P228 - Sicherheit 2014 - Sicherheit, Schutz und Zuverlässigkeit
Autor*innen mit den meisten Dokumenten
Auflistung nach:
Neueste Veröffentlichungen
- KonferenzbeitragOn the security of Hölder-of-key single sign-on(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Mayer, Andreas; Mladenov, Vladislav; Schwenk, JörgWeb Single Sign-On (SSO) is a valuable point of attack because it provides access to multiple resources once a user has initially authenticated. Therefore, the security of Web SSO is crucial. In this context, the SAML-based Holder-of-Key (HoK) SSO Profile is a cryptographically strong authentication protocol that is used in highly critical scenarios. We show that HoK is susceptible to a previously published attack by Armando et al. [ACC+11] that combines logical flaws with cross-site scripting. To fix this vulnerability, we propose to enhance HoK and call our novel approach HoK+. We have implemented HoK+ in the popular open source framework SimpleSAMLphp.
- KonferenzbeitragDeploying static application security testing on a large scale(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brucker, Achim; Sodan, UweStatic Code Analysis (SCA), if used for finding vulnerabilities also called Static Application Security Testing (SAST), is an important technique for detecting software vulnerabilities already at an early stage in the software development lifecycle. As such, SCA is adopted by an increasing number of software vendors. The wide-spread introduction of SCA at a large software vendor, such as SAP, creates both technical as well as non-technical challenges. Technical challenges include high false positive and false negative rates. Examples of non-technical challenges are the insufficient security awareness among the developers and managers or the integration of SCA into a software development life-cycle that facilitates agile development. Moreover, software is not developed following a greenfield approach: SAP's security standards need to be passed to suppliers and partners in the same manner as SAP's customers begin to pass their security standards to SAP. In this paper, we briefly present how the SAP's Central Code Analysis Team introduced SCA at SAP and discuss open problems in using SCA both inside SAP as well as across the complete software production line, i. e., including suppliers and partners.
- KonferenzbeitragEinsatz von digitaler Forensik in Unternehmen und Organisationen(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Meier, Stefan; Pernul, GüntherZielgerichtete und hoch spezialisierte Angriffe auf die IT-Systeme erschweren es zunehmend die Systeme abzusichern und für alle Angriffsszenarien entsprechende Maßnahmen im Vorfeld zu etablieren. Aus diesem Grund ist es nötig die Täterverfolgung zu forcieren, anstatt nur in abwehrende IT-Sicherheitsmaßnahmen zu investieren. Zur Verfolgung von Tätern eignen sich besonders Methoden aus dem Bereich der digitalen Forensik. Mithilfe der durch digitale forensische Untersuchungen gewonnenen hiebund stichfesten digitalen Beweise ist es nicht nur möglich einen IT- Sicherheitsvorfall umfassend aufzuklären, sondern auch die Täterverfolgung einzuleiten. Die gesammelten digitalen Spuren können dann letzten Endes auch vor Gericht verwendet werden. Inwieweit Organisationen bereits in der Lage sind solche digitalen forensischen Untersuchungen durchzuführen ist bisher in der Literatur jedoch noch nicht umfassend geklärt. Deshalb wurde im Rahmen der in diesem Paper präsentierten Studie der tatsächliche Status Quo der digitalen Forensik in Unternehmen und Organisationen umfassend untersucht. Die Ergebnisse der Studie zeigen, dass aktuell noch ein erheblicher Aufholbedarf besteht. Weiter hat die Studie gezeigt, dass auch die Wissenschaft gefordert ist, entsprechende Methoden bereitzustellen.
