[PDF] - My Background Ph.D. at Carnegie Mellon University Research PDF Document

SLIDE 1

2/17/15 ¡ 1 ¡

Introduc)on ¡to ¡Security ¡

Prof. ¡Tudor ¡Dumitraș ¡

Assistant ¡Professor, ¡ECE ¡ University ¡of ¡Maryland, ¡College ¡Park ¡

The ¡Role ¡of ¡Data ¡Science ¡

http://www.umiacs.umd.edu/~tdumitra/ ¡

About ¡Me ¡ Tudor ¡Dumitraș ¡

Office: ¡AVW ¡3425 ¡ Email: ¡tdumitra@umiacs.umd.edu ¡

2 ¡

SLIDE 2

2/17/15 ¡ 2 ¡

My ¡Background ¡

Ph.D. ¡at ¡Carnegie ¡Mellon ¡University ¡

– Research ¡in ¡distributed ¡systems ¡and ¡fault-‑tolerant ¡middleware ¡

Worked ¡at ¡Symantec ¡Research ¡Labs ¡

– Built ¡WINE ¡plaUorm ¡for ¡Big ¡Data ¡experiments ¡in ¡security ¡ – WINE ¡currently ¡used ¡by ¡academic ¡researchers ¡and ¡ ¡ Symantec ¡engineers ¡

Joined ¡UMD ¡faculty ¡
Research ¡and ¡teaching ¡on ¡applied ¡security ¡and ¡systems ¡

– Focus ¡on ¡solving ¡security ¡problems ¡with ¡data-‑driven ¡techniques ¡

3 ¡

WINE ¡

Who ¡Can ¡You ¡Trust? ¡

WorkstaZon ¡ O/S ¡ ApplicaZon ¡ NFS ¡Server ¡ O/S ¡ Server ¡

Network ¡ channel ¡ Request ¡

I ¡wonder ¡ what ¡Tudor’s ¡ SSN ¡is ¡… ¡

Keyboard/display ¡ channel ¡

Where ¡is ¡the ¡request ¡“from”? ¡

– The ¡user? ¡ ¡The ¡workstaZon? ¡ ¡The ¡applicaZon? ¡The ¡network ¡channel? ¡ ¡ All ¡of ¡the ¡above? ¡ – Which ¡of ¡these ¡actors ¡do ¡you ¡trust? ¡

4 ¡

SLIDE 3

2/17/15 ¡ 3 ¡

Ken ¡Thompson ¡

ACM ¡Turing ¡Award, ¡1983 ¡

5 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡

What ¡sodware ¡can ¡we ¡trust? ¡
Example: ¡any ¡operaZng ¡system ¡includes ¡a ¡program ¡ ¡

checking ¡whether ¡users ¡are ¡allowed ¡to ¡log ¡in ¡

– "login" ¡or ¡"su" ¡in ¡Unix ¡ – Is ¡the ¡login ¡binary ¡from ¡Windows/Mac ¡OS/Ubuntu/etc. ¡trustworthy? ¡ – Does ¡it ¡send ¡your ¡password ¡to ¡someone? ¡ – Does ¡it ¡have ¡backdoor ¡for ¡a ¡“special” ¡remote ¡user? ¡

Can't ¡trust ¡the ¡binary, ¡so ¡check ¡source ¡code ¡or ¡write ¡your ¡own, ¡

recompile ¡

Does ¡this ¡solve ¡problem? ¡

6 ¡

SLIDE 4

2/17/15 ¡ 4 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡ ¡

Who ¡wrote ¡the ¡compiler? ¡
Compiler ¡looks ¡for ¡source ¡code ¡that ¡looks ¡like ¡the ¡login ¡

process, ¡inserts ¡backdoor ¡into ¡it ¡

Ok, ¡inspect ¡the ¡source ¡code ¡of ¡the ¡compiler… ¡ ¡Looks ¡good? ¡ ¡

Recompile ¡the ¡compiler! ¡

Does ¡this ¡solve ¡the ¡problem? ¡

7 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡ ¡

The ¡UNIX ¡login ¡program ¡is ¡compiled ¡by ¡a ¡C ¡compiler ¡

– The ¡C ¡compiler ¡was ¡also ¡compiled ¡by ¡an ¡(older) ¡C ¡compiler ¡

Aside: ¡how ¡does ¡the ¡compiler ¡handle ¡special ¡characters? ¡ ¡

… ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡!= ¡'\\') ¡ ¡ ¡return(c); ¡ ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡== ¡'\\') ¡ ¡ ¡return('\\'); ¡ ¡ if(c== ¡'n') ¡ ¡ ¡return('\n'); ¡ ¡ if(c ¡== ¡'v') ¡ ¡ ¡return(11); ¡ ¡

