User authentication and detection of malicious actions A dissertation submitted to the Department of Digital Systems, of University of Piraeus in complete fulfillment of the requirements for the degree of Doctor of Philosophy by Stefanos Malliaros B.Sc. School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus M.Sc. School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus Piraeus 2018 Advisory Committee Christos Xenakis – Associate Professor, School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus (supervisor) Konstantinos Lambrinoudakis – Professor, School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus Sokratis Katsikas – Professor, School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus Examination Committee Christos Xenakis – Associate Professor, School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus (supervisor) Konstantinos Lambrinoudakis – Professor, School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus Sokratis Katsikas – Professor, School of Information and Communication Technologies, Department of Digital Systems, University of Piraeus Stefanos Gritzalis – Professor, School of Engineering, Department of Information & Communication Systems Engineering, University of the Aegean Vassilis Chrissikopoulos – Professor, Department of Informatics, Ionian University Emmanouil Magkos – Associate Professor, Department of Informatics, Ionian University Panagiotis Rizomiliotis – Associate Professor, School of Digital Technology, Department of Informatics and Telematics, Harokopio University Acknowledgements I would like to thank my supervisor, Dr. Christos Xenakis, for his guidance and support throughout the years of being a PhD candidate. Moreover, I would like to thank him for selecting me as one of his core colleagues. I would also like to thank Dr. Costas Lambrinoudakis and Dr. Sokratis Katsikas for all their constructive comments and productive discussions not only during my PhD, but also during my master course. Very special thanks to Dr. Christoforos Dadoyan for proving his knowledge, patience, and guidance during my PhD period. I would also like to thank the members of the PhD review committee for agreeing to serve on my dissertation committee. A big “Thank You!” to Eleni Veroni for being an excellent friend, and colleague. You provided valuable support these years. Finally, I would like to thank my wife Chara because she has always supported my decisions and has been with me throughout these years both in bad and good situations. I cannot leave out my family and sister. I greatly express my gratitude for believing in me and for all the sacrifices you made for me. Ευχαριστίες Θα ήθελα να ευχαριστήσω τον επιβλέποντα καθηγητή μου Δρ. Χρήστο Ξενάκη για την καθοδήγηση και την υποστήριξή του καθ’ όλη τη διάρκεια της ιδιότητας μου ως υποψήφιος διδάκτορας. Επιπλέον δε θα μπορούσα να μην τον ευχαριστήσω για την επιλογή μου ως έναν από τους βασικούς συνεργάτες του. Θα ήθελα επίσης να ευχαριστήσω τους καθηγητές Δρ. Κώστα Λαμπρινουδάκη και Δρ. Σωκράτη Κατσικά για όλες τις εποικοδομητικές παρατηρήσεις τους και παραγωγικές συζητήσεις, τόσο κατά τη διάρκεια του διδακτορικού μου όσο και κατά τη διάρκεια του μεταπτυχιακού προγράμματος σπουδών. Ιδιαίτερες ευχαριστίες στον Δρ. Χριστόφορο Νταντογιάν για τις γνώσεις που μου προσέφερε, την υπομονή και την καθοδήγησή του κατά τη διάρκεια των διδακτορικών μου σπουδών. Θα ήθελα, επίσης, να ευχαριστήσω ιδιαιτέρως τα μέλη της εξεταστικής επιτροπής για την πολύτιμη βοήθειά τους στην ολοκλήρωση αυτού του κύκλου σπουδών. Ένα μεγάλο "Ευχαριστώ!" για την Ελένη Βερώνη η οποία στάθηκε εξαιρετική φίλη και συνάδελφος. Θα ήθελα, επιπλέον, να ευχαριστήσω τη σύζυγό μου, Χαρά, για τη συνεχή στήριξη της στις αποφάσεις μου καθ’ όλη τη διάρκεια των ετών. Στέκεσαι συνεχώς δίπλα μου τόσο σε κακές όσο και σε καλές καταστάσεις. Τέλος, δεν θα μπορούσα να μην αναφέρω την οικογένειά μου και την αδελφή μου. Είμαι, λοιπόν, ευγνώμων για την υποστήριξή τους προς μένα και για όλες τις θυσίες που κάνατε για την πραγμάτωση των δικών μου στόχων. Abstract Modern devices can carry out potentially dangerous actions, such as storing corporate and personal data, performing electronic transactions, accessing health data, and many more. All these actions introduce the ability to securely access increasingly personal information, which, in fact, raises the problem of user authentication. The usage of passwords introduces critical security issues due to their predictability, while tokens are not resistant to malware attacks, such as key loggers and memory scrapers. These issues can only be addressed by holistically investigating