论文信息 - The Vulnerability Analysis of CA Arcot VPS

The Vulnerability Analysis of CA Arcot VPS

ABSTRACT CA Arcot corporation in U.S.A has secure on-line financial trad e solution and patent that verify whether transaction had change using virtual session. But, VPS(Virtual Private Session) has another vulnerability by way to construct CAPTCHA. We can't fully trust safety of VPS, Cause it could be attacked by using color information of CAPTCHA. In this paper, We suggest the method of attack VPS, and also point out the vulnerability of VPS though simulation.Keywords: CAPTCHA, MITB, VPS I.서 론 CA Arcot에서는 MITB[1] 공격에 대응하기 위해 VPS[2][3]를 고안하였다. VPS는 브라우저에서 브라우저 도우미 개체(BHO)로 인한 트랜잭션 변경 사항을 사용자에게 제공함으로서 MITB와 같은 공격을 막는 방식이다. 사용자는 VPS가 제공하는 캡챠[4]를 읽고 확인코드를 입력하면 된다. [그림 1]은 VPS를 인터넷 뱅킹 계좌 이체 승인 페이지에 사용한 예를 보여준다. 사용자와 서버 사이에 MITB 공격으로 트랜잭션이 변경된 경우, 사용자는 입력한 내용과 접수일(2013년 6월 3일), 게재확정일(2013년 7월 24일)* 이 논문은 인하대학교의 지원에 의하여 연구되었음.†주저자, 181cm76kg245@gmail.com ‡교신저자, khlee@suwon.ac.kr (Corresponding author) VPS가 제시한 캡챠를 비교함으로써 트랜잭션을 중지할 수 있다. 하지만 은행이 사용자에게 제시하는 캡챠 또한 변조되었다면 공격자는 사용자의 눈을 속여 악의적인 계좌 이체를 수행할 수 있다. 이는 캡챠의 색상정보를 이용해 가능함을 보였으며, 공격자가 MITB 공격에 이어 캡챠를 재생산해 사용자에게 제시한다면 VPS는 무용지물일 뿐이다[5][6]. 더불어 공격자는 VPS 원본 캡챠에서 필요한 정보를 추출한 후 이를 이용해 캡챠를 재생산하고 사용자에게 노출하는 과정이 캡챠의 난이도에 전혀 영향을 받지 않는다. 결국 VPS 또한 변조가 가능하며 VPS의 무결성을 확신할 수 없다.

Sung-Ho Kim | Kyung Hee Lee | Sang-Ho Lee | Dea-Hun Nyang

[1] Sergei Vassilvitskii,et al. k-means++: the advantages of careful seeding , 2007, SODA '07.

[2] Yeuan-Kuen Lee,et al. A Projection-based Segmentation Algorithm for Breaking MSN and YAHOO CAPTCHAs , 2008 .

[3] John Langford,et al. Telling humans and computers apart automatically , 2004, CACM.