P228 - Sicherheit 2014 - Sicherheit, Schutz und Zuverlässigkeit
Auflistung nach:
Auflistung P228 - Sicherheit 2014 - Sicherheit, Schutz und Zuverlässigkeit nach Erscheinungsdatum
1 - 10 von 38
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragIT-sicherheitsaspekte industrieller steuerungssysteme(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Freckmann, Christian; Greveler, UlrichZum automatisierten Messen, Steuern und Regeln und zur Produktionsüberwachung kommen in vielen industriellen Bereichen sogenannte Industrial Control Systems (ICS) zum Einsatz. Die Verbreitung standardisierten IT-Komponenten und die zunehmenden Vernetzungen der Systeme setzen die Systeme heute ähnlichen Gefährdungen aus wie in der klassischen Informationstechnik. Dabei haben ICS abweichende Anforderungen an die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Dies äußert sich beispielsweise in längeren Laufzeiten und Wartungsfenstern. Die von den Autoren gewonnenen Erfahrungen aus realen ICS-Anwendungsfällen und - Sicherheitsaudits sind in die Erstellung eines ICS-Security-Kompendiums eingeflossen, das vom Bundesamt für Sicherheit der Informationstechnik herausgegeben wird.
- KonferenzbeitragForensic zero-knowledge event reconstruction on filesystem metadata(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Kälber, Sven; Dewald, Andreas; Idler, SteffenCriminal investigations today can hardly be imagined without the forensic analysis of digital devices, regardless of whether it is a desktop computer, a mobile phone, or a navigation system. This not only holds true for cases of cybercrime, but also for traditional delicts such as murder or blackmail, and also private corporate investigations rely on digital forensics. This leads to an increasing number of cases with an ever-growing amount of data, that exceeds the capacity of the forensic experts. To support investigators to work more efficiently, we introduce a novel approach to automatically reconstruct events that previously occurred on the examined system and to provide a quick overview to the investigator as a starting point for further investigation. In contrast to the few existing approaches, our solution does not rely on any previously profiled system behavior or knowledge about specific applications, log files, or file formats. We further present a prototype implementation of our so-called zero knowledge event reconstruction approach, that solely tries to make sense of characteristic structures in file system metadata such as fileand folder-names and timestamps.
- KonferenzbeitragRecent Developments in Covert Acoustical Communications(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Hanspach, Michael; Goetz, MichaelThe topic of covert acoustical communication in air has produced public attention, lately. In 2013, we presented the fact that infected drones (e.g. laptops) might form covert acoustical mesh networks in air, only utilizing the built-in speakers and microphones. In this article, we aim to present the current state of covert acoustical communication in air. We discuss future forms of covert acoustical mesh networks, we present an alternative audio signal that is improved in terms of stealthiness, and we provide considerations on the stealthiness of covert acoustical communication in air. In order to protect computing setups from malware utilizing covert acoustical communications, we present an analysis on detection and localization mechanisms for covert acoustical transmissions. Finally, we describe the implementation of an audio intrusion detection system that is designed for automatic analysis of acoustical emanations.
- KonferenzbeitragVerbesserung der Netzsicherheit in virtualisierten Umgebungen mit Hilfe von OpenFlow(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brinner, Andreas; Rietz, ReneViele der klassischen Techniken, mit denen die Netzsicherheit in physikalischen Systemen erhöht werden, lassen sich nicht oder nur mit großem Aufwand in virtualisierten Umgebungen einsetzen. So ist es prinzipbedingt nicht möglich, virtuelle Systeme auf einem Hostsystem physikalisch voneinander zu trennen, um deren Kommunikation durch eine Firewall filtern zu können. Auch Angriffe auf den Layern 2 und 3, wie ARP-Spoofing und Rogue-DHCP-Server, sind in physikalischen Netzen durch entsprechende Switches gut beherrschbar. In virtualisierten Umgebungen sind diese allerdings nicht einsetzbar. In diesem Beitrag stellen wir einen Ansatz vor, mit Hilfe von OpenFlow und eines speziellen OpenFlow-Controllers die Netzsicherheit in virtuellen Systemen zu erhöhen. Ohne Veränderungen an den Gastsystemen lassen sich ARP- und DHCP- Attacken effektiv verhindern. Zum Schutz von Systemdiensten können die Datenverbindungen für die beteiligten Systeme transparent durch Firewalls, Application-Level- Gateways oder Intrusion-Detection-Systeme geroutet werden. Mit Hilfe einer Client- Authentifizierung lassen sich die definierten Sicherheitsregeln auch nach der Migration von virtuellen Instanzen weiter einhalten.
- KonferenzbeitragVerwendung von Festplattenvollverschlüsselung im geschäftlichen und privaten Umfeld(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Sibinger, Christoph; Müller, TiloFestplattenvollverschlüsselung (engl. Full Disk Encryption (FDE)) stellt eine benutzerfreundliche und sichere Methode zum Schutz sensitiver Daten gegen physische Angriffe dar. Während es für den US-amerikanischen Markt in den letzten Jahren eine Reihe von Studien zur Verwendung von FDE gegeben hat, betrachtet die vorliegende Arbeit den deutschen Markt. Neben der Verwendung von FDE auf Laptops werden Smartphones in Betracht gezogen, und zusätzlich zum geschäftlichen Einsatz die private Nutzung untersucht. Zu diesem Zweck wurden Internet-gestützte Umfragebögen erstellt, in der die Teilnehmer zur eingesetzten Verschlüsselungstechnik und den jeweiligen Gründen befragt wurden, sowie Hintergrundwissen getestet wurde. Im Rahmen der Studie nahmen 1.034 Privatpersonen teil und 37 Unternehmen, wobei die Hälfte der befragten Unternehmen mindestens 1.000 Mitarbeiter beschäftigt und ein Drittel mindestens 10.000 Mitarbeiter.
- KonferenzbeitragDOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Stock, Ben; Lekies, Sebastian; Johns, MartinCross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.
- KonferenzbeitragVerhaltensanalyse zur Erkennung von Missbrauch mobiler Geldtransferdienste(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Rieke, Roland; Zhdanova, Maria; Repp, Jürgen; Giot, Romain; Gaber, ChrystelDie fortlaufende Überwachung von Transaktionen auf Geldwäscheverdacht ist Finanzinstituten in Deutschland und anderen Ländern vorgeschrieben. Smurfing ist eine Form der Geldwäsche, bei der durch den Transfer vieler kleiner Geldbeträge auf unterschiedlichen Wegen mit der Hilfe von Strohmännern ein hoher Geldbetrag unauffällig transferiert werden soll. In dieser Arbeit betrachten wir das Smurfing-Risiko im Rahmen mobiler Geldtransferdienste. Insbesondere beschreiben wir eine Methode zur vorbeugenden Sicherheitsanalyse zur Laufzeit, welche das Prozessverhalten in einem Geldtransfer-Service in Bezug auf Transaktionen beobachtet und versucht, es mit dem erwarteten Verhalten zu vergleichen, welches durch ein Prozessmodell vorgegeben ist. Wir analysieren Abweichungen von der vorgegebenen Verhaltensspezifikation auf Anomalien, die einen möglichen Missbrauch des Finanzdienstes durch Geldwäscheaktivitäten anzeigen. Wir bewerten die Anwendbarkeit der Vorgehensweise und beschreiben Messungen der Rechenund Erkennungsleistung eines prototypischen Werkzeugs basierend auf realen und simulierten Betriebsprotokollen. Das Ziel der Experimente ist es, basierend auf Eigenschaften des realen Finanzdienstes, Missbrauchsmuster in synthetisiertem Prozessverhalten mit eingefügten Geldwäscheaktivitäten zu erkennen.
- KonferenzbeitragHardware efficient authentication based on random selection(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Armknecht, Frederik; Hamann, Matthias; Krause, MatthiasLightweight authentication protocols based on random selection were introduced as an alternative design paradigm besides the usage of lightweight block ciphers and the principle of adding based noise. However a comparatively large key length and the use of involved operations made a hardware-efficient implementation a challenging task. In this work we introduce the (n, k, L)80-protocol, a variant of linear authentication protocols which overcomes these problems, and analyze its security against all currently known, relevant passive and active attacks. Moreover, we present an implementation of our protocol for FPGAs and ASICs using Verilog and discuss its efficiency w.r.t. generally accepted costs metrics. The respective numbers show that the (n, k, L)80-protocol is a viable alternative to existing solutions and is, for example, well suited for the implementation on passive RFID tags.
- KonferenzbeitragSnoop-it: dynamische analyse und manipulation von apple ios apps(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Kurtz, Andreas; Troßbach, Markus; Freiling, FelixApplikationen für mobile Endgeräte (Apps) verarbeiten vielfach Daten, die unsere Privatsphäre betreffen. Bislang existieren aber kaum Werkzeuge, mit denen auf einfache Weise geprüft werden kann, wie Apps mit diesen Daten umgehen und ob dabei möglicherweise unsere Privatsphäre beeinträchtigt wird. Wir stellen das Werkzeug SNOOP-IT vor, mit dem bestehende Apps für die Apple iOS Plattform zur Laufzeit untersucht werden können. Am Beispiel einer populären App aus dem Apple App Store zeigen wir, wie unser Werkzeug dynamische Sicherheitsanalysen erleichtert und dabei unterstützt, Verletzungen der Privatsphäre effizient ausfindig zu machen.
- KonferenzbeitragEinsatz von digitaler Forensik in Unternehmen und Organisationen(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Meier, Stefan; Pernul, GüntherZielgerichtete und hoch spezialisierte Angriffe auf die IT-Systeme erschweren es zunehmend die Systeme abzusichern und für alle Angriffsszenarien entsprechende Maßnahmen im Vorfeld zu etablieren. Aus diesem Grund ist es nötig die Täterverfolgung zu forcieren, anstatt nur in abwehrende IT-Sicherheitsmaßnahmen zu investieren. Zur Verfolgung von Tätern eignen sich besonders Methoden aus dem Bereich der digitalen Forensik. Mithilfe der durch digitale forensische Untersuchungen gewonnenen hiebund stichfesten digitalen Beweise ist es nicht nur möglich einen IT- Sicherheitsvorfall umfassend aufzuklären, sondern auch die Täterverfolgung einzuleiten. Die gesammelten digitalen Spuren können dann letzten Endes auch vor Gericht verwendet werden. Inwieweit Organisationen bereits in der Lage sind solche digitalen forensischen Untersuchungen durchzuführen ist bisher in der Literatur jedoch noch nicht umfassend geklärt. Deshalb wurde im Rahmen der in diesem Paper präsentierten Studie der tatsächliche Status Quo der digitalen Forensik in Unternehmen und Organisationen umfassend untersucht. Die Ergebnisse der Studie zeigen, dass aktuell noch ein erheblicher Aufholbedarf besteht. Weiter hat die Studie gezeigt, dass auch die Wissenschaft gefordert ist, entsprechende Methoden bereitzustellen.