the problem of user authentication. The security of online accounts is drastically affected by the password predictability, as well as the parameters for password storage. Therefore, we propose a mathematical model, based on the parameters that influence password security. The main goal is to discover the cost of password guessing. Moreover, an extended survey of the default password storage parameters indicates that a significant percentage of websites use insecure password hashing. We have proved that the cost of password guessing can be a measure of defense to password guessing attacks. Apart from password storage, the security of user accounts relies on the protocols used for authentication, as well as the feasibility of obtaining the user credentials via malware. As a result, we explore the security of FIDO authentication framework, which replaces passwords with biometric modalities. The result of the analysis is a list of vulnerabilities that may be exploited by an attacker to compromise the authenticity, privacy, availability, and integrity of the FIDO. Moreover, as recent research has shown, authentication credentials and cryptographic keys remain in the volatile memory and can be easily extracted by malware. Therefore, we present safeguards that can be applied to the software level, either from the operating system or the applications, to erase data in the volatile memory from running and terminated applications. Lastly, with continuous authentication, users are continually authenticated via a “score”, which measures the certainty that the account owner is using a service or application. Therefore, we propose gaithashing, which is a secure two-factor authentication scheme based on the gait modality. The proposed scheme eliminates the noise and distortions caused by different silhouette types and achieves to authenticate a user independently of his/her silhouette. Lastly, this thesis proposes a novel technique to detect malicious actions using machine learning. This has been applied in the context of Ad hoc networks, where a new critical attack parameter has been identified. This parameter can be used to quantify the relation between AODV’s sequence number parameter and the performance of blackhole attacks. Περίληψη Οι σύγχρονες συσκευές μπορούν να πραγματοποιούν δυνητικά επικίνδυνες ενέργειες, όπως η αποθήκευση εταιρικών και προσωπικών δεδομένων, η εκτέλεση ηλεκτρονικών συναλλαγών, η πρόσβαση σε δεδομένα υγείας και πολλά άλλα. Όλες αυτές οι ενέργειες επιτρέπουν την ασφαλή πρόσβαση σε ευαίσθητες πληροφορίες, γεγονός που διεγείρει το πρόβλημα επαλήθευσης χρήστη. Η χρήση των κωδικών πρόσβασης εισάγει κρίσιμα ζητήματα ασφαλείας, ενώ η αυθεντικοποίηση δύο παραγόντων δεν είναι ανθεκτική σε επιθέσεις κακόβουλου λογισμικού. Αυτά τα προβλήματα μπορούν να αντιμετωπιστούν μόνο με ολιστική διερεύνηση του προβλήματος της πιστοποίησης ταυτότητας χρήστη. Η ασφάλεια των online λογαριασμών επηρεάζεται δραστικά από την προβλεψιμότητα των κωδικών πρόσβασης, καθώς και από τον τρόπο αποθήκευσης τους. Ως εκ τούτου, προτείνουμε ένα μαθηματικό μοντέλο βασισμένο στις παραμέτρους που επηρεάζουν την ασφάλεια των κωδικών πρόσβασης. Ο σκοπός είναι ο υπολογισμός του κόστους επιθέσεων password guessing. Επιπλέον, πραγματοποιούμε μια ενδελεχή έρευνα των παραμέτρων προεπιλεγμένης αποθήκευσης κωδικού πρόσβασης που δείχνει ότι ένα σημαντικό ποσοστό των ιστότοπων χρησιμοποιούν μη ασφαλείς τρόπους αποθήκευσης κωδικών πρόσβασης. Έχουμε αποδείξει πως το κόστος των password guessing επιθέσεων μπορεί να είναι ένας τρόπος άμυνας απέναντι σε αυτές. Εκτός από την αποθήκευση των κωδικών πρόσβασης, η ασφάλεια των λογαριασμών χρηστών βασίζεται στα πρωτόκολλα που χρησιμοποιούνται για τον έλεγχο ταυτότητας, καθώς και στη δυνατότητα διαρροής τους μέσω κακόβουλου λογισμικού. Επομένως, εξετάζουμε την ασφάλεια του πλαισίου ελέγχου ταυτότητας FIDO, το οποίο αντικαθιστά τους κωδικούς πρόσβασης με βιομετρικά χαρακτηριστικά. Το αποτέλεσμα της ανάλυσης είναι μια λίστα ευπαθειών που μπορεί να εκμεταλλευτεί ένας εισβολέας για να θέσει σε κίνδυνο την αυθεντικότητα, την ιδιωτικότητα, τη διαθεσιμότητα και την ακεραιότητα του FIDO. Επιπλέον, καθώς πρόσφατες έρευνες έχουν δείξει ότι τα πιστοποιητικά ελέγχου ταυτότητας και τα κρυπτογραφικά κλειδιά παραμένουν και μπορούν να διαρρεύσουν μέσω της πτητικής μνήμης, παρουσιάζουμε τεχνικές που μπορούν να εφαρμοστούν σε επίπεδο λογισμικού, είτε από το λειτουργικό σύστημα είτε από τις εφαρμογές, με σκοπό την διαγραφή των κωδικών πρόσβασης από την πτητική μνήμη. Τέλος, με την χρήση της συνεχούς αυθεντικοποίησης, οι χρήστες επαληθεύονται συνεχώς μέσω μίας μέτρησης, η