P256 - Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit
Auflistung P256 - Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit nach Erscheinungsdatum
1 - 10 von 27
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragSurreptitious sharing on android(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Schürmann, Dominik; Wolf, LarsMany email and messaging applications on Android utilize the Intent API for sharing images, videos, and documents. Android standardizes Intents for sending and Intent Filters for receiving content. Instead of sending entire files, such as videos, via this API, only URIs are exchanged pointing to the actual storage position. In this paper we evaluate applications regarding a security vulnerability allowing privilege escalation and data leakage, which is related to the handling of URIs using the file scheme. We analyze a vulnerability called Surreptitious Sharing and present two scenarios showing how it can be exploited in practice. Based on these scenarios, 4 email and 8 messaging applications have been analyzed in detail. We found that 8 out of 12 applications are vulnerable. Guidelines how to properly handle file access on Android and a fix for the discussed vulnerability are attached.
- KonferenzbeitragIT-grundschutz in großen institutionen - herausforderungen und lösungsstrategien(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Rast, Severin; Brecher, Timo; Kammerhofer, SabineGroße Institutionen sind einerseits auf eine standardisierte Vorgehensweise für das Informationssicherheitsmanagement angewiesen, haben andererseits aber stets besondere Anforderungen, die vom Standard abweichen. Dies führt regelmäßig zu Herausforderungen bei der Anwendung des IT-Grundschutzes: Es gibt einen vielfältigen methodischen Kontext; der Informationsverbund ist sehr komplex; Projekte haben sehr lange Laufzeiten; es bestehen besondere betriebliche Anforderungen und oft die Notwendigkeit eigene Bausteine zu definieren. Dieser Artikel betrachtet diese Herausforderungen und stellt geeignete Lösungsansätze vor.
- KonferenzbeitragDesigning resilient and secure smart micro grids(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Valipour, SiavashThe research presented in this extended abstract paper depicts a smart grid management framework which enables a decentralized and autonomous organization of the energy participants within these grids. Based on basic requirements for operating such systems, challenges and tasks are being discussed here as a basis for future research. The discussion encompasses both fields of electrical engineering and computer science. The presented grid coordination and energy transfer schemes are briefly regarded and openly discussed.
- KonferenzbeitragWhy 2 times 2 ain't neccessarily 4 - at least not in IT security risk assessment(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Braband, JensRecently, a novel approach towards semi-quantitative IT security risk assessment has been proposed in the draft IEC 62443-3-2. This approach is analyzed from several different angles, e.g. embedding into the overall standard series, semantic and methodological aspects. As a result, several systematic flaws in the approach are exposed. As a way forward, an alternative approach is proposed which blends together semi-quantitative risk assessment as well as threat and risk analysis.
- KonferenzbeitragDie Bordkarte als Authentifikationsmittel bei Flugreisen(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Astrakhantceva, Mariia; Karjoth, Günter; Hübscher, BettinaMobile Technologien und das Web sind omnipräsent. Auch die Flugfahrtbranche setzt auf die Buchung über das Internet. Diese Angebote erhöhen nicht nur die Benutzerfreundlichkeit, optimieren den Abflugprozess und ersparen Millionen Euro an Kosten, sondern enthalten auch Gefahren - für Passagiere wie Fluglinien. Veröffentlicht jemand das Foto einer Bordkarte auf dem Internet, kann die darauf abgedruckte Information verwendet werden, um beispielsweise den Rückflug zu annulieren. Diese Gefahr ist vielen Passagieren nicht bewußt. Die Möglichkeit dieses Angriffs besteht nicht nur durch das Wissen über die Information auf der Bordkarte, sondern auch durch eine schwache Authentifizierung auf Seite der Fluglinie. Dieser Artikel beschreibt die technischen Grundlagen, diskutiert die rechtlichen Aspekte und erörtert mögliche Gegenmaßnahmen.
