Estructuras de hormigón armado bajo carga dinámica severa. Parte I: Aspectos teóricos

En el ámbito de las estructuras de protección, tales como polvorines o refugios de protección civil, el hormigón armado es el material más empleado, fundamentalmente por su masividad, sus buenas características de absorción de energía y, cuando está adecuadamente reforzado, por su comportamiento dúctil. En ambos tipos de estructuras, la principal amenaza proviene de las explosiones causadas por armas de guerra, en particular, por armas convencionales. Por otro lado, en España viene actuando la organización terrorista ETA desde finales de los años 60, a lo que últimamente hay que añadir el denominado terrorismo internacional. En ambos casos, sus apariciones se manifiestan, generalmente, mediante la detonación de explosivos, aspecto que ha hecho que tanto entidades públicas como privadas hayan estado seriamente interesadas por el comportamiento de las estructuras cerramientos, etc. A título de ejemplo, se puede recordar el atentado perpetrado el día 31 de diciembre de 2008 en la sede de EITB de Bilbao, o el perpetrado el día 9 de febrero de 2009 en la sede de la empresa constructora Ferrovial-Agroman situada en el Campo de las Naciones de Madrid.

Defending against cybercrime: advances in the detection of malicious servers and the analysis of client-side vulnerabilities

Esta tesis se centra en el análisis de dos aspectos complementarios de la ciberdelincuencia (es decir, el crimen perpetrado a través de la red para ganar dinero). Estos dos aspectos son las máquinas infectadas utilizadas para obtener beneficios económicos de la delincuencia a través de diferentes acciones (como por ejemplo, clickfraud, DDoS, correo no deseado) y la infraestructura de servidores utilizados para gestionar estas máquinas (por ejemplo, C & C, servidores explotadores, servidores de monetización, redirectores). En la primera parte se investiga la exposición a las amenazas de los ordenadores victimas. Para realizar este análisis hemos utilizado los metadatos contenidos en WINE-BR conjunto de datos de Symantec. Este conjunto de datos contiene metadatos de instalación de ficheros ejecutables (por ejemplo, hash del fichero, su editor, fecha de instalación, nombre del fichero, la versión del fichero) proveniente de 8,4 millones de usuarios de Windows. Hemos asociado estos metadatos con las vulnerabilidades en el National Vulnerability Database (NVD) y en el Opens Sourced Vulnerability Database (OSVDB) con el fin de realizar un seguimiento de la decadencia de la vulnerabilidad en el tiempo y observar la rapidez de los usuarios a remiendar sus sistemas y, por tanto, su exposición a posibles ataques. Hemos identificado 3 factores que pueden influir en la actividad de parches de ordenadores victimas: código compartido, el tipo de usuario, exploits. Presentamos 2 nuevos ataques contra el código compartido y un análisis de cómo el conocimiento usuarios y la disponibilidad de exploit influyen en la actividad de aplicación de parches. Para las 80 vulnerabilidades en nuestra base de datos que afectan código compartido entre dos aplicaciones, el tiempo entre el parche libera en las diferentes aplicaciones es hasta 118 das (con una mediana de 11 das) En la segunda parte se proponen nuevas técnicas de sondeo activos para detectar y analizar las infraestructuras de servidores maliciosos. Aprovechamos técnicas de sondaje activo, para detectar servidores maliciosos en el internet. Empezamos con el análisis y la detección de operaciones de servidores explotadores. Como una operación identificamos los servidores que son controlados por las mismas personas y, posiblemente, participan en la misma campaña de infección. Hemos analizado un total de 500 servidores explotadores durante un período de 1 año, donde 2/3 de las operaciones tenían un único servidor y 1/2 por varios servidores. Hemos desarrollado la técnica para detectar servidores explotadores a diferentes tipologías de servidores, (por ejemplo, C & C, servidores de monetización, redirectores) y hemos logrado escala de Internet de sondeo para las distintas categorías de servidores maliciosos. Estas nuevas técnicas se han incorporado en una nueva herramienta llamada CyberProbe. Para detectar estos servidores hemos desarrollado una novedosa técnica llamada Adversarial Fingerprint Generation, que es una metodología para generar un modelo único de solicitud-respuesta para identificar la familia de servidores (es decir, el tipo y la operación que el servidor apartenece). A partir de una fichero de malware y un servidor activo de una determinada familia, CyberProbe puede generar un fingerprint válido para detectar todos los servidores vivos de esa familia. Hemos realizado 11 exploraciones en todo el Internet detectando 151 servidores maliciosos, de estos 151 servidores 75% son desconocidos a bases de datos publicas de servidores maliciosos. Otra cuestión que se plantea mientras se hace la detección de servidores maliciosos es que algunos de estos servidores podrán estar ocultos detrás de un proxy inverso silente. Para identificar la prevalencia de esta configuración de red y mejorar el capacidades de CyberProbe hemos desarrollado RevProbe una nueva herramienta a través del aprovechamiento de leakages en la configuración de la Web proxies inversa puede detectar proxies inversos. RevProbe identifica que el 16% de direcciones IP maliciosas activas analizadas corresponden a proxies inversos, que el 92% de ellos son silenciosos en comparación con 55% para los proxies inversos benignos, y que son utilizado principalmente para equilibrio de carga a través de múltiples servidores. ABSTRACT In this dissertation we investigate two fundamental aspects of cybercrime: the infection of machines used to monetize the crime and the malicious server infrastructures that are used to manage the infected machines. In the first part of this dissertation, we analyze how fast software vendors apply patches to secure client applications, identifying shared code as an important factor in patch deployment. Shared code is code present in multiple programs. When a vulnerability affects shared code the usual linear vulnerability life cycle is not anymore effective to describe how the patch deployment takes place. In this work we show which are the consequences of shared code vulnerabilities and we demonstrate two novel attacks that can be used to exploit this condition. In the second part of this dissertation we analyze malicious server infrastructures, our contributions are: a technique to cluster exploit server operations, a tool named CyberProbe to perform large scale detection of different malicious servers categories, and RevProbe a tool that detects silent reverse proxies. We start by identifying exploit server operations, that are, exploit servers managed by the same people. We investigate a total of 500 exploit servers over a period of more 13 months. We have collected malware from these servers and all the metadata related to the communication with the servers. Thanks to this metadata we have extracted different features to group together servers managed by the same entity (i.e., exploit server operation), we have discovered that 2/3 of the operations have a single server while 1/3 have multiple servers. Next, we present CyberProbe a tool that detects different malicious server types through a novel technique called adversarial fingerprint generation (AFG). The idea behind CyberProbe’s AFG is to run some piece of malware and observe its network communication towards malicious servers. Then it replays this communication to the malicious server and outputs a fingerprint (i.e. a port selection function, a probe generation function and a signature generation function). Once the fingerprint is generated CyberProbe scans the Internet with the fingerprint and finds all the servers of a given family. We have performed a total of 11 Internet wide scans finding 151 new servers starting with 15 seed servers. This gives to CyberProbe a 10 times amplification factor. Moreover we have compared CyberProbe with existing blacklists on the internet finding that only 40% of the server detected by CyberProbe were listed. To enhance the capabilities of CyberProbe we have developed RevProbe, a reverse proxy detection tool that can be integrated with CyberProbe to allow precise detection of silent reverse proxies used to hide malicious servers. RevProbe leverages leakage based detection techniques to detect if a malicious server is hidden behind a silent reverse proxy and the infrastructure of servers behind it. At the core of RevProbe is the analysis of differences in the traffic by interacting with a remote server.

