Computer Security Summer Scholars 2014 MaF Vander Werf - - PowerPoint PPT Presentation

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Computer ¡Security ¡

Summer ¡Scholars ¡2014 ¡ ¡ MaF ¡Vander ¡Werf ¡

1 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Security ¡in ¡HPC ¡

• HPC ¡is ¡especially ¡a ¡target ¡for ¡hackers ¡and ¡

malicious ¡acts ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

¡ ¡ ¡ ¡ ¡ ¡ ¡Why? ¡

2 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Security ¡in ¡HPC ¡

• Pres1ge ¡
• Compu1ng ¡resources ¡

– Financial ¡Gain ¡ – Break ¡encryp1on ¡ – To ¡facilitate ¡aFacks ¡elsewhere ¡

• Academic ¡research ¡
• DOE ¡funded ¡projects ¡

3 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Common ¡Security ¡Goals ¡

• C.I.A. ¡Triad: ¡

– Confiden1ally: ¡keep ¡others ¡from ¡having ¡access ¡to ¡ your ¡data ¡without ¡permission ¡ – Integrity: ¡keep ¡others ¡from ¡altering ¡your ¡data ¡ without ¡permission ¡ – Availability: ¡informa1on ¡should ¡be ¡accessible ¡and ¡ modifiable ¡in ¡a ¡1mely ¡fashion ¡by ¡those ¡with ¡ permission ¡to ¡do ¡so ¡

4 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Types ¡of ¡Security ¡

• Physical ¡Security ¡
• Computer ¡Security ¡
• Network ¡Security

¡ ¡

5 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Vulnerabili1es ¡vs. ¡Threats/AFacks ¡

• Vulnerabili1es ¡come ¡from ¡inside ¡the ¡system ¡
• Threats ¡come ¡from ¡outside ¡the ¡system ¡
• A ¡threat ¡is ¡blocked ¡by ¡the ¡removal ¡of ¡a ¡

vulnerability ¡

• Vulnerabili1es ¡allow ¡aFacks ¡to ¡take ¡place ¡
• An ¡aFack ¡is ¡an ¡ac1on ¡to ¡harm ¡the ¡system ¡by ¡

exploi1ng ¡a ¡vulnerability ¡of ¡the ¡system ¡

6 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

4 ¡Basic ¡Types ¡of ¡Threats/AFacks ¡

• Eavesdropping ¡
• Altera1on ¡
• Denial-­‑of-­‑service ¡
• Masquerading ¡

7 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Eavesdropping ¡

• The ¡intercep+on ¡of ¡informa1on/data ¡intended ¡

for ¡someone ¡else ¡during ¡its ¡transmission ¡

• Doesn’t ¡include ¡modifica1on ¡
• Examples: ¡

– Packet ¡sniffers: ¡monitor ¡nearby ¡Internet ¡traffic ¡ – Computer ¡surveillance ¡

8 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Altera1on ¡

• Unauthorized ¡modifica+on ¡of ¡informa1on ¡
• Examples: ¡

– Computer ¡viruses ¡which ¡modify ¡cri1cal ¡system ¡ files ¡ – Man-­‑in-­‑the-­‑middle ¡aFack: ¡informa1on ¡is ¡modified ¡ and ¡retransmiFed ¡along ¡a ¡network ¡stream ¡

9 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

MitM ¡AFack ¡Example ¡

hFps://www.veracode.com/security/man-­‑middle-­‑aFack ¡

10 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Denial-­‑of-­‑service ¡

• The ¡interrup1on ¡or ¡degrada1on ¡of ¡a ¡data ¡

service ¡or ¡informa1on ¡access ¡

• Examples: ¡

– E-­‑mail ¡spam: ¡to ¡the ¡degree ¡that ¡it ¡is ¡meant ¡to ¡slow ¡ down ¡an ¡e-­‑mail ¡server ¡ – Denial-­‑of-­‑service ¡(DoS) ¡aFacks ¡

• Make ¡a ¡machine ¡or ¡network ¡resource ¡unavailable ¡to ¡its ¡

intended ¡users ¡

• Overwhelming ¡a ¡webserver, ¡bringing ¡down ¡a ¡website ¡
• Consume ¡memory ¡or ¡CPU ¡resources ¡of ¡a ¡server ¡

11 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Masquerading ¡

• The ¡fabrica1on ¡of ¡informa1on ¡that ¡is ¡

purported ¡to ¡be ¡from ¡someone ¡who ¡is ¡not ¡the ¡ actual ¡author ¡

• Examples: ¡

– E-­‑mail ¡spam ¡ – Phishing ¡for ¡informa1on ¡that ¡could ¡be ¡used ¡for ¡ iden1fy ¡theg ¡or ¡other ¡digital ¡theg ¡ – Spoofing ¡of ¡IP ¡addresses, ¡websites, ¡official ¡ communica1on ¡

12 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Specific ¡Examples ¡of ¡Threats/AFacks ¡

• Heartbleed ¡

– Vulnerability ¡in ¡the ¡OpenSSL ¡library ¡used ¡by ¡the ¡ majority ¡of ¡servers, ¡especially ¡web ¡servers, ¡to ¡secure ¡ communica1on ¡and ¡data ¡channels ¡ – Discovered/disclosed ¡in ¡April ¡2014; ¡vulnerability ¡ existed ¡for ¡around ¡two ¡years ¡prior ¡ – Allowed ¡hackers ¡to ¡be ¡able ¡to ¡obtain ¡usernames/ passwords, ¡encryp1on ¡keys, ¡and ¡other ¡sensi1ve ¡ informa1on ¡that ¡was ¡stored ¡in ¡the ¡server’s ¡memory ¡ – Not ¡very ¡many ¡known ¡actual ¡exploits ¡in ¡the ¡wild ¡ – Affected ¡a ¡large ¡majority ¡of ¡the ¡CRC’s ¡servers; ¡All ¡have ¡ been ¡patched ¡now! ¡ – More ¡info: ¡hFp://heartbleed.com/ ¡

