polito.it
Politecnico di Torino (logo)

Attacchi al protocollo TLS: dalla teoria alla pratica = TLS Protocol Attacks: From Theory to Practice

Davide Giorda

Attacchi al protocollo TLS: dalla teoria alla pratica = TLS Protocol Attacks: From Theory to Practice.

Rel. Antonio Lioy, Diana Gratiela Berbecaru. Politecnico di Torino, Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering), 2021

[img]
Preview
PDF (Tesi_di_laurea) - Tesi
Licenza: Creative Commons Attribution Non-commercial No Derivatives.

Download (3MB) | Preview
Abstract:

L'oggetto principale della mia tesi è il protocollo TLS e gli attacchi che possono essere messi in atto per sfruttare le sue vulnerabilità. L'idea era quella di analizzare le problematiche che rendono TLS ancora vulnerabile e cercare una via per eseguire degli attacchi con l'uso di semplici strumenti, sia di attacco sia di difesa. Ho iniziato con una parte di lavoro teorica, analizzando e studiando gli attacchi contro TLS che negli anni sono stati scoperti, le vulnerabilità che sfruttano e le contromisure che sono state prese per contrastare questi attacchi. Una volta completata questa parte di lavoro ho iniziato una ricerca di possibili strumenti da poter utilizzare per trovare queste vulnerabilità in qualche sistema. Nel momento in cui ho capito come rilevare i sistemi vulnerabili, ho spostato la mia ricerca verso quei tool che mi avrebbero permesso di eseguire gli attacchi veri e propri. Infine, ho effettuato degli esperimenti volti a dimostrare come sia possibile in modo semplice e con l’uso di strumenti di uso quotidiano nella sicurezza informatica, poter sfruttare proprio questi strumenti per eseguire gli attacchi. I risultati sono stati abbastanza buoni: ho eseguito un semplice attacco MITM volto a rubare le credenziali di accesso di una vittima, ho sfruttato alcuni tool per rilevare i sistemi appoggiati su implementazioni di TLS vulnerabili ed eseguire un attacco Heartbleed, ed infine che è stato possibile utilizzare strumenti di difesa come l’IDS Zeek per analizzare le connessioni rilevando quelle potenzialmente vulnerabili e lanciare un attacco Padding Oracle con dei tool che si trovano in rete a disposizione di tutti.

Relatori: Antonio Lioy, Diana Gratiela Berbecaru
Anno accademico: 2021/22
Tipo di pubblicazione: Elettronica
Numero di pagine: 84
Soggetti:
Corso di laurea: Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering)
Classe di laurea: Nuovo ordinamento > Laurea magistrale > LM-32 - INGEGNERIA INFORMATICA
Aziende collaboratrici: NON SPECIFICATO
URI: http://webthesis.biblio.polito.it/id/eprint/21096
Modifica (riservato agli operatori) Modifica (riservato agli operatori)