Zentrum für sichere Informationstechnologie – Austria

Android Browser – Sicherheit und Privatsphäre

Kategorie: IT-Sicherheit

Online-Werbung ist ein stetig wachsender Markt. Bereits 2007 wurden in Deutschland 976 Millionen Euro für Online-Werbung ausgegeben. Dies entspricht einem Zuwachs von 103 Prozent im Vergleich zum Vorjahr [1]. Für 2017 wird in Deutschland bereits ein Umsatz von über 6,9 Milliarden Euro mittels Online-Werbung erwartet [2]. Aus Sicht von Anwendern und Anwenderinnen können sich einige Vorteile durch die Blockierung von Werbung ergeben. Zu den Vorteilen kann ein schnelleres Laden der Seite gehören, geringerer Datenverbrauch, geringere Prozessorlast und dadurch ein geringerer Energieverbrauch, sowie erhöhte Sicherheit durch den Wegfall von Malvertising.
Weiter lesen…

Multilaterale Integration and Verwaltung von XACML

Kategorie: Cloud Computing, IT-Sicherheit

XACML stellt ein Framework dar, das eine XML-basierte Sprache, sowie die Architektur und zugehöriges Vorgehensmodell für die Zugriffssteuerung unternehmensinterner Infrastruktur, definiert. Somit wird dieses Framework spezifisch für organisationsbezogene Prozesse und Anwendungen umgesetzt. Dies hat zu Folge, dass die XACML-Richtlinien oft nur im Rahmen einer beschränkten Umgebung verwaltet und angewandt werden können. Dieses Projekt zielt deshalb auf die Erarbeitung eines erweiterten Steuerungsmodels ab, Weiter lesen…

Sichere Echt-Zeit Textkollaboration

Kategorie: IT-Sicherheit

Google Docs und Office 365 sind Fixpunkte, wenn es um Cloud-gestützte Datenverarbeitung geht. Der Hype um das zeitgleiche Editieren eines einzigen Dokuments wird lediglich durch Bedenken bezüglich der Wahrung der Vertraulichkeit von Inhalten gebremst. In diesem Projekt wurde ein Überblick über aktuelle Ansätze zu sicherer Echt-Zeit Textkollaboration aus Wissenschaft und Wirtschaft gewonnen und daraus eine Liste von bisher offen gebliebenen  Weiter lesen…

Fingerprinting von Code mobiler Anwendungen

Kategorie: IT-Sicherheit

Bei der Analyse von Applikationen für mobile Plattformen (Android, iOS) hat sich gezeigt, dass sicherheitsrelevante Probleme oft nicht im Applikationscode selbst zu verorten sind, sondern durch Komponenten von Drittherstellern eingebracht werden. Oftmals werden diese problematischen Codeteile frei zur Verfügung gestellt und finden sich somit in vielen Applikationen wieder. Wird der Programmcode vom Hersteller zudem verschleiert („obfuscated“), erschwert dieser Umstand die Auffindung prekärer Codeteile obendrein.
Weiter lesen…

Device Enrolment mit flexibler Authentifizierung

Kategorie: IT-Sicherheit

Im Corporate-Bereich sind Managed-Devices bereits etabliert. Kleinunternehmer und Endbenutzer profitieren jedoch wenig von derart komplexen Systemen und Infrastrukturen dieser Größenordnung. Des Weiteren sind Managed-Device-Lösungen meist an externe Infrastrukturen gekoppelt.
Im Rahmen dieses Projekts wurden Konzepte zu flexibler Authentifizierung von Geräten erarbeitet. Dabei liegt der Fokus auf der erstmaligen Geräteauthentifizierung bzw. dem Enrolmentverfahren sowie einfacher Widerrufbarkeit von Berechtigungen. Die initiale Authentifizierung muss flexibel genug gestaltet sein, um auch die unterschiedlichen Eigenschaften von Endnutzergeräten miteinzubeziehen und on-demand entsprechende Device-Policies zu erstellen. Die eigentliche Kommunikation und der Kommunikationsaufbau zwischen Gerät und Dienst soll hingegen möglichst unkompliziert und konzeptionell einfach gehalten werden. Auf Grund der Leistungsfähigkeit aktueller Endgeräte, sowie deren umfangreichen Featuresets und der breiten Unterstützung von Technologien wie TLS ist der notwendige Unterbau für eine praktische Umsetzung der beschriebenen Konzepte vorhanden. Die praktische Umsetzbarkeit kann an Hand des zur Verfügung gestellten Demonstrators nachvollzogen werden.

Weiter lesen…

Verwendung von Policy-Enforcement Systemen zur Kontrolle von mobilen verteilten Systemen

Kategorie: Cloud Computing, IT-Sicherheit

XACML als der de-facto Standard für Data Security Policies ermöglicht es, die Auswertung von Zugriffsberechtigungen zu zentralisieren und Regeln dafür an zentraler Stelle zu verwalten. In diesem Projekt wird XACML dahingehend erweitert, die Ausführung von verteilten mobilen Applikationen von zentraler Stelle aus kontrollieren zu können. Ohne Optimierungen würden Applikationen durch die Performanceeinbußen unbrauchbar werden. Besonders interessant macht dieses Verfahren außerdem, dass mobile Geräte nicht zwingend eine dauerhafte Verbindung zur Policy Infrastruktur benötigen.

Weiter lesen…

Spurenverwischung im Internet

Kategorie: IT-Sicherheit, Web Technologien

Bei nahezu allen Internet-Aktivitäten werden Spuren hinterlassen, welche entsprechend zusammengeführt und ausgewertet, Rückschlüsse zulassen, die einzelne Personen mit hinreichender Sicherheit identifizieren können. Einer der Hauptgründe dafür ist, dass der technische Unterbau des Internets aus einer Zeit stammt, in der Privatsphäre und Datenschutz auf dieser Ebene irrelevant waren. Da es sich bei den involvierten Komponenten jedoch vielfach um kritische Infrastrukturen handelt, können diese nicht ersetzt werden. Somit müssen aktiv zusätzliche Maßnahmen ergriffen werden, um die eigene Identität im Internet geheim zu halten und möglichst wenig Spuren zu hinterlassen. Doch vor allem werden auch auf Applikationsebene unzählige Spuren hinterlassen, welche unzweifelhaft einzelnen Personen zugeordnet werden können.

Weiter lesen…

25

Juli

2017

Blockchain & Smart Contracts

Kategorie: IT-Sicherheit

Die Blockchain wurde von einer Person oder einer Gruppe von Personen unter dem Pseudonym Satoshi Nakamoto als Teil der Kryptowährung Bitcoin entwickelt. Im Allgemeinen stellt die Blockchain eine verteilte Datenbank dar, die aus verketteten Blöcken besteht. Der Projektbericht beschreibt die grundlegenden Blockchain-Typen sowie Konsensus-Protokolle mit Fokus auf die Ethereum Plattform. Die Ethereum Plattform wurde ausgewählt, da es sich hierbei um eine Erfolg versprechende Plattform zur Ausführung von Smart Contracts handelt. Bei Smart Contracts handelt es sich um autonome Agenten, welche innerhalb des Blockchainnetzwerkes ausgeführt werden. Dadurch lassen sich ausfallsichere, zensurresistente, verteilte Applikationen entwickeln. Aufbauend auf dem erworbenen Wissen wurde ein blockchain-basierter Messenger umgesetzt.
Weiter lesen…

13

Juli

2017

Rich Ende-zu-Ende Verschlüsselung

Kategorie: eGovernment

Aus dem Projekt „Skytust“ zur Verschiebung des Schlüsselmaterials von der Applikation zu einem Applikations-externen Punkt ist es gelungen, das Schlüsselmaterial selbst aus dem Visier von vielen Angriffen zu nehmen. Damit geraten aber Authentifizierungsinformationen, die zur Autorisierung der Schlüsselnutzung verwendet werden, umso mehr ins Fadenkreuz. Diese Informationen müssen von einer Applikation gesammelt und entsprechend weitergeleitet werden – die Applikation hat damit Zugriff auf diese sensiblen Daten. Eine adäquatere Herangehensweise wäre, diese Daten außerhalb der Applikation zu sammeln. Dazu ist ein Service zwischen Applikation und Schlüsselservice notwendig, was wiederum nach einer Ende-zu-Ende-verschlüsselten Kommunikation verlangt. Die Herausforderung ist nun, die Authentifizierungsdaten so zu sammeln und weiterzuleiten, dass der sammelnde Dienst die verschlüsselte Kommunikation nicht aufbrechen muss, dennoch aber Daten zur Kommunikation hinzufügen kann.

Weiter lesen…

LOD und LOV für Autorisierungskonzepte

Kategorie: eGovernment

Linked Open Data (LOD) und Linked Open Vocabularies (LOV) befassen sich mit der Definition von wiederverwendbaren Konzepten und mit der Entwicklung von Systemen und Architekturen, die die praktische Integration von Daten und Diensten im Web-Maßstab ermöglichen. Es existieren bereits viele Vocabularies, die die Beschreibung von Daten und anderen Strukturen, sowie ihren Zusammenhang unterstützten. Moderne intelligente Dienste bauen diese Konzepte ein, um kontextbewusste und domänenübergreifende intelligente Dienste anzubieten. Es fehlen jedoch Vocabularies, die die Wiederverwendung von sicherheitsbezogenen Konzepten etablieren. Solche Vocabularies würden, unter anderem, die Entwicklung von intelligenten und autonomen Sicherheitsdiensten und Methoden unterstützten.

Weiter lesen…