cse 484 cse m 584 computer security and privacy
play

CSE 484 / CSE M 584: Computer Security and Privacy - PowerPoint PPT Presentation

Jan 31, 2023 •215 likes •531 views

CSE 484 / CSE M 584: Computer Security and Privacy Spring 2015 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter

  1. CSE ¡484 ¡/ ¡CSE ¡M ¡584: ¡ ¡ Computer ¡Security ¡and ¡Privacy ¡ Spring ¡2015 ¡ ¡ Franziska ¡(Franzi) ¡Roesner ¡ ¡ franzi@cs.washington.edu ¡ Thanks ¡to ¡Dan ¡Boneh, ¡Dieter ¡Gollmann, ¡Dan ¡Halperin, ¡Yoshi ¡Kohno, ¡John ¡Manferdelli, ¡John ¡ Mitchell, ¡Vitaly ¡Shmatikov, ¡Bennet ¡Yee, ¡and ¡many ¡others ¡for ¡sample ¡slides ¡and ¡materials ¡... ¡

  2. Announcements ¡ • TA ¡office ¡hours ¡have ¡been ¡scheduled: ¡ – Adrian ¡and ¡Peter: ¡Wednesdays, ¡3:30-­‑4:30pm, ¡CSE ¡021 ¡ ¡ – Peter ¡and ¡Michael: ¡ Thursdays, ¡12:30-­‑1:30pm, ¡CSE ¡218 ¡ ¡ – Michael ¡and ¡Adrian: ¡Fridays, ¡9:30-­‑10:30am, ¡CSE ¡218 ¡ • If ¡you’re ¡enrolled, ¡you ¡should ¡have ¡received ¡a ¡test ¡ email ¡on ¡the ¡mailing ¡list. ¡ • If ¡you’re ¡not ¡enrolled ¡and ¡haven’t ¡signed ¡the ¡ overload ¡form, ¡see ¡me ¡after ¡class. ¡ • You ¡have ¡3 ¡free ¡in-­‑class ¡activities ¡(for ¡travel ¡etc.) ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 2 ¡

  3. Last ¡Time ¡ • Importance ¡of ¡the ¡security ¡mindset ¡ ¡ – (challenging ¡design ¡assumptions, ¡thinking ¡like ¡an ¡ attacker) ¡ • There’s ¡no ¡such ¡thing ¡as ¡perfect ¡security ¡ • Defining ¡security ¡per ¡context: ¡identify ¡assets, ¡ adversaries, ¡motivations, ¡threats, ¡vulnerabilities, ¡ risk, ¡possible ¡defenses ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 3 ¡

  4. Security ¡Reviews ¡ • Assets: ¡What ¡are ¡we ¡trying ¡to ¡protect? ¡How ¡ valuable ¡are ¡those ¡assets? ¡ • Adversaries: ¡Who ¡might ¡try ¡to ¡attack, ¡and ¡why? ¡ • Vulnerabilities: ¡How ¡might ¡the ¡system ¡be ¡weak? ¡ • Threats: ¡What ¡actions ¡might ¡an ¡adversary ¡take ¡to ¡ exploit ¡vulnerabilities? ¡ • Risk: ¡How ¡important ¡are ¡assets? ¡How ¡likely ¡is ¡ exploit? ¡ • Possible ¡Defenses ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 4 ¡

  5. What ¡Drives ¡the ¡Attackers? ¡ • Adversarial ¡motivations: ¡ – Money, ¡fame, ¡malice, ¡revenge, ¡curiosity, ¡politics, ¡ terror.... ¡ • Fake ¡websites: ¡ ¡identity ¡theft, ¡steal ¡money ¡ • Control ¡victim’s ¡machine: ¡ ¡send ¡spam, ¡capture ¡ passwords ¡ • Industrial ¡espionage ¡and ¡international ¡politics ¡ • Attack ¡on ¡website, ¡extort ¡money ¡ • Wreak ¡havoc, ¡achieve ¡fame ¡and ¡glory ¡ • Access ¡copy-­‑protected ¡movies ¡and ¡videos, ¡ entitlement ¡or ¡pleasure ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 5 ¡

  6. Example: ¡Electronic ¡Voting ¡ • Popular ¡replacement ¡to ¡ traditional ¡paper ¡ballots ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 6 ¡

  7. Pre-­‑Election ¡ Ballot ¡definition ¡file ¡ Poll ¡worker ¡ Pre-­‑election: ¡ ¡Poll ¡workers ¡load ¡“ballot ¡ definition ¡files” ¡on ¡voting ¡machine. ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 7 ¡

  8. Active ¡Voting ¡ Voter ¡token ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Active ¡voting: ¡ ¡Voters ¡obtain ¡single-­‑use ¡tokens ¡from ¡ poll ¡workers. ¡ ¡Voters ¡use ¡tokens ¡to ¡activate ¡machines ¡ and ¡vote. ¡ ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 8 ¡

  9. Active ¡Voting ¡ Voter ¡token ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Encrypted ¡votes ¡ Active ¡voting: ¡ ¡Votes ¡encrypted ¡ and ¡stored. ¡ ¡Voter ¡token ¡ canceled. ¡ ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 9 ¡

  10. Post-­‑Election ¡ Voter ¡token ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Encrypted ¡votes ¡ Post-­‑election: ¡ ¡Stored ¡votes ¡ Recorded ¡votes ¡ transported ¡to ¡tabulation ¡ center. ¡ ¡ si.edu ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 10 ¡ Tabulator ¡ si.edu ¡

  11. Security ¡and ¡E-­‑Voting ¡(Simplified) ¡ • Functionality ¡goals: ¡ – Easy ¡to ¡use ¡ – People ¡should ¡be ¡able ¡to ¡cast ¡votes ¡easily, ¡in ¡their ¡own ¡ language ¡or ¡with ¡headphones ¡for ¡accessibility ¡ • Security ¡goals: ¡ – Adversary ¡should ¡not ¡be ¡able ¡to ¡tamper ¡with ¡the ¡ election ¡outcome ¡ • By ¡changing ¡votes ¡ • By ¡denying ¡voters ¡the ¡right ¡to ¡vote ¡ – Adversary ¡should ¡not ¡be ¡able ¡to ¡figure ¡out ¡how ¡voters ¡ vote ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 11 ¡

  12. Can ¡You ¡Spot ¡Any ¡Potential ¡Issues? ¡ Voter ¡token ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Encrypted ¡votes ¡ Recorded ¡votes ¡ si.edu ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 12 ¡ Tabulator ¡ si.edu ¡

  13. Potential ¡Adversaries ¡ • Voters ¡ • Election ¡officials ¡ • Employees ¡of ¡voting ¡machine ¡manufacturer ¡ – Software/hardware ¡engineers ¡ – Maintenance ¡people ¡ • Other ¡engineers ¡ – Makers ¡of ¡hardware ¡ – Makers ¡of ¡underlying ¡software ¡or ¡add-­‑on ¡components ¡ – Makers ¡of ¡compiler ¡ • ... ¡ • Or ¡any ¡combination ¡of ¡the ¡above ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 13 ¡

  14. What ¡Software ¡is ¡Running? ¡ Problem: ¡ ¡An ¡adversary ¡(e.g., ¡a ¡poll ¡worker, ¡software ¡developer, ¡or ¡ company ¡representative) ¡able ¡to ¡control ¡the ¡software ¡or ¡the ¡ underlying ¡hardware ¡could ¡do ¡whatever ¡he ¡or ¡she ¡wanted. ¡ 4/1/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 14 ¡

  15. Problem: ¡ ¡Ballot ¡definition ¡files ¡are ¡not ¡authenticated. ¡ Example ¡attack: ¡ ¡A ¡malicious ¡poll ¡worker ¡could ¡modify ¡ballot ¡ definition ¡files ¡so ¡that ¡votes ¡cast ¡for ¡“Mickey ¡Mouse” ¡are ¡ recorded ¡for ¡“Donald ¡Duck.” ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Bad ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Encrypted ¡votes ¡ Recorded ¡votes ¡ Tabulator ¡

  16. Problem: ¡ ¡Smartcards ¡can ¡perform ¡cryptographic ¡operations. ¡ ¡But ¡ there ¡is ¡no ¡authentication ¡from ¡voter ¡token ¡to ¡terminal. ¡ Example ¡attack: ¡ ¡A ¡regular ¡voter ¡could ¡make ¡his ¡or ¡her ¡own ¡voter ¡ token ¡and ¡vote ¡multiple ¡times. ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Encrypted ¡votes ¡ Recorded ¡votes ¡ Tabulator ¡

  17. Problem: ¡ ¡Encryption ¡key ¡(“F2654hD4”) ¡hard-­‑coded ¡into ¡the ¡software ¡ since ¡(at ¡least) ¡1998. ¡ ¡Votes ¡stored ¡in ¡the ¡order ¡cast. ¡ Example ¡attack: ¡ ¡A ¡poll ¡worker ¡could ¡determine ¡how ¡voters ¡vote. ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Voter ¡ Encrypted ¡votes ¡ Recorded ¡votes ¡ Tabulator ¡

  18. Problem: ¡ ¡When ¡votes ¡transmitted ¡to ¡tabulator ¡over ¡the ¡Internet ¡ or ¡a ¡dialup ¡connection, ¡they ¡are ¡decrypted ¡first; ¡the ¡cleartext ¡ results ¡are ¡sent ¡the ¡the ¡tabulator. ¡ Example ¡attack: ¡ ¡A ¡sophisticated ¡outsider ¡could ¡determine ¡how ¡ voters ¡vote. ¡ Voter ¡token ¡ Ballot ¡definition ¡file ¡ Interactively ¡vote ¡ Poll ¡worker ¡ Voter ¡ Encrypted ¡votes ¡ Recorded ¡votes ¡ Tabulator ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

CSE 484 / CSE M 584: Computer Security and Privacy

CSE 484 / CSE M 584: Computer Security and Privacy

CSE 484 / CSE M 584: Computer Security and Privacy Spring 2016 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter

708 views • 34 slides
Web Privacy Professor Adam Bates Fall 2018 Security & Privacy Research at Illinois (SPRAI)

Web Privacy Professor Adam Bates Fall 2018 Security & Privacy Research at Illinois (SPRAI)

CS 563 - Advanced Computer Security: Web Privacy Professor Adam Bates Fall 2018 Security & Privacy Research at Illinois (SPRAI) Administrative Learning Objectives : Consider the difference between security and privacy Discuss work

814 views • 43 slides
Admin Today: finish web privacy, start mobile security Friday: Lab #2 due (8pm)

Admin Today: finish web privacy, start mobile security Friday: Lab #2 due (8pm)

CSE 484 / CSE M 584: Computer Security and Privacy Web Privacy [finish] Mobile Platform Security [start] Spring 2017 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, Ada Lerner,

535 views • 29 slides
CS573 Data Privacy and Security Li Xiong Department of Mathematics and Computer Science Emory

CS573 Data Privacy and Security Li Xiong Department of Mathematics and Computer Science Emory

CS573 Data Privacy and Security Li Xiong Department of Mathematics and Computer Science Emory University Today Meet everyone in class Course overview Why data privacy and security What is data privacy and security What we

810 views • 70 slides
Layer Optimization: Security and Privacy CS 118 Computer Network Fundamentals Peter Reiher

Layer Optimization: Security and Privacy CS 118 Computer Network Fundamentals Peter Reiher

Layer Optimization: Security and Privacy CS 118 Computer Network Fundamentals Peter Reiher Lecture 18 CS 118 Page 1 Winter 2016 Another type of layer deficiency Some layers of protocol do not provide any security or privacy What if

708 views • 59 slides
CS573 Data Privacy and Security Data Privacy and Security in Healthcare Data Privacy and Security

CS573 Data Privacy and Security Data Privacy and Security in Healthcare Data Privacy and Security

CS573 Data Privacy and Security Data Privacy and Security in Healthcare Data Privacy and Security in Healthcare Li Xiong Healthcare security and privacy HIPAA overview Research survey on information security and privacy in healthcare

1.05k views • 57 slides
Security and Privacy 12A. Operating Systems Security Operating Systems Principles 12B.

Security and Privacy 12A. Operating Systems Security Operating Systems Principles 12B.

5/18/2016 Security and Privacy 12A. Operating Systems Security Operating Systems Principles 12B. Authentication 12C. Authorization Security and Privacy 12D. Trust 12E. At-Rest Encryption Mark Kampe (markk@cs.ucla.edu) Security and Privacy

116 views • 8 slides
SECURITY, ADVERSARIAL SECURITY, ADVERSARIAL LEARNING, AND PRIVACY LEARNING, AND PRIVACY

SECURITY, ADVERSARIAL SECURITY, ADVERSARIAL LEARNING, AND PRIVACY LEARNING, AND PRIVACY

SECURITY, ADVERSARIAL SECURITY, ADVERSARIAL LEARNING, AND PRIVACY LEARNING, AND PRIVACY Christian Kaestner with slides from Eunsuk Kang Required reading: Hulten, Geoff. "Building Intelligent Systems: A Guide to Machine Learning

1.95k views • 113 slides
S & P SECURITY & PRIVACY GROUP Security and Privacy for Payment Channel Networks

S & P SECURITY & PRIVACY GROUP Security and Privacy for Payment Channel Networks

FAKULTT FR !NFORMATIK Faculty of Informatics S & P SECURITY & PRIVACY GROUP Security and Privacy for Payment Channel Networks Pedro Moreno-Sanchez Blockchain Summer School BDLT19 Vienna, Sep 2nd 2019 Blockchain Research

1.41k views • 73 slides
Introduction to Computer Security Session 4.4 Web Privacy Prof. Nadim Kobeissi 4.4a Web

Introduction to Computer Security Session 4.4 Web Privacy Prof. Nadim Kobeissi 4.4a Web

CSCI-UA.9480 Introduction to Computer Security Session 4.4 Web Privacy Prof. Nadim Kobeissi 4.4a Web Privacy Goals 2 CSCI-UA.9480: Introduction to Computer Security Nadim Kobeissi Web privacy goals. Preventing websites from learning:

337 views • 14 slides
Web Security [Privacy] Spring 2020 Earlence Fernandes earlence@cs.wisc.edu Thanks to Dan

Web Security [Privacy] Spring 2020 Earlence Fernandes earlence@cs.wisc.edu Thanks to Dan

CS 642: Computer Security and Privacy Web Security [Privacy] Spring 2020 Earlence Fernandes earlence@cs.wisc.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, Ada Lerner, John Manferdelli, John Mitchell, Franzi Roesner,

839 views • 32 slides
CSE 484 / CSE M 584: Computer Security and Privacy Fall2016 Adam (Ada) Lerner

CSE 484 / CSE M 584: Computer Security and Privacy Fall2016 Adam (Ada) Lerner

CSE 484 / CSE M 584: Computer Security and Privacy Fall2016 Adam (Ada) Lerner lerner@cs.washington.edu Thanks to Franzi Roesner, Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John Mitchell, Vitaly Shmatikov, Bennet

654 views • 51 slides
Privacy Computer Security Peter Reiher December 11, 2014 Lecture 16 Page 1 CS 136, Fall 2014

Privacy Computer Security Peter Reiher December 11, 2014 Lecture 16 Page 1 CS 136, Fall 2014

Privacy Computer Security Peter Reiher December 11, 2014 Lecture 16 Page 1 CS 136, Fall 2014 Privacy Data privacy issues Network privacy issues Some privacy solutions Lecture 16 Page 2 CS 136, Fall 2014 What Is Privacy?

789 views • 63 slides
Syllabus Professor Adam Bates Fall 2018 Security & Privacy Research at Illinois (SPRAI)

Syllabus Professor Adam Bates Fall 2018 Security & Privacy Research at Illinois (SPRAI)

CS 563 - Advanced Computer Security: Syllabus Professor Adam Bates Fall 2018 Security & Privacy Research at Illinois (SPRAI) Learning Objectives Before CS 563: Intermediate knowledge of computer security topics Experience working

775 views • 38 slides
Be,er Privacy and Security via Secure Computa9on Jonathan Katz Security/privacy would be much

Be,er Privacy and Security via Secure Computa9on Jonathan Katz Security/privacy would be much

Be,er Privacy and Security via Secure Computa9on Jonathan Katz Security/privacy would be much easier if there were someone we could all TRUST with our data Be8er data mining -- using MORE data, while respec@ng users PRIVACY

