Computer ¡Security ¡ Summer ¡Scholars ¡2014 ¡ ¡ MaF ¡Vander ¡Werf ¡ 1 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Security ¡in ¡HPC ¡ • HPC ¡is ¡especially ¡a ¡target ¡for ¡hackers ¡and ¡ malicious ¡acts ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Why? ¡ 2 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Security ¡in ¡HPC ¡ • Pres1ge ¡ • Compu1ng ¡resources ¡ – Financial ¡Gain ¡ – Break ¡encryp1on ¡ – To ¡facilitate ¡aFacks ¡elsewhere ¡ • Academic ¡research ¡ • DOE ¡funded ¡projects ¡ 3 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Common ¡Security ¡Goals ¡ • C.I.A. ¡Triad: ¡ – Confiden1ally: ¡keep ¡others ¡from ¡having ¡access ¡to ¡ your ¡data ¡without ¡permission ¡ – Integrity: ¡keep ¡others ¡from ¡altering ¡your ¡data ¡ without ¡permission ¡ – Availability: ¡informa1on ¡should ¡be ¡accessible ¡and ¡ modifiable ¡in ¡a ¡1mely ¡fashion ¡by ¡those ¡with ¡ permission ¡to ¡do ¡so ¡ 4 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Types ¡of ¡Security ¡ • Physical ¡Security ¡ • Computer ¡Security ¡ • Network ¡Security ¡ ¡ 5 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Vulnerabili1es ¡vs. ¡Threats/AFacks ¡ • Vulnerabili1es ¡come ¡from ¡inside ¡the ¡system ¡ • Threats ¡come ¡from ¡outside ¡the ¡system ¡ • A ¡threat ¡is ¡blocked ¡by ¡the ¡removal ¡of ¡a ¡ vulnerability ¡ • Vulnerabili1es ¡allow ¡aFacks ¡to ¡take ¡place ¡ • An ¡aFack ¡is ¡an ¡ac1on ¡to ¡harm ¡the ¡system ¡by ¡ exploi1ng ¡a ¡vulnerability ¡of ¡the ¡system ¡ 6 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
4 ¡ Basic ¡Types ¡of ¡Threats/AFacks ¡ • Eavesdropping ¡ • Altera1on ¡ • Denial-‑of-‑service ¡ • Masquerading ¡ 7 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Eavesdropping ¡ • The ¡ intercep+on ¡of ¡informa1on/data ¡intended ¡ for ¡someone ¡else ¡during ¡its ¡transmission ¡ • Doesn’t ¡include ¡modifica1on ¡ • Examples: ¡ – Packet ¡sniffers: ¡monitor ¡nearby ¡Internet ¡traffic ¡ – Computer ¡surveillance ¡ 8 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Altera1on ¡ • Unauthorized ¡ modifica+on ¡of ¡informa1on ¡ • Examples: ¡ – Computer ¡viruses ¡which ¡modify ¡cri1cal ¡system ¡ files ¡ – Man-‑in-‑the-‑middle ¡aFack: ¡informa1on ¡is ¡modified ¡ and ¡retransmiFed ¡along ¡a ¡network ¡stream ¡ 9 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
MitM ¡AFack ¡Example ¡ hFps://www.veracode.com/security/man-‑middle-‑aFack ¡ 10 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Denial-‑of-‑service ¡ • The ¡interrup1on ¡or ¡degrada1on ¡of ¡a ¡data ¡ service ¡or ¡informa1on ¡access ¡ • Examples: ¡ – E-‑mail ¡spam: ¡to ¡the ¡degree ¡that ¡it ¡is ¡meant ¡to ¡slow ¡ down ¡an ¡e-‑mail ¡server ¡ – Denial-‑of-‑service ¡(DoS) ¡aFacks ¡ • Make ¡a ¡machine ¡or ¡network ¡resource ¡unavailable ¡to ¡its ¡ intended ¡users ¡ • Overwhelming ¡a ¡webserver, ¡bringing ¡down ¡a ¡website ¡ • Consume ¡memory ¡or ¡CPU ¡resources ¡of ¡a ¡server ¡ 11 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Masquerading ¡ • The ¡fabrica1on ¡of ¡informa1on ¡that ¡is ¡ purported ¡to ¡be ¡from ¡someone ¡who ¡is ¡not ¡the ¡ actual ¡author ¡ • Examples: ¡ – E-‑mail ¡spam ¡ – Phishing ¡for ¡informa1on ¡that ¡could ¡be ¡used ¡for ¡ iden1fy ¡theg ¡or ¡other ¡digital ¡theg ¡ – Spoofing ¡of ¡IP ¡addresses, ¡websites, ¡official ¡ communica1on ¡ 12 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Specific ¡Examples ¡of ¡Threats/AFacks ¡ • Heartbleed ¡ – Vulnerability ¡in ¡the ¡OpenSSL ¡library ¡used ¡by ¡the ¡ majority ¡of ¡servers, ¡especially ¡web ¡servers, ¡to ¡secure ¡ communica1on ¡and ¡data ¡channels ¡ – Discovered/disclosed ¡in ¡April ¡2014; ¡vulnerability ¡ existed ¡for ¡around ¡two ¡years ¡prior ¡ – Allowed ¡hackers ¡to ¡be ¡able ¡to ¡obtain ¡usernames/ passwords, ¡encryp1on ¡keys, ¡and ¡other ¡sensi1ve ¡ informa1on ¡that ¡was ¡stored ¡in ¡the ¡server’s ¡memory ¡ – Not ¡very ¡many ¡known ¡actual ¡exploits ¡in ¡the ¡wild ¡ – Affected ¡a ¡large ¡majority ¡of ¡the ¡CRC’s ¡servers; ¡All ¡have ¡ been ¡patched ¡now! ¡ – More ¡info: ¡hFp://heartbleed.com/ ¡ 13 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Social ¡Engineering ¡ • Techniques ¡involving ¡the ¡use ¡of ¡human ¡ insiders ¡to ¡circumvent ¡computer ¡security ¡ solu1ons ¡ • Social ¡engineering ¡aFacks ¡can ¡be ¡powerful! ¡ • Ogen ¡the ¡biggest ¡vulnerability ¡can ¡be ¡the ¡ human ¡being ¡who ¡is ¡in ¡charge ¡of ¡ administra1ng ¡the ¡system ¡ 14 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Types ¡of ¡Social ¡Engineering ¡ • Pretex1ng: ¡crea1ng ¡a ¡story ¡that ¡convinces ¡an ¡ administrator ¡or ¡operator ¡into ¡revealing ¡info ¡ • Bai1ng: ¡offering ¡a ¡kind ¡of ¡“gig” ¡to ¡get ¡a ¡user ¡ or ¡agent ¡to ¡perform ¡an ¡insecure ¡ac1on ¡(i.e. ¡ free ¡stuff ¡if ¡you ¡download ¡some ¡virus) ¡ • Quid ¡pro ¡quo ¡(“something ¡for ¡something”): ¡ offering ¡an ¡ac1on ¡or ¡service ¡and ¡then ¡ expec1ng ¡something ¡in ¡return ¡ 15 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Pretex1ng ¡Example ¡ 16 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Well-‑known ¡Services/Ports ¡ • SSH ¡(Secure ¡Shell) ¡ – Port ¡22 ¡over ¡TCP ¡ – Used ¡to ¡administer ¡a ¡machine ¡remotely ¡ – Also ¡used ¡by ¡SCP ¡(Secure ¡Copy) ¡and ¡SFTP ¡ • HTTP/HTTPS ¡(Web) ¡ – Port ¡80 ¡over ¡TCP ¡(HTTP, ¡Unencrypted) ¡ – Port ¡443 ¡over ¡TCP ¡(HTTPS, ¡Encrypted) ¡ • FTP/SFTP ¡(File ¡Transfer ¡Protocol) ¡ – Port ¡21 ¡over ¡TCP ¡(FTP, ¡Unencrypted) ¡ – Port ¡115 ¡over ¡TCP ¡(SFTP, ¡Encrypted) ¡ 17 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Defending ¡Against ¡AFacks ¡ • Firewalls ¡ – Can ¡help ¡protect ¡a ¡network ¡by ¡filtering ¡incoming ¡ or ¡outgoing ¡network ¡traffic ¡based ¡on ¡a ¡predefined ¡ set ¡of ¡rules, ¡called ¡firewall ¡policies ¡ – Policies ¡are ¡based ¡on ¡proper1es ¡of ¡the ¡packets ¡ being ¡transmiFed, ¡such ¡as: ¡ • The ¡protocol ¡being ¡used, ¡such ¡as ¡TCP ¡or ¡UDP ¡ • The ¡source ¡and ¡des1na1on ¡IP ¡addresses ¡and ¡ports ¡ • The ¡payload ¡of ¡the ¡packet ¡being ¡transmiFed ¡ 18 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡
Recommend
More recommend