P170 - Sicherheit 2010 - Sicherheit, Schutz und Zuverlässigkeit
Auflistung nach:
Auflistung P170 - Sicherheit 2010 - Sicherheit, Schutz und Zuverlässigkeit nach Titel
1 - 10 von 31
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragAmun: automatic capturing of malicious software(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Göbel, JanThis paper describes the low-interaction server honeypot Amun. Through the use of emulated vulnerabilities Amun aims at capturing malware in an automated fashion. The use of the scriping language Python, a modular design, and the possibility to write vulnerability modules in XML allow the honeypot to be easily maintained and extended to personal needs.
- KonferenzbeitragBedrohungsmodellierung (Threat Modeling) in der Softwareentwicklung(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schwab, Fabian; Findeisen, Alexander; Sakal, Peter; Pohl, HartmutThreat Modeling ermöglicht als heuristisches Verfahren die methodische Überprüfung eines Systementwurfs oder einer Softwarearchitektur, um Sicherheitslücken kostengünstig und frühzeitig - idealerweise in der Design Phase - im Software-Entwicklungsprozess zu identifizieren, einzugrenzen und zu beheben. Threat Modeling lässt sich aber auch noch erfolgreich in der Verifikationsphase oder noch später - nach dem Release - zur Auditierung der Software einsetzen. Durch die Früherkennung von Sicherheitslücken können die Kosten zur Behebung bis auf ein Hundertstel reduziert werden. Die auf dem Markt verfügbaren Threat Modeling Tools werden identifiziert, analysiert und hinsichtlich Ihrer Eignung zur Erstellung komplexer, vollständiger Threat Models mit entwickelten Bewertungsparametern einem einfachen Bewertungsverfahren unterworfen.
- KonferenzbeitragBiometrische Nachrichten-Authentisierung(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Busch, Christoph; Hartung, DanielBei vielen Anwendungen ist die Integrität und Authentizität übertragener Nachrichten von Interesse. So sind zum Beispiel im Online-Banking sind die relevanten Informationen i) welches Empfänger-Konto eine Gutschrift erhält, ii) welcher Betrag dem Empfänger gutgeschrieben werden soll, iii)) welches Sender-Konto eine Belastung erhält und schließlich iv) welche natürliche Person die Transaktion initiiert und die Transaktionsdaten bestätigt hat. In derzeitig eingesetzten Protokollen sind die Informationen i), ii) und iii) vielfach nur ungenügend geschützt. In keinem der derzeitigen Protokolle wird die Information iv) ausreichend gesichert. Das hier vorgestellte Protokoll zur Biometrischen Nachrichten-Authentisierung realisiert eine Daten-Authentisierung und gleichzeitig eine Personen-Authentisierung. Damit wird eine starke Bindung zwischen einer natürlichen Person und den anderen relevanten Informationen hergestellt und somit für den Ausführenden der Transaktion gesichert nachgewiesen, dass tatsächlich eine berechtigte natürliche Person die Transaktion initiiert und bestätigt hat.
- KonferenzbeitragBiometrische Template-Protection-Verfahren und Interoperabilitätsstrategien(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Busch, Christoph; Abt, Sebastian; Nickel, Claudia; Korte, Ulrike; Zhou, XuebingBiometrische Authentisierung wird häufig zur Verbesserung der Identitätsverifikation eingesetzt. Durch die Nutzung biometrischer Verfahren entstehen neue Herausforderungen an den Schutz der Privatsphäre betroffener Personen. In biometrischen Systemen gespeicherte Referenzdaten enthalten Informationen, die aus den biometrischen Charakteristika einer Person abgeleitet wurden. Das Speichern von Abbildern einer biometrischen Charakteristik (z.B. Fingerbilder) in einer Datenbank ist aus Datenschutzsicht ungeeignet, da die Charakteristik selbst nach einer etwaigen Korrumpierung der Datenbank nicht ersetzt werden kann. Des Weiteren ist die Anzahl der biometrischen Charakteristika eines Nutzers begrenzt. Biometrische Merkmale werden z.B. aus einem Fingerbild extrahiert und in einem Template gespeichert. Eine Mehrfachnutzung von Templates in verschiedenen Anwendungen kann zu sog. Cross-Matching-Problemen führen, wenn Anwendungen miteinander verknüpft werden. Darüber hinaus können Referenzdaten für die Authentisierung irrelevante Informationen enthalten (z.B. ethnische Zugehörigkeit, Krankheiten). Zur Lösung dieser Herausforderungen hat sich mit den Template-Protection-Verfahren eine Technologie entwickelt, die den Anforderungen des Datenschutzes gerecht wird. Offene Systeme erfordern jedoch die Möglichkeit zum Austausch von interoperablen Referenzdatensätzen. Dieser Beitrag betrachtet daher Sicherheitsanforderungen an biometrische Systeme, behandelt die aktuellen Standardisierungsbemühungen zu Biometric-Template-Protection und schlägt eine weitere Vorgehensweise vor.
