Computer Security Summer Scholars 2014 MaF Vander Werf - PowerPoint PPT Presentation

Computer ¡Security ¡ Summer ¡Scholars ¡2014 ¡ ¡ MaF ¡Vander ¡Werf ¡ 1 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Security ¡in ¡HPC ¡ • HPC ¡is ¡especially ¡a ¡target ¡for ¡hackers ¡and ¡ malicious ¡acts ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Why? ¡ 2 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Security ¡in ¡HPC ¡ • Pres1ge ¡ • Compu1ng ¡resources ¡ – Financial ¡Gain ¡ – Break ¡encryp1on ¡ – To ¡facilitate ¡aFacks ¡elsewhere ¡ • Academic ¡research ¡ • DOE ¡funded ¡projects ¡ 3 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Common ¡Security ¡Goals ¡ • C.I.A. ¡Triad: ¡ – Confiden1ally: ¡keep ¡others ¡from ¡having ¡access ¡to ¡ your ¡data ¡without ¡permission ¡ – Integrity: ¡keep ¡others ¡from ¡altering ¡your ¡data ¡ without ¡permission ¡ – Availability: ¡informa1on ¡should ¡be ¡accessible ¡and ¡ modifiable ¡in ¡a ¡1mely ¡fashion ¡by ¡those ¡with ¡ permission ¡to ¡do ¡so ¡ 4 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Types ¡of ¡Security ¡ • Physical ¡Security ¡ • Computer ¡Security ¡ • Network ¡Security ¡ ¡ 5 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Vulnerabili1es ¡vs. ¡Threats/AFacks ¡ • Vulnerabili1es ¡come ¡from ¡inside ¡the ¡system ¡ • Threats ¡come ¡from ¡outside ¡the ¡system ¡ • A ¡threat ¡is ¡blocked ¡by ¡the ¡removal ¡of ¡a ¡ vulnerability ¡ • Vulnerabili1es ¡allow ¡aFacks ¡to ¡take ¡place ¡ • An ¡aFack ¡is ¡an ¡ac1on ¡to ¡harm ¡the ¡system ¡by ¡ exploi1ng ¡a ¡vulnerability ¡of ¡the ¡system ¡ 6 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

4 ¡ Basic ¡Types ¡of ¡Threats/AFacks ¡ • Eavesdropping ¡ • Altera1on ¡ • Denial-‑of-‑service ¡ • Masquerading ¡ 7 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Eavesdropping ¡ • The ¡ intercep+on ¡of ¡informa1on/data ¡intended ¡ for ¡someone ¡else ¡during ¡its ¡transmission ¡ • Doesn’t ¡include ¡modifica1on ¡ • Examples: ¡ – Packet ¡sniffers: ¡monitor ¡nearby ¡Internet ¡traffic ¡ – Computer ¡surveillance ¡ 8 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Altera1on ¡ • Unauthorized ¡ modifica+on ¡of ¡informa1on ¡ • Examples: ¡ – Computer ¡viruses ¡which ¡modify ¡cri1cal ¡system ¡ files ¡ – Man-‑in-‑the-‑middle ¡aFack: ¡informa1on ¡is ¡modified ¡ and ¡retransmiFed ¡along ¡a ¡network ¡stream ¡ 9 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

