P170 - Sicherheit 2010 - Sicherheit, Schutz und Zuverlässigkeit
Auflistung P170 - Sicherheit 2010 - Sicherheit, Schutz und Zuverlässigkeit nach Erscheinungsdatum
1 - 10 von 31
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragCollusion-secure fingerprint watermarking for real world applications(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schäfer, Marcel; Berchtold, Waldemar; Steinebach, Martin; Zmudzinski, Sascha; Heilmann, Margareta; Katzenbeisser, StefanDigital transaction watermarking today is a widely accepted mechanism in multimedia security. One major threat on transaction watermarking are collusion attacks. Here multiple individualized copies of the work are mixed to produce a counterfeited or undetectable watermark. One common countermeasure is the usage of so-called fingerprints. Theoretical fingerprint approaches do not consider the inaccuracy of the detection process of watermarking algorithms. In this work we show how an existing fingerprint code can be optimized with respect to code length in order to collaborate with a watermarking algorithm to provide a maximum of reliability with a minimum of payload.
- KonferenzbeitragCAPTCHAs: the good, the bad, and the ugly(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Baecher, Paul; Fischlin, Marc Gordon Lior; Langenberg, Robert; Lützow, Michael; Schröder, DominiqueA CAPTCHA is a program that generates challenges that are easy to solve for humans but difficult to solve for computers. The most common CAPTCHAs today are text-based ones where a short word is embedded in a cluttered image. In this paper, we survey the state-of-the-art of currently deployed CAPTCHAs, especially of some popular German sites. Surprisingly, despite their importance and the largescale deployment, most of the CAPTCHAs like the ones of the "Umweltprämie", the Bundesfinanzagentur, and the Sparda-Bank are rather weak. Our results show that these CAPTCHAs are subject to automated attacks solving up to 80% of the puzzles. Furthermore, we suggest design criteria for "good" CAPTCHAs and for the system using them. In light of this we revisit the popular reCAPTCHA system and latest developments about its security. Finally, we discuss some alternative approaches for CAPTCHAs.
- KonferenzbeitragSichere Datenhaltung im Automobil am Beispiel eines Konzepts zur forensisch sicheren Datenspeicherung(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Hoppe, Tobias; Holthusen, Sönke; Tuchscheerer, Sven; Kiltz, Stefan; Dittmann, JanaSeit mehreren Jahren wird in der Forschung auf potentielle Gefahren hingewiesen, die vorsätzliche Angriffe auf automotive IT-Systeme bergen [HKD08]. Aktuelle Arbeiten wie [Ko10] zeigen, dass Auswirkungen bis hin auf die leibliche Sicherheit (Safety) der Insassen zunehmend realistisch werden. Moderne automotive IT verarbeitet und speichert zunehmend auch personenbeziehbare Daten, so dass zusätzlich Beeinträchtigungen der Privatspähre drohen. Folglich stellt die automotive IT-Sicherheit, d.h. der Schutz derartiger sensibler Daten vor unautorisiertem Ausspähen und Manipulationen ein wichtiges Forchungsziel dar. Diese Problematik adressierend, behandelt der vorliegende Beitrag Aspekte der sicheren Datenhaltung im Automobil. In diesem Beitrag wird ein kombiniertes Konzpt zur sicheren Datenspeicherung vorgeschlagen und eine wissenschaftliche Diskussion angeregt. Es basiert auf dem bestehenden Konzept elektronischer Fahrzeugdatenschreiber, deren bisherige Lösungen jedoch meist primär zur Aufklärung safety-bezogener Ereignisse (insbesondere Verkehrunfälle) konzipiert sind. Bedrohungen seitens der Security (z.B. Manipulationen von Daten im Gesamtfahrzeug) werden häufig nicht berücksichtigt. Der vorgestellte kombinierte Ansatz ist zusätzlich als strategische Vorbereitung für ggf. zukünftig folgende, IT-forensische Aufklärung geeignet und adressiert somit auch Vorfälle, welche auf Verletzungen der Security zurückzuführen sind. Ziel ist, ein Konzept mit besonderem Fokus auf unterschiedliche Nutzer und deren variierende Sicherheitsanforderungen an die gesicherten Daten (wie Inegrität, Authentizität und Vertraulichkeit) zu diskutieren.
- KonferenzbeitragBedrohungsmodellierung (Threat Modeling) in der Softwareentwicklung(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schwab, Fabian; Findeisen, Alexander; Sakal, Peter; Pohl, HartmutThreat Modeling ermöglicht als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Softwarearchitektur, um Sicherheitslücken kostengünstig und frühzeitig - idealerweise in der Design Phase - im Software-Entwicklungsprozess zu identifizieren, einzugrenzen und zu beheben. Threat Modeling lässt sich aber auch noch erfolgreich in der Verifikationsphase oder noch später - nach dem Release - zur Auditierung der Software einsetzen. Durch die Früherkennung von Sicherheitslücken können die Kosten zur Behebung bis auf ein Hundertstel reduziert werden. Die auf dem Markt verfügbaren Threat Modeling Tools werden identifiziert, analysiert und hinsichtlich Ihrer Eignung zur Erstellung komplexer, vollständiger Threat Models mit entwickelten Bewertungsparametern einem einfachen Bewertungsverfahren unterworfen.