… ¡

… ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡!= ¡'\\') ¡ ¡ ¡return(c); ¡ ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡== ¡'\\') ¡ ¡ ¡return('\\'); ¡ ¡ if(c== ¡'n') ¡ ¡ ¡return('\n'); ¡ ¡ if(c ¡== ¡'v') ¡ ¡ ¡return('\v'); ¡ ¡

… ¡

When ¡adding ¡a ¡new ¡special ¡character ¡to ¡the ¡ ¡ C ¡language, ¡must ¡specify ¡the ¡character ¡code ¡ In ¡future ¡versions ¡of ¡ ¡ the ¡compiler: ¡use ¡ ¡ the ¡special ¡character ¡

8 ¡

SLIDE 5

2/17/15 ¡ 5 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡ ¡

The ¡compiler ¡is ¡wriken ¡in ¡C ¡… ¡

¡compiler(S) ¡{ ¡

¡ ¡ ¡ ¡ ¡ ¡if ¡(match(S, ¡"login-‑pattern")) ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡compile ¡(login-‑backdoor) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡return ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡if ¡(match(S, ¡"compiler-‑pattern")) ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡compile ¡(compiler-‑backdoor) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡return ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡.... ¡/* ¡compile ¡as ¡usual ¡*/ ¡ ¡ ¡ ¡} ¡

In ¡future ¡versions ¡of ¡ ¡ the ¡compiler: ¡the ¡ ¡ backdoor ¡no ¡longer ¡ ¡ appears ¡in ¡the ¡source ¡ ¡ code ¡

9 ¡

¡ “The ¡moral ¡is ¡obvious. ¡You ¡can't ¡trust ¡code ¡that ¡ ¡ you ¡did ¡not ¡totally ¡create ¡yourself. ¡(Especially ¡ ¡ code ¡from ¡companies ¡that ¡employ ¡people ¡like ¡me.)” ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡

10 ¡

SLIDE 6

2/17/15 ¡ 6 ¡

Desirable ¡Security ¡Proper)es ¡

Confiden)ality: ¡informaZon ¡isn’t ¡disclosed ¡
Integrity: ¡informaZon ¡isn’t ¡changed ¡
Availability: ¡informaZon ¡can ¡be ¡accessed ¡
Authen)city: ¡you ¡know ¡where ¡the ¡informaZon ¡comes ¡from ¡
Access ¡control: ¡only ¡the ¡right ¡people ¡can ¡access ¡the ¡informaZon ¡
Accountability ¡and ¡non-‑repudia)on: ¡people ¡who ¡modify ¡the ¡

informaZon ¡cannot ¡hide ¡who ¡they ¡are ¡

Privacy: ¡personal ¡informaZon ¡cannot ¡be ¡accessed ¡by ¡others ¡

… ¡

11 ¡

Correctness ¡versus ¡Security ¡

System ¡correctness: ¡system ¡saZsfies ¡specificaZon ¡

– For ¡reasonable ¡input, ¡get ¡reasonable ¡output ¡

System ¡security: ¡system ¡properZes ¡preserved ¡in ¡face ¡of ¡akack ¡

– For ¡unreasonable ¡input, ¡output ¡not ¡completely ¡disastrous ¡

Main ¡difference: ¡intelligent ¡adversary ¡trying ¡to ¡subvert ¡system ¡

and ¡to ¡evade ¡defensive ¡techniques ¡ ¡

12 ¡

SLIDE 7

2/17/15 ¡ 7 ¡

What ¡Can ¡A\ackers ¡Do? ¡

A\ack ¡targets: ¡clients, ¡servers, ¡networks, ¡applicaZons, ¡users ¡
Example ¡a\ack ¡methods: ¡

– End-‑hosts ¡(or ¡devices): ¡install ¡malware ¡ – LAN: ¡read, ¡replay, ¡insert, ¡delete, ¡block ¡messages ¡ – Internet: ¡send ¡spam, ¡conduct ¡distributed ¡denial ¡of ¡service ¡akacks ¡ – Applica)ons: ¡exploit ¡vulnerabiliZes ¡ – Data: ¡steal/corrupt ¡secret ¡data, ¡plant ¡invalid ¡data ¡ – Users: ¡conduct ¡social ¡engineering ¡akacks ¡

13 ¡

Aside: ¡Is ¡Hardware ¡Secure? ¡ ¡

Malicious ¡device ¡firmware ¡

– Some ¡HW ¡funcZonality ¡is ¡actually ¡implemented ¡in ¡SW ¡ – Do ¡you ¡trust ¡device ¡firmware ¡to ¡come ¡from ¡legiZmate ¡vendor? ¡ – Is ¡firmware ¡free ¡of ¡vulnerabiliZes? ¡ ¡

Malicious ¡hardware ¡

– HW ¡is ¡as ¡complex ¡as ¡SW ¡and ¡is ¡designed ¡using ¡SW ¡tools ¡ – Do ¡you ¡know ¡where ¡each ¡HW ¡component ¡comes ¡from? ¡ – Can ¡you ¡authenZcate ¡your ¡HW? ¡

14 ¡

SLIDE 8

2/17/15 ¡ 8 ¡

Network ¡Stack ¡

people ¡ applicaZon ¡ session ¡ transport ¡ network ¡ data ¡link ¡ physical ¡ IPv4 ¡/ ¡IPv6 ¡ TCP ¡ email, ¡Web, ¡NFS ¡ RPC ¡ 802.11 ¡ Sendmail, ¡FTP, ¡NFS ¡bugs, ¡chosen-‑ protocol ¡and ¡version-‑rollback ¡akacks ¡ SYN ¡flooding, ¡RIP ¡akacks, ¡ sequence ¡number ¡predicZon ¡ IP ¡smurfing ¡and ¡other ¡ address ¡spoofing ¡akacks ¡ RPC ¡worms, ¡portmapper ¡exploits ¡ WEP ¡akacks ¡

Only ¡as ¡secure ¡as ¡the ¡single ¡weakest ¡layer ¡(or ¡interconnecZon ¡between ¡layers) ¡

RF ¡ RF ¡fingerprinZng, ¡DoS ¡ Phishing ¡akacks, ¡usability ¡

Network ¡stack ¡

15 ¡

A\ack ¡Method ¡Examples ¡

Malware ¡(malicious ¡sodware/firmware): ¡ ¡

– rootkits ¡ – bots ¡ – trojan ¡horses ¡ – spyware ¡ – worms ¡ – viruses ¡ ¡ – backdoors ¡… ¡

Malware-‑inser)on ¡methods ¡

– User ¡InteracZon/Social ¡Engineering ¡ – Incorrect ¡OS/ApplicaZon ¡ConfiguraZon ¡ – Compromised ¡OS/ApplicaZon ¡& ¡Vulnerability ¡ExploitaZon ¡

16 ¡

SLIDE 9

2/17/15 ¡ 9 ¡

Distributed ¡Infrastructures ¡Suppor)ng ¡Cybercrime ¡

Botnets ¡ ¡

– Worker ¡bots ¡running ¡in ¡the ¡background ¡on ¡millions ¡of ¡compromised ¡hosts ¡ – Bot ¡master ¡sending ¡instrucZons ¡to ¡worker ¡bots ¡via ¡command ¡& ¡control ¡nodes ¡ ¡ – Possible ¡instrucZons: ¡propagate, ¡send ¡spam, ¡conduct ¡DDoS, ¡mine ¡Bitcoin ¡

Pay-‑per-‑Install ¡(PPI) ¡

– “Affiliate” ¡programs ¡rewarding ¡miscreants ¡for ¡installing ¡malware ¡on ¡end-‑hosts ¡ – Useful ¡for ¡bootstrapping ¡botnets, ¡sending ¡spam, ¡staging ¡denial ¡of ¡service ¡ akacks, ¡performing ¡click ¡fraud, ¡hosZng ¡scam ¡websites ¡

Distributed ¡Denial ¡of ¡Service ¡(DDoS) ¡

– Instruct ¡a ¡botnet ¡to ¡direct ¡a ¡large ¡amount ¡of ¡traffic ¡to ¡the ¡target ¡ – Leverage ¡protocols ¡that ¡can ¡amplify ¡traffic ¡(e.g. ¡NTP, ¡DNS) ¡

