P228 - Sicherheit 2014 - Sicherheit, Schutz und Zuverlässigkeit
Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragVerbesserung der Netzsicherheit in virtualisierten Umgebungen mit Hilfe von OpenFlow(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brinner, Andreas; Rietz, ReneViele der klassischen Techniken, mit denen die Netzsicherheit in physikalischen Systemen erhöht werden, lassen sich nicht oder nur mit großem Aufwand in virtualisierten Umgebungen einsetzen. So ist es prinzipbedingt nicht möglich, virtuelle Systeme auf einem Hostsystem physikalisch voneinander zu trennen, um deren Kommunikation durch eine Firewall filtern zu können. Auch Angriffe auf den Layern 2 und 3, wie ARP-Spoofing und Rogue-DHCP-Server, sind in physikalischen Netzen durch entsprechende Switches gut beherrschbar. In virtualisierten Umgebungen sind diese allerdings nicht einsetzbar. In diesem Beitrag stellen wir einen Ansatz vor, mit Hilfe von OpenFlow und eines speziellen OpenFlow-Controllers die Netzsicherheit in virtuellen Systemen zu erhöhen. Ohne Veränderungen an den Gastsystemen lassen sich ARP- und DHCP- Attacken effektiv verhindern. Zum Schutz von Systemdiensten können die Datenverbindungen für die beteiligten Systeme transparent durch Firewalls, Application-Level- Gateways oder Intrusion-Detection-Systeme geroutet werden. Mit Hilfe einer Client- Authentifizierung lassen sich die definierten Sicherheitsregeln auch nach der Migration von virtuellen Instanzen weiter einhalten.
- KonferenzbeitragEinsatz von digitaler Forensik in Unternehmen und Organisationen(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Meier, Stefan; Pernul, GüntherZielgerichtete und hoch spezialisierte Angriffe auf die IT-Systeme erschweren es zunehmend die Systeme abzusichern und für alle Angriffsszenarien entsprechende Maßnahmen im Vorfeld zu etablieren. Aus diesem Grund ist es nötig die Täterverfolgung zu forcieren, anstatt nur in abwehrende IT-Sicherheitsmaßnahmen zu investieren. Zur Verfolgung von Tätern eignen sich besonders Methoden aus dem Bereich der digitalen Forensik. Mithilfe der durch digitale forensische Untersuchungen gewonnenen hiebund stichfesten digitalen Beweise ist es nicht nur möglich einen IT- Sicherheitsvorfall umfassend aufzuklären, sondern auch die Täterverfolgung einzuleiten. Die gesammelten digitalen Spuren können dann letzten Endes auch vor Gericht verwendet werden. Inwieweit Organisationen bereits in der Lage sind solche digitalen forensischen Untersuchungen durchzuführen ist bisher in der Literatur jedoch noch nicht umfassend geklärt. Deshalb wurde im Rahmen der in diesem Paper präsentierten Studie der tatsächliche Status Quo der digitalen Forensik in Unternehmen und Organisationen umfassend untersucht. Die Ergebnisse der Studie zeigen, dass aktuell noch ein erheblicher Aufholbedarf besteht. Weiter hat die Studie gezeigt, dass auch die Wissenschaft gefordert ist, entsprechende Methoden bereitzustellen.
- KonferenzbeitragDeploying static application security testing on a large scale(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Brucker, Achim; Sodan, UweStatic Code Analysis (SCA), if used for finding vulnerabilities also called Static Application Security Testing (SAST), is an important technique for detecting software vulnerabilities already at an early stage in the software development lifecycle. As such, SCA is adopted by an increasing number of software vendors. The wide-spread introduction of SCA at a large software vendor, such as SAP, creates both technical as well as non-technical challenges. Technical challenges include high false positive and false negative rates. Examples of non-technical challenges are the insufficient security awareness among the developers and managers or the integration of SCA into a software development life-cycle that facilitates agile development. Moreover, software is not developed following a greenfield approach: SAP's security standards need to be passed to suppliers and partners in the same manner as SAP's customers begin to pass their security standards to SAP. In this paper, we briefly present how the SAP's Central Code Analysis Team introduced SCA at SAP and discuss open problems in using SCA both inside SAP as well as across the complete software production line, i. e., including suppliers and partners.