888 views • 35 slides
Security, Privacy and Trust in DOSNs: State-Of-The-Art Approaches and Open Challenges Panagiotis

Security, Privacy and Trust in DOSNs: State-Of-The-Art Approaches and Open Challenges Panagiotis

Security, Privacy and Trust in DOSNs: State-Of-The-Art Approaches and Open Challenges Panagiotis Ilia Institute of Computer Science Foundation for Research and Technology Hellas (FORTH) <pilia@ics.forth.gr> Security, Privacy and Trust

272 views • 25 slides
[3] The Vector Space Linear Combinations An expression 1 v 1 + + n v n is a linear

[3] The Vector Space Linear Combinations An expression 1 v 1 + + n v n is a linear

The Vector Space [3] The Vector Space Linear Combinations An expression 1 v 1 + + n v n is a linear combination of the vectors v 1 , . . . , v n . The scalars 1 , . . . , n are the coefficients of the linear combination.

873 views • 41 slides
The philosophical thinking on information security governance of the board and senior

The philosophical thinking on information security governance of the board and senior

The philosophical thinking on information security governance of the board and senior executives. HSIN-CHIH HUANG, EC-Council Certified Incident Handler (ECIH)

602 views • 14 slides
ME 562: Sustainable Energy an Exergy Analysis Spring 2014 Mechanical Engineering ME462/562

ME 562: Sustainable Energy an Exergy Analysis Spring 2014 Mechanical Engineering ME462/562

ME 562: Sustainable Energy an Exergy Analysis Spring 2014 Mechanical Engineering ME462/562 Sustainable Energy: an Exergy Analysis About the instructor Prof. Andrea Mammoli Offjce: ME436A (4th fmoor, southwest corner of ME building) T:

667 views • 15 slides
Irfan Ovacik, Principal Engineer Intel Corporation February 7 12 , 2016 Dagstuhl Seminar,

Irfan Ovacik, Principal Engineer Intel Corporation February 7 12 , 2016 Dagstuhl Seminar,

Irfan Ovacik, Principal Engineer Intel Corporation February 7 12 , 2016 Dagstuhl Seminar, Modeling and Analysis of Semiconductor Supply Chains 1 Introduction Quick Bio Ph.D. in Industrial Engineering, Purdue University, 1994 i2

416 views • 12 slides
APNA 30th Annual Conference Session 2034: October 20, 2016 Using Electronic Devices to Improve

APNA 30th Annual Conference Session 2034: October 20, 2016 Using Electronic Devices to Improve

APNA 30th Annual Conference Session 2034: October 20, 2016 Using Electronic Devices to Improve the Patient Care Experience on an Inpatient Behavioral Health Unit APNA 2016 conference Session ID # 2034 John Wagner MA, M.Th., RN Director of

392 views • 8 slides
Elisa Bertino CS Department, Cyber Center, and CERIAS Purdue University Department of Computer

Elisa Bertino CS Department, Cyber Center, and CERIAS Purdue University Department of Computer

Department of Computer Science Data Protection from Insider Threats Concepts and Research Issues Elisa Bertino CS Department, Cyber Center, and CERIAS Purdue University Department of Computer Science Insider Threat Motivations and

578 views • 40 slides
N G I Z e r o : y e a r 0 Come work for the internet on privacy, trust, search &

N G I Z e r o : y e a r 0 Come work for the internet on privacy, trust, search &

N G I Z e r o : y e a r 0 Come work for the internet on privacy, trust, search & discovery Powered by the European Commission Directorate-General for Communications Networks Content and Technology 825322 / 825310 F O S D

784 views • 31 slides
Insider Threat Engineering Secure Software Last Revised: November 11, 2020 SWEN-331: Engineering

Insider Threat Engineering Secure Software Last Revised: November 11, 2020 SWEN-331: Engineering

Insider Threat Engineering Secure Software Last Revised: November 11, 2020 SWEN-331: Engineering Secure Software Benjamin S Meyers 1 Lottery Story At a lottery agency, a manager was able to turn losing tickets into winners He would buy

309 views • 19 slides

More recommend