P128 - Sicherheit 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI)
Auflistung nach:
Auflistung P128 - Sicherheit 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI) nach Erscheinungsdatum
1 - 10 von 52
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragA cryptographic biometric authentication system based on genetic fingerprints(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Korte, Ulrike; Krawczak, Michael; Merkle, Johannes; Plaga, Rainer; Niesing, Matthias; Tiemann, Carsten; Vinck, Han; Martini, UllrichWe specify a system for authentication and key derivation using genetic fingerprints which prevents the recovery of biometric information from data stored for verification. We present a detailed security analysis based on estimates of the entropy of the DNA data and formal security results. The scheme is shown to be robust and efficient by analysing the typical frequency and structure of errors in DNA measurements and selecting appropriate error correcting codes. As a result we obtain an authentication system that offers a security level equivalent to cryptographic keys with 73 bits and a FRR well below 1%.
- KonferenzbeitragRechtliche Aspekte der Spamfilterung für Unternehmen und Administratoren(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Heinlein, PeerInternet Service Provider, Arbeitgeber und Administratoren haben beim Einsatz von Spam- und Virenfiltern viele rechtliche Details zu beachten. Scheint der Einsatz entsprechender Filtermechanismen vordergründig selbstverständlich und notwendig zu sein droht dem Administrator die Strafbarkeit und dem Unternehmen die Haftungsfalle. Arbeitsrechtliche Vorschriften machen den Einsatz von Filtern innerhalb eines Unternehmen zum aufwändig abzustimmenden Unterfangen.
- KonferenzbeitragTowards solving the data problem in measurement of organizations’ security(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Weiß, Steffen; Meyer-Wegener, KlausAwareness of security has risen during the last years. As a result, the question of adequate protection against security risks increased, too. Management wants to decide whether and how to invest in this protection. As a result, quantitative statements about information-security risks are needed. Existing approaches in this domain either rely on guessed data or do not answer the question in a quantitative way. We think that this is due to the fact that no approach separates information that can be provided by a central organization (e.g. known attacks, available controls, and a control’s probability of protection) from information which must be provided individually (e.g. the controls installed). We have developed an approach that employs this separation and allows quantitative assessment of security with the help of a model. This model is presented here with a special look at the separation.
- KonferenzbeitragQualifizierung integrierter Werkzeugumgebungen für die Erstellung sicherheitsrelevanter Software in Kernkraftwerken(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Miedl, Horst; Märtz, JosefIn Kernkraftwerken wird zunehmend analoge Leittechnik durch rechnerbasierte digitale Leittechniksysteme ersetzt. Um für rechnerbasierte digitale Leittechnik die erforderliche Betriebssicherheit bei akzeptablen Entwicklungs- und Qualifizierungskosten zu erreichen, werden verstärkt integrierte Werkzeugumgebungen eingesetzt. Die integrierten Werkzeugumgebungen sind zum Teil für die Entwicklung von Sicherheitstechnik qualifiziert und für nichtnukleare industrielle Anwendungen zertifiziert, deren Qualifikation für den nuklearen Einsatz ist jedoch noch nachzuweisen. Das Papier stellt ein Bewertungsschema vor, das eine tragfähige Qualitätsaussage zu verschiedenen integrierten Werkzeugumgebungen unter Berücksichtigung der Sicherheitskategorie der zu erstellenden anwendungsspezifischen digitalen Sicherheitsleittechnik erlaubt. Das Bewertungsschema zielt auf eine "Vorqualifizierung" integrierter Werkzeugumgebungen, weitgehend losgelöst von den damit zu realisierenden Sicherheitsfunktionen. Damit wird der Sicherheitsnachweis der Anwendungssoftware des Zielsystems unterstützt und entlastet. Ohne Vorqualifizierung müssten die für die Sicherheit des Zielsystems relevanten Dienste der integrierten Werkzeuge jeweils von Grund auf neu qualifiziert werden.
- KonferenzbeitragTowards Dynamic Malware Analysis to Increase Mobile Device Security(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Becher, Michael; Freiling, Felix C.Mobile devices like smartphones have different properties compared to common personal computers. Therefore, the basic principles of mobile device security are also different and this situation is advantageous because it gives more possibilities of securing the mobile device, based on the more centrally controlled environment in which they operate, and a different role of the user. This paper describes the framework for a background monitoring system to collect software that a user is going to install on its device, and to automatically perform a dynamic analysis of the software. The implementation of a dynamic analysis module of the monitoring system is presented. It has the task of performing the dynamic analysis by transferring common sandboxing approaches to the Windows Mobile operating system on the ARM architecture.