- KonferenzbeitragCAPTCHAs: the good, the bad, and the ugly(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Baecher, Paul; Fischlin, Marc Gordon Lior; Langenberg, Robert; Lützow, Michael; Schröder, DominiqueA CAPTCHA is a program that generates challenges that are easy to solve for humans but difficult to solve for computers. The most common CAPTCHAs today are text-based ones where a short word is embedded in a cluttered image. In this paper, we survey the state-of-the-art of currently deployed CAPTCHAs, especially of some popular German sites. Surprisingly, despite their importance and the largescale deployment, most of the CAPTCHAs like the ones of the "Umweltprämie", the Bundesfinanzagentur, and the Sparda-Bank are rather weak. Our results show that these CAPTCHAs are subject to automated attacks solving up to 80% of the puzzles. Furthermore, we suggest design criteria for "good" CAPTCHAs and for the system using them. In light of this we revisit the popular reCAPTCHA system and latest developments about its security. Finally, we discuss some alternative approaches for CAPTCHAs.
- KonferenzbeitragCollusion-secure fingerprint watermarking for real world applications(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schäfer, Marcel; Berchtold, Waldemar; Steinebach, Martin; Zmudzinski, Sascha; Heilmann, Margareta; Katzenbeisser, StefanDigital transaction watermarking today is a widely accepted mechanism in multimedia security. One major threat on transaction watermarking are collusion attacks. Here multiple individualized copies of the work are mixed to produce a counterfeited or undetectable watermark. One common countermeasure is the usage of so-called fingerprints. Theoretical fingerprint approaches do not consider the inaccuracy of the detection process of watermarking algorithms. In this work we show how an existing fingerprint code can be optimized with respect to code length in order to collaborate with a watermarking algorithm to provide a maximum of reliability with a minimum of payload.
- KonferenzbeitragDiffusion of federated identity management(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Hühnlein, Detlef; Roßnagel, Heiko; Zibuschka, JanIn this work, we discuss the diffusion of federated identity management. We base our research on Roger's diffusion of innovation theory, and derive generic factors influencing the diffusion of federated identity management solutions. To validate our model and investigate specific contributions of parameters in specific usage scenarios, we investigate market success of federated identity management systems. We examine several application scenarios in the fields of e-business, Web, and e-government.
- KonferenzbeitragExtended lattice reduction experiments using the BKZ algorithm(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schneider, Michael; Buchmann, JohannesWe present experimental results using lattice reduction algorithms. We choose the BKZ algorithm, that is the algorithm considered the strongest one in this area in practice. It is an important task to analyze the practical behaviour of lattice reduction algorithms, as the theoretical predictions are far from being practical. Our work helps choosing the right parameters for lattice reduction in practice. The experiments in this paper go beyond the results of Gama and Nguyen in their Eurocrypt 2008 paper. We give evidence of some facts stated in their work, concerning the runtime and the output quality of lattice reduction algorithms.
- KonferenzbeitragA fuzzy model for IT security investments(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schryen, GuidoThis paper presents a fuzzy set based decision support model for taking uncertainty into account when making security investment decisions for distributed systems. The proposed model is complementary to probabilistic approaches and useful in situations where probabilistic information is either unavailable or not appropriate to reliably predict future conditions. We first present the specification of a formal security language that allows to specify under which conditions a distributed system is protected against security violations. We show that each term of the security language can be transformed into an equivalent propositional logic term. Then we use propositional logic terms to define a fuzzy set based decision model. This optimization model incorporates uncertainty with regard to the impact of investments on the achieved security levels of components of the distributed system. The model also accounts for budget and security constraints, in order to be applicable in practice.
- KonferenzbeitragIterative präzisionsbewertende Signaturgenerierung(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Rietz, René; Schmerl, Sebastian; Vogel, Michael; König, HartmutDie Wirksamkeit signaturbasierter Intrusion Detection Systeme hängt entscheidend von der Präzision der verwendeten Signaturen ab. Die Ursachen unpräziser Signaturen sind hauptsächlich der Signaturableitung zuzuschreiben. Die Spezifikation einer Signatur ist aufwendig und fehleranfällig. Methoden für ein systematisches Vorgehen existieren bisher kaum. In diesem Papier stellen wir einen Ansatz zur systematischen Ableitung von Signaturen für Host-basierte IDS vor. Ausgehend vom Programmcode und der Verwundbarkeit werden ganze Signaturen oder Signaturfragmente generiert. Wir zeigen, dass durch den Einsatz von statischer Code-Analyse der Entwurfsprozess für Signaturen automatisiert und entscheidend verkürzt werden kann. Ferner ist eine Qualitätsabschätzung der abgeleiteten Signatur möglich.