MitM ¡AFack ¡Example ¡ hFps://www.veracode.com/security/man-‑middle-‑aFack ¡ 10 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Denial-‑of-‑service ¡ • The ¡interrup1on ¡or ¡degrada1on ¡of ¡a ¡data ¡ service ¡or ¡informa1on ¡access ¡ • Examples: ¡ – E-‑mail ¡spam: ¡to ¡the ¡degree ¡that ¡it ¡is ¡meant ¡to ¡slow ¡ down ¡an ¡e-‑mail ¡server ¡ – Denial-‑of-‑service ¡(DoS) ¡aFacks ¡ • Make ¡a ¡machine ¡or ¡network ¡resource ¡unavailable ¡to ¡its ¡ intended ¡users ¡ • Overwhelming ¡a ¡webserver, ¡bringing ¡down ¡a ¡website ¡ • Consume ¡memory ¡or ¡CPU ¡resources ¡of ¡a ¡server ¡ 11 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Masquerading ¡ • The ¡fabrica1on ¡of ¡informa1on ¡that ¡is ¡ purported ¡to ¡be ¡from ¡someone ¡who ¡is ¡not ¡the ¡ actual ¡author ¡ • Examples: ¡ – E-‑mail ¡spam ¡ – Phishing ¡for ¡informa1on ¡that ¡could ¡be ¡used ¡for ¡ iden1fy ¡theg ¡or ¡other ¡digital ¡theg ¡ – Spoofing ¡of ¡IP ¡addresses, ¡websites, ¡official ¡ communica1on ¡ 12 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Specific ¡Examples ¡of ¡Threats/AFacks ¡ • Heartbleed ¡ – Vulnerability ¡in ¡the ¡OpenSSL ¡library ¡used ¡by ¡the ¡ majority ¡of ¡servers, ¡especially ¡web ¡servers, ¡to ¡secure ¡ communica1on ¡and ¡data ¡channels ¡ – Discovered/disclosed ¡in ¡April ¡2014; ¡vulnerability ¡ existed ¡for ¡around ¡two ¡years ¡prior ¡ – Allowed ¡hackers ¡to ¡be ¡able ¡to ¡obtain ¡usernames/ passwords, ¡encryp1on ¡keys, ¡and ¡other ¡sensi1ve ¡ informa1on ¡that ¡was ¡stored ¡in ¡the ¡server’s ¡memory ¡ – Not ¡very ¡many ¡known ¡actual ¡exploits ¡in ¡the ¡wild ¡ – Affected ¡a ¡large ¡majority ¡of ¡the ¡CRC’s ¡servers; ¡All ¡have ¡ been ¡patched ¡now! ¡ – More ¡info: ¡hFp://heartbleed.com/ ¡ 13 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Social ¡Engineering ¡ • Techniques ¡involving ¡the ¡use ¡of ¡human ¡ insiders ¡to ¡circumvent ¡computer ¡security ¡ solu1ons ¡ • Social ¡engineering ¡aFacks ¡can ¡be ¡powerful! ¡ • Ogen ¡the ¡biggest ¡vulnerability ¡can ¡be ¡the ¡ human ¡being ¡who ¡is ¡in ¡charge ¡of ¡ administra1ng ¡the ¡system ¡ 14 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Types ¡of ¡Social ¡Engineering ¡ • Pretex1ng: ¡crea1ng ¡a ¡story ¡that ¡convinces ¡an ¡ administrator ¡or ¡operator ¡into ¡revealing ¡info ¡ • Bai1ng: ¡offering ¡a ¡kind ¡of ¡“gig” ¡to ¡get ¡a ¡user ¡ or ¡agent ¡to ¡perform ¡an ¡insecure ¡ac1on ¡(i.e. ¡ free ¡stuff ¡if ¡you ¡download ¡some ¡virus) ¡ • Quid ¡pro ¡quo ¡(“something ¡for ¡something”): ¡ offering ¡an ¡ac1on ¡or ¡service ¡and ¡then ¡ expec1ng ¡something ¡in ¡return ¡ 15 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Pretex1ng ¡Example ¡ 16 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Well-‑known ¡Services/Ports ¡ • SSH ¡(Secure ¡Shell) ¡ – Port ¡22 ¡over ¡TCP ¡ – Used ¡to ¡administer ¡a ¡machine ¡remotely ¡ – Also ¡used ¡by ¡SCP ¡(Secure ¡Copy) ¡and ¡SFTP ¡ • HTTP/HTTPS ¡(Web) ¡ – Port ¡80 ¡over ¡TCP ¡(HTTP, ¡Unencrypted) ¡ – Port ¡443 ¡over ¡TCP ¡(HTTPS, ¡Encrypted) ¡ • FTP/SFTP ¡(File ¡Transfer ¡Protocol) ¡ – Port ¡21 ¡over ¡TCP ¡(FTP, ¡Unencrypted) ¡ – Port ¡115 ¡over ¡TCP ¡(SFTP, ¡Encrypted) ¡ 17 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Defending ¡Against ¡AFacks ¡ • Firewalls ¡ – Can ¡help ¡protect ¡a ¡network ¡by ¡filtering ¡incoming ¡ or ¡outgoing ¡network ¡traffic ¡based ¡on ¡a ¡predefined ¡ set ¡of ¡rules, ¡called ¡firewall ¡policies ¡ – Policies ¡are ¡based ¡on ¡proper1es ¡of ¡the ¡packets ¡ being ¡transmiFed, ¡such ¡as: ¡ • The ¡protocol ¡being ¡used, ¡such ¡as ¡TCP ¡or ¡UDP ¡ • The ¡source ¡and ¡des1na1on ¡IP ¡addresses ¡and ¡ports ¡ • The ¡payload ¡of ¡the ¡packet ¡being ¡transmiFed ¡ 18 ¡ Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Computer Security Summer Scholars 2014 MaF Vander Werf - PowerPoint PPT Presentation

Computer Security Summer Scholars 2014 MaF Vander Werf 1 Center For Research Compu1ng (CRC), University of Notre Dame, Indiana Security in HPC

Introduction to Computer Security Rev. Sept 2015 What is Computer Security? 2 Computer

Quick Intro to Computer Security What is computer security? Securing communication

Introduction to Computer Security Why do we need computer security? What are our goals and

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Introduction Attacks Security Goals Fall 2010 CS 334 Computer Security 1 What is Computer

Computer Security Foundations What is Security? Attacker Assets Threat Counter- measure

Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

CS 480/ 557 Computer Security I ntroduction to I nf ormation 1. Physical Security 2.Human

CSE 543 - Computer Security Lecture 11 - OS Security October 2, 2007 URL:

Computer Security http://security.di.unimi.it/sicurezza1819/ Chapter 3: 1 Chapter 3:

Computer Security 3e Security.di.unimi.it/sicurezza1314 Chapter 3: 1 Chapter 3: Foundations of

Computer Security 3e Security.di.unimi.it/sicurezza1516 Chapter 3: 1 Chapter 3: Foundations of

CSE 543 - Computer Security Lecture 12 - MAC Security October 4, 2007 URL:

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Outline The web from a security perspective CSci 5271 Introduction to Computer Security SQL

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn