CAST-Workshop

CAST-Förderpreis IT-Sicherheit

Termin: 24.11.2016
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstraße 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Andreas Heinemann
CAST e.V.
Andreas Heinemann
10:10
Klaus von Niessen
Fraunhofer SIT
Webserver mit sicher konfigurierter Transport-Layer-Security

Das Abschlussprojekt im Winter 2015/16 befasste sich damit, eine möglichst sichere und praktikable Beispielkonfiguration für einen Webserver mit Verwendung von Transport-Layer-Security (TLS) zu erstellen. Dabei wurden verschiedene Angriffspunkte / Schwachstellen betrachtet und geeignete Gegenmaßnahmen ausgewählt, um ein hohes Sicherheitsniveau zu erreichen. Gleichzeitig zeigt die Projektarbeit auch auf, wie man das Sicherheitsniveau überprüfen kann.

10:40
Maximilian Zahn
TU Darmstadt
Maximilian Zahn
Implementierung eines Systems zur Analyse der Gefährdungssituation im Netz des Fachgebietes

Tagtäglich stehen IT-Systeme unter dem Risiko eines erfolgreichen Angriffs, welcher mitunter die Existenz eines Unternehmens gefährden kann. Um laufende Angriffe analysieren zu können und auf Basis dieser Analyse eine passende Sicherheitsinfrastruktur aufsetzen zu können, benötigt es Systeme, die zu einer erfolgreichen IT-Sicherheitsstrategie beitragen. Deshalb wurde im Laufe dieses Projektes ein Honeypot-System mit dem Ansatz der Implementierung unter einer Container-Technik - in Verbindung mit dem Raspberry Pi - aufgesetzt, dessen Auswertung in den Entwurf und die Realisierung einer zur Gefährdungslage passenden Sicherheitsinfrastruktur einfließen kann.

11:10 Kaffeepause (20Min)
11:30
Endres Puschner
Ruhr-Universität Bochum
Endres Puschner
Practical Man-In-The-Middle Attacks on Passive Car Entry Systems

Die Bachelorarbeit, welche in Kooperation zwischen dem Bochumer Industrieunternehmen Kasper & Oswald GmbH und dem Lehrstuhl für Eingebettete Sicherheit entstanden ist, handelt von verschiedenen praktischen Schwachstellen und Angriffsszenarios auf sogenannte Passive Car Entry Systeme.

Diese Systeme werden mittlerweile bei allen größeren Automobilherstellern in Fahrzeugen eingesetzt, um den Komfort des Schließsystems für den Fahrer zu erhöhen.

Das birgt jedoch vor allem die realistische Gefahr vor unerwünschten Zugriffen durch Relay Attacken, bei denen das Signal zwischen Auto und Schlüssel über größere Strecken weitergeleitet werden kann, weshalb in dieser Arbeit ein Demonstrator entwickelt und realisiert wurde, der unter anderem aufzeigt, wie einfach und preiswert solche Attacken machbar sind.

12:00
Peter Schwemmer
Universität der Bundeswehr München / University of Cambridge
Peter Schwemmer
Static analysis for Temporally Enhanced Security Logic Assertions
  • Gestalten eines effizienten Softwareentwicklungs-Workflows zur Durchführung aussagekräftiger Softwareverifikationen
  • Security by Design mit Implementierung und Verifikation
  • Embedded Software und zwar sicher
12:30 Mittagspause (60Min)
13:30
Tigist Abera
Universität Bonn
Tigist Abera
Control-Flow Attestation for Embedded Systems Software

Memory corruption attacks are prevalent on diverse computing platforms including embedded systems and can lead to significant damages on safety critical systems. There is not yet a mechanism that allows precise verification of an application's control flow to detect run-time attacks. This thesis tackles the problem by means of control-flow attestation allowing a verifier to detect control flow deviations launched via code injection, code reuse or non-control data attacks.