13 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Social ¡Engineering ¡

• Techniques ¡involving ¡the ¡use ¡of ¡human ¡

insiders ¡to ¡circumvent ¡computer ¡security ¡ solu1ons ¡

• Social ¡engineering ¡aFacks ¡can ¡be ¡powerful! ¡
• Ogen ¡the ¡biggest ¡vulnerability ¡can ¡be ¡the ¡

human ¡being ¡who ¡is ¡in ¡charge ¡of ¡ administra1ng ¡the ¡system ¡

14 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Types ¡of ¡Social ¡Engineering ¡

• Pretex1ng: ¡crea1ng ¡a ¡story ¡that ¡convinces ¡an ¡

administrator ¡or ¡operator ¡into ¡revealing ¡info ¡

• Bai1ng: ¡offering ¡a ¡kind ¡of ¡“gig” ¡to ¡get ¡a ¡user ¡
• r ¡agent ¡to ¡perform ¡an ¡insecure ¡ac1on ¡(i.e. ¡

free ¡stuff ¡if ¡you ¡download ¡some ¡virus) ¡

• Quid ¡pro ¡quo ¡(“something ¡for ¡something”): ¡
• ffering ¡an ¡ac1on ¡or ¡service ¡and ¡then ¡

expec1ng ¡something ¡in ¡return ¡

15 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Pretex1ng ¡Example ¡

16 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Well-­‑known ¡Services/Ports ¡

• SSH ¡(Secure ¡Shell) ¡

– Port ¡22 ¡over ¡TCP ¡ – Used ¡to ¡administer ¡a ¡machine ¡remotely ¡ – Also ¡used ¡by ¡SCP ¡(Secure ¡Copy) ¡and ¡SFTP ¡

• HTTP/HTTPS ¡(Web) ¡

– Port ¡80 ¡over ¡TCP ¡(HTTP, ¡Unencrypted) ¡ – Port ¡443 ¡over ¡TCP ¡(HTTPS, ¡Encrypted) ¡

• FTP/SFTP ¡(File ¡Transfer ¡Protocol) ¡

– Port ¡21 ¡over ¡TCP ¡(FTP, ¡Unencrypted) ¡ – Port ¡115 ¡over ¡TCP ¡(SFTP, ¡Encrypted) ¡

17 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Defending ¡Against ¡AFacks ¡

• Firewalls ¡

– Can ¡help ¡protect ¡a ¡network ¡by ¡filtering ¡incoming ¡

• r ¡outgoing ¡network ¡traffic ¡based ¡on ¡a ¡predefined ¡

set ¡of ¡rules, ¡called ¡firewall ¡policies ¡ – Policies ¡are ¡based ¡on ¡proper1es ¡of ¡the ¡packets ¡ being ¡transmiFed, ¡such ¡as: ¡

• The ¡protocol ¡being ¡used, ¡such ¡as ¡TCP ¡or ¡UDP ¡
• The ¡source ¡and ¡des1na1on ¡IP ¡addresses ¡and ¡ports ¡
• The ¡payload ¡of ¡the ¡packet ¡being ¡transmiFed ¡

18 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Defending ¡Against ¡AFacks ¡(cont.) ¡

• Use ¡of ¡secure, ¡hard-­‑to-­‑guess ¡passwords ¡

– Combina1on ¡of ¡upper-­‑case, ¡lower-­‑case, ¡numbers, ¡ and ¡special ¡characters ¡(&, ¡^, ¡!, ¡., ¡*, ¡@, ¡etc.) ¡ – DO ¡NOT ¡use ¡dic1onary ¡words!! ¡

• Employ ¡Access ¡Control ¡Lists ¡(ACLs) ¡
• Use ¡secure ¡communica1on ¡channels ¡

19 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

What ¡Does ¡the ¡CRC ¡Do? ¡

• Physical ¡security: ¡Union ¡Sta1on ¡
• Firewalls: ¡OIT ¡Border ¡Firewall, ¡iptables ¡on ¡

individual ¡machines ¡

• Vulnerability ¡Scanning ¡
• Secure ¡passwords; ¡limited ¡“root” ¡access ¡
• Use ¡of ¡Access ¡Control ¡Lists ¡(ACLs) ¡
• Apply ¡security ¡updates ¡& ¡fix ¡vulnerabili1es ¡
• DenyHosts: ¡block ¡known ¡bad ¡host ¡IPs ¡

20 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Vulnerability ¡Scanning ¡

• QualysGuard ¡Vulnerability ¡Management ¡

¡hFps://www.qualys.com ¡

• Scans ¡for ¡vulnerabili1es ¡on ¡our ¡machines ¡
• Find ¡and ¡patch ¡vulnerabili1es ¡before ¡they ¡can ¡

get ¡exploited ¡

• Weekly ¡scans ¡of ¡our ¡public ¡network ¡

infrastructure ¡

21 ¡

Center ¡For ¡Research ¡Compu1ng ¡(CRC), ¡University ¡of ¡Notre ¡Dame, ¡Indiana ¡

Ques1ons? ¡

22 ¡