Module 1Module 1
OverviewOverview
Kentucky Industrial Assessment CenterKentucky Industrial Assessment Center
Cybersecurity ModuleCybersecurity Module
Acknowledgement: Some of the lecture slides in this module are based on slides prepared for “ComputerSecurity: Principles and Practice”, 3/e, by William Stallings and Lawrie Brown.
Top cybersecurity news of 2016Top cybersecurity news of 2016
Democratic National Committee Email Hack
20,000 emails were stolen from the DNC’s Microsoft Exchange server
Possible attacks perpetrated by Russian hackers to affect election
Dyn DDoS attack
Distributed Denial-of-Service attacks on the DNS servers provided by Dyn
Enlist up to 10,000 IoT devices into a botnet to launch attacks
Panama Papers
2.6TB of data from the Panamanian law firm Mossack Fonseca were stolen
Data include records of offshore accounts owned by political figures and celebrities
Yahoo hack
Half a billion to a billion of Yahoo’s accounts, including names, telephone numbers, DoB,encrypted passwords and unencrypted security questions have been hacked
Hackers used Yahoo’s code to bypass passwords by creating forged cookies
Top cybersecurity news of 2016Top cybersecurity news of 2016
NSA Shadow Brokers leak
Auction sale of NSA’s hacking tools by Shadow Brokers
Including code implants, exploits and other tools in controlling routers and firewalls
$65 million bitcoin hack
120,000 bitcoin were hacked in August
Customers of Bitfinex, largest platform to convert bitcoin to US dollars, losts 36% of theiraccount values
Ransomware as a service
Nearly 50% of US companies experiencing a ransomware attack last year
San Francisco’s Municipal Transportation Agency (MTA) attack
Hollywood’s Presbyterian Medical Center attack in demand of $3.6 million
Two hospitals in Germany and one hospital in Canada were attacked in 2/2016
Henderson, Ky.-based Methodist Hospital was hit with a ransomware virus that limited its useof electronic web-based services and prompted it to declare an internal state of emergency. 
Infrastructure RisksInfrastructure Risks
March 9, 2016 - A new report gives a stark warningthat ransomware will “wreak havoc on America’scritical infrastructure community” in 2016. The reportpublished by the Institute for Critical InfrastructureTechnology (ICIT)March 9, 2016 - A new report gives a stark warningthat ransomware will “wreak havoc on America’scritical infrastructure community” in 2016. The reportpublished by the Institute for Critical InfrastructureTechnology (ICIT)
March 9, 2016 – Clark County Water ReclamationDistrict - Multiple sources told the Las Vegas ReviewJournal that the agency’s computers were hit withransomware.March 9, 2016 – Clark County Water ReclamationDistrict - Multiple sources told the Las Vegas ReviewJournal that the agency’s computers were hit withransomware.
Out-of-date DevicesOut-of-date Devices
Cisco discovered that many of the infrastructuredevices we analyzed had reached their last day ofsupport (LDoS)— meaning they cannot be updatedand made more secure. These devices are not evenreceiving patches for known vulnerabilities.Cisco discovered that many of the infrastructuredevices we analyzed had reached their last day ofsupport (LDoS)— meaning they cannot be updatedand made more secure. These devices are not evenreceiving patches for known vulnerabilities.
Through Cisco’s scanning and analysis, wefound that 106,000 of the 115,000 deviceshad known vulnerabilities in the softwarethey were running. That means 92 percent ofthe Cisco devices on the Internet in oursample are susceptible to knownvulnerabilities.Through Cisco’s scanning and analysis, wefound that 106,000 of the 115,000 deviceshad known vulnerabilities in the softwarethey were running. That means 92 percent ofthe Cisco devices on the Internet in oursample are susceptible to knownvulnerabilities.
Machines + HumanMachines + Human
Source: FBI, GRIZZLY STEPPE – Russian Malicious Cyber Activity, Dec., 2016
Cyber-attack is complicatedCyber-attack is complicated
http://securityintelligence.com/wp-content/uploads/2014/01/TargetBreachAnatomy-v3.png
InstructorInstructor
Instructor: Dr. Sen-ching “Samson” CheungInstructor: Dr. Sen-ching “Samson” Cheung
Office: Marksbury Building Room 217Office: Marksbury Building Room 217
Contact: 859-218-0299, cheung at engr.uky.eduContact: 859-218-0299, cheung at engr.uky.edu
Meeting: drcheung.youcanbook.meMeeting: drcheung.youcanbook.me
Currently teaching EE 599 Cybersecurity (soon to be EE576)Currently teaching EE 599 Cybersecurity (soon to be EE576)
Background: PhD’02 @ Berkeley in visual informationretrieval. Primary research in multimedia system, appliedcryptography, and security in distributed computationBackground: PhD’02 @ Berkeley in visual informationretrieval. Primary research in multimedia system, appliedcryptography, and security in distributed computation
Lesson PlanLesson Plan
Module 1: Overview, threats, and attacksModule 1: Overview, threats, and attacks
Module 2: Countermeasures and Cybersecurity PlanModule 2: Countermeasures and Cybersecurity Plan
Module 3: Cyber-physical SecurityModule 3: Cyber-physical Security
CybersecurityCybersecurity
“The protection afforded to an automatedinformation system in order to attain theapplicable objectives of preserving theConfidentialityIntegrity, and Availability ofinformation system resources”“The protection afforded to an automatedinformation system in order to attain theapplicable objectives of preserving theConfidentialityIntegrity, and Availability ofinformation system resources”
- NIST computer Security Handbook
Key Security ConceptsKey Security Concepts
Confidentiality
preservingauthorizedrestrictions oninformation accessand disclosure,including means forprotecting personalprivacy andproprietaryinformation
Integrity
guarding againstimproperinformationmodification ordestruction,including ensuringinformationnonrepudiation andauthenticity
Availability
ensuring timelyand reliable accessto and use ofinformation
Examples of loss of CIA in Information SystemExamples of loss of CIA in Information System
Table 1.3    Computer and Network Assets, with Examples of Threats.
RFC 4949 Internet Security GlossarySecurity Concepts and RelationshipsRFC 4949 Internet Security GlossarySecurity Concepts and Relationships

Fig1.2.pdf                                                     00ABB570  Mnementh                      BEAE7A2F:
Threats and AttacksThreats and Attacks
Vulnerabilities, Threatsand AttacksVulnerabilities, Threatsand Attacks
categories of vulnerabilitiescategories of vulnerabilities
corrupted (loss of integrity)corrupted (loss of integrity)
leaky (loss of confidentiality)leaky (loss of confidentiality)
unavailable or very slow (loss of availability)unavailable or very slow (loss of availability)
threatsthreats
capable of exploiting vulnerabilitiescapable of exploiting vulnerabilities
represent potential security harm to an assetrepresent potential security harm to an asset
attacks (threats carried out)attacks (threats carried out)
insider – initiated by an entity inside the security parameterinsider – initiated by an entity inside the security parameter
outsider – initiated from outside the perimeteroutsider – initiated from outside the perimeter
passive – does not affect system resourcespassive – does not affect system resources
active – attempt to alter system resources or affect their operationactive – attempt to alter system resources or affect their operation
The ThreatsThe Threats
68% of the respondents to the studyidentified malware as the top externalsecurity challenge that their organizationfaces. Phishing and advanced persistentthreats rounded out the top threeresponses— at 54% and 43%,respectively.68% of the respondents to the studyidentified malware as the top externalsecurity challenge that their organizationfaces. Phishing and advanced persistentthreats rounded out the top threeresponses— at 54% and 43%,respectively.
As for internal security challenges,more than half (54%) of therespondents cited malicioussoftware downloads as the topthreat, followed by internal securitybreaches by employees (47%), andhardware and softwarevulnerabilities (46%).As for internal security challenges,more than half (54%) of therespondents cited malicioussoftware downloads as the topthreat, followed by internal securitybreaches by employees (47%), andhardware and softwarevulnerabilities (46%).
Content SecurityContent Security
Two main threat vectors into your network are:Two main threat vectors into your network are:
1)Email – spam makes up 86% of all email traffic1)Email – spam makes up 86% of all email traffic
2)Web – botnets and servers “serving” up malware2)Web – botnets and servers “serving” up malware
Email threats: spam, phishing, virus, malware,etc.Email threats: spam, phishing, virus, malware,etc.
Web threats: web defacing, injection attacks,DNS attacks, DDoS attacks, etc.Web threats: web defacing, injection attacks,DNS attacks, DDoS attacks, etc.
Social EngineeringSocial Engineering
“Tricking” users to assist in the compromise of their own systems“Tricking” users to assist in the compromise of their own systems
	Spam	Unsolicited bulk
 e-mail	Significant carrier of malware	Used for phishing attacks	Trojan horse	Program or utility containing harmful hidden code	Used to accomplish functions that the attacker could not accomplish directly	Mobile phone Trojans	First appeared in 2004 (Skuller)	Target is the smartphone
Payload – Information TheftPhishingPayload – Information TheftPhishing
Exploits social engineering toleverage the user’s trust bymasquerading as communicationfrom a trusted sourceExploits social engineering toleverage the user’s trust bymasquerading as communicationfrom a trusted source
Include a URL in a spam e-mailthat links to a fake Web site thatmimics the login page of abanking, gaming, or similar siteInclude a URL in a spam e-mailthat links to a fake Web site thatmimics the login page of abanking, gaming, or similar site
Suggests that urgent action isrequired by the user toauthenticate their accountSuggests that urgent action isrequired by the user toauthenticate their account
Attacker exploits the accountusing the captured credentialsAttacker exploits the accountusing the captured credentials
Spear-phishingSpear-phishing
Recipients are carefullyresearched by theattackerRecipients are carefullyresearched by theattacker
E-mail is crafted tospecifically suit itsrecipient, often quoting arange of informationto convince them of itsauthenticityE-mail is crafted tospecifically suit itsrecipient, often quoting arange of informationto convince them of itsauthenticity
VirusesViruses
Piece of software that infects programsPiece of software that infects programs
Modifies them to include a copy of the virusModifies them to include a copy of the virus
Replicates and goes on to infect other contentReplicates and goes on to infect other content
Easily spread through network environmentsEasily spread through network environments
When attached to an executable program a virus cando anything that the program is permitted to doWhen attached to an executable program a virus cando anything that the program is permitted to do
Executes secretly when the host program is runExecutes secretly when the host program is run
Specific to operating system and hardwareSpecific to operating system and hardware
Takes advantage of their details and weaknessesTakes advantage of their details and weaknesses
Main types of computer virusMain types of computer virus
Time bombTime bomb
Logical bombLogical bomb
WormWorm
Boot Sector VirusBoot Sector Virus
Macro VirusMacro Virus
Script VirusScript Virus
Trojan HorseTrojan Horse
Virus PhasesVirus Phases
	Execution phase	Function is performed	May be harmless or damaging	Propagation phase	Virus places a copy of itself into other programs or into certain system areas on the disk	May not be identical to the propagating version	Each infected program will now contain a clone of the virus which will itself enter a propagation phase	Triggering phase	Virus is activated to perform the function for which it was intended	Can be caused by a variety of system events	Dormant phase	Virus is idle	Will eventually be activated by some event	Not all viruses have this stage
WormsWorms
Program that actively seeks out more machines to infect and each infectedmachine serves as an automated launching pad for attacks on other machinesProgram that actively seeks out more machines to infect and each infectedmachine serves as an automated launching pad for attacks on other machines
Exploits software vulnerabilities in client or server programsExploits software vulnerabilities in client or server programs
Can use network connections to spread from system to systemCan use network connections to spread from system to system
Spreads through shared media (USB drives, CD, DVD data disks)Spreads through shared media (USB drives, CD, DVD data disks)
E-mail worms spread in macro or script code included in attachments andinstant messenger file transfersE-mail worms spread in macro or script code included in attachments andinstant messenger file transfers
Upon activation the worm may replicate and propagate againUpon activation the worm may replicate and propagate again
Usually carries some form of payloadUsually carries some form of payload
First known implementation was done in Xerox Palo Alto Labs in the early1980sFirst known implementation was done in Xerox Palo Alto Labs in the early1980s
Worm Replication
Intruder BehaviorIntruder Behavior
	Target acquisition and information gathering	Initial access	Privilege escalation	Information gathering or system exploit	Maintaining access	Covering tracks
Payload – Stealthing Rootkit
Set of hidden programs installed on a system tomaintain covert access to that systemSet of hidden programs installed on a system tomaintain covert access to that system
Hides by subverting the mechanisms that monitorand report on the processes, files, and registrieson a computerHides by subverting the mechanisms that monitorand report on the processes, files, and registrieson a computer
Gives administrator (or root) privileges to attackerGives administrator (or root) privileges to attacker
Can add or change programs and files, monitor processes,send and receive network traffic, and get backdoor accesson demandCan add or change programs and files, monitor processes,send and receive network traffic, and get backdoor accesson demand
Password CrackingPassword Cracking
dictionary attacksdictionary attacks
develop a large dictionary of possible passwords and try eachagainst the password filedevelop a large dictionary of possible passwords and try eachagainst the password file
each password must be hashed using each salt value and thencompared to stored hash valueseach password must be hashed using each salt value and thencompared to stored hash values
rainbow table attacksrainbow table attacks
pre-compute tables of hash values for all saltspre-compute tables of hash values for all salts
a mammoth table of hash valuesa mammoth table of hash values
can be countered by using a sufficiently large salt value and asufficiently large hash lengthcan be countered by using a sufficiently large salt value and asufficiently large hash length
SQL Injection Attacks (SQLi)SQL Injection Attacks (SQLi)
One of the most prevalent anddangerous network-basedsecurity threatsOne of the most prevalent anddangerous network-basedsecurity threats
Designed to exploit the natureof Web application pagesDesigned to exploit the natureof Web application pages
Sends malicious SQLcommands to the databaseserverSends malicious SQLcommands to the databaseserver
Most common attack goal isbulk extraction of dataMost common attack goal isbulk extraction of data
Depending on theenvironment SQL injectioncan also be exploited to:Depending on theenvironment SQL injectioncan also be exploited to:
Modify or delete dataModify or delete data
Execute arbitrary operatingsystem commandsExecute arbitrary operatingsystem commands
Launch denial-of-service(DoS) attacksLaunch denial-of-service(DoS) attacks
Injection TechniqueInjection Technique
	The SQLi attack typically works by prematurely terminating a text string and appending a new command	Because the inserted command may have additional strings so the attacker terminates the injected string with a comment mark “- -”
Frontend
Script
Input: Redmond
Input: Boston’;DROP tableOrdersTable --
Buffer Overflow AttacksBuffer Overflow Attacks
To exploit a buffer overflow an attacker needs:To exploit a buffer overflow an attacker needs:
To identify a buffer overflow vulnerability in some programthat can be triggered using externally sourced data under theattacker’s controlTo identify a buffer overflow vulnerability in some programthat can be triggered using externally sourced data under theattacker’s control
To understand how that buffer is stored in memory anddetermine potential for corruptionTo understand how that buffer is stored in memory anddetermine potential for corruption
Identifying vulnerable programs can be done by:Identifying vulnerable programs can be done by:
Inspection of program sourceInspection of program source
Tracing the execution of programs as they process oversizedinputTracing the execution of programs as they process oversizedinput
Using tools such as fuzzing to automatically identifypotentially vulnerable programsUsing tools such as fuzzing to automatically identifypotentially vulnerable programs
Denial-of-Service (DoS)Denial-of-Service (DoS)
a form of attack on the availability of some servicea form of attack on the availability of some service
categories of resources that could be attacked are:categories of resources that could be attacked are:
	network bandwidth	relates to the capacity of the network links connecting a server to the Internet	for most organizations this is their connection to their Internet Service Provider (ISP)	system resources	aims to overload or crash the network handling software - include temporary buffers used to hold arriving packets, tables of open connections, and poison packet to crash software. 	application resources	Cyberslam =  involves a number of valid requests, each of which consumes significant resources, thus limiting the ability of the server to respond to requests from other users
Various Network AttacksVarious Network Attacks
SniffingSniffing
DNS and Man-In-The-Middle attackDNS and Man-In-The-Middle attack
DNS Reflection and Amplification AttacksDNS Reflection and Amplification Attacks
NTP Reflection FloodNTP Reflection Flood
TCP SYN Spoofing and FloodingTCP SYN Spoofing and Flooding
HTTP FloodingHTTP Flooding
Multi-Vector AttacksMulti-Vector Attacks
SYN Spoofing and FloodingSYN Spoofing and Flooding
common DoS attackcommon DoS attack
attacks the ability of a server to respond to futureconnection requests by overflowing the tables used tomanage themattacks the ability of a server to respond to futureconnection requests by overflowing the tables used tomanage them
thus legitimate users are denied access to the serverthus legitimate users are denied access to the server
hence an attack on system resources, specifically thenetwork handling code in the operating systemhence an attack on system resources, specifically thenetwork handling code in the operating system
TCPConnectionHandshakeTCPConnectionHandshake
f2.pdf
TCP SYNSpoofingAttackTCP SYNSpoofingAttack
f3.pdf
SYN Flooding AttackSYN Flooding Attack
S
SYNC1
Listening…
Spawn a new thread,
store connection data
j0139031
SYNC2
SYNC3
SYNC4
SYNC5
… and more
… and more
… and more
… and more
… and more
 37
http://randythetechprofessor.com/wp-content/uploads/2013/07/infected-computer.png
http://randythetechprofessor.com/wp-content/uploads/2013/07/infected-computer.png
http://randythetechprofessor.com/wp-content/uploads/2013/07/infected-computer.png
http://randythetechprofessor.com/wp-content/uploads/2013/07/infected-computer.png
http://randythetechprofessor.com/wp-content/uploads/2013/07/infected-computer.png
http://www.pd4pic.com/images/eyes-computer-black-green-virus-face-cartoon.png