
Dipartimenti (originale): DAUIN - Dipartimento di Automatica Informatica
Dipartimenti: DAUIN - Dipartimento di Automatica e Informatica
URL correlate:
Area disciplinare: Area 09 - Ingegneria industriale e dell'informazione > SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
Data di deposito: 08 Giu 2017 18:35
Data ultima modifica (IRIS): 08 Giu 2017 18:41:13
Data inserimento (PORTO): 10 Giu 2017 02:01
Numero Identificativo (DOI): 10.1109/ICPC.2017.2
Permalink: http://porto.polito.it/id/eprint/2674334
Link resolver URL: Link resolver link
Citazioni:

Il campo presenta il numero di citazioni presenti sulle banche dati Scopus e Web of Science e permette di accedere ai relativi record. Visualizza inoltre il link al record presente su Google Scholar.

Possono verificarsi discrepanze rispetto ai dati presenti sulle banche dati per i seguenti motivi:

  • Differenze tra i dati riportati su IRIS e quelli presenti nelle banche dati.
  • Il numero di citazioni riportate su PORTO viene estratto mensilmente. Il dato citazionale presente sulle singole banche dati è aggiornato in tempo reale
  • Il numero di citazioni per WoS viene calcolato sulla base delle collezioni in abbonamento (Science citation index Expanded e Conference Proceedings Citation Index)

Per informazioni o segnalazioni contattare scrivia/porto

+
-

Azioni (richiesto il login)

Visualizza il documento (riservato amministratori) Visualizza il documento (riservato amministratori)