Logo des Repositoriums

Auflistung nach Autor:in "Weippl, Edgar"

1 - 10 von 40
  • Konferenzbeitrag
    Angriffe auf eine Spreizspektrummethode für Audio-Steganographie
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Westfeld, Andreas
    Steganographie ist eine Technik zur vertraulichen Kommunikation. Ihre Sicherheit definiert sich über das Unvermögen des Angreifers, die Existenz einer vertraulichen Kommunikation nachzuweisen. Ziel dieses Beitrags ist es, einige Analysemuster für Schwachstellen am Beispiel einer veröffentlichten Spreizspektrummethode für Steganographie in Audiomedien (Nutzinger und Wurzer, ARES 2011) vorzustellen. Einige Schwächen werden gefunden und beseitigt.
  • Konferenzbeitrag
    Bestimmung des technical-Value at Risk mittels der bedingten Wahrscheinlichkeit, Angriffsbäumen und einer Risikofunktion
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014)
    In diesem Artikel wird ein Vorschlag zur Berechnung eines technical-Value at Risk (t-VaR) diskutiert. Dieser Vorschlag basiert auf der Risikoszenarientechnik und verwendet die bedingte Wahrscheinlichkeit gemäß Bayes. Zur Ermittlung der Bedrohungen werden Angriffsbäume und Angriffsprofile eingesetzt. Die Schwachstellen sind empirisch für eine Versicherung im Jahr 2012 ermittelt worden. Die An- griffsbäume werden gewichtet mit einer Risikofunktion, die die kriminelle Energie beinhaltet. Zur Verifizierung dieser Vorgehensweise ist die VoIP-Telefonie einer Versicherung der t-VaR berechnet worden. Es zeigt sich, dass dieses Verfahren hinreichend gute Ergebnisse erzielt und für den technischen Bereich eine wirkungsvolle Methode darstellt.
  • Konferenzbeitrag
    Chameleon-Hashing für Interaktive Beweise der Verfügbarkeit dynamischer Daten in der Cloud
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Rass, Stefan; Schartner, Peter
    Proofs of Retrievability (PoR) sind interaktive Verfahren, welche die konsistente Existenz von Daten, im Kontext von Cloud-Storage-Diensten, überprüfen lassen. Der triviale Ansatz durch Download und Überprüfung des gesamten Datenvolumens ist bei großen Datenmengen nicht praktikabel, und PoR-Verfahren verfolgen das Ziel, diese Überprüfung wesentlich effizienter und mit geringem Aufwand für den Kunden zu ermöglichen. Dynamische PoR-Verfahren bieten überdies die Möglichkeit, die Da- ten am Server nachträglich zu verändern. In der vorliegenden Arbeit beschreiben wir eine einfache und effiziente Konstruktion eines dynamischen proof of retrievability auf Basis von Chameleon-Hashfunktionen.
  • Konferenzbeitrag
    Consumer Participation in Online Contracts – Exploring Cross-Out Clauses
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Luhn, Sebastian; Bruns, Ina; Böhme, Rainer
    E-commerce is reality. Millions of consumers buy goods or subscribe to services online. However, they are often presented with take-it-or-leave-it decisions: consumers must accept standard business terms and privacy policies as they are or the contract cannot be concluded. We explore the idea of letting the consumer cross out unwanted clauses online, giving back what was possible for offline contracts. We built a prototype and conducted a user study of 24 face-to-face tests with subsequent interviews in public space, applying both a between-subject and a within-subject experimental design. Results show that the participants of the study appreciated the idea and actively made use of it. Additionally, we observe a tendency that users read contracts more thoroughly if they know that they can alter them. This may help coming closer to the intended notion of informed consent when contracting online.
  • Konferenzbeitrag
    Continuous authentication on mobile devices by analysis of typing motion behavior
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Gascon, Hugo; Uellenbeck, Sebastian; Wolf, Christopher; Rieck, Konrad
    Smartphones have become the standard personal device to store private or sensitive information. Widely used as every day gadget, however, they are susceptible to get lost or stolen. To protect information on a smartphone from being physically accessed by attackers, a lot of authentication methods have been proposed in recent years. Each one of them suffers from certain drawbacks, either they are easy to circumvent, vulnerable against shoulder surfing attacks, or cumbersome to use. In this paper, we present an alternative approach for user authentication that is based on the smartphone's sensors. By making use of the user's biometrical behavior while entering text into the smartphone, we transparently authenticate the user in an ongoing-fashion. In a field study, we asked more than 300 participants to enter some short sentences into a smartphone while all available sensor events were recorded to determine a typing motion fingerprint of the user. After the proper feature extraction, a machine learning classifier based on Support Vector Machines (SVM) is used to identify the authorized user. The results of our study are twofold: While our approach is able to continuously authenticate some users with high precision, there also exist participants for which no accurate motion fingerprint can be learned. We analyze these difference in detail and provide guidelines for similar problems.
  • Konferenzbeitrag
    Deploying static application security testing on a large scale
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brucker, Achim; Sodan, Uwe
    Static Code Analysis (SCA), if used for finding vulnerabilities also called Static Application Security Testing (SAST), is an important technique for detecting software vulnerabilities already at an early stage in the software development lifecycle. As such, SCA is adopted by an increasing number of software vendors. The wide-spread introduction of SCA at a large software vendor, such as SAP, creates both technical as well as non-technical challenges. Technical challenges include high false positive and false negative rates. Examples of non-technical challenges are the insufficient security awareness among the developers and managers or the integration of SCA into a software development life-cycle that facilitates agile development. Moreover, software is not developed following a greenfield approach: SAP's security standards need to be passed to suppliers and partners in the same manner as SAP's customers begin to pass their security standards to SAP. In this paper, we briefly present how the SAP's Central Code Analysis Team introduced SCA at SAP and discuss open problems in using SCA both inside SAP as well as across the complete software production line, i. e., including suppliers and partners.
  • Konferenzbeitrag
    DOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Stock, Ben; Lekies, Sebastian; Johns, Martin
    Cross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.
  • Konferenzbeitrag
    Drei Jahre Master Online Digitale Forensik: Ergebnisse und Erfahrungen
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brodowski, Dominik; Dewald, Andreas; Freiling, Felix; Kovács, Steve; Rieger, Martin
    Der "Master Online Digitale Forensik“ ist ein berufsbegleitendes Studienangebot der Hochschule Albstadt-Sigmaringen, welches das zunehmend relevante Gebiet der IT-Forensik adressiert. Dieser Beitrag beschreibt die Entstehungsgeschichte und das Konzept dieses Studiengangs, der in Kooperation mit zwei Universitäten betrieben wird. Außerdem werden die Erkenntnisse und Erfahrungen der ersten vier Jahre zusammengefasst.
  • Konferenzbeitrag
    An efficient approach to tolerate attackers in fault-tolerant systems
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Formann, Johannes
    Malicious attackers can cause severe damage (financially or to the environment) if they gain control of safety-relevant systems. This paper shows why the traditional disjoint treatment of security and fault tolerance has weaknesses if the attacker gains access to the fault tolerant system and how an integrated approach that utilize existing fault tolerance techniques could be an effective security mechanism. An efficient integrated safety and security approach is presented for fault tolerant systems, which achieves protection against attacks via the network by forming a logically isolated (sub-) network which is resilient against a bug in the codebase. Isolation is obtained by diverse design of a general reusable (software and/or hardware) component that prevents any unauthorized message transfer towards the secured application program. Messages from other compromised nodes are tolerated utilizing existing majority voting mechanism.
  • Konferenzbeitrag
    Effizienteres Bruteforcing auf einem heterogenen Cluster mit GPUs und FPGAs
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Fuß, Jürgen; Greslehner-Nimmervoll, Bernhard; Kastl, Wolfgang; Kolmhofer, Robert
    Heterogene Cluster mit verschiedenen Coprozessor-Typen können homogenen Lösungen überlegen sein. Diese Arbeit behandelt die Implementierung von verteilten, kryptoanalytischen Aufgaben in einer heterogenen Umgebung. Die Verwaltung der Komponenten übernimmt ein eigenständiges Cluster-Framework. Es wird verwendet, um passwortgeschützte PDF-Dokumente - verteilt auf CPUs, GPUs und FPGAs - zu brechen. Zusätzlich zeigen die Ergebnisse, dass ein Verwaltungs-System für heterogene Hardware keine beträchtlichen Leistungs-Einbußen verursachen muss.