17 ¡

Need ¡for ¡Data-‑Driven ¡Security ¡

18 ¡

403 ¡million ¡new ¡variants ¡of ¡ ¡ malware ¡were ¡created ¡in ¡2011 ¡

[Symantec, ¡Internet ¡Security ¡Threat ¡Report] ¡

SLIDE 10

2/17/15 ¡ 10 ¡

WINE: ¡Big ¡Data ¡Experiments ¡in ¡Cyber ¡Security ¡

System ¡I ¡built ¡during ¡my ¡2.5 ¡years ¡at ¡Symantec ¡

Research ¡Labs ¡

Aggregates ¡security ¡telemetry ¡collected ¡at ¡high ¡rates ¡
Example: ¡16B ¡log ¡entries/day ¡
Makes ¡data ¡available ¡to ¡academic ¡researchers ¡

– Parallel ¡DB ¡for ¡implemenZng ¡analyZcs ¡ – Queried ¡using ¡SQL ¡or ¡MapReduce ¡

19 ¡

Impact ¡of ¡the ¡WINE ¡Plahorm ¡

Largest ¡data ¡set ¡available ¡for ¡security ¡research ¡

– 50 ¡billion ¡telemetry ¡reports ¡ – Updated ¡conZnuously ¡

New ¡way ¡of ¡sharing ¡security ¡data ¡

– Data ¡& ¡analysis ¡plaUorm ¡ – Repeatable ¡experiments ¡

20 ¡

IPS ¡telemetry ¡ AV ¡telemetry ¡ Symantec ¡products ¡worldwide ¡ Download ¡telemetry ¡ Stability ¡telemetry ¡

SLIDE 11

2/17/15 ¡ 11 ¡

Example ¡of ¡WINE ¡Project: ¡Measuring ¡Zero-‑Day ¡A\acks ¡

2009: ¡OperaZon ¡Aurora ¡ against ¡Google ¡ 2010: ¡Stuxnet ¡ 2011: ¡Akack ¡against ¡RSA ¡

Zero-‑day ¡a\ack ¡= ¡cyber ¡akack ¡exploiZng ¡a ¡sodware ¡vulnerability ¡ before ¡the ¡public ¡disclosure ¡of ¡the ¡vulnerability ¡

21 ¡

Price ¡of ¡Zero-‑Day ¡Exploits ¡on ¡the ¡Black ¡Market ¡

The ¡Economist, ¡March ¡2013 ¡

22 ¡

SLIDE 12

2/17/15 ¡ 12 ¡

Zero-‑Day ¡A\acks: ¡Open ¡Ques)ons ¡

Decade-‑long ¡open ¡quesZons ¡

How ¡common ¡are ¡zero-‑day ¡akacks? ¡
How ¡long ¡can ¡they ¡remain ¡undiscovered? ¡
What ¡happens ¡aoer ¡disclosure? ¡

CreaZon ¡ Vulnerability ¡ )meline ¡ [Arbaugh ¡2000, ¡Frei ¡2008, ¡ ¡ McQueen ¡2009, ¡Shahzad ¡2012] ¡

Prior ¡work ¡ Zero-‑day ¡a\ack ¡

Vulnerability ¡disclosed ¡ (“day ¡zero”) ¡ Exploit ¡ ¡ used ¡in ¡akacks ¡ Security ¡ ¡ patch ¡released ¡ All ¡hosts ¡ patched ¡

