Никита Шахулов - Безопасность QR-кода: обзор атак и проблем, связанных с надежной безопасностью

Безопасность QR-кода: обзор атак и проблем, связанных с надежной безопасностью
Название: Безопасность QR-кода: обзор атак и проблем, связанных с надежной безопасностью
Автор:
Жанр: Книги о компьютерах
Серии: Нет данных
ISBN: Нет данных
Год: Не установлен
О чем книга "Безопасность QR-кода: обзор атак и проблем, связанных с надежной безопасностью"

QR-коды (Quick Response) – это двухмерные штрих-коды с возможностью кодирования различных типов информации. Благодаря высокой плотности информации и надежности QR-коды приобрели популярность в различных областях применения. Несмотря на то, что они предлагают широкий спектр преимуществ, QR-коды представляют собой значительную угрозу безопасности. Злоумышленники могут зашифровать вредоносные ссылки, ведущие, например, на фишинговые сайты.

Бесплатно читать онлайн Безопасность QR-кода: обзор атак и проблем, связанных с надежной безопасностью


© Никита Шахулов, 2021


ISBN 978-5-0055-5636-3

Создано в интеллектуальной издательской системе Ridero

Безопасность QR-кода: обзор атак и проблем, связанных с надежной безопасностью

Абстрактный

QR-коды (Quick Response) – это двухмерные штрих-коды с возможностью кодирования различных типов информации. Благодаря высокой плотности информации и надежности QR-коды приобрели популярность в различных областях применения. Несмотря на то, что они предлагают широкий спектр преимуществ, QR-коды представляют собой значительную угрозу безопасности. Злоумышленники могут зашифровать вредоносные ссылки, ведущие, например, на фишинговые сайты. Такие вредоносные QR-коды можно напечатать на небольших наклейках и заменить безобидные на рекламных щитах. Хотя в средствах массовой информации сообщалось о многих реальных примерах атак на основе QR-кода, в этой области было проведено очень мало исследований, и почти не уделялось внимания взаимодействию безопасности и взаимодействия человека с компьютером. В этой работе я описываю множество вариантов использования QR-кодов. Более того, я анализирую наиболее важные сценарии атак применительно к конкретным вариантам использования. Кроме того, я систематизирую уже проведенное исследование и определил полезную безопасность и осведомленность о безопасности в качестве основных исследовательских задач. Наконец, я предлагаю требования к дизайну в отношении самого QR-кода, приложения для считывания и аспектов удобства использования, чтобы поддержать дальнейшие исследования, чтобы сделать обработку QR-кода как безопасной, так и удобной.

Вступление

QR-коды (Quick Response) – это штрих-коды с двумерной матрицей, которые используются для кодирования информации. В последние годы они все больше и больше проникают в нашу повседневную жизнь. Изначально они были изобретены для отслеживания автомобильных запчастей в процессе производства. В настоящее время они адаптированы для различных случаев использования. QR-коды дешевы в производстве и просты в развертывании. Поэтому они стали предпочтительным средством рекламы на рекламных щитах для доступа к потенциальным клиентам. Один из наиболее распространенных вариантов использования – это URL-кодирование, позволяющее мгновенно сделать информацию доступной. Помимо множества преимуществ, социальные инженеры неправильно использовали QR-коды в качестве вектора атаки. Злоумышленники кодируют вредоносные ссылки, ведущие, например, на фишинговые сайты или для выполнения мошеннического кода. Эти вредоносные QR-коды можно распечатать на небольших наклейках и уже наклеить.


Существующие QR-коды.

Кроме того, злоумышленники могут изменить выбранные модули с белого на черный и наоборот, чтобы переопределить изначально закодированный контент. Несмотря на то, что в средствах массовой информации было опубликовано множество реальных примеров, было проведено мало исследований по взаимодействию человека с компьютером и аспектам безопасности атак на основе QR-кода. В этой работе я даю исчерпывающий обзор наиболее актуальных вариантов использования QR-кодов и связанных с ними векторов атак с упором на фишинг. Для этого я провел всесторонний обзор литературы, чтобы определить состояние дел в области пользовательских исследований и типичных атак. Кроме того, я определил основные исследовательские проблемы, связанные с повышением безопасности QR-кодов, и предложил вопросы и направления для безопасной и удобной обработки QR-кодов.

– Я предоставляю исчерпывающий обзор наиболее актуальных сценариев использования и определяю связанные векторы атак.

– Я систематизирую состояние исследовательского сообщества.

– Я определяю основные исследовательские задачи по повышению безопасности QR-кода с упором на удобство использования и аспекты безопасности.

Остальная часть в этой книге структурирована следующим образом: В разделе 2 я представляю введение в стандарт QR-кода и обзор вариантов использования. В разделе 3 я систематизирую сценарии атак с использованием QR-кодов в качестве вектора атаки и обсуждается соответствующие исследования пользователей. В Разделе 4 я описываю известные примеры из реальной жизни, а в Разделе 5 обсуждаются связанные с ними исследования пользователей. В Разделе 6 я определяю открытые исследовательские проблемы в отношении аспектов безопасности и удобства использования. Раздел 7 завершает мою работу.

1 Стандарт QR-кода

В этом разделе я даю краткое введение в стандарт QR, а также обзор различных вариантов использования QR-кодов. QR-коды (Quick Response) – это двухмерные штрих-коды, которые кодируют информацию как в вертикальном, так и в горизонтальном направлении. Чтобы получить доступ к закодированным данным из QR-кода, встроенная камера смартфона фиксирует изображение QR-кода, а затем декодирует его с помощью программного обеспечения для чтения QR-кода. Существует 40 различных версий QR-кодов с разной емкостью данных. Версия 1 состоит из 21 модуля X 21, из которых 133 могут использоваться для хранения закодированных данных. Версия 40, которая создает самый большой QR-код, имеет 23 648, следовательно, можно закодировать 4296 буквенно-цифровых символов. На рисунке 1 показан пример QR-кода версии 2, который является наиболее часто используемым. Помимо буквенно-цифровых символов, QR-коды могут кодировать двоичные файлы, Kanjis1 или управляющие коды. Кроме того, QR-коды читаются под разными углами, и данные могут быть успешно декодированы, даже если код частично покрыт или поврежден. Это связано с надежной коррекцией ошибок, основанной на кодах Рида-Соломона. Есть четыре различных способа исправления ошибок уровня, а именно L (низкий 7%), M (средний 15%), Q (квартиль 25%) и H (высокий 30%). Уровень коррекции ошибок L допускает до 7% нечитаемых модулей соответственно. Более высокие уровни коррекции ошибок увеличивают область, зарезервированную для кодовых слов коррекции ошибок, и уменьшают область, зарезервированную для фактических данных. Поэтому обычно предпочтительным является уровень коррекции ошибок L. Дополнительной функцией для стабилизации процесса декодирования является маскирование. Маскирование обеспечивает равномерное распределение между черными и белыми модулями. Соответствующая маска автоматически выбирается программным обеспечением кодирования при создании кода.


С этой книгой читают
Этичный хакер (пентестер) – это специалист в сфере кибербезопасности, который профессионально занимается выискиванием «дыр» в коде и помогает устранить утечки данных. Название специальности происходит от англоязычного термина pentest (penetration test), то есть «тест на проникновение». Имеется в виду проникновение в систему через скрытые уязвимости.
Обнаружение вредоносных программ стало чувствительным к задачам, поскольку их угрозы распространяются от компьютерных систем до систем Интернета вещей. Современные варианты вредоносных программ, как правило, оснащены сложными упаковщиками, которые позволяют им обходить современные системы обнаружения, основанные на машинном обучении.
Разработка точной оценки положения бортовой камеры является одной из основных задач спутниковых систем, и попытки улучшить точность положения камеры дистанционного зондирования никогда не прекращаются. Положение камеры может быть восстановлено путем выравнивания захваченного 2D-изображения и 3D-цифровой модели поверхности соответствующей сцены.
При наблюдении земной поверхности с низкоорбитальной спутниковой платформы (НОО) с оптическим датчиком на восходящий путь распространения света от земли к спутнику влияет атмосферная рефракция.
В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем. Для студентов по направлению подготовки 230400 – Информационные системы и технологии (квалификация «бакалавр»).
Майнинг – это процесс добычи криптовалют, который включает в себя решение сложных математических задач с использованием вычислительных ресурсов. С его помощью транзакции в блокчейн-системах становятся безопасными, а новые блоки добавляются в цепочку. В этой книге мы рассмотрим основные аспекты майнинга, в том числе криптотапалками, его виды и преимущества.
В монографии дается краткое и развернутое определение, описываются существенные характеристики ассоциированного сверх-адаптивного интеллекта (АСИ). Приводится теоретическое обоснование АСИ. Рассматриваются эвристические перспективы использования идеи и методологии АСИ в сфере преодоления системного научного и цивилизационного кризиса. Оцениваются конкретные шаги по разработке теории и технологической практики АСИ. Книга полезна для исследователей
Международный научный журнал «Все науки», созданный при OOO «Electron Laboratory» и Научной школе «Электрон», является научным изданием, публикующим последние научные результаты в самых различных областях науки и техники. В настоящем выпуске представлены статьи, признанные достойными для публикации из числа направленных, в ходе I Международной научной конференции «Современные проблемы науки, техники и производства», приуроченная к II-годовщине El
В книге рассматривается процесс труда как процесс создания стоимости. На примере выдуманных персонажей автор обращается к далеко не выдуманным реалиям трудовых процессов, в реализации которых появляется произведённая продукция, которая на рынке товаров и услуг обменивается на продукты потребления согласно созданной в процессе труда стоимости. Стоимость же, в свою очередь – есть мера трудозатрат, осуществлённых в процессе производства изделия или
Проанализировал читательскую аудиторию и, учитывая количество прочтений, расставил стихотворения в порядке убывания интереса.
Эта прекрасная книга поэта-фронтовика Якова Лазаревича Акима состоит из трех разделов. В первом разделе – лучшие стихи для детей. Второй раздел – сказки в стихах «Песенка в лесу» и «Девочка и лев», по которым были созданы замечательные мультфильмы. Третий раздел – это необыкновенно увлекательная сказка «Учитель Так-Так и его разноцветная школа».Открывается книга предисловием критика Владимира Александрова.
Если вы устали плыть по течению и хотите изменить жизнь – начните прямо сейчас! Автор книги, известный психолог Константин Довлатов разработал уникальную методику, которая преобразит вашу жизнь, – «Духовную интеграционику».Методика запускает скрытые ресурсы и способности, благодаря которым вы начинаете принимать правильные решения, привлекать нужных людей, ваше самочувствие улучшается, все складывается удачно, как бы само собой. Изменения происхо