Zentrum für sichere Informationstechnologie – Austria

Browser-Addon zur Zertifikatsprüfung mit EU Trust Lists

Kategorie: Elektronische Signatur, IT-Sicherheit

Zu Demonstrationszwecken wurde von A-SIT ein Addon für Mozilla Firefox realisiert, das den Vertrauensstatus von Webseiten-Zertifikaten auf Basis der EU Trust List (TL) überprüft und auswertet. Die Erweiterung ergänzt die Adressleiste des Browsers um ein Symbol, das die Vertrauenswürdigkeit von Zertifikaten auf HTTPS-geschützten Webseiten gemäß der eIDAS-Verordnung via TL anzeigt. Weiter lesen…

Dezentralisierung zentralisierter Dienste

Kategorie: Cloud Computing, IT-Sicherheit

Auf Grund der zunehmenden Verbreitung mobiler Geräte hat sich das Nutzerverhalten in den letzten Jahren stark verändert. Typischerweise haben Benutzerinnen und Benutzer mehrere Geräte, auf denen unterschiedliche Dienste genutzt werden, deren Daten möglichst überall verfügbar sein sollen. Dieses Verlangen wird von Serviceanbietern auch befriedigt, auf technischer Ebene allerdings meist durch den Einsatz klassischer Client-Server-Architekturen. Nach wie vor spielen zentrale Instanzen in verteilten Systemen dieser Art eine wichtige Rolle. Bestehende Dienste wurden über die Jahre hinweg zwar stetig weiterentwickelt und an die Nutzergewohnheiten angepasst, ihre grundlegende Struktur bliebt jedoch weitgehend unverändert. Weiter lesen…

Statische Analyse von iOS-Applikationen

Kategorie: IT-Sicherheit

Die Verhaltensanalyse mobiler Applikationen für Apple iOS ist nach wie vor eine zeitlich und investigativ sehr herausfordernde Prozedur. Schlussendlich steht zumeist nicht klar fest, welche Maßnahmen eine Applikation vorsieht, um sensible Daten zu schützen. Gleichermaßen schwer ist es festzustellen, ob Apps gegen etablierte Sicherheitsprinzipien, etwa bei Verwendung kryptographischer Funktionen, verstoßen und so Angriffe auf kritische Daten begünstigen.
Weiter lesen…

CA-lose Authentifizierung von Clouddiensten

Kategorie: Cloud Computing, IT-Sicherheit

Durch den Vormarsch moderner Webtechnologien wie WebRTC ist es immer einfacher möglich, vor allem kurzlebige Dienste von Endgeräten aus anzubieten. Genau wie im Fall statischer, bzw. stationärer Dienste stellt sich auch hier die Frage nach der Authentifizierung angebotener Dienste. Im Rahmen dieses Projekts wurden unterschiedliche Verfahren evaluiert, die potentiell dafür geeignet sind, Entitäten und Services ohne den Einsatz von Zertifizierungsdiensten zu authentifizieren.

Weiter lesen…

Orchestration von verteilten Cloud Anwendungen

Kategorie: Cloud Computing, IT-Sicherheit

Web-APIs spielen eine wichtige Rolle bei der Integration von Daten und Diensten. Viele Web-Dienste bieten heutzutage ein gesondertes Interface in der Form eines Web-APIs an, das den Austausch von Daten und die Verwendung von zur Verfügung gestellten Funktionalitäten ermöglicht. Jedoch ist das Management von Sicherheitsaspekten dieser Schnittstellen komplex und oft undurchsichtig. Aus der Rolle von Web-APIs, die als ein Grundstein und Treiber des modernen Internet und domänenübergreifender Transaktionen gelten, ist es notwendig, die Modellierung und folglich das Sicherheitsmanagement dieser Prozesse weiter zu entwickeln.

Weiter lesen…

Analyse von Fahrzeug Apps

Kategorie: IT-Sicherheit

Die anhaltende Popularität mobiler Kommunikationstechnologien führt dazu, dass diese seit einigen Jahren verstärkt auch im Automotive-Bereich zum Einsatz kommen. Ein Beispiel hierfür sind mobile Apps, die es Lenkerinnen und Lenkern erlauben, mit ihrem Auto zu interagieren. Die Ver- und Entriegelung des Fahrzeugs oder das Remote-Starten von Standheizungen und Klimaanlagen sind nur einige der Use Cases, die von diesen Applikationen unterstützt werden. Mehrere Vorfälle in der jüngeren Vergangenheit zeigten jedoch auf, dass die von Automobilherstellern zur Verfügung gestellten Apps mitunter Angriffen nicht standhalten und so die Sicherheit des Gesamtsystems gefährden. Damit stellen mobile Anwendungen im Automotive-Bereich ein neues potentielles Anwendungsgebiet dar, das durch den richtigen Einsatz sicherer Informations- und Kommunikationstechnologien profitieren kann.

Weiter lesen…

Kontextbezogener Datenaustausch

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit

In diesem Projekt wurde eine Token-Struktur definiert, die eine multilaterale und flexible Definition von Autorisierungsanforderungen ermöglicht. Insbesondere zielt diese Struktur, die fortgeschrittene Anforderungen im Bezug auf die Expressivität, Kontextsensitivität sowie die Anpassbarkeit von Autorisierungen zu unterstützen. Weiters haben wir die entsprechende Softwarekomponenten entwickelt, die die Gestaltung, die Analyse sowie die Integration von dieser Struktur unterstützen. Anhand eines Prototyps und einer Fallstudie demonstrieren wir die praktische Anwendung sowie die Vorteile unseres Vorschlags für das Sicherheitsmanagement von domainübergreifenden Datenaustausche.

Flexible Zweifaktor-Authentifizierung mit FIDO

Kategorie: Elektronische Signatur, IT-Sicherheit

FIDO Universal Second Factor (U2F) ist ein Industriestandard für eine generell verwendbare Zweifaktor-Authentifizierung. Unter Verwendung eines USB-Security-Tokens können sich BenutzerInnen gegenüber einer Vielzahl von Webdiensten authentifizieren. Ein wesentliches Merkmal des U2F-Konzepts besteht darin, dass das entsprechende Hardware-Element zum Zeitpunkt eines Anmeldeverfahrens physisch mit dem Computer verbunden ist, sodass der Web-Browser über eine geeignete Schnittstelle damit unmittelbar interagieren kann. Weiter lesen…

13

Juli

2016

Serverlösungen zu Cloud-based Mobile Augmentation

Kategorie: Cloud Computing, IT-Sicherheit

Trotz der Tatsache, dass mobile Endgeräte immer leistungsfähiger werden, sind sie nach wie vor in ihrer Funktionalität eingeschränkt. Eine erhöhte Leistungsfähigkeit geht einher mit erhöhtem Stromverbrauch und führt somit zu einer erheblichen Reduktion der Gerätelaufzeit. Aus diesem Grund wurden in den letzten Jahren Frameworks bekannt, die es ermöglichen, dynamisch Rechenleistung von anderen Recheneinheiten zu verwenden in den letzten Jahren bekannt. Diese verfügbaren Frameworks nutzen aber bei Weitem nicht das Potential dieser Technologie aus. Bestehende Lösungen sind meist nur mit einer (Cloud-basierten) Recheneinheit fix verbunden und verwenden diese bei Bedarf.
Weiter lesen…