Exploiting Split Browsers for Efficiently Protecting User Data

Offloading complex tasks to a resource-abundant environment like the cloud, can extend the capabilities of resource constrained mobile devices, extend battery life, and improve user experience. Split browsing is a new paradigm that adopts this strategy to improve web browsing on devices like smartphones and tablets. Split browsers offload computation to the cloud by design; they are composed by two parts, one running on the thin client and one in the cloud. Rendering takes place primarily in the latter, while a bitmap or a simplified web page is communicated to the client. Despite its difference with traditional web browsing, split browsing still suffers from the same types of threats, such as cross-site scripting. In this paper, we propose exploiting the design of split browsers to also utilize cloud resources for protecting against various threats efficiently. We begin by systematically studying split browsing architectures, and then proceed to propose two solutions, in parallel and inline cloning, that exploit the inherent features of this new browsing paradigm to accurately and efficiently protect user data against common web exploits. Our preliminary results suggest that our framework can be efficiently applied to Amazon’s Silk, the most widely deployed at the time of writing, split browser

APPS 2020 : Second International Workshop on Adaptive and Personalized Privacy and Security

Funding: The work has been partially supported by the EU Horizon 2020 Grant 826278 “Securing Medical Data in Smart Patient-Centric Healthcare Systems”(Serums).The Second International Workshop on Adaptive and Personalized Privacy and Security (APPS 2020) aims to bring together researchers and practitioners working on diverse topics related to understanding and improving the usability of privacy and security software and systems, by applying user modeling, adaptation and personalization principles. Our special focus in 2020 is on healthcare systems, more specifically on ensuring security and privacy of medical data in smart patient-centric healthcare systems. The second edition of the workshop includes interdisciplinary contributions from Austria, Canada, China, Cyprus, Denmark, Germany, Greece, Israel, the Netherlands, Turkey and the UK that introduce new and disruptive ideas, suggest novel solutions, and present research results about various aspects (theory, applications, tools) for bringing user modeling, adaptation and personalization principles into privacy and systems security. This summary gives a brief overview of APPS 2020, held online in conjunction with the 28th ACM Conference on User Modeling, Adaptation and Personalization (ACM UMAP 2020).Postprin

All-optical header processing in a 42.6Gb/s optoelectronic firewall

A novel architecture to enable future network security systems to provide effective protection in the context of continued traffic growth and the need to minimise energy consumption is proposed. It makes use of an all-optical pre-filtering stage operating at the line rate under software control to distribute incoming packets to specialised electronic processors. An experimental system that integrates software controls and electronic interfaces with an all-optical pattern recognition system has demonstrated the key functions required by the new architecture. As an example, the ability to sort packets arriving in a 42.6Gb/s data stream according to their service type was shown experimentally

Νέες τεχνικές για την ανίχνευση και την αποτροπή επιθέσεων Web2.0

In this dissertation we examine web exploitation from a number of different perspectives. First, we introduce return-to-JavaScript attacks; a new flavor of Cross-Site Scripting (XSS), which is able to escape script whitelisting. Second, we design xJS, a system that can prevent code injections of JavaScript in web applications. xJS is based on the concept of Instruction Set Randomization (ISR) for isolating legitimate JavaScript from malicious injections. We evaluate xJS and show that the overhead it imposes in the server’s and the client’s side is negligible, since xJS is based on the fast XOR operation. Third, we deliver a more fine-grained randomization framework for web applications, RaJa, which can efficiently cope with language mixing. RaJa can successfully extract and randomize the JavaScript source code of real-world applications, which experience heavy code-mixing (i.e. JavaScript is mixed with a server-side programming language, such as PHP). Forth, we present xHunter, a network-level detector, which is able to locate JavaScript fragments in the body of URLs. With the assistance of xHunter we deliver an extensive analysis of the largest to date web-attack repository, XSSed.com. This particular repository hosts about 12,000 incidents of web exploitation. Our analysis identifies that 7% of all examined web attacks do not use any markup elements, such as or , for exploiting a web application. All these incidents are hard to be captured by tools that are based on static signatures and regular expressions. We proceed and analyze these attacks with xHunter and we deliver a compact signature set, which is composed by no more than a handful of rules. This rule-set is based on signatures expressed as JavaScript syntax trees and can be used to detect a broad family of injections that target web applications. Finally, we address the problem of data fabrication in data collected by web servers, VoIP providers, on-line stores and ISPs. We present Network Flow Contracts (NFCs), a system, which, in spite of the presence of malicious web servers or untrusted ISPs, enables innocent users to prove that they have not accessed the illegal content in question. NFCs require every network request to be cryptographically signed by the requesting user. We present a prototype implementation as well as a performance evaluation on top of commodity technologies. The results of this research are the followings. First, Instruction Set Randomization can be efficiently applied in web applications with low performance overhead and large attack coverage. Second, web-attack detection at the network level is also possible, although com- putationally expensive to be applied in real-time. Third, cryptographically signed network flows can protect users from data fabrication at the ISP level with low cost