- KonferenzbeitragOn the security of the ZigBee light link touchlink commissioning procedure(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Müller, Christian; Armknecht, Frederik; Benenson, Zinaida; Morgner, PhilippSpecifications of security mechanisms often lack explicit descriptions of the envisioned security goals and the underlying assumptions. This makes it difficult for developers and customers to understand the level of security provided by the systems. Moreover, this omission has repeatedly resulted in practical attacks that violate the implicit security assumptions of the specifications. In this work, we illustrate this effect on the example of the ZigBee Light Link (ZLL) profile, currently one of the most popular standards for smart lighting in domestic environments. We first provide a concise description of ZLL commissioning procedure for initiating and extending a network of smart bulbs, extracted directly from the specification. We then discuss how the commissioning protocol can be transformed into a formal security model, but also highlight where this is subject to interpretations because of the unclear implicit security assumptions. The proposed security model is flexible, i.e., it can be extended to capture further security requirements or attacker classes, and hence provides a solid foundation for rigorous security analyses of ZLL and other ZigBee profiles.
- KonferenzbeitragSicherheit im Softwareentwurf - Integrierte Modellierung von Security und Softwarearchitektur(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Jasser, StefanieDie Anforderungen an die Informationssicherheit heute eingesetzter Softwaresysteme steigen zunehmend. Dennoch werden sie während der Softwareentwicklung meist vernachlässigt. Softwarearchitekturen beeinflussen die Erfüllung nichtfunktionaler Eigenschaften wie Informationssicherheit wesentlich. Existierende Ansätze erlauben keine explizite Modellierung der Informationssicherheit eines Softwaresystems auf der Abstraktionsebene der Softwarearchitektur. Der zu erarbeitende Ansatz ermöglicht die integrierte Modellierung von Aspekten der Informationssicherheit und den Architektureigenschaften eines Softwaresystems. Es ist geplant, die Evaluation dieses Ansatzes im Rahmen einer Feldstudie durchzuführen, d. h. die Anwendbarkeit wird durch den Einsatz in realen Softwareprojekten gezeigt.
- KonferenzbeitragA semantic framework for a better understanding, investigation and prevention of organized financial crime(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Merkel, Ronny; Kraetzer, Christian; Hildebrandt, Mario; Kiltz, Stefan; Kuhlmann, Sven; Dittmann, JanaUsing semantic technology for data storage and exploration is an important issue in computer science, however barely applied to forensic investigations. In this paper, a conceptual framework is proposed for the detailed modeling of structured domain knowledge in the field of organized financial crime, with a special focus on sparse information (e.g. flows of money, data and know-how, exploited vulnerabilities and attackers motivation) and the proposition of a credibility measure (to rate the reliability of used information based on open source intelligence, expert surveys and captive interviews). In addition to the ontology-based, abstract domain knowledge model, the proposed framework consists of an explorative information discovery functionality, which can couple concrete, case-related data from different knowledge bases with the abstract domain knowledge, to assist experts in the investigation of crimes and the discovery of new relations between different pieces of evidence. The proposed framework is illustrated using the exemplary use case scenario of Point-of-Sale (POS) Skimming. Furthermore, its flexibility, scalability and a potential integration into current and emerging police standards is discussed.
- Editiertes Buch
- KonferenzbeitragDetecting anomalies in BACnet network data(Sicherheit 2016 - Sicherheit, Schutz und Zuverlässigkeit, 2016) Tonejc, Jernej; Kaur, Jaspreet; Kobekova, AlexandraOver the last few years, the volume of data in the Building Automation System (BAS) networks has increased exponentially. Nowadays, it is possible to obtain several kinds of data from building networks such as data based on individual service type, specific building location and even specific time of the day. As a consequence, large volumes of data with more variables have to be considered when performing the data analysis. This means that there is a need to identify the most important variables for analysis. In this paper, we introduce a framework which allows the characterization of BACnet network traffic data by means of machine learning techniques. This framework is based on unsupervised machine learning methods, specifically, Principal Components Analysis and Clustering. Such methods are used because of the large volume of data that needs to be taken into consideration, preventing the manual labeling of the data which is required for supervised learning methods. We show the efficiency and effectiveness of the framework in detecting anomalies by performing experiments on different BACnet network traffic data, captured by Wireshark, together with synthetically generated data.
- «
- 1 (current)
- 2
- 3
- »