- KonferenzbeitragSession fixation – the forgotten vulnerability?(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schrank, Michael; Braun, Bastian; Johns, Martin; Posegga, JoachimThe term 'Session Fixation vulnerability' subsumes issues in Web applications that under certain circumstances enable the adversary to perform a session hijacking attack through controlling the victim's session identifier value. We explore this vulnerability pattern. First, we give an analysis of the root causes and document existing attack vectors. Then we take steps to assess the current attack surface of Session Fixation. Finally, we present a transparent server-side method for mitigating vulnerabilities.
- KonferenzbeitragWhy showing one TLS certificate is not enough? – Towards a browser feedback for multiple TLS certificate verifications(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Pöhls, Henrich C.Content reuse on the Web 2.0 is a common "phenomenon". However, it has now reached critical and sensitive areas, as for example online shopping's submission forms for credit card data. Browsers lack the ability to show anything else than the outer most's TLS certificate verification to the user. We show that there is a trend to embed security critical content from other site's into a website. We will use VISA's credit card submission form embedded in an as example. We give detailed examples of existing tentatives to solve the problem. After analyzing them, we argue that a solution can only be at the web browser's core. Finally, we postulate five steps to be taken into consideration for to evaluate and structure future solutions.
- KonferenzbeitragQuantifying the attack surface of a web application(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Heumann, Thomas; Keller, Jörg; Türpe, SvenThe attack surface of a system represents the exposure of application objects to attackers and is affected primarily by architecture and design decisions. Given otherwise consistent conditions, reducing the attack surface of a system or an application is expected to reduce its overall vulnerability. So far, only systems have been considered but not single applications. As web applications provide a large set of applications built upon a common set of concepts and technologies, we choose them as an example, and provide qualitative and quantitative indicators. We propose a multidimensional metric for the attack surface of web applications, and discuss the rationale behind. Our metric is easy to use. It comprises both a scalar numeric indicator for easy comparison and a more detailed vector representation for deeper analysis. The metric can be used to guide security testing and development. We validate the applicability and suitability of the metric with popular web applications, of which knowledge about their vulnerability already exists.
- KonferenzbeitragState-of-the-Art Kryptoverfahren für drahtlose Sensornetze – Eine Krypto-Bibliothek für MantisOS(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Stelte, Björn; Saxe, BjörnGerade im Bereich der drahtlosen Sensornetze muss aufgrund der Ressourcen- Knappheit auf aufwendige Kryptoverfahren verzichtet werden. Dennoch ist gerade für den Einsatz von Sensornetzen in hoch-schutzbedürftigen Umgebungen eine vertrauenswürdige Nachrichtenkommunikation notwendig. Eine Verschlüsselung der Kommunikation unter den Sensorknoten wie auch zur Datensenke des Sensornetzes ist die Grundlage für eine sichere Authentifizierung und kann zur Lösung einiger bekannter Angriffe auf Sensornetze beitragen. Oftmals werden nur etablierte älterer Kryptoverfahren in Sensornetzen verwendet. In dieser Arbeit werden für den Einsatz in Sensornetzen vielversprechende neuere Verfahren untersucht und die Ergebnisse einer Un- tersuchung anhand einer beispielhaften Implementierung der Verfahren in MantisOS gezeigt. Die hieraus entstandene Software-Bibliothek von state-of-the-art Kryptoverfahren für MantisOS kann als Ausgangspunkt für zukünftige Sicherheitslösungen in drahtlosen Sensornetzen dienen.
- KonferenzbeitragTowards secure and reliable firewall systems based on MINIX 3(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Weis, Rüdiger; Schüler, Brian; Flemming, Stefan A.Minix 3 is a real micro kernel operation system with a lot of remarkable security features. Two of the main points are size and isolation. The Minix 3 kernel is less than one thousand times the size of Linux. All drivers and the IP stack live in user land. We show a port of the netfilter framework, which leads to a system with better stability and security than the widely used Linux solutions [We07]. Additionally we present some new ideas regarding virtualized systems.
- KonferenzbeitragA study on features for the detection of copy-move forgeries(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Christlein, Vincent; Riess, Christian; Angelopoulou, ElliBlind image forensics aims to assess image authenticity. One of the most popular families of methods from this category is the detection of copy-move forgeries. In the past years, more than 15 different algorithms have been proposed for copy-move forgery detection. So far, the efficacy of these approaches has barely been examined. In this paper, we: a) present a common pipeline for copy-move forgery detection, b) perform a comparative study on 10 proposed copy-move features and c) introduce a new benchmark database for copy-move forgery detection. Experiments show that the recently proposed Fourier-Mellin features perform outstandingly if no geometric transformations are applied to the copied region. Furthermore, our experiments strongly support the use of kd-trees for the matching of similar blocks instead of lexicographic sorting.