Χρησιμοποιώντας μη Δομημένα Διομότιμα Συστήματα ως Πλατφόρμες για Επιθέσεις Εξάντλησης Πόρων

In the last seven years we have faced the explosion of a new communication paradigm: the Peer-to-Peer (P2P) one. Unlike classic Client-Server infrastructures, in which most well-known distributed systems are build, such as the World Wide Web or the Electronic Mail (e-mail), the P2P model introduces the meaning of equal responsible computer entities, which transfer communication by delegating it to other computer entities. P2P systems have gained success to applications that focus in the exchange of files between individual users. There are active file sharing systems nowadays that concurrently host millions of users. One fundamental property of these systems is the lack of structure, which allows decentralized operation and makes it easy for new users to join and participate in the system. However, the lack of structure can also be abused by malicious users. We explore one such attack, that enables malicious users to use unstructured P2P systems to perform Denial of Service (DoS) attacks to third parties. Specifically, we show that a malicious node can coerce a large number of peers to perform requests to a target host that may not even be part of the P2P network, including downloading unwanted files from a target Web Server. This is a classic form of denial-of-service which also has two interesting characteristics: (a) it is hard to identify the originator of the attack, (b) it is even harder to stop the attack. The second property comes from the fact that certain unstructured P2P systems seem to have a kind of ``memory'', retaining knowledge about (potentially false) queries for many days. In this thesis we present real-world experiments of Gnutella-based DoS attacks to Web Servers. We explore the magnitude of the problem and present a solution to protect innocent victims against this attack.Τα τελευταία επτά χρόνια έχουμε γίνει μάρτυρες της ραγδαίας εξάπλωσης ενός νέου μοντέλου επικοινωνίας: του Διoμότιμου μοντέλου (Peer-to-Peer, P2P). Αντίθετα με τις κλασικές υποδομές Πελάτη-Διακομιστή (Client-Server), πάνω στις οποίες έχουν βασιστεί οι πιο δημοφιλείς κατανεμημένες εφαρμογές, όπως είναι ο Παγκόσμιος Ιστός (World Wide Web, WWW) και το Ηλεκτρονικό Ταχυδρομείο (Electronic Mail, e-mail), το Διομότιμο μοντέλο επικοινωνίας εισάγει την έννοια των ομότιμης υπευθυνότητας οντοτήτων, οι οποίες μεταφέρουν την επικοινωνία εξουσιοδοτώντας τη σε άλλες οντότητες. Τα Διομότιμα συστήματα έχουν κερδίσει επιτυχία σε εφαρμογές που εστιάζουν στην ανταλλαγή αρχείων μεταξύ χρηστών. Στις μέρες μας υπάρχουν ενεργά συστήματα ανταλλαγής αρχείων, τα οποία φιλοξενούν ταυτόχρονα εκατομμύρια χρήστες. Μια από τις θεμελιώδεις ιδιότητες αυτών των συστημάτων είναι η απουσία δομής, η οποία επιτρέπει τη μη οντοκεντρική λειτουργία ενώ διευκολύνει την εισαγωγή και συμμετοχή νέων χρηστών στο σύστημα. Παρ' όλα αυτά, η απουσία δομής μπορεί να γίνει αντικείμενο κατάχρησης από κακόβουλους χρήστες. Εξερευνούμε μία τέτοιου είδους επίθεση, η οποία επιτρέπει σε κακόβουλους χρήστες να χρησιμοποιήσουν μη δομημένα Διομότιμα συστήματα, με στόχο την επίτευξη επιθέσεων Εξάντλησης Πόρων (Denial of Service, DoS) σε τρίτους υπολογιστές. Συγκεκριμένα, δείχνουμε ότι ένας κακόβουλος κόμβος μπορεί να εξαναγκάσει ένα μεγάλο αριθμό ομότιμων κόμβων (peers) να εκτελέσουν αιτήσεις σε έναν υπολογιστή-στόχο, ο οποίος μπορεί να μην είναι καν μέλος του Διομότιμου συστήματος, περιλαμβάνοντας τη δυνατότητα απόκτησης μη θεμιτών αρχείων από έναν στόχο-Διακομιστή Ιστού (Web Server). Αυτή είναι η κλασική μορφή μιας επίθεσης Εξάντλησης Πόρων, η οποία έχει δύο πολύ ενδιαφέροντα χαρακτηριστικά: (α) είναι δύσκολο να εντοπιστεί ο αρχικός υποκινητής της επίθεσης, (β) είναι ακόμα δυσκολότερος ο τερματισμός της επίθεσης. Η δεύτερη ιδιότητα απορρέει από το γεγονός ότι φαίνεται μερικά μη δομημένα Διομότιμα συστήματα να ενσωματώνουν ένα είδος ''μνήμης'', προκαταβάλλοντας γνώση για (εν δυνάμει εσφαλμένων) πληροφοριών για πολλές μέρες. Σε αυτή τη Θέση παρουσιάζουμε μέσα από πειράματα εκτελεσμένα σε πραγματικές συνθήκες, επιθέσεις Εξάντλησης Πόρων σε Διακομιστές Ιστού, βασισμένες στο σύστημα Gnutella. Εξερευνούμε το μέγεθος του προβλήματος και παρουσιάζουμε μια λύση για την προστασία αθώων θυμάτων από την εν λόγω επίθεση

Ο ρόλος της διαδερμικής αγγειοπλαστικής στην αντιμετώπιση των αρτηριακής αιτιολογίας χρονίων ελκών των κάτω άκρων

We conducted a single-center, prospective cohort, observational study which included patients presenting with ischemic foot ulcers between June 2009 and June 2015. Inclusion criteria were an ulcer in the foot and an ankle-brachial index (ABI) <0.9 or toe-brachial index (TBI) <0.7, in case of incompressible tibial arteries at the level of the ankle. The exclusion criteria were: refusal to participate, refusal of percutaneous transluminal angioplasty (PTA) therapy, absolute contraindication to contrast media injection as determined by the investigator, uncontrollable coagulopathy, unwilling or unable to provide informed consent or return for required follow-up evaluations. Revascularization was performed by endovascular means whenever feasible after an initial evaluation of all patients. Furthermore, cases in which surgical revacularization was considered as first line treatment, were also excluded. A total of 225 patients with ischemic foot ulceration were initially evaluated during the study period. Among those, 12 patients were excluded due to various contra-indications for endovascular treatment. From the 213 remaining cases, 52 patients had a profoundly unfavourable distribution of lesions for an endovascular approach, according to the vascular team’s consensus, leaving 161 (76%) patients that underwent percutaneous procedures. Moreover, 17 patients were lost to follow-up before reaching any of the study endpoints. Finally, 144 patients were studied, 102 of whom (71%) were followed-up for more than 24 months. Our data support the technical and clinical success of PTA in the management of ischemic foot ulcers with high rates of healing and limb salvage. PTA was technically successful and feasible in almost all patients with only a minority of cases unsuitable for percutaneous techniques due to extensive and complex distribution of atherosclerotic lesions. Another important aspect of our study is that most of the patients’ lesions were classified as TASC II Type C and D, with 98% and 95% technical success respectively, indicating that endovascular procedures can be performed in patients to whom surgical intervention was previously recommended.Πραγματοποιήθηκε μία μονοκεντρική προοπτική μελέτη παρατήρησης, στην οποία συμπεριελήφθησαν οι ασθενείς που παρουσίασαν ισχαιμικά έλκη κάτω άκρων την περίοδο μεταξύ Ιουνίου 2009 και Ιουνίου 2015. Κριτήρια επιλογής ήταν Σφυροβραχιόνιος Δείκτης (ΣΒΔ) <0,9 ή Δακτυλοβραχιόνιος Δείκτης (ΔΒΔ) <0,7, σε περίπτωση ασυμπίεστων κνημιαίων αγγείων στα σφυρά. Κριτήρια αποκλεισμού ήταν: άρνηση συμμετοχής, άρνηση ενδαγγειακής θεραπείας, απόλυτη αντένδειξη για χρήση ενδοφλεβίου σκιαγραφικού κατά την κρίση του ερευνητή, μη-ελεγχόμενο πρόβλημα πήξεως, άρνηση ή αδυναμία συγκατάθεσης ή επανόδου για επανεξέταση. Η επαναγγείωση πραγματοποιήθηκε ενδαγγειακά όποτε ήταν δυνατόν, κατόπιν της αρχικής εκτίμησης σε όλους τους ασθενείς. Επιπρόσθετα, αποκλείσθηκαν επίσης οι ασθενείς στους οποίους η χειρουργική επαναγγείωση θεωρήθηκε πρώτης γραμμής θεραπεία. Κατά την διάρκεια της περιόδου της μελέτης εξετάσθηκαν 225 ασθενείς με ισχαιμικά έλκη κάτω άκρων. Από αυτούς, 12 ασθενείς αποκλείσθηκαν λόγω διαφόρων αντενδείξεων ενδαγγειακής θεραπείας. Από τους υπόλοιπους 213 ασθενείς, οι 52 είχαν εξαιρετικά απρόσφορη κατανομή, βλαβών για ενδαγγειακή θεραπεία, κατά την εκτίμηση της θεραπευτικής ομάδας, αφήνοντας 161 ασθενείς (76%) οι οποίοι ακολούθησαν ενδαγγειακή θεραπεία. επιπλέον, 17 ασθενείς δεν εμφανίστηκαν στους επανελέγχους και δεν έφθασαν κάποιο τελικό σημείο της μελέτης. Τελικά, 144 ασθενείς μελετήθηκαν, οι 102 εκ των οποίων (71%) παρακολουθήθηκαν για πάνω από 24 μήνες. Τα δεδομένα μας υποστηρίζουν την τεχνική και κλινική επιτυχία της αγγειοπλαστικής στην αντιμετώπιση των ισχαιμικών ελκών των κάτω άκρων, με υψηλά ποσοστά επιτυχίας και διάσωσης μέλους. Η αγγειοπλαστική ήταν τεχνικά επιτυχής και πρόσφορη σε σχεδόν όλους τους ασθενείς με μόνο μία μειονότητα περιπτώσεων απρόσφορη για διαδερμικές τεχνικές λόγω εκτεταμένης και πολύπλοκης κατανομής αθηρωματικών αλλοιώσεων. Μία άλλη σημαντική πτυχή της μελέτης μας ήταν ότι οι περισσότερες βλάβες των ασθενών μας ταξινομήθηκαν ως TASC II τύπου C και D, με 98% και 95% τεχνική επιτυχία αντίστοιχα, ενδεικτικό ότι οι ενδαγγειακές τεχνικές δύναται να πραγματοποιηθούν σε ασθενείς στους οποίους παλαιότερα συνιστάτο χειρουργική θεραπεία