Experimentación, simulación y análisis de artefactos improvisados-proyectiles formados por explosión

Dentro de los artefactos explosivos improvisados se encuentran aquellos que generan proyectiles formados por explosión, penetradores de blindajes y sistemas acorazados, como los utilizados por grupos insurgentes contra las fuerzas aliadas en zona de operaciones. El objeto de este estudio es reproducir y entender el comportamiento de dichos artefactos explosivos improvisados capaces de generar proyectiles de alta velocidad y gran capacidad de penetración. La comprensión de su comportamiento permitirá mejorar el conocimiento sobre ellos, y por ende, combatirlos de forma más eficaz. Para ello se han realizado los ensayos correspondientes, obteniéndose las primeras caracterizaciones de proyectiles formados por explosión construidos de manera artesanal, tal y como haría un terrorista. Además, se han creado los modelos numéricos correspondientes a cada ensayo, que simulan todo el evento desde su inicio hasta el impacto en el objetivo, recorriendo todos los pasos intermedios. Se han ensayado 3 configuraciones y posteriormente se han simulado, usando el software de análisis por elementos finitos, LS-DYNA, con una configuración 2D axisimétrica, con mallados lagrangianos. Los resultados obtenidos por el modelo han alcanzado un alto grado de precisión con relación a los datos experimentales. A partir de aquí se puede concluir que los artefactos explosivos improvisados-proyectiles formados por explosión son una seria amenaza, y que los modelos generados permitirán conocer y ahorrar costes en la lucha contra esta amenaza, y por ende contra el terrorismo, al disponer de un enfoque holístico de la amenaza, y finalmente reducir los costes de la experimentación.

Estudio del comportamiento de los IED-EFP

Dentro de los artefactos explosivos improvisados (IEDs) se encuentran aquellos que generan proyectiles formados por explosión (EFPs) que alcanzan velocidades de vuelo superiores a los 1000 m/s y por tanto, poseen una gran capacidad de penetración sobre los blindajes y sistemas acorazados. Estos artefactos, son de uso común entre los grupos terroristas, insurgentes y organizaciones criminales en su lucha contra las fuerzas aliadas desplegadas en zonas de conflicto. El objeto del presente estudio es reproducir y entender el comportamiento de dichos IED-EFP capaces de generar tan desbastadores proyectiles, desde su inicio (formación del artefacto) hasta el momento del impacto en el objetivo pasando por las sucesivas fases de detonación, evolución y formación del frente de onda, incidencia de dicho frente de onda sobre el disco, como este involuciona hasta convertirse en un proyectil, vuelo del proyectil y su impacto final sobre el objetivo. Para ello, este artículo se centra en la descripción de los ensayos realizados, así como en la breve presentación de los modelos numéricos generados a raíz de dichos ensayos, y que describen de manera muy fiable todo el mencionado proceso. Este proyecto supone un importante avance en la lucha frente al terrorismo más "casero". Keywords: IED; EFP; Simulación numérica; Explosivos. 1. Introducción