Zentrum für sichere Informationstechnologie – Austria

Zertifikats-Status

Kategorie: Elektronische Signatur

Das Zertifikatsstatustool ermöglicht das einfache Abfragen und Anzeigen von Status- bzw. Widerrufsinformationen von Zertifikaten basierend auf manuell konfigurierbaren Trust-Anchor und der EU Trusted Lists of Certification Service Providers (TSL). Zusätzlich sind LDAP Verzeichnisabfragen nach Personen und Seriennummern von Zertifikaten möglich. Die verwendeten LDAP-Verzeichnisdienste sind konfigurierbar, wobei eine Reihe vorkonfigurierter Dienste bereits mitgeliefert wird (insbesondere jene, die bei österreichischen Bürgerkarten eingesetzt werden). Die Liste der konfigurierten Dienste kann zentral über eine Online-Updatefunktion gewartet werden. Unabhängig davon, kann die Konfiguration auch lokal geändert und erweitert werden. Weiters können Widerrufslisten lokal gespeichert werden. Version 3.2.0 integriert einen interaktiven TSL-Explorer

Weiter lesen…

12

Mai

2016

Sicherheitsmanagement von API-basiertem Datenaustausch

Kategorie: Cloud Computing, IT-Sicherheit

Sicherheitsanforderungen – insbesondere jene zur Vertraulichkeit – erfordern IT-Prozesse mit dem Least-Privilege-Prinzip. Das aktuell breit verwendete Autorisierungsprotokoll OAuth 2.0 entspricht diesen Anforderungen nur teilweise. Etwa entfällt wegen frei definierbarer und dienstleisterabhängiger Darstellung von Access-Scopes praktisch die Möglichkeit, die Zugriffsbeschränkungen und -Autorisierungen strukturiert, granular und interoperabel darzustellen. Dieses Problem betrifft insbesondere domänenübergreifenden Datenaustausch, da die Sicherheitsmaßnahmen in verschiedenen Organisationen nur teilweise angewandt werden können.

Die Architektur sowie die einschlägige Ergebnisse wurden im Rahmen des DISSECT Workshops bei der IEEE/IFIP NOMS Konferenz präsentiert. Der vorgeschlagene Ansatz behandelt das Sicherheitsmanagement von API Interaktionen. Die Perspektiven von Dienstanbietern, Klienten und Dateninhaber werden in betrachtet, um die kontextuelle Abhängigkeit bei Datenaustausch, sowie die Granularität und Interoperabilität bei Sicherheitsmanagementprozessen, zu ermöglichen.

30

April

2016

Ontologien im E-Government

Kategorie: eGovernment

Ontologie-basierte Konzepte finden vor allem im Kontext von Semantic-Web-Anwendungen starke Verbreitung und sind darüber hinaus im Fokus zahlreicher Forschungsaktivitäten. Deren Fähigkeit, gespeicherte und verarbeitete Daten um eine semantische Komponente zu erweitern, ermöglicht zahlreiche Einsatzmöglichkeiten und Anwendungsszenarien.
Weiter lesen…

18

April

2016

Sichere Integration in der Cloud

Kategorie: Cloud Computing, IT-Sicherheit

Neue Produkte zu Cloud-Integrationsplattformen (iPaaS) leisten einen Mehrwert durch die Integration von diversen Cloud-Diensten von Drittparteien. Somit bietet ein Dienstleister einen Cloud-Dienst an, der die verschiedenen Produkte oder Dienste von anderen Anbietern und Organisationen zusammenfasst, verwendet und orchestriert. Dieses Konzept setzt voraus, dass die Interaktionen, Datenflüsse, Austausche und Dienstverwendungen in einer komplexen, durch verschiedene Domäne fließenden Umgebung stattfinden. Jedoch breitet die daraus resultierende Komplexität die sämtliche Angriffsoberfläche aus und erhöht das Sicherheitsrisiko von gesamten Interaktionen.

Im Rahmen der Konferenz ACM SAC 2016 wurde am 7. April 2016 eine Veröffentlichung präsentiert, die das Thema von Sicherer Integration in der Cloud, und insbesondere aus den Perspektiven von Protokollen, Integrationsplattformen sowie Sicherheitsanforderungen, analysiert.

17

März

2016

Privatsphäre-Auswirkungen neuer Web-Technologien

Kategorie: IT-Sicherheit

In dieser Kurzstudie werden bestehende Web-Tracking Technologien und Methoden aufgezeigt. Basierend auf diesen Methoden werden zwei neue Web Technologien, Web Sockets und WebRTC analysiert, mit Hinblick auf Auswirkungen auf die Privatsphäre von Benutzerinnen und Benutzern. Unter Verwendung dieser neuen Web Technologien werden vier Szenarien entwickelt, die einerseits die Privatsphäre von Benutzerinnen und Benutzern gefährden und andererseits die unbemerkte Identifikation von einzelnen Benutzerinnen und Benutzern erheblich „verbessern“ können.
Weiter lesen…

Sicherheitsempfehlungen für Behörden

Kategorie: eGovernment, IT-Sicherheit

Kryptographie ist ein mächtiges Werkzeug, das – richtig eingesetzt – die Vertraulichkeit, Integrität und Authentizität elektronisch gespeicherter, verarbeiteter und übertragener Daten gewährleistet. Elektronische internetbasierte Dienste aus sicherheitskritischen Bereichen wie E-Government oder E-Banking wären ohne die Verwendung kryptographischer Methoden unmöglich. Die korrekte Verwendung kryptographischer Methoden ist daher unter anderem auch für Behörden von zentraler Bedeutung.
Weiter lesen…

SSL-Check Clients/Server

Kategorie: IT-Sicherheit

Die A-SIT SSL/TLS Toolsuite besteht aus zwei Teilen. Mit dem „Browser-Test“ ist es möglich, die SSL-Fähigkeiten von Web-Browsern überprüfen und evaluieren. Durch den „Server-Test“ können die Fähigkeiten von HTTPS-fähigen Webservern erhoben werden. Neben den spezifischen Merkmalen wird eine Klassifikation ausgegeben, aus der abzulesen ist, ob und in welcher Form sich die getestete Komponente für in sicherheitskritischen Einsatzbereichen eignet.
Weiter lesen…

Analyse aktueller Frameworks zur Entwicklung von mobilen Cross-Plattform-Applikationen

Kategorie: eGovernment

In dieser Studie wird analysiert, welche Sicherheitsmechanismen in beliebten Cross-Plattform-Frameworks zur Verfügung stehen. Betrachtet werden die beiden am häufigsten verwendeten Cross-Plattform-Frameworks, Apache Cordova und Xamarin, sowie Alpha Anywhere. Alpha Anywhere wurde ausgewählt, weil es explizit mit Sicherheitsfeatures wirbt. Die ausgesuchten Frameworks decken die beiden populären Ansätze zu Erstellung von Cross-Plattform-Applikationen ab. Apache Cordova und Alpha Anywhere erzeugen interpretierte Applikationen, während Xamarin hybride Applikationen erzeugt.

Weiter lesen…

Statische Analyse von Windows Phone Applikationen

Kategorie: IT-Sicherheit

In diesem Projekt wurden einige Windows Phone Applikationen statisch analysiert. Ziel war es, gängige Sicherheitsprobleme zu finden. Dafür wurden zuerst einige ausgewählte Applikationen manuell analysiert. Die gewonnenen Erkenntnisse wurden zur Erstellung eines automatischen Analyse-Frameworks genutzt. Mit diesem Framework wurden ~40000 Applikationen analysiert, in 8.5% der Applikationen wurden Sicherheitsprobleme gefunden.

Weiter lesen…