23 ¡

Systema)cally ¡Iden)fy ¡Zero-‑Day ¡A\acks ¡Using ¡WINE ¡

24 ¡

Disclosure ¡ Exploit ¡ T0 ¡

Download ¡telemetry ¡

File ¡downloads ¡

OSVDB ¡

Vulnerabili)es ¡

AV ¡telemetry ¡

Virus ¡detec)ons ¡ Patch ¡

[CCS’12] ¡

Algorithm ¡

1. IdenZfy ¡AV ¡signatures ¡ ¡

detecZng ¡exploits ¡

2. IdenZfy ¡the ¡exploits ¡
3. Determine ¡when ¡they ¡ ¡

appeared ¡on ¡the ¡Internet ¡

4. Compare ¡with ¡the ¡ ¡

disclosure ¡dates ¡

SLIDE 13

2/17/15 ¡ 13 ¡

VulnerabiliZes ¡ 0 ¡ 1 ¡

CVE-‑2008-‑0015 ¡ CVE-‑2009-‑0084 ¡ CVE-‑2009-‑0561 ¡ CVE-‑2009-‑0658 ¡ CVE-‑2010-‑0028 ¡ CVE-‑2010-‑1241 ¡ CVE-‑2010-‑2568 ¡ CVE-‑2010-‑2862 ¡ CVE-‑2011-‑0618 ¡ CVE-‑2011-‑1331 ¡ CVE-‑2010-‑0480 ¡ CVE-‑2008-‑2249 ¡ CVE-‑2008-‑4250 ¡ CVE-‑2009-‑1134 ¡ CVE-‑2009-‑2501 ¡ CVE-‑2009-‑3126 ¡ CVE-‑2009-‑4324 ¡ CVE-‑2010-‑2883 ¡

2 ¡ 3 ¡

PDF ¡

Dura)on ¡of ¡ ¡ Zero-‑Day ¡A\acks ¡

[CCS’12] ¡

Exploits ¡detected ¡on ¡ ¡ <150 ¡hosts ¡out ¡of ¡11M ¡ Disclosure ¡ Months ¡

‑6 ¡
‑12 ¡
‑18 ¡
‑24 ¡
‑30 ¡

25 ¡

Average ¡duraZon: ¡312 ¡days ¡

Zero-‑Day ¡Vulnerabili)es ¡Aoer ¡Disclosure ¡

26 ¡

Time [weeks] Malware variants

CVE-2011-1331 CVE-2010-0028 CVE-2009-2501 CVE-2009-0561 CVE-2009-0084 CVE-2008-0015 CVE-2010-2883 CVE-2009-4324 CVE-2009-3126 CVE-2009-1134 CVE-2008-2249 CVE-2009-0658 CVE-2010-1241 CVE-2010-0480

100
50

t0 50 100 150 1 100 10000

CVE-2010-2862

10 1000 100000

[CCS’12] ¡

Before ¡disclosure: ¡ Targeted ¡akacks ¡ Ader ¡disclosure: ¡ Large-‑scale ¡akacks ¡

SLIDE 14

2/17/15 ¡ 14 ¡

Important ¡Ideas ¡in ¡Security ¡Data ¡Science ¡

Why ¡do ¡crypto ¡systems ¡fail? ¡

– ImplementaZon ¡errors, ¡misconfiguraZons, ¡usability ¡issues ¡[Anderson’93, ¡Whiken’99, ¡Clark’11, ¡Heninger’12, ¡ Egele’13] ¡

ReputaZon-‑based ¡security ¡

– DetecZng ¡malware ¡in ¡a ¡content-‑agnosZc ¡manner ¡[Chau’11, ¡AbuRajab’13, ¡Windows ¡8] ¡

ProperZes ¡of ¡passwords ¡and ¡the ¡quest ¡to ¡replace ¡them ¡

– ComparaZve ¡evaluaZon, ¡α-‑guesswork, ¡human ¡factors ¡[Bonneau’12a, ¡Bonneau’12b, ¡Mazurek’13] ¡

Understanding ¡and ¡accounZng ¡for ¡network-‑level ¡behavior ¡

– Network ¡telescopes, ¡BGP ¡security, ¡DNS ¡analyZcs ¡[Moore’01, ¡Kumar’05, ¡Ramachandran’06, ¡Antonakakis’10, ¡ Bilge’11] ¡

Akacking ¡the ¡business ¡model ¡of ¡cyber ¡criminals ¡

– Botnet ¡highjacking, ¡pay-‑per-‑install, ¡spam ¡value ¡chain, ¡exploit-‑as-‑a-‑service ¡[Kanich’08, ¡Caballero’11, ¡ Levchenko’11, ¡Grier’12] ¡

Scanning ¡/ ¡infecZng ¡the ¡IPv4 ¡Internet ¡in ¡a ¡few ¡minutes ¡

– Worms, ¡ZMap ¡[Staniford’02, ¡Durumeric’13] ¡

Anonymity ¡and ¡de-‑anonymizaZon ¡

– Tor, ¡Telex, ¡The ¡NeUlix ¡Prize ¡[Dingledine’04, ¡Wustrow’11, ¡Narayanan’08] ¡

