Disclosure of Security Vulnerabilities

Maurushat, Alana

doi:10.1007/978-1-4471-5004-6

Cited by 12 publications

(9 citation statements)

References 0 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…This research may have ethical concerns of dual use. We therefore adhere to an ethical code of conduct and responsible disclosure [19,23]. We do not disclose the names of the AV companies, nor publicly share any piece of software that can be used to exploit the vulnerabilities reported in this paper.…”

Section: Ethical Issues and Responsible Disclosurementioning

confidence: 99%

A game of "Cut and Mouse"

Genç

Lenzini

Sgandurra

2019

Proceedings of the 35th Annual Computer Security Applications Conference

View full text Add to dashboard Cite

To protect their digital assets from malware attacks, most users and companies rely on anti-virus (AV) software. But AVs' protection is a full-time task and AVs are engaged in a cat-and-mouse game where malware, e.g., through obfuscation and polymorphism, denial of service attacks and malformed packets and parameters, try to circumvent AV defences or make them crash. On the other hand, AVs react by complementing signature-based with anomaly or behavioral detection, and by using OS protection, standard code, and binary protection techniques. Further, malware counteract , for instance by using adversarial inputs to avoid detection, et cetera. This paper investigates two novel moves for the malware side. The first one consists in simulating mouse events to control AVs, namely to send them mouse "clicks" to deactivate their protection. We prove that many AVs can be disabled in this way, and we call this class of attacks Ghost Control. The second one consists in controlling high-integrity white-listed applications, such as Notepad, by sending them keyboard events (such as "copy-and-paste") to perform malicious operations on behalf of the malware. We prove that the anti-ransomware protection feature of some AVs can be bypassed if we use Notepad as a "puppet" to rewrite the content of protected files as a ransomware would do. Playing with the words, and recalling the cat-and-mouse game, we call this class of attacks Cut-and-Mouse. CCS CONCEPTS • Security and privacy → Malware and its mitigation.

show abstract

Section: Ethical Issues and Responsible Disclosurementioning

confidence: 99%

A game of "Cut and Mouse"

Genç

Lenzini

Sgandurra

2019

Proceedings of the 35th Annual Computer Security Applications Conference

View full text Add to dashboard Cite

show abstract

“…Untuk mengetahui ada tidaknya celah pada suatu sistem, selain dilakukan dengan sengaja melalui serangkaian aktivitas internal (audit dan penetration test contohnya), atau aktivitas yang dilakukan oleh pihak ketiga melalui computer offences (hacking) (Maurushat, 2014), juga dapat diketahui tanpa kesengajaan (Gary Stoneburner, Alice Goguen, Alexis Feringa, 2002). Bahkan dapat diketahui hanya dengan mengakses beberapa sumber yang menyediakan informasi tentang kelemahan-kelemahan yang dapat dieksploitasi.…”

Section: Vulnerability Disclosureunclassified

“…-Full Disclosure , membuka vulnerability secara detail ke publik melalui media publik (Maurushat, 2014), baik yang terkait maupun tidak ada hubungannya dengan pemilik sistem. Full Disclosure dapat diakses melalui beberapa forum, mailing list dan website yang memberi kesempatan bagi siapa saja berkontribusi untuk mempublikasi temuannya dan informasi tambahan yang terkait dengan temuan kelemahan sistem komputer yang ditemukan.…”

Section: Morality Opaque Dalam Vdunclassified

Morality Opaque in Vulnerability Disclosure

Haq¹

2017

Preprint

View full text Add to dashboard Cite

Dikaryakan untuk kebutuhan tugas kelompok pada Program Magister Teknologi Informasi Binus University 2016https: //mti.binus.ac.id/2017/07/03/morality-opaque-in-vulnerability-disclosure/ Latar BelakangKeamanan dalam dunia teknologi informasi (infosec) menjadi salahsatu perhatian yang tiada hentinya dibahas oleh berbagai kalangan, baik yang berkonsetrasi pada bidang TI, maupun masyarakat umum yang tidak lepas hajat hidupnya dari peran TI. Perhatian yang sangat besar ini pantas terjadi dikarenakan keamanan merupakan keniscayaan yang diharapkan dapat dirasakan bagi setiap pihak yang terkait dengan teknologi informasi.Perhatian ini dijewantahkan dengan usaha dan investasi yang sangat tinggi. Pada tahun 2016, sekitar 81,6 miliar dollar dihabiskan oleh berbagai pihak hanya untuk memastikan keamanan sistem informasi mereka (Gartner, 2016). Diantara persoalan keamanan yang paling mendapat perhatian adalah masalah celah kelemahan sistem yang menimbulkan kerentanan keamanan. Dasar utama flaw (celah) dapat dikategorikan sebagai rentan (vulnerable) hanya jika berpotensi munculnya penyalahgunaan (Brian Ruder, 1978).Penyalahgunaan ini berawal dari tindakan eksploitasi pada sistem yang didasari pengetahuan yang dimiliki oleh si penyerang akan adanya kerentanan (vulnerability) dalam sistem targetnya.Terbukanya akses ke sumber yang menyediakan informasi tentang celah keamanan suatu sistem yang rentan, pada satu sisi akan menjadikan sistem tersebut semakin beresiko dari tindakan eksploitasi bahkan pada tingkat yang sangat masif.Namun pada sisi lain, keterbukaan ini juga dianggap berdampak positif, baik bagi pengguna maupun pengembang sistem jika dikaitkan dengan aspek-aspek tertentu.

show abstract

“…La tecnología actual de diseño y creación de sistemas informáticos no ha logrado produ-cir sistemas seguros desde su origen. Como ha sido ampliamente documentado en la literatura científica (Maurushat, 2013;Kinis, 2018) y en la prensa, esto no solo incluye a sistemas informáticos tradicionales, sino también a dispositivos móviles, cámaras, drones y automóviles, entre otros. Como se puede intuir, en estos días todo dispositivo electrónico lleva un computador dentro.…”

unclassified

Protección legal para la búsqueda y notificación de vulnerabilidades de ciberseguridad en Chile

Valenzuela

Hevia

2020

Rev. chil. derecho tecnol. (en línea)

View full text Add to dashboard Cite

En estos días, a fines de 2020, se discute en el Congreso Nacional de Chile, el proyecto de ley que implementa el Convenio de Budapest sobre Cibercrimen y que deroga la Ley Nº19.223 sobre delitos informáticos de 1993. Un proyecto largamente anhelado por la comunidad técnica vinculada a la ciberseguridad y por la comunidad científica del derecho y la tecnología, que, por largos años, ha evidenciado las insuficiencias de la ley vigente —aprobada antes de la existencia y masificación de la web— en múltiples conferencias, seminarios y artículos de doctrina, muchos de ellos publicados en nuestras páginas. Entre las innovaciones que considera el proyecto de ley, varias de ellas fruto del aporte de parlamentarias y parlamentarios interesados en este tema, queremos destacar la incorporación de normas que tienen por objeto proteger legalmente la búsqueda y notificación de vulnerabilidades de ciberseguridad. De aprobarse una disposición expresa que exima de responsabilidad penal a los investigadores en ciberseguridad que habiendo encontrado una vulnerabilidad en una red, sistema o programa computacional, notifiquen inmediatamente de ella a la entidad responsable y, eventualmente, a la autoridad pública competente, Chile pasaría a tener no solo una legislación moderna sino que también de vanguardia en la región y el mundo.

show abstract

Disclosure of Security Vulnerabilities

Cited by 12 publications

References 0 publications

A game of "Cut and Mouse"

A game of "Cut and Mouse"

Morality Opaque in Vulnerability Disclosure

Protección legal para la búsqueda y notificación de vulnerabilidades de ciberseguridad en Chile

Contact Info

Product

Resources

About