- KonferenzbeitragVerbesserung der Netzsicherheit in virtualisierten Umgebungen mit Hilfe von OpenFlow(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brinner, Andreas; Rietz, ReneViele der klassischen Techniken, mit denen die Netzsicherheit in physikalischen Systemen erhöht werden, lassen sich nicht oder nur mit großem Aufwand in virtualisierten Umgebungen einsetzen. So ist es prinzipbedingt nicht möglich, virtuelle Systeme auf einem Hostsystem physikalisch voneinander zu trennen, um deren Kommunikation durch eine Firewall filtern zu können. Auch Angriffe auf den Layern 2 und 3, wie ARP-Spoofing und Rogue-DHCP-Server, sind in physikalischen Netzen durch entsprechende Switches gut beherrschbar. In virtualisierten Umgebungen sind diese allerdings nicht einsetzbar. In diesem Beitrag stellen wir einen Ansatz vor, mit Hilfe von OpenFlow und eines speziellen OpenFlow-Controllers die Netzsicherheit in virtuellen Systemen zu erhöhen. Ohne Veränderungen an den Gastsystemen lassen sich ARP- und DHCP- Attacken effektiv verhindern. Zum Schutz von Systemdiensten können die Datenverbindungen für die beteiligten Systeme transparent durch Firewalls, Application-Level- Gateways oder Intrusion-Detection-Systeme geroutet werden. Mit Hilfe einer Client- Authentifizierung lassen sich die definierten Sicherheitsregeln auch nach der Migration von virtuellen Instanzen weiter einhalten.
- KonferenzbeitragPhishing still works: Erfahrungen und Lehren aus der Durchführung von Phishing-Experimenten(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Hintz, Nadina; Engelberth, Markus; Benenson, Zinaida; Freiling, FelixWir beschreiben die Durchführung und die Ergebnisse zweier Experimente, bei denen der Einfluss verschiedener Gestaltungsparameter von E-Mails und Webseiten auf den Erfolg von Phishing-Angriffen untersucht wurde. Wir berichten außerdem über unsere Erfahrungen, welche technischen, ethischen und rechtlichen Aspekte beim Design und der Durchführung solcher Experimente beachtet werden müssen.
- Editiertes BuchSicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014)
- KonferenzbeitragPrivacy-preserving verification of clinical research(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Makri, Eleftheria; Everts, Maarten H.; Hoogh, Sebastiaan De; Peter, Andreas; Akker, Harm Op Den; Hartel, Pieter; Jonker, WillemWe treat the problem of privacy-preserving statistics verification in clinical research. We show that given aggregated results from statistical calculations, we can verify their correctness efficiently, without revealing any of the private inputs used for the calculation. Our construction is based on the primitive of Secure Multi-Party Computation from Shamir's Secret Sharing. Basically, our setting involves three parties: a hospital, which owns the private inputs, a clinical researcher, who lawfully processes the sensitive data to produce an aggregated statistical result, and a third party (usually several verifiers) assigned to verify this result for reliability and transparency reasons. Our solution guarantees that these verifiers only learn about the aggregated results (and what can be inferred from those about the underlying private data) and nothing more. By taking advantage of the particular scenario at hand (where certain intermediate results, e.g., the mean over the dataset, are available in the clear) and utilizing secret sharing primitives, our approach turns out to be practically efficient, which we underpin by performing several experiments on real patient data. Our results show that the privacy-preserving verification of the most commonly used statistical operations in clinical research presents itself as an important use case, where the concept of secure multi-party computation becomes employable in practice.
- KonferenzbeitragDOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Stock, Ben; Lekies, Sebastian; Johns, MartinCross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.
- KonferenzbeitragStructural composition attacks on anonymized data(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Nilges, Tobias; Müller-Quade, Jörn; Huber, MatthiasAnonymized releases of databases are increasingly available in public. The composition of two releases does not necessarily fulfil any anonymity notion, even if the individual releases do fulfil that anonymity notion on their own. In this paper, we study composition scenarios and provide formalizations. We introduce a formal framework to study the composition of databases on a structural level and show the equivalence of the composition scenarios used in the literature. We show that known attacks on anonymity notions can be reduced to two simple properties and only need limited side information.
- KonferenzbeitragAn efficient approach to tolerate attackers in fault-tolerant systems(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Formann, JohannesMalicious attackers can cause severe damage (financially or to the environment) if they gain control of safety-relevant systems. This paper shows why the traditional disjoint treatment of security and fault tolerance has weaknesses if the attacker gains access to the fault tolerant system and how an integrated approach that utilize existing fault tolerance techniques could be an effective security mechanism. An efficient integrated safety and security approach is presented for fault tolerant systems, which achieves protection against attacks via the network by forming a logically isolated (sub-) network which is resilient against a bug in the codebase. Isolation is obtained by diverse design of a general reusable (software and/or hardware) component that prevents any unauthorized message transfer towards the secured application program. Messages from other compromised nodes are tolerated utilizing existing majority voting mechanism.