[…] ¡

Papers ¡available ¡at ¡

http://www.umiacs.umd.edu/~tdumitra/courses/ENEE759D/Fall13/syllabus.html ¡ ¡

27 ¡

Your ¡thesis ¡topic ¡goes ¡here ¡

What ¡is ¡Security ¡Data ¡Science? ¡ ¡

Systems ¡knowledge: ¡develop ¡technologies ¡needed ¡to ¡store ¡and ¡

process ¡massive ¡data ¡sets ¡

Sta)s)cs ¡& ¡machine ¡learning ¡knowledge: ¡analyze ¡the ¡data ¡and ¡

extract ¡informaZon ¡

Security ¡knowledge: ¡ask ¡the ¡right ¡quesZons ¡about ¡cyber ¡akacks ¡
Data ¡scienZsts ¡are ¡in ¡high ¡demand ¡in ¡the ¡cybersecurity ¡industry ¡

Booz ¡Allen ¡may ¡be ¡recruiZng ¡more ¡ ¡ [data ¡scienZsts] ¡than ¡Google ¡or ¡Facebook ¡

¡ ¡ ¡The ¡Economist, ¡June ¡2013 ¡

28 ¡

SLIDE 15

2/17/15 ¡ 15 ¡

Sources ¡

Various ¡slides ¡from ¡Vitaly ¡ShmaZkov, ¡Virgil ¡Gligor ¡and ¡Mike ¡

Reiter ¡

29 ¡

Thank ¡you! ¡

30 ¡

2/17/15 ¡ 1 ¡

Introduc)on ¡to ¡Security ¡

Assistant ¡Professor, ¡ECE ¡ University ¡of ¡Maryland, ¡College ¡Park ¡

The ¡Role ¡of ¡Data ¡Science ¡

http://www.umiacs.umd.edu/~tdumitra/ ¡

About ¡Me ¡ Tudor ¡Dumitraș ¡

Office: ¡AVW ¡3425 ¡ Email: ¡tdumitra@umiacs.umd.edu ¡

2/17/15 ¡ 2 ¡

My ¡Background ¡

– Research ¡in ¡distributed ¡systems ¡and ¡fault-­‑tolerant ¡middleware ¡

– Built ¡WINE ¡plaUorm ¡for ¡Big ¡Data ¡experiments ¡in ¡security ¡ – WINE ¡currently ¡used ¡by ¡academic ¡researchers ¡and ¡ ¡ Symantec ¡engineers ¡

– Focus ¡on ¡solving ¡security ¡problems ¡with ¡data-­‑driven ¡techniques ¡

WINE ¡

Who ¡Can ¡You ¡Trust? ¡

WorkstaZon ¡ O/S ¡ ApplicaZon ¡ NFS ¡Server ¡ O/S ¡ Server ¡

Network ¡ channel ¡ Request ¡

Keyboard/display ¡ channel ¡

– The ¡user? ¡ ¡The ¡workstaZon? ¡ ¡The ¡applicaZon? ¡The ¡network ¡channel? ¡ ¡ All ¡of ¡the ¡above? ¡ – Which ¡of ¡these ¡actors ¡do ¡you ¡trust? ¡

2/17/15 ¡ 3 ¡

Ken ¡Thompson ¡

ACM ¡Turing ¡Award, ¡1983 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡

checking ¡whether ¡users ¡are ¡allowed ¡to ¡log ¡in ¡

– "login" ¡or ¡"su" ¡in ¡Unix ¡ – Is ¡the ¡login ¡binary ¡from ¡Windows/Mac ¡OS/Ubuntu/etc. ¡trustworthy? ¡ – Does ¡it ¡send ¡your ¡password ¡to ¡someone? ¡ – Does ¡it ¡have ¡backdoor ¡for ¡a ¡“special” ¡remote ¡user? ¡

recompile ¡

2/17/15 ¡ 4 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡ ¡

process, ¡inserts ¡backdoor ¡into ¡it ¡

Recompile ¡the ¡compiler! ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡ ¡

– The ¡C ¡compiler ¡was ¡also ¡compiled ¡by ¡an ¡(older) ¡C ¡compiler ¡

… ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡!= ¡'\\') ¡ ¡ ¡return(c); ¡ ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡== ¡'\\') ¡ ¡ ¡return('\\'); ¡ ¡ if(c== ¡'n') ¡ ¡ ¡return('\n'); ¡ ¡ if(c ¡== ¡'v') ¡ ¡ ¡return(11); ¡ ¡

… ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡!= ¡'\\') ¡ ¡ ¡return(c); ¡ ¡ c ¡= ¡next( ¡); ¡ ¡ if(c ¡== ¡'\\') ¡ ¡ ¡return('\\'); ¡ ¡ if(c== ¡'n') ¡ ¡ ¡return('\n'); ¡ ¡ if(c ¡== ¡'v') ¡ ¡ ¡return('\v'); ¡ ¡

When ¡adding ¡a ¡new ¡special ¡character ¡to ¡the ¡ ¡ C ¡language, ¡must ¡specify ¡the ¡character ¡code ¡ In ¡future ¡versions ¡of ¡ ¡ the ¡compiler: ¡use ¡ ¡ the ¡special ¡character ¡

2/17/15 ¡ 5 ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡ ¡

¡compiler(S) ¡{ ¡

In ¡future ¡versions ¡of ¡ ¡ the ¡compiler: ¡the ¡ ¡ backdoor ¡no ¡longer ¡ ¡ appears ¡in ¡the ¡source ¡ ¡ code ¡

¡ “The ¡moral ¡is ¡obvious. ¡You ¡can't ¡trust ¡code ¡that ¡ ¡ you ¡did ¡not ¡totally ¡create ¡yourself. ¡(Especially ¡ ¡ code ¡from ¡companies ¡that ¡employ ¡people ¡like ¡me.)” ¡

“Reflec)ons ¡on ¡Trus)ng ¡Trust” ¡– ¡cont’d ¡

2/17/15 ¡ 6 ¡

Desirable ¡Security ¡Proper)es ¡

informaZon ¡cannot ¡hide ¡who ¡they ¡are ¡

… ¡

Correctness ¡versus ¡Security ¡

– For ¡reasonable ¡input, ¡get ¡reasonable ¡output ¡

– For ¡unreasonable ¡input, ¡output ¡not ¡completely ¡disastrous ¡

and ¡to ¡evade ¡defensive ¡techniques ¡ ¡

2/17/15 ¡ 7 ¡

What ¡Can ¡A\ackers ¡Do? ¡

Aside: ¡Is ¡Hardware ¡Secure? ¡ ¡

– Some ¡HW ¡funcZonality ¡is ¡actually ¡implemented ¡in ¡SW ¡ – Do ¡you ¡trust ¡device ¡firmware ¡to ¡come ¡from ¡legiZmate ¡vendor? ¡ – Is ¡firmware ¡free ¡of ¡vulnerabiliZes? ¡ ¡

– HW ¡is ¡as ¡complex ¡as ¡SW ¡and ¡is ¡designed ¡using ¡SW ¡tools ¡ – Do ¡you ¡know ¡where ¡each ¡HW ¡component ¡comes ¡from? ¡ – Can ¡you ¡authenZcate ¡your ¡HW? ¡

2/17/15 ¡ 8 ¡

Network ¡Stack ¡

Only ¡as ¡secure ¡as ¡the ¡single ¡weakest ¡layer ¡(or ¡interconnecZon ¡between ¡layers) ¡

Network ¡stack ¡

A\ack ¡Method ¡Examples ¡

– rootkits ¡ – bots ¡ – trojan ¡horses ¡ – spyware ¡ – worms ¡ – viruses ¡ ¡ – backdoors ¡… ¡

– User ¡InteracZon/Social ¡Engineering ¡ – Incorrect ¡OS/ApplicaZon ¡ConfiguraZon ¡ – Compromised ¡OS/ApplicaZon ¡& ¡Vulnerability ¡ExploitaZon ¡

2/17/15 ¡ 9 ¡

Distributed ¡Infrastructures ¡Suppor)ng ¡Cybercrime ¡

– Worker ¡bots ¡running ¡in ¡the ¡background ¡on ¡millions ¡of ¡compromised ¡hosts ¡ – Bot ¡master ¡sending ¡instrucZons ¡to ¡worker ¡bots ¡via ¡command ¡& ¡control ¡nodes ¡ ¡ – Possible ¡instrucZons: ¡propagate, ¡send ¡spam, ¡conduct ¡DDoS, ¡mine ¡Bitcoin ¡

– “Affiliate” ¡programs ¡rewarding ¡miscreants ¡for ¡installing ¡malware ¡on ¡end-­‑hosts ¡ – Useful ¡for ¡bootstrapping ¡botnets, ¡sending ¡spam, ¡staging ¡denial ¡of ¡service ¡ akacks, ¡performing ¡click ¡fraud, ¡hosZng ¡scam ¡websites ¡

– Instruct ¡a ¡botnet ¡to ¡direct ¡a ¡large ¡amount ¡of ¡traffic ¡to ¡the ¡target ¡ – Leverage ¡protocols ¡that ¡can ¡amplify ¡traffic ¡(e.g. ¡NTP, ¡DNS) ¡

Need ¡for ¡Data-­‑Driven ¡Security ¡

403 ¡million ¡new ¡variants ¡of ¡ ¡ malware ¡were ¡created ¡in ¡2011 ¡

[Symantec, ¡Internet ¡Security ¡Threat ¡Report] ¡

2/17/15 ¡ 10 ¡

WINE: ¡Big ¡Data ¡Experiments ¡in ¡Cyber ¡Security ¡

Research ¡Labs ¡

– Parallel ¡DB ¡for ¡implemenZng ¡analyZcs ¡ – Queried ¡using ¡SQL ¡or ¡MapReduce ¡

Impact ¡of ¡the ¡WINE ¡Plahorm ¡

– 50 ¡billion ¡telemetry ¡reports ¡ – Updated ¡conZnuously ¡

– Data ¡& ¡analysis ¡plaUorm ¡ – Repeatable ¡experiments ¡

IPS ¡telemetry ¡ AV ¡telemetry ¡ Symantec ¡products ¡worldwide ¡ Download ¡telemetry ¡ Stability ¡telemetry ¡

2/17/15 ¡ 11 ¡

Example ¡of ¡WINE ¡Project: ¡Measuring ¡Zero-­‑Day ¡A\acks ¡

2009: ¡OperaZon ¡Aurora ¡ against ¡Google ¡ 2010: ¡Stuxnet ¡ 2011: ¡Akack ¡against ¡RSA ¡

Zero-­‑day ¡a\ack ¡= ¡cyber ¡akack ¡exploiZng ¡a ¡sodware ¡vulnerability ¡ before ¡the ¡public ¡disclosure ¡of ¡the ¡vulnerability ¡

– Research ¡in ¡distributed ¡systems ¡and ¡fault-‑tolerant ¡middleware ¡

– Focus ¡on ¡solving ¡security ¡problems ¡with ¡data-‑driven ¡techniques ¡

– “Affiliate” ¡programs ¡rewarding ¡miscreants ¡for ¡installing ¡malware ¡on ¡end-‑hosts ¡ – Useful ¡for ¡bootstrapping ¡botnets, ¡sending ¡spam, ¡staging ¡denial ¡of ¡service ¡ akacks, ¡performing ¡click ¡fraud, ¡hosZng ¡scam ¡websites ¡

Need ¡for ¡Data-‑Driven ¡Security ¡

Example ¡of ¡WINE ¡Project: ¡Measuring ¡Zero-‑Day ¡A\acks ¡

Zero-‑day ¡a\ack ¡= ¡cyber ¡akack ¡exploiZng ¡a ¡sodware ¡vulnerability ¡ before ¡the ¡public ¡disclosure ¡of ¡the ¡vulnerability ¡

Price ¡of ¡Zero-‑Day ¡Exploits ¡on ¡the ¡Black ¡Market ¡

Zero-‑Day ¡A\acks: ¡Open ¡Ques)ons ¡

Decade-‑long ¡open ¡quesZons ¡

Prior ¡work ¡ Zero-‑day ¡a\ack ¡

Systema)cally ¡Iden)fy ¡Zero-‑Day ¡A\acks ¡Using ¡WINE ¡

Dura)on ¡of ¡ ¡ Zero-‑Day ¡A\acks ¡

Zero-‑Day ¡Vulnerabili)es ¡Aoer ¡Disclosure ¡

Before ¡disclosure: ¡ Targeted ¡akacks ¡ Ader ¡disclosure: ¡ Large-‑scale ¡akacks ¡