Zentrum für sichere Informationstechnologie – Austria

Traffic-Analyse mobiler Anwendungen

Kategorie: IT-Sicherheit

Unterstützend wurde bei der Inspektion mobiler Anwendungen auch bisher bereits untersucht, welche Daten von Applikationen ins Internet gesendet und von dort empfangen werden. Wurden hierbei Daten im Klartext übertragen, konnten daraus intuitive Rückschlüsse über ihre Verwendung im Kontext einer Mobilanwendung gezogen werden. Durch die zunehmende Verschlüsselung (HTTPS/TLS) von Netzwerkverkehr wird die Aussagekraft von aufgezeichneten Datenpaketen jedoch beschränkt und erlaubt naturgemäß wenig Rückschlüsse über die übertragenen Daten.
Weiter lesen…

24

Mai

2017

Analyse von Browser-Erweiterungen

Kategorie: IT-Sicherheit, Web Technologien

Mit Hilfe von Browser-Erweiterungen lässt sich die Funktionalität von modernen Webbrowsern nahezu beliebig erweitern. Durch die Möglichkeit, einfachen Zugriff auf sensible Daten wie Cookies zu erhalten, werden Browser-Erweiterungen allerdings häufig für bösartige Zwecke genutzt. Aber auch gutartige aber fehlerhafte Erweiterungen können durch Fehler in der Implementierung für gezielte Angriffe genutzt werden. Die Sicherheitsmechanismen von modernen Browsern liefern meist nur bedingten Schutz vor derartigen Angriffen. Die vorliegende Studie beschäftigt sich deshalb mit Gefahren, die von solchen Erweiterungen ausgehen können.

Weiter lesen…

5

Mai

2017

Erhebung State-of-the-Art direkter Kommunikations-dienste

Kategorie: Cloud Computing, IT-Sicherheit, Web Technologien

Direkter Datenaustausch und direkte Kommunikationsdienste gewinnen durch nahezu immer verfügbare, große Bandbreiten zunehmend an Bedeutung. Gleichwohl führen einige Eigenschaften der dem Internet zu Grunde liegenden Infrastruktur diesbezüglich zu signifikanten Einschränkungen. Hierbei handelt es sich um „Altlasten“, welche noch auf absehbare Zeit die Art und Weise, wie direkte Verbindungen zwischen Endgeräten hergestellt werden, beeinflussen werden.
Weiter lesen…

24

April

2017

Automatisierte Reasoning über Sicherheitsrichtlinien

Kategorie: eGovernment, IT-Sicherheit

Angewandte Ansätze des Autorisierungsmanagements konzentrieren sich oft auf ein einzelnes System oder eine konkrete Umgebung. Aus dieser Perspektive wird oft die Sicherheit von Datenaustauschprozessen vernachlässigt, die sich über verschiedenen Abteilungen und Organisationen erstrecken.
Im Zuge dieser Arbeit wird das Autorisierungsmanagement von konkreten Organisationen, sowie von ihren Geschäfts- oder Ressourcenmodellen und zugehörigen Implementierungen getrennt. Dazu wird ein Framework vorgestellt, das ein einheitliches und flexibles Dienst- und Sicherheitsrichtlinienmodel sowie unterstützende Tools zur Verfügung stellt.
Das Ziel dieses Projekts ist die Evaluierung von potentieller Anwendung von ontologischem bzw. semantischem Reasoning für  dienstübergreifende Autorisierungsmanagement.

Weiter lesen…

15

März

2017

Sicherheitsaspekte Web APIs

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit, Web Technologien

Web-APIs sind wesentlicher Baustein des heutigen Webs, sie erlauben effiziente und technologisch neutrale Daten- und Prozessintegration zwischen Akteuren und Plattformen. Als Innovationstreiber spielen Web APIs weiter eine wichtige Rolle, da diese Technologie die Verwirklichung neuer Geschäftsmodelle und Produkte methodisch unterstützt. Diverse Modelle und Implementationen haben die Erzeugung sowie die Etablierung von standardisierten Frameworks für API-Spezifikation motiviert. Weiter lesen…

Browser-Addon zur Zertifikatsprüfung mit EU Trust Lists

Kategorie: Elektronische Signatur, IT-Sicherheit

Zu Demonstrationszwecken wurde von A-SIT ein Addon für Mozilla Firefox realisiert, das den Vertrauensstatus von Webseiten-Zertifikaten auf Basis der EU Trust List (TL) überprüft und auswertet. Die Erweiterung ergänzt die Adressleiste des Browsers um ein Symbol, das die Vertrauenswürdigkeit von Zertifikaten auf HTTPS-geschützten Webseiten gemäß der eIDAS-Verordnung via TL anzeigt. Weiter lesen…

Dezentralisierung zentralisierter Dienste

Kategorie: Cloud Computing, IT-Sicherheit

Auf Grund der zunehmenden Verbreitung mobiler Geräte hat sich das Nutzerverhalten in den letzten Jahren stark verändert. Typischerweise haben Benutzerinnen und Benutzer mehrere Geräte, auf denen unterschiedliche Dienste genutzt werden, deren Daten möglichst überall verfügbar sein sollen. Dieses Verlangen wird von Serviceanbietern auch befriedigt, auf technischer Ebene allerdings meist durch den Einsatz klassischer Client-Server-Architekturen. Nach wie vor spielen zentrale Instanzen in verteilten Systemen dieser Art eine wichtige Rolle. Bestehende Dienste wurden über die Jahre hinweg zwar stetig weiterentwickelt und an die Nutzergewohnheiten angepasst, ihre grundlegende Struktur bliebt jedoch weitgehend unverändert. Weiter lesen…

Statische Analyse von iOS-Applikationen

Kategorie: IT-Sicherheit

Die Verhaltensanalyse mobiler Applikationen für Apple iOS ist nach wie vor eine zeitlich und investigativ sehr herausfordernde Prozedur. Schlussendlich steht zumeist nicht klar fest, welche Maßnahmen eine Applikation vorsieht, um sensible Daten zu schützen. Gleichermaßen schwer ist es festzustellen, ob Apps gegen etablierte Sicherheitsprinzipien, etwa bei Verwendung kryptographischer Funktionen, verstoßen und so Angriffe auf kritische Daten begünstigen.
Weiter lesen…

CA-lose Authentifizierung von Clouddiensten

Kategorie: Cloud Computing, IT-Sicherheit

Durch den Vormarsch moderner Webtechnologien wie WebRTC ist es immer einfacher möglich, vor allem kurzlebige Dienste von Endgeräten aus anzubieten. Genau wie im Fall statischer, bzw. stationärer Dienste stellt sich auch hier die Frage nach der Authentifizierung angebotener Dienste. Im Rahmen dieses Projekts wurden unterschiedliche Verfahren evaluiert, die potentiell dafür geeignet sind, Entitäten und Services ohne den Einsatz von Zertifizierungsdiensten zu authentifizieren.

Weiter lesen…