Zentrum für sichere Informationstechnologie – Austria

17

März

2016

Privatsphäre-Auswirkungen neuer Web-Technologien

Kategorie: IT-Sicherheit

In dieser Kurzstudie werden bestehende Web-Tracking Technologien und Methoden aufgezeigt. Basierend auf diesen Methoden werden zwei neue Web Technologien, Web Sockets und WebRTC analysiert, mit Hinblick auf Auswirkungen auf die Privatsphäre von Benutzerinnen und Benutzern. Unter Verwendung dieser neuen Web Technologien werden vier Szenarien entwickelt, die einerseits die Privatsphäre von Benutzerinnen und Benutzern gefährden und andererseits die unbemerkte Identifikation von einzelnen Benutzerinnen und Benutzern erheblich „verbessern“ können.
Weiter lesen…

Sicherheitsempfehlungen für Behörden

Kategorie: eGovernment, IT-Sicherheit

Kryptographie ist ein mächtiges Werkzeug, das – richtig eingesetzt – die Vertraulichkeit, Integrität und Authentizität elektronisch gespeicherter, verarbeiteter und übertragener Daten gewährleistet. Elektronische internetbasierte Dienste aus sicherheitskritischen Bereichen wie E-Government oder E-Banking wären ohne die Verwendung kryptographischer Methoden unmöglich. Die korrekte Verwendung kryptographischer Methoden ist daher unter anderem auch für Behörden von zentraler Bedeutung.
Weiter lesen…

SSL-Check Clients/Server

Kategorie: IT-Sicherheit

Die A-SIT SSL/TLS Toolsuite besteht aus zwei Teilen. Mit dem „Browser-Test“ ist es möglich, die SSL-Fähigkeiten von Web-Browsern überprüfen und evaluieren. Durch den „Server-Test“ können die Fähigkeiten von HTTPS-fähigen Webservern erhoben werden. Neben den spezifischen Merkmalen wird eine Klassifikation ausgegeben, aus der abzulesen ist, ob und in welcher Form sich die getestete Komponente für in sicherheitskritischen Einsatzbereichen eignet.
Weiter lesen…

Statische Analyse von Windows Phone Applikationen

Kategorie: IT-Sicherheit

In diesem Projekt wurden einige Windows Phone Applikationen statisch analysiert. Ziel war es, gängige Sicherheitsprobleme zu finden. Dafür wurden zuerst einige ausgewählte Applikationen manuell analysiert. Die gewonnenen Erkenntnisse wurden zur Erstellung eines automatischen Analyse-Frameworks genutzt. Mit diesem Framework wurden ~40000 Applikationen analysiert, in 8.5% der Applikationen wurden Sicherheitsprobleme gefunden.

Weiter lesen…

Browser-Plugin zur Interaktion mit SkyTrust

Kategorie: IT-Sicherheit

Online-Dienste zur Ablage von Daten (z.B. Dropbox, Google Drive) bieten keine Möglichkeit, die hinterlegten Daten vor dem Hochladen zu verschlüsseln. Desktop-Programme von Drittherstellern sind prinzipiell in der Lage, dieser Aufgabe nachzukommen. Jedoch sind diese Applikationen teils nicht für das jeweils eingesetzte (Mobil-)Betriebssystem verfügbar oder schützen die eingesetzten kryptographischen Schlüssel nur unzureichend. Als Konsequenz wurde in diesem Projekt im Rahmen eines Prototyps ein Browser-Plugin für Google Chrome umgesetzt, das ohne Umweg über tertiäre Applikationen bestehende Browser-Schnittstellen so umleitet, dass von AnwenderInnen gegebene Daten über eine sichere Plattform (SkyTrust) einer kryptographischen Operation unterzogen werden. Der Vorteil dieses Ansatzes ist, dass existierende Web-Applikationen keiner speziellen Anpassung bedürfen, damit die Daten von BenutzerInnen kryptographisch geschützt werden. Weiter lesen…

Platformunabhängiges CMA System

Kategorie: Cloud Computing, IT-Sicherheit

Durch die ständige Verfügbarkeit von mobilen Geräten halten diese unaufhaltsam Einzug in das tägliche Leben der Benutzer. Außerdem werden mobile Geräte immer leistungsfähiger, sind aber trotzdem stark eingeschränkt in Bezug auf deren Laufzeit wegen einer begrenzten Kapazität der verwendeten Akkus. Um sich diesem Problem anzunehmen, wurden unterschiedliche Systeme entwickelt um dynamisch externe Ressourcen zu allokieren und diese dem mobilen Gerät zur Verfügung zu stellen. Es stellt sich aber heraus, dass einerseits alle verfügbaren Systeme sehr stark auf ausgewählte Plattformen beschränkt sind und andererseits keines der vorhandenen Systeme sich Sicherheitsaspekten widmet.
Weiter lesen…

Analyse spezifischer Android-Applikationen

Kategorie: IT-Sicherheit

Im vorliegenden Projekt wurde eine Sammlung ausgewählter Android-Applikationen untersucht. Dabei sollte evaluiert werden, ob die inspizierten Anwendungen möglichen Bedrohungen bzw. Angriffen standhalten können. Aus gängigen Angriffsvektoren wurden konkrete Untersuchungskriterien abgeleitet, die folglich auf den Datensatz angewandt wurden. Im Zuge der vorgenommenen Analyse wurden schließlich Auffälligkeiten in 8 von 10 Applikationen festgestellt. Die aufgedeckten Missstände beeinträchtigen das erreichbare Maß an Sicherheit signifikant und können dazu führen, dass geheime oder sensible Daten an Dritte veruntreut werden. Weiter lesen…

Firefox-Plugin zur Anzeige von Sicherheitsinfos

Kategorie: IT-Sicherheit

Browser beschränken sich bei der Anzeige sicherheitsbezogener Informationen über Webseiten zumeist auf ein Minimum. Obwohl deutlich erkennbar ist, ob die Verbindung zu einer Seite verschlüsselt ist oder nicht, werden detailliertere Informationen darüber ausgespart oder sind nur umständlich auslesbar.

Als Konsequenz wurde in diesem Projekt ein modular erweiterbares Plugin für Mozilla Firefox entwickelt, das aufgerufene Domains auf sicherheitskritische Aspekte hin untersucht und die Ergebnisse für sicherheits-affine Anwender visuell ansprechend aufbereitet. Weiter lesen…

21

Juli

2015

Apache Cordova Kryptographie Plugin

Kategorie: IT-Sicherheit

In diesem Projekt wurde ein Android Plugin für das Cross-Plattform Framework Apache Cordova implementiert. Dieses Plugin bietet kryptographische Funktionen über eine zur Web Crypto API idente Schnittstelle an. Schlüsselmaterial wird dabei im Schlüsselspeicher des mobilen Gerätes abgelegt. Da der Schlüsselspeicher bei vielen Android Geräten unter Verwendung eines Secure Element realisiert wurde, ergibt sich somit ein besserer Schutz für Schlüsselmaterial gegen Softwareangriffe.

Weiter lesen…