Defending against cybercrime: advances in the detection of malicious servers and the analysis of client-side vulnerabilities

Esta tesis se centra en el análisis de dos aspectos complementarios de la ciberdelincuencia (es decir, el crimen perpetrado a través de la red para ganar dinero). Estos dos aspectos son las máquinas infectadas utilizadas para obtener beneficios económicos de la delincuencia a través de diferentes acciones (como por ejemplo, clickfraud, DDoS, correo no deseado) y la infraestructura de servidores utilizados para gestionar estas máquinas (por ejemplo, C & C, servidores explotadores, servidores de monetización, redirectores). En la primera parte se investiga la exposición a las amenazas de los ordenadores victimas. Para realizar este análisis hemos utilizado los metadatos contenidos en WINE-BR conjunto de datos de Symantec. Este conjunto de datos contiene metadatos de instalación de ficheros ejecutables (por ejemplo, hash del fichero, su editor, fecha de instalación, nombre del fichero, la versión del fichero) proveniente de 8,4 millones de usuarios de Windows. Hemos asociado estos metadatos con las vulnerabilidades en el National Vulnerability Database (NVD) y en el Opens Sourced Vulnerability Database (OSVDB) con el fin de realizar un seguimiento de la decadencia de la vulnerabilidad en el tiempo y observar la rapidez de los usuarios a remiendar sus sistemas y, por tanto, su exposición a posibles ataques. Hemos identificado 3 factores que pueden influir en la actividad de parches de ordenadores victimas: código compartido, el tipo de usuario, exploits. Presentamos 2 nuevos ataques contra el código compartido y un análisis de cómo el conocimiento usuarios y la disponibilidad de exploit influyen en la actividad de aplicación de parches. Para las 80 vulnerabilidades en nuestra base de datos que afectan código compartido entre dos aplicaciones, el tiempo entre el parche libera en las diferentes aplicaciones es hasta 118 das (con una mediana de 11 das) En la segunda parte se proponen nuevas técnicas de sondeo activos para detectar y analizar las infraestructuras de servidores maliciosos. Aprovechamos técnicas de sondaje activo, para detectar servidores maliciosos en el internet. Empezamos con el análisis y la detección de operaciones de servidores explotadores. Como una operación identificamos los servidores que son controlados por las mismas personas y, posiblemente, participan en la misma campaña de infección. Hemos analizado un total de 500 servidores explotadores durante un período de 1 año, donde 2/3 de las operaciones tenían un único servidor y 1/2 por varios servidores. Hemos desarrollado la técnica para detectar servidores explotadores a diferentes tipologías de servidores, (por ejemplo, C & C, servidores de monetización, redirectores) y hemos logrado escala de Internet de sondeo para las distintas categorías de servidores maliciosos. Estas nuevas técnicas se han incorporado en una nueva herramienta llamada CyberProbe. Para detectar estos servidores hemos desarrollado una novedosa técnica llamada Adversarial Fingerprint Generation, que es una metodología para generar un modelo único de solicitud-respuesta para identificar la familia de servidores (es decir, el tipo y la operación que el servidor apartenece). A partir de una fichero de malware y un servidor activo de una determinada familia, CyberProbe puede generar un fingerprint válido para detectar todos los servidores vivos de esa familia. Hemos realizado 11 exploraciones en todo el Internet detectando 151 servidores maliciosos, de estos 151 servidores 75% son desconocidos a bases de datos publicas de servidores maliciosos. Otra cuestión que se plantea mientras se hace la detección de servidores maliciosos es que algunos de estos servidores podrán estar ocultos detrás de un proxy inverso silente. Para identificar la prevalencia de esta configuración de red y mejorar el capacidades de CyberProbe hemos desarrollado RevProbe una nueva herramienta a través del aprovechamiento de leakages en la configuración de la Web proxies inversa puede detectar proxies inversos. RevProbe identifica que el 16% de direcciones IP maliciosas activas analizadas corresponden a proxies inversos, que el 92% de ellos son silenciosos en comparación con 55% para los proxies inversos benignos, y que son utilizado principalmente para equilibrio de carga a través de múltiples servidores. ABSTRACT In this dissertation we investigate two fundamental aspects of cybercrime: the infection of machines used to monetize the crime and the malicious server infrastructures that are used to manage the infected machines. In the first part of this dissertation, we analyze how fast software vendors apply patches to secure client applications, identifying shared code as an important factor in patch deployment. Shared code is code present in multiple programs. When a vulnerability affects shared code the usual linear vulnerability life cycle is not anymore effective to describe how the patch deployment takes place. In this work we show which are the consequences of shared code vulnerabilities and we demonstrate two novel attacks that can be used to exploit this condition. In the second part of this dissertation we analyze malicious server infrastructures, our contributions are: a technique to cluster exploit server operations, a tool named CyberProbe to perform large scale detection of different malicious servers categories, and RevProbe a tool that detects silent reverse proxies. We start by identifying exploit server operations, that are, exploit servers managed by the same people. We investigate a total of 500 exploit servers over a period of more 13 months. We have collected malware from these servers and all the metadata related to the communication with the servers. Thanks to this metadata we have extracted different features to group together servers managed by the same entity (i.e., exploit server operation), we have discovered that 2/3 of the operations have a single server while 1/3 have multiple servers. Next, we present CyberProbe a tool that detects different malicious server types through a novel technique called adversarial fingerprint generation (AFG). The idea behind CyberProbe’s AFG is to run some piece of malware and observe its network communication towards malicious servers. Then it replays this communication to the malicious server and outputs a fingerprint (i.e. a port selection function, a probe generation function and a signature generation function). Once the fingerprint is generated CyberProbe scans the Internet with the fingerprint and finds all the servers of a given family. We have performed a total of 11 Internet wide scans finding 151 new servers starting with 15 seed servers. This gives to CyberProbe a 10 times amplification factor. Moreover we have compared CyberProbe with existing blacklists on the internet finding that only 40% of the server detected by CyberProbe were listed. To enhance the capabilities of CyberProbe we have developed RevProbe, a reverse proxy detection tool that can be integrated with CyberProbe to allow precise detection of silent reverse proxies used to hide malicious servers. RevProbe leverages leakage based detection techniques to detect if a malicious server is hidden behind a silent reverse proxy and the infrastructure of servers behind it. At the core of RevProbe is the analysis of differences in the traffic by interacting with a remote server.

La unidad de lo dual : tradición y modernidad en la obra de Tadao Ando y Toyo Ito

La referencia a la tradición como una fuerza capaz de aportar unidad, al abarcar tanto la continuidad como los cambios en las expresiones al margen de la época o las técnicas empleadas, ha sido siempre un componente muy importante de las manifestaciones artísticas de Japón y es la sutil ligazón que las conecta desde el pasado hasta la actualidad. Se entiende aquí que tradición no equivale simplemente a preservación, sino que se trata de una transmisión con una vertiente dual, pues permite una constante evolución sin que se altere su esencia básica. Es de esta forma que la cultura japonesa de la era Edo (1600-1868), con su alto grado de innovación, riqueza y sofisticación, pero además como epílogo histórico previo a la Restauración Meiji de 1868, ha sido la referencia clave en lo relativo a esa mirada a la tradición nipona para el desarrollo de esta tesis. A partir de la segunda mitad del siglo XIX, todas estas características tan genuinas del período Edo quedaron en suspenso y, desde entonces, Japón ha seguido la vía de la modernización (que en muchos aspectos ha sido también la de la occidentalización). Los entrelazamientos de otras dualidades provocados en Japón por los ataques nucleares de 1945 condujeron a una inevitable fusión de aquel mundo físico con el mundo metafísico, de aquella terrible presencia con un tremendo sentimiento de ausencia y, en definitiva, de Oriente con Occidente. El consiguiente impacto sobre la cultura de la nación tuvo una especial repercusión en el ámbito arquitectónico. En este sentido, el pensamiento francés ha desempeñado un papel fundamental en el replanteamiento radical de muchos supuestos esenciales, de muchos conceptos y valores de la cultura occidental, incluyendo los procedentes de la Ilustración, en este mundo contemporáneo que es cada vez más complejo y plural. Éstos y otros hechos otorgan a la cultura japonesa tradicional una cualidad multidimensional (frente a la marcada bidimensionalidad que suele caracterizar a las culturas occidentales) que, tal y como esta tesis doctoral pretende poner de manifiesto, podría revelarse como una «síntesis de contradicciones» en la obra de los arquitectos japoneses Tadao Ando (Osaka, 1941-) y Toyo Ito (Keijo, actual Seúl, 1941-). En el pensamiento oriental una dualidad es entendida como la complementariedad entre dos polos, sólo en apariencia opuestos, que integra dos vertientes de un único concepto. Al igual que la idea de «parejas» budista, concebida según esta doctrina como una unidad entre dos extremos inevitablemente interrelacionados, el objetivo principal sería el de poner de manifiesto cómo la obra de ambos arquitectos trata de resolver los mismos conflictos partiendo de puntos de vista polarizados. ABSTRACT The reference to tradition as a force for unity, encompassing both continuity and changes in expressions regardless of the time or techniques used, has always been a very important component of the artistic manifestations of Japan and it is the subtle link that connects them from the past to the present. It is understood here that tradition does not mean simply preservation, but it is a transmission with a dual aspect, because it allows a constant evolution without altering its basic essence. It is thus that the Japanese culture of the Edo era (1600-1868), with its high degree of innovation, wealth and sophistication, but also as a historical epilogue prior to the Meiji Restoration of 1868 has been the key reference concerning that look to the Japanese tradition for the development of this thesis. From the second half of the 19th century, all these as genuine features of the Edo period remained at a standstill and, since then, Japan has followed the path of modernization (which has also been that of Westernization in many ways). The interlacements of other dualities caused in Japan by the 1945 nuclear attacks led to an inevitable fusion of the physical with the metaphysical world, of that terrible presence with a tremendous sense of absence and, eventually, of East with West. The resulting impact on the culture of the nation had a special repercussion on the architectural field. In this sense, the French thought has played a key role in the radical rethinking of many core assumptions, many concepts and values of Western thought, including those from the Age of Enlightenment, in this contemporary world that is increasingly complex and plural. These and other facts give the traditional Japanese culture a multidimensional quality (opposed to the marked two-dimensionality that usually characterizes Western cultures). As this thesis aims to highlight, this could prove to be a «synthesis of contradictions» in the work of Japanese architects Tadao Ando (Osaka, 1941-) and Toyo Ito (Keijo, current Seoul, 1941-). In the Eastern thought a duality is understood as the complementarity between two poles, only apparently opposite, which integrates two aspects of a single concept. Like the Buddhist notion of «couples» (conceived according to this doctrine as a unity between two inevitably interlinked extremes) the main objective would be to show how the work of both architects tries to resolve the same conflicts starting with polarized viewpoints.

Evaluación del tamaño óptimo de mallado para la modelización mediante elementos finitos de losas de hormigón frente a cargas explosivas

Los elementos estructurales empleados en construcción no han sido en general diseñados para soportar acciones impulsivas, como la detonación de artefactos explosivos. Desde el siglo pasado el mundo ha sufrido ataques terroristas en los que en muchos casos se han producido explosiones que causaron víctimas, heridos y la destrucción de las construcciones próximas. Debido a este hecho, instituciones públicas y privadas comenzaron a mostrar interés por el comportamiento de los elementos estructurales que componen sus instalaciones. El hormigón armado es uno de los principales materiales utilizados en las estructuras de obras debido a sus buenas características, cuyo análisis y modelización en deformaciones dinámicas supone un campo de desafíos al que se está prestando gran atención en los últimos años. LS-DYNA® es un programa basado en elementos finitos capaz de simular problemas reales complejos en el que se han desarrollado distintos modelos de hormigón. Tres de esos modelos (K&C, RHT y CSCM) son evaluados con losas de distintos tamaños de mallado de elementos finitos frente a la detonación de 2 kg de TNT situados a 1 m de distancia. Dichos modelos son simulados y se obtienen los valores de las aceleraciones máximas en unos determinados puntos de las losas. Los valores son sometidos a la aplicación del Método GCI (Grid Convergence Index) para una relación de refinamiento de mallado no constante, cuyos resultados se comparan con aquellos registrados en los acelerómetros empleados durante la primera fase de ensayos del Proyecto SEGTRANS. Mediante el análisis de los resultados obtenidos se determina cual es el modelo de material y tamaño de mallado más adecuado que pueda emplearse en un futuro para poder modelar estructuras más complejas y con niveles de explosivo más elevados.