- KonferenzbeitragOpenPGP-Karten mit biometrischer Benutzerauthentisierung(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Trukenmüller, Jan; Henniger, OlafOpenPGP-Karten sind Smartcards, die private OpenPGP-Schlüs- sel sicher speichern und Entschlüsselungs- und Signierfunktionen bereitstellen. Der Benutzer einer OpenPGP-Karte muss sich gegenüber der Karte authentisieren. Dieser Beitrag beschreibt die prototypische Implementierung von OpenPGP-Karten mit bio- metrischem On-Card-Matching. Außerdem wird die Integration der Komponenten zur Erfassung und Verarbeitung biometrischer Daten in eine OpenPGP-basierte E-Mail-Anwendung beschrieben. Als Methoden zur Benutzerauthentisierung werden neben Passwörtern Fingerabdrücke und handgeschriebene Unterschriften unterstützt.
- KonferenzbeitragSystematische Ableitung von Signaturen durch Wiederverwendung am Beispiel von Snort(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Schmerl, Sebastian; Rietz, René; König, HartmutDie Wirksamkeit von Intrusion Detection Systemen mit Signaturanalyse hängt entscheidend von der Präzision der verwendeten Signaturen ab. Die Ursachen unpräziser Signaturen sind hauptsächlich der Signaturableitung zuzuschreiben. Die Spezifikation einer Signatur ist aufwendig und fehleranfällig. Methoden für ein systematisches Vorgehen existieren bisher kaum. In diesem Papier stellen wir einen Ansatz zur systematischen Ableitung von Signaturen durch Wiederverwendung von Signaturen bzw. Signaturfragmenten vor, der ursprünglich für Multi- Step-Attacken entwickelt wurde. Wir zeigen, dass er auch für Single-Step-Attacken genutzt werden kann. Dazu verwenden wir Snort-Signaturen.
- KonferenzbeitragNachweis der Güte von Kombinationen des CRC(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Mattes, Tina; Schiller, Frank; Pfahler, Jörg; Mörwald, Annemarie; Honold, ThomasDer Cyclic Redundancy Check (CRC) ist ein weit verbreitetes Codierungsverfahren zur Erkennung von Fehlern bei Datenübertragungen. Da der CRC selbst sehr effizient ist, d.h. er garantiert eine geringe Wahrscheinlichkeit unerkennbarer Fehler, und einfach zu implementieren ist, werden in diesem Beitrag drei Kombinationen des CRC vorgestellt, die den Grad der Fehlererkennung mit geringem Zusatzaufwand verbessern können. Zudem wird der Nachweis der Güte einer vierten Kombination vorgestellt, die durch die typische schichtenorientierte Kommunikation gegeben ist. Diese Kombination konnte bis jetzt noch nicht explizit zur Berechnung der Restfehlerwahrscheinlichkeit und damit in den Sicherheitsnachweis einbezogen werden, da eine korrekte Nachweismöglichkeit fehlte. Daher mussten worst case Annahmen getroffen werden, die letztendlich zu unnötigem Aufwand führten.
- KonferenzbeitragVon Bogenschützen und digitalen Wasserzeichen(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Westfeld, AndreasWasserzeichensysteme werden unter anderem verwendet, um digitale Medien zu schützen. Entfernt man beispielsweise aus einem raubkopierten Film das Wasserzeichen, soll er unbrauchbar werden. Wie robust eine eigens entwickelte Technologie namens „Broken Arrows“ tatsächlich ist, testet das EU-Expertennetzwerk ECRYPT derzeit im weltweit ausgeschriebenen zweiten BOWS-Wettbewerb. Es wird ein allgemeines Angriffsprinzip vorgestellt, das zum Sieg verhalf.
- KonferenzbeitragMonkey-Spider: Detecting Malicious Websites with Low-Interaction Honeyclients(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Ikinci, Ali; Holz, Thorsten; Freiling, FelixClient-side attacks are on the rise: malicious websites that exploit vulnerabilities in the visitor’s browser are posing a serious threat to client security, compromising innocent users who visit these sites without having a patched web browser. Currently, there is neither a freely available comprehensive database of threats on the Web nor sufficient freely available tools to build such a database. In this work, we introduce the Monkey-Spider project [Iki]. Utilizing it as a client honeypot, we portray the challenge in such an approach and evaluate our system as a high-speed, Internet-scale analysis tool to build a database of threats found in the wild. Furthermore, we evaluate the system by analyzing different crawls performed during a period of three months and present the lessons learned.