CAST-Workshop

CAST/GI Promotionspreis IT-Sicherheit 2015/2016

Termin: 05.04.2016
Dauer: 16:00-20:00
Ort: Universitätsclub Bonn e.V.
Konviktstr.9
53113 Bonn

Programm

16:00
Begrüßung und Moderation
Andreas Heinemann
CAST e.V.
Andreas Heinemann
Hannes Federrath
GI e.V.
16:10
Lucas Davi
Lucas Davi
Code-Reuse Attacks and Defenses

Code-Reuse Angriffe wie Return-Oriented Programming sind eine moderne, mächtige Klasse von Laufzeitangriffen (Exploits), die es einem Angreifer erlauben den Programmfluss von Software zu manipulieren. Durch die bösartige Kombination von vorhandenem Programmcode, kompromittieren diese Angriffe Computersysteme ohne Schadcode auf dem Opfersystem einzuschleusen. Da existierende Systeme keinen generischen Schutz gegen diese Angriffe bieten, werden Code-Reuse Techniken in zahlreichen Browser Exploits, Smartphone Angriffen wie Stagefright und Cyberattacken wie Stuxnet genutzt. Die Dissertation erforscht Code-Reuse Angriffe auf unterschiedlichen Prozessorarchitekturen und präsentiert innovative, generische und praktische Abwehrmethoden. Insbesondere zeigt sie neuartige Angriffstechniken, die Schutzmechanismen wie Microsoft EMET (Enhanced Mitigation Experience Toolkit) umgehen, den ersten Code-Reuse Schutz für mobile Geräte, eine neue Klasse von dynamischen Code-Reuse Angriffen und eine Chip-basierte Sicherheitstechnologie für zukünftige eingebettete Systeme der Firma Intel.

16:40 Diskussion zum Vortrag von Lucas Davi
16:50
Juliane Krämer
Juliane Krämer
Why Cryptography Should Not Rely on Physical Attack Complexity

Kryptografische Anwendungen müssen nicht nur mathematisch sicher sein, sondern auch vor physikalischen Angriffen geschützt werden. Da sich die Einschätzung physikalischer Angriffskomplexität als falsch erweisen kann, müssen sämtliche physikalische Angriffe bei der Entwicklung von Gegenmaßnahmen berücksichtigt werden – auch solche, die nur theoretisch bekannt sind, aber noch nicht praktisch realisiert wurden. Dass dies notwendig ist, aber bisher nicht umgesetzt wird, demonstriert Dr. Juliane Krämer, indem sie in ihrer Arbeit einen Seitenkanal- und einen Fehlerangriff, die beide aufgrund ihrer vermeintlichen Komplexität viele Jahre nicht berücksichtigt wurden, genau erforscht und ihre praktische Umsetzung sowie Gegenmaßnahmen beschreibt.

17:20 Diskussion zum Vortrag von Juliane Krämer
17:30 Kaffeepause
18:00
Benjamin Stock
Benjamin Stock
Untangling the Web of Client-Side Cross-Site Scripting

Die Arbeit analysiert im Detail das Problemfeld Client-Side Cross-Site Scripting. Mithilfe eines instrumentieren Browsers zeigt sie, dass eine von zehn der 5000 wichtigsten Webseiten eine solche Schwachstelle enthält. Aufgrund dieser hohen Verbreitung untersucht die Arbeit die Gründe für diese Arten von Verwundbarkeiten und zeigt, dass die Gründe zu vielfältig sind, um sie einfach in den Griff zu kriegen. Daher wird zum Abschluss ein neuartiger Schutz vorgestellt und in einem echten Browser implementiert und evaluiert. Auf diese Weise kann das Ausnutzen von Client-Side XSS Verwundbarkeiten effizient unterbunden werden.

18:30 Diskussion zum Vortrag von Benjamin Stock
18:40
Fabian Yamaguchi
Fabian Yamaguchi
Pattern-Based Vulnerability Discovery

Die Entdeckung und Eliminierung von Schwachstellen im Programmcode ist eine Grundvoraussetzung für den sicheren Betrieb von IT-Systemen. Bis dato werden derartige Fehler größtenteils in langwierigen manuellen Untersuchungen des Codes durch erfahrene Analysten identifiziert, ein Vorgehen, das aufgrund der wachsenden Größe moderner Softwareprojekte zunehmend an seine Grenzen stößt. Um diesem Problem zu begegnen, stellt die Dissertation die musterbasierte Schwachstellenidentifizierung vor, ein neuartiger Ansatz, der Verfahren der statischen Analyse, des maschinellen Lernens und des Graph Minings kombiniert, um den Analysten in der täglichen Arbeit zu unterstützen, ohne dabei auf die Stärken manueller Analyse zu verzichten. Dabei zeigt sich empirisch, dass der Ansatz nicht nur zu einer drastischen Reduktion der zu untersuchenden Codemenge führt, sondern es auch erlaubt unter realen Bedingungen kritische, bisher unbekannte Schwachstellen in ausgereiften Projekten wie dem Linux Kernel und dem Medien Player VLC aufzudecken

19:10 Diskussion zum Vortrag von Fabian Yamaguchi
19:20 Vergleichende Diskussion
19:50 Abstimmung des Publikums

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Andreas Heinemann
CAST e.V.
Tel.: +49 (0) 6151/168 482
Fax: +49 (0) 6151/869 224
E-Mail:

Hannes Federrath
GI e.V.
Tel.: +49 (0) 40 42883 2358
Fax: +49 (0) 40 42883 2086
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail: