Zentrum für sichere Informationstechnologie – Austria

Fingerprinting von Code mobiler Anwendungen

Kategorie: IT-Sicherheit

Bei der Analyse von Applikationen für mobile Plattformen (Android, iOS) hat sich gezeigt, dass sicherheitsrelevante Probleme oft nicht im Applikationscode selbst zu verorten sind, sondern durch Komponenten von Drittherstellern eingebracht werden. Oftmals werden diese problematischen Codeteile frei zur Verfügung gestellt und finden sich somit in vielen Applikationen wieder. Wird der Programmcode vom Hersteller zudem verschleiert („obfuscated“), erschwert dieser Umstand die Auffindung prekärer Codeteile obendrein.
Weiter lesen…

Device Enrolment mit flexibler Authentifizierung

Kategorie: IT-Sicherheit

Im Corporate-Bereich sind Managed-Devices bereits etabliert. Kleinunternehmer und Endbenutzer profitieren jedoch wenig von derart komplexen Systemen und Infrastrukturen dieser Größenordnung. Des Weiteren sind Managed-Device-Lösungen meist an externe Infrastrukturen gekoppelt.
Im Rahmen dieses Projekts wurden Konzepte zu flexibler Authentifizierung von Geräten erarbeitet. Dabei liegt der Fokus auf der erstmaligen Geräteauthentifizierung bzw. dem Enrolmentverfahren sowie einfacher Widerrufbarkeit von Berechtigungen. Die initiale Authentifizierung muss flexibel genug gestaltet sein, um auch die unterschiedlichen Eigenschaften von Endnutzergeräten miteinzubeziehen und on-demand entsprechende Device-Policies zu erstellen. Die eigentliche Kommunikation und der Kommunikationsaufbau zwischen Gerät und Dienst soll hingegen möglichst unkompliziert und konzeptionell einfach gehalten werden. Auf Grund der Leistungsfähigkeit aktueller Endgeräte, sowie deren umfangreichen Featuresets und der breiten Unterstützung von Technologien wie TLS ist der notwendige Unterbau für eine praktische Umsetzung der beschriebenen Konzepte vorhanden. Die praktische Umsetzbarkeit kann an Hand des zur Verfügung gestellten Demonstrators nachvollzogen werden.

Weiter lesen…

Verwendung von Policy-Enforcement Systemen zur Kontrolle von mobilen verteilten Systemen

Kategorie: Cloud Computing, IT-Sicherheit

XACML als der de-facto Standard für Data Security Policies ermöglicht es, die Auswertung von Zugriffsberechtigungen zu zentralisieren und Regeln dafür an zentraler Stelle zu verwalten. In diesem Projekt wird XACML dahingehend erweitert, die Ausführung von verteilten mobilen Applikationen von zentraler Stelle aus kontrollieren zu können. Ohne Optimierungen würden Applikationen durch die Performanceeinbußen unbrauchbar werden. Besonders interessant macht dieses Verfahren außerdem, dass mobile Geräte nicht zwingend eine dauerhafte Verbindung zur Policy Infrastruktur benötigen.

Weiter lesen…

Spurenverwischung im Internet

Kategorie: IT-Sicherheit, Web Technologien

Bei nahezu allen Internet-Aktivitäten werden Spuren hinterlassen, welche entsprechend zusammengeführt und ausgewertet, Rückschlüsse zulassen, die einzelne Personen mit hinreichender Sicherheit identifizieren können. Einer der Hauptgründe dafür ist, dass der technische Unterbau des Internets aus einer Zeit stammt, in der Privatsphäre und Datenschutz auf dieser Ebene irrelevant waren. Da es sich bei den involvierten Komponenten jedoch vielfach um kritische Infrastrukturen handelt, können diese nicht ersetzt werden. Somit müssen aktiv zusätzliche Maßnahmen ergriffen werden, um die eigene Identität im Internet geheim zu halten und möglichst wenig Spuren zu hinterlassen. Doch vor allem werden auch auf Applikationsebene unzählige Spuren hinterlassen, welche unzweifelhaft einzelnen Personen zugeordnet werden können.

Weiter lesen…

25

Juli

2017

Blockchain & Smart Contracts

Kategorie: IT-Sicherheit

Die Blockchain wurde von einer Person oder einer Gruppe von Personen unter dem Pseudonym Satoshi Nakamoto als Teil der Kryptowährung Bitcoin entwickelt. Im Allgemeinen stellt die Blockchain eine verteilte Datenbank dar, die aus verketteten Blöcken besteht. Der Projektbericht beschreibt die grundlegenden Blockchain-Typen sowie Konsensus-Protokolle mit Fokus auf die Ethereum Plattform. Die Ethereum Plattform wurde ausgewählt, da es sich hierbei um eine Erfolg versprechende Plattform zur Ausführung von Smart Contracts handelt. Bei Smart Contracts handelt es sich um autonome Agenten, welche innerhalb des Blockchainnetzwerkes ausgeführt werden. Dadurch lassen sich ausfallsichere, zensurresistente, verteilte Applikationen entwickeln. Aufbauend auf dem erworbenen Wissen wurde ein blockchain-basierter Messenger umgesetzt.
Weiter lesen…

Traffic-Analyse mobiler Anwendungen

Kategorie: IT-Sicherheit

Unterstützend wurde bei der Inspektion mobiler Anwendungen auch bisher bereits untersucht, welche Daten von Applikationen ins Internet gesendet und von dort empfangen werden. Wurden hierbei Daten im Klartext übertragen, konnten daraus intuitive Rückschlüsse über ihre Verwendung im Kontext einer Mobilanwendung gezogen werden. Durch die zunehmende Verschlüsselung (HTTPS/TLS) von Netzwerkverkehr wird die Aussagekraft von aufgezeichneten Datenpaketen jedoch beschränkt und erlaubt naturgemäß wenig Rückschlüsse über die übertragenen Daten.
Weiter lesen…

24

Mai

2017

Analyse von Browser-Erweiterungen

Kategorie: IT-Sicherheit, Web Technologien

Mit Hilfe von Browser-Erweiterungen lässt sich die Funktionalität von modernen Webbrowsern nahezu beliebig erweitern. Durch die Möglichkeit, einfachen Zugriff auf sensible Daten wie Cookies zu erhalten, werden Browser-Erweiterungen allerdings häufig für bösartige Zwecke genutzt. Aber auch gutartige aber fehlerhafte Erweiterungen können durch Fehler in der Implementierung für gezielte Angriffe genutzt werden. Die Sicherheitsmechanismen von modernen Browsern liefern meist nur bedingten Schutz vor derartigen Angriffen. Die vorliegende Studie beschäftigt sich deshalb mit Gefahren, die von solchen Erweiterungen ausgehen können.

Weiter lesen…

5

Mai

2017

Erhebung State-of-the-Art direkter Kommunikations-dienste

Kategorie: Cloud Computing, IT-Sicherheit, Web Technologien

Direkter Datenaustausch und direkte Kommunikationsdienste gewinnen durch nahezu immer verfügbare, große Bandbreiten zunehmend an Bedeutung. Gleichwohl führen einige Eigenschaften der dem Internet zu Grunde liegenden Infrastruktur diesbezüglich zu signifikanten Einschränkungen. Hierbei handelt es sich um „Altlasten“, welche noch auf absehbare Zeit die Art und Weise, wie direkte Verbindungen zwischen Endgeräten hergestellt werden, beeinflussen werden.
Weiter lesen…

24

April

2017

Automatisierte Reasoning über Sicherheitsrichtlinien

Kategorie: eGovernment, IT-Sicherheit

Angewandte Ansätze des Autorisierungsmanagements konzentrieren sich oft auf ein einzelnes System oder eine konkrete Umgebung. Aus dieser Perspektive wird oft die Sicherheit von Datenaustauschprozessen vernachlässigt, die sich über verschiedenen Abteilungen und Organisationen erstrecken.
Im Zuge dieser Arbeit wird das Autorisierungsmanagement von konkreten Organisationen, sowie von ihren Geschäfts- oder Ressourcenmodellen und zugehörigen Implementierungen getrennt. Dazu wird ein Framework vorgestellt, das ein einheitliches und flexibles Dienst- und Sicherheitsrichtlinienmodel sowie unterstützende Tools zur Verfügung stellt.
Das Ziel dieses Projekts ist die Evaluierung von potentieller Anwendung von ontologischem bzw. semantischem Reasoning für  dienstübergreifende Autorisierungsmanagement.

Weiter lesen…

15

März

2017

Sicherheitsaspekte Web APIs

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit, Web Technologien

Web-APIs sind wesentlicher Baustein des heutigen Webs, sie erlauben effiziente und technologisch neutrale Daten- und Prozessintegration zwischen Akteuren und Plattformen. Als Innovationstreiber spielen Web APIs weiter eine wichtige Rolle, da diese Technologie die Verwirklichung neuer Geschäftsmodelle und Produkte methodisch unterstützt. Diverse Modelle und Implementationen haben die Erzeugung sowie die Etablierung von standardisierten Frameworks für API-Spezifikation motiviert. Weiter lesen…