<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div style="font-size:12.8px"><span>Hi everyone,</span></div><div style="font-size:12.8px"><span><br></span></div><div style="font-size:12.8px"><span>Our series of exciting network security talks continues!<br><br>On Wednesday, Zakir Durumeric will talk about uncovering cryptographic failures with Internet measurement. (Note for those who do network measurement: Zakir is the lead author of zmap.) Next week Matt Green will talk about his recent attack on iMessage (<a href="http://wpo.st/8YwP1" target="_blank">http://wpo.st/8YwP1</a>).  And the following week we have a talk by Brian Ford.<br></span></div><div style="font-size:12.8px"><span><br></span></div><div style="font-size:12.8px"><span>See you Wednesday!<br></span></div><div style="font-size:12.8px"><span>Sharon<br></span></div><div style="font-size:12.8px"><span><br></span></div><div style="font-size:12.8px"><span>BUsec</span> Calendar:  <a href="http://www.bu.edu/cs/busec/" target="_blank">http://www.bu.edu/cs/<span>busec</span>/</a><br><br>The <span>busec</span> seminar gratefully acknowledges the support of BU&#39;s Center for Reliable Information Systems and Cyber Security (RISCS). <br><div style="font-size:12.8px"><br>***<br>Uncovering Cryptographic Failures with Internet-Wide Measurement<br>Speaker: Zakir Durumeric, Michigan<br>Date: Wednesday 03/30 2016,  9:45pm-10:45pm<br>Room: MCS148<br><div style="font-size:12.8px"></div><br>Despite advances in cryptography, there remains a significant gap between developed algorithms and how systems are protected in the real world. In this talk, I will discuss two studies in which Internet-wide measurement has uncovered catastrophic cryptographic failures in practice. In the first, we investigate the Diffie-Hellman key exchange, finding it far less secure than widely believed. I&#39;ll present Logjam, a novel flaw in TLS that lets a man-in-the-middle downgrade connections to “export-grade” Diffie-Hellman, and then go on to consider how a small number of fixed or standardized groups may allow for passive eavesdropping by nation-state attackers.<br><br>Next, I&#39;ll discuss our recent analysis of mail delivery security. We find that the top mail providers all proactively encrypt and authenticate messages. However, these best practices have yet to reach widespread adoption with only one third of top domains successfully configuring encryption and 1% supporting mail authentication. Unfortunately, this patchwork has led to an ecosystem where servers favor failing open to allow gradual deployment. We find that downgrade attacks are commonplace in the real world and highlight seven countries where more than 20% of inbound Gmail messages arrive in cleartext due to network attackers<br></div><div style="font-size:12.8px"><br>****<br>Title: {something about iMessage security}<br>Speaker: Matt Green, JHU<br>Date: Wednesday 04/06 2016,  9:45pm-10:45pm<br>Room: MCS148<br><br></div><div style="font-size:12.8px">TBD, see <a href="http://wpo.st/tv8O1" target="_blank">http://wpo.st/tv8O1</a><br></div><div style="font-size:12.8px"><div style="font-size:12.8px"><br></div></div></div></div></div></div></div></div>