14:00
Jacqueline Brendel
TU Darmstadt
Jacqueline Brendel
Efficient Proactive Secret Sharing

Die vertrauliche Speicherung langzeit-sensitiver Daten wird immer bedeutsamer durch die stetig fortschreitende Digitalisierung von wichtigen Dokumenten wie z.B. Krankenakten.

Die einzigen bislang bekannten Verfahren hierfür basieren auf Proactive Secret Sharing (PSS), welche jedoch in der Praxis kaum von Bedeutung sind, da sie noch eher theoretischer Natur und ineffizient sind.

In dieser Arbeit wurde ein neues PSS Verfahren mit dem Namen EPSS entwickelt, welches die Langzeitsspeicherung von vertraulichen Daten einen Schritt näher an die praktische Implementierung bringt, ohne jedoch die benötigten hohen Sicherheitsanforderungen zu verletzen.

14:30
Tommaso Frassetto
Università degli Studi di Padova
Tommaso Frassetto
Self-Rando: Practical Load-Time Randomization against Code-Reuse Attacks

For decades, attackers exploited software vulnerabilities to take control over targeted IT systems. Existing defenses are either too restrictive/slow for real-world deployment or are insecure. This thesis introduces a new defense, called Self-Rando, that provides the right balance between practicability and security: in fact, the results of this thesis are used by the Tor Project to harden Tor Browser that is used by millions of users, amongst others journalists, dissidents, and citizens, to protect their online privacy.

15:00 Kaffeepause (20Min)
15:20
Lars Richter
FAU Erlangen-Nürnberg
Lars Richter
Isolation of Operating System Components with Intel SGX

TresorSGX ist ein erster Proof of Concept zur Isolation und dem Schutz von Betriebssystemkomponenten des Linux Kernels. Es kapselt die Funktionalität eines CryptoAPI Moduls in eine geschützte Intel Software Guard Extension (SGX) Enclave. Dabei ist das Schlüsselmaterial geschützt vor Zugriff nicht-privilegierter Komponenten und sogar des Kernels selbst.

15:50
Ulrich Scherhag
Hochschule Darmstadt
Ulrich Scherhag
Presentation Attack Detection for State-of-the-Art Speaker Recognition Systems

Trotz aller Vorteile biometrischer Systeme, ist ihre Verwundbarkeit durch Angriffe ein bestehender Schwachpunkt. Die Sprechererkennung ist davon besonders betroffen, da hier aufgrund der fortgeschrittenen Forschung im Bereich der Sprachsynthese bereits effektive Angriffsmöglichkeiten existieren. In dieser Arbeit wird eine neue Methode auf Basis der Frequenzanalyse vorgestellt, mit welcher sich Unit-Selection Angriffe effizient detektieren lassen.

16:20
Oliver Wiese
Freie Universität Berlin
Oliver Wiese
Modern Shoulder Surfers: Design Principles and Analysis Methods for Human Computer Authentication Schemes

In seiner Masterarbeit entwickelte Oliver Wiese eine neue Methode zur Untersuchung von Authentifizierungsverfahren und kombiniert dabei eine empirische Untersuchung, welche aus der nutzerzentrierter Sicherheit angelehnt ist, mit einer algorithmischen Analyse, welche an eine kryptographische Analysen angelehnt ist. Die neue Methode ermöglicht eine vergleichbare, nachvollziehbare und flexible Sicherheitsanalyse. Zur Demonstration der Umsetzbarkeit wurde das Authentifizierungsverfahren SwiPIN, welches auf der CHI 2015 vorgestellt wurde, analysiert und es wurde gezeigt, dass dieses bereits nach wenigen Beobachtungen gebrochen werden kann.  

16:50
Stimmabgabe und Auszählung
17:15
Preisverleihung
(ca. bis 18.00 Uhr)
18:00 Get together (Ende ca. 20 Uhr)

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Andreas Heinemann
CAST e.V.
Tel.: +49 (0) 6151/168 482
Fax: +49 (0) 6151/869 224
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Cluster Management Excellence>

Wichtige Links