- KonferenzbeitragOn the security of Hölder-of-key single sign-on(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Mayer, Andreas; Mladenov, Vladislav; Schwenk, JörgWeb Single Sign-On (SSO) is a valuable point of attack because it provides access to multiple resources once a user has initially authenticated. Therefore, the security of Web SSO is crucial. In this context, the SAML-based Holder-of-Key (HoK) SSO Profile is a cryptographically strong authentication protocol that is used in highly critical scenarios. We show that HoK is susceptible to a previously published attack by Armando et al. [ACC+11] that combines logical flaws with cross-site scripting. To fix this vulnerability, we propose to enhance HoK and call our novel approach HoK+. We have implemented HoK+ in the popular open source framework SimpleSAMLphp.
- KonferenzbeitragDOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Stock, Ben; Lekies, Sebastian; Johns, MartinCross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.
- Editiertes BuchSicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014)
- KonferenzbeitragPrivacy-preserving verification of clinical research(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Makri, Eleftheria; Everts, Maarten H.; Hoogh, Sebastiaan De; Peter, Andreas; Akker, Harm Op Den; Hartel, Pieter; Jonker, WillemWe treat the problem of privacy-preserving statistics verification in clinical research. We show that given aggregated results from statistical calculations, we can verify their correctness efficiently, without revealing any of the private inputs used for the calculation. Our construction is based on the primitive of Secure Multi-Party Computation from Shamir's Secret Sharing. Basically, our setting involves three parties: a hospital, which owns the private inputs, a clinical researcher, who lawfully processes the sensitive data to produce an aggregated statistical result, and a third party (usually several verifiers) assigned to verify this result for reliability and transparency reasons. Our solution guarantees that these verifiers only learn about the aggregated results (and what can be inferred from those about the underlying private data) and nothing more. By taking advantage of the particular scenario at hand (where certain intermediate results, e.g., the mean over the dataset, are available in the clear) and utilizing secret sharing primitives, our approach turns out to be practically efficient, which we underpin by performing several experiments on real patient data. Our results show that the privacy-preserving verification of the most commonly used statistical operations in clinical research presents itself as an important use case, where the concept of secure multi-party computation becomes employable in practice.
- KonferenzbeitragPhishing still works: Erfahrungen und Lehren aus der Durchführung von Phishing-Experimenten(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Hintz, Nadina; Engelberth, Markus; Benenson, Zinaida; Freiling, FelixWir beschreiben die Durchführung und die Ergebnisse zweier Experimente, bei denen der Einfluss verschiedener Gestaltungsparameter von E-Mails und Webseiten auf den Erfolg von Phishing-Angriffen untersucht wurde. Wir berichten außerdem über unsere Erfahrungen, welche technischen, ethischen und rechtlichen Aspekte beim Design und der Durchführung solcher Experimente beachtet werden müssen.
- KonferenzbeitragTowards suppressing attacks on and improving resilience of building automation systems - an approach exemplified using bacnet(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Szlósarczyk, Sebastian; Wendzel, Steffen; Kaur, Jaspreet; Meier, Michael; Schubert, FrankDifferent concepts of IT security, like communication encryption, have already been applied to building automation systems (BAS). However, no research is available to mitigate malcious or incompliant network traffic in BAS. Both aspects are covered by traffic normalizers. We present the first work-in-progress research on traffic normalization for building aotomation networks exemplified using building automation control and network (BACnet) protocol.
- KonferenzbeitragMulti-LHL protocol(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Mitrengová, MarikaWe present a password-authenticated group key exchange protocol where each user has his/her own password. Advantage of such protocol is in short passwords, which can be easily memorized. On the other hand these protocols face the low password entropy. In the first part we define security model based on models of Abdalla, Fouque and Pointcheval and Bellare, Pointcheval, Rogaway. We construct the MLHL (Multi-LHL) protocol, which is based on the LHL protocol proposed by Lee, Hwang and Lee. However, the LHL protocol is flawed as pointed by Abdalla, Bresson, Chevassut and Choo, Raymond. We prove that our protocol is secure authenticated key exchange protocol with forward secrecy property and that the protocol is resistant against attacks on the LHL protocol.