Neue Veröffentlichung: “Overview on Security Approaches in Intelligent Transportation Systems”

Das Paper “Overview on Security Approaches in Intelligent Transportation Systems – Missing the hybrid trust establishment solutions for VANETs?” der MuSe Autoren Christoph Ponikwar und Hans-Joachim Hof wurde für “The Ninth International Conference on Emerging Security Information, Systems and Technologies – SECURWARE 2015” in Venedig, Italien angenommen.

Abstract des Papers:

Major standardization bodies like IEEE in America or ETSI in Europe developed and designed systems that should be used in vehicular ad-hoc networks. These VANETs are the basis for Intelligent Transportation Systems (ITSs). They aim to efficiently communicate and provide benefits to people. But different design and architectural choices lead to different net- work properties, especially security properties are fundamentally depending on the networks architecture. To be able to compare different security architectures, different proposed approaches needed to be discussed. On problem in current research is the missing focus on different approaches to trust establishment in VANETs. This paper therefor surveys different security issues and solutions in VANETs and we further more categorize them solutions into three basic trust defining architectures: central, decentral and hybrid. These categories represent the way how trust in build in a system, i.e. in centralized or decentralized way or even by combining both opposing approach to a hybrid solution, which the aim to inherit the benefits of both worlds. This survey defines those categories and finds that hybrid approaches are under represented in current research efforts.

Neue Veröffentlichung: “Secure Scrum: Development of Secure Software with Scrum”

Das Paper “Secure Scrum: Development of Secure Software with Scrum” der MuSe Autoren Christoph Pohl und Hans-Joachim Hof wurde für “The Ninth International Conference on Emerging Security Information, Systems and Technologies – SECURWARE 2015” in Venedig, Italien angenommen.

Abstract des Papers:

Nowadays, the use of agile software development methods like Scrum is common in industry and academia. Considering the current attacking landscape, it is clear that developing secure software should be a main concern in all software development projects. In traditional software projects, security issues require detailed planning in an initial planning phase, typically resulting in a detailed security analysis (e.g. threat and risk analysis), a security architecture and instructions for security implementation (e.g. specification of key sizes and cryptographic algorithms to use). Agile software development methods like Scrum are known for reducing the initial planning phases (e.g. sprint 0 in Scrum) and focusing more on producing running code. Scrum is also known for allowing fast adaption of the emerging software to changes of customer wishes. For security, this means that it is likely that there is no detailed security architecture and no security implementation instructions from the start of the project. It also means that a lot of design decisions will be made during the runtime of the project. Hence, to address security in Scrum, it is necessary to consider security issues throughout the whole software development process.

Secure Scrum is a variation of the Scrum framework with special focus on the development of secure software. It puts emphasis on how to implement security related issues without the need of changing the underlying Scrum process or influencing team dynamics. Secure Scrum allows even non-security experts to spot security issues, to implement security features, and to verify implementations. A field test of Secure Scrum shows that the security level of software developed using Secure Scrum is higher then the security level of software developed pure Scrum.

Neue Veröffentlichung: “Apate – A Linux Kernel Module for High Interaction Honeypots”

Das Paper “Apate – A Linux Kernel Module for High Interaction Honeypots” der MuSe Autoren Christoph Pohl und Hans-Joachim Hof wurde für “The Ninth International Conference on Emerging Security Information, Systems and Technologies – SECURWARE 2015” in Venedig, Italien angenommen.

Abstract des Papers:

Honeypots are used in IT Security to detect and gather information about ongoing intrusions, e.g. by documenting the approach of an attacker. Honeypots do so by presenting an interactive system that seems just like a valid application to an attacker. This paper presents APATE, a Linux Kernel Module (LKM) that is able to log, block and manipulate system calls based on preconfigurable conditions like Process ID (PID), User Id (UID), and many more. APATE can be used to build and harden High Interaction Honeypots. APATE can be configured using an integrated high level language. Thus, APATE is an important building block for upcoming High Interaction Honeypots.

Einladung zur Veranstaltung “Start-ups meet IT-Experts”

Sehr geehrte Damen und Herren,

wir möchten Sie ganz herzlich zur gemeinsamen Veranstaltung des German Chapter of the ACM, der MuSe – Munich IT Security Research Group und des Strascheg Center for Entrepreneurship (SCE) der Hochschule München einladen.

Am 17. Juni soll unter dem Motto „Start-ups meet IT-Experts“ der gegenseitige Austausch zwischen Start-ups des SCE und Experten des German Chapter of the ACM stattfinden.

Als Experten aus dem ACM Netzwerk teilen Sie Ihr Fachwissen mit jungen und kreativen Gründern und unterstützen Start-ups dabei, ein Stück weiter in Richtung erfolgreiche Gründung zu gehen. Gleichzeitig erhalten Sie spannende Einblicke in die Münchner Gründerszene und die Entrepreneurship-Aktivitäten am SCE.

Die Veranstaltung findet statt am
17. Juni 2015 um 18 Uhr am SCE, Heßstraße 89, 80797 München
in der Steelcase Creative Hall.

Damit wir die Veranstaltung bestmöglich planen können, melden Sie sich bitte hier zum Event an: http://www.eventbrite.de/e/start-ups-meet-it-experts-tickets-16909336280

Wir freuen uns auf Sie!

Mit besten Grüßen,

Hans-Joachim Hof
Vice Chair German Chapter of the ACM
Leiter MuSe – Munich IT Security Research Group

MuSe zweimal in forschungsNEWS der Hochschule München

In der letzten Ausgabe (Oktober 2014) der Zeitschrift forschungsNEWS wurde ein Interview mit Professor Hof zur Arbeit seiner Forschungsgruppe MuSe – Munich IT Security Research Group veröffentlicht.

Die aktuelle Ausgabe geht im Rahmen eines Artikels über das Competence Center Wirtschaftsinformatik ebenfalls auf die Arbeiten der MuSe – Munich IT Security Research Group ein.

Die letzte Ausgabe ist bereits im Archiv online verfügbar, die aktuelle Ausgabe wird in Kürze dort erscheinen: forschungsNEWS Archiv

Einladung Forschungskolloquium am 21.05.

Im Rahmen des Forschungskolloquiums der MuSe – Munich IT Security Research Group (http://muse.bayern) am 21.05.2015 um 17:00 Uhr im Raum R3.015 an der Hochschule München (Lothstraße 64) werden die Ergebnisse folgende Arbeiten vorgestellt:

  • Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen
  • Counter Obfuscation für Web Scraper
  • Automatisierte Anmeldung auf Webseiten mit Hilfe der „Passwort vergessen“-Funktion

Gäste sind herzlich willkommen. Abstracts der Vorträge:

“Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen”

Wie wird meine Mail übertragen und wer kann sie dabei lesen? Als Endbenutzer ist es nur sehr schwer möglich, nachzuvollziehen, ob und wie eine Mail beim Transport zwischen Mail-Providern verschlüsselt wird. Um eine repräsentative Aussage über die Sicherheit dieser Übertragung zu treffen, wurden 50.000 Mail-Server-Konfigurationen aktiv gescannt und analysiert. Bei der Datenerhebung wurde eine Vielzahl von TLS-Verbindungen zu Mail-Servern aufgebaut, um zu prüfen, wie gut die Sicherheitsziele Authentizität, Integrität und Vertraulichkeit im Mail-Verkehr umgesetzt werden. Zusätzlich wurde jedes Zielsystem auf die Heartbleed-Schwachstelle geprüft.
Der Vortrag handelt von der Umsetzung der Datenerhebung, der anschließenden Analyse und dadurch gewonnen Erkenntnissen.

“Counter Obfuscation für Web Scraper”

Das World Wide Web ist gegenwärtig eines der wichtigsten Quellen für Informationen. Durch die enorme Menge an Informationen ist es denkbar, dass diese nicht per Hand durchsucht werden können. Für diesen Anwendungszweck werden Web Crawler oder auch Web Scraper eingesetzt. Diese durchsuchen vollautomatisch den Inhalt von Webseiten nach bestimmten Schlüsselwörtern und extrahieren ggfs. Informationen. Da liegt es nahe, dass nicht alle Betreiber einer Webseite möchten, dass Informationen durch solche Werkzeuge zugänglich gemacht gemacht werden. Eine mögliche Technik, um diesen Prozess zu erschweren ist Obfuscation. Schlüsselwörter werden von Web Crawler oder Web Scraper nicht mehr so einfach erkannt und beeinträchtigt so das Auffinden von bestimmten Informationen. Heutzutage wird in vielen Web-Browser die Skriptsprache JavaScript eingesetzt, um Benutzerinteraktionen auszuwerten, zur Kontrolle des Browser, zur asynchronen Kommunikation oder um den Inhalt einer Seite zu ändern. JavaScript bietet dabei eine Vielzahl an Möglichkeiten zur Verschleierung, welche im Rahmen dieser Arbeit evaluiert werden. Zu ausgewählten Techniken werden geeignete Gegenmaßnahmen entwickelt. Ziel dieser Arbeit ist es, eine Software zu realisieren, die solche Verschleierungsmechanismen auflöst und somit eine Extraktion von Informationen wieder möglich macht. Die Arbeit ist im sicherheitsrelevanten Umfeld von Webanwendungen anzusehen.

“Automatisierte Anmeldung auf Webseiten mit Hilfe der „Passwort vergessen“-Funktion”

Der Großteil der Internetbenutzer verwendet unzureichend starke Passwörter, was zusammen mit der steigenden Anzahl gestohlener Passwörter zu erheblichen Sicherheitsrisiken führen kann. Um diesem Problem entgegenzuwirken wird ein Konzept vorgestellt, welches die Anmeldung auf einer Webseite, durch Ausnutzung der „Passwort vergessen“-Funktion, erlaubt. Dabei wird vor jeder Anmeldung ein neues, generiertes Passwort gesetzt und zur anschließenden Anmeldung genutzt. Diese Vorgehensweise  zeichnet sich, im Gegensatz zu bekannten Lösungen, insbesondere dadurch aus, dass ein Passwort niemals dauerhaft gespeichert wird. Anhand einer hierzu entwickelten Firefox-Erweiterung wird dieses Konzept nach den Kriterien der Benutzerfreundlichkeit, Performance und Sicherheit evaluiert.

 

Neuer Service für Studierende: Security Leseempfehlungen

Da ich von Studierenden immer wieder nach Leseempfehlungen zum Thema Security gefragt werde, habe ich eine erste Sammlung zusammengestellt (erreichbar über das Menü Lehre), welche in Zukunft erweitert wird. Ich versuche eine interessante Mischung aus Nachrichten und aktuellen Werkzeugen zu finden. Wer Tipps hat, kann mir gerne Links an hof@hm.edu senden.

 

Innovative Ideen für Startups

Vier interdisziplinären Projektteams einer Veranstaltung der MuSe – Munich IT Security Research Group in Kooperation mit dem Strascheg Center for Entrepreneurship präsentierten Ende April Ihre Ideen für ein Startup rund um das Thema “Facebook für Projekte”:

  • Team “Communcity” schafft Verbindungen zwischen Menschen, die sich aktiv in ihren Kommunen engagieren möchten und Aktiven, die Ehrenamtliche für ihre Projekte suchen.
  • Team “Hobbyisten” entwirft eine Plattform, auf der sich Hobbyisten (Menschen, die ein spezielles Hobby haben) vernetzen und präsentieren können.
  • Team “Peers” implementiert ein “Tinder für Projekte”, eine Anwendung, die Gründer zusammenbringt mit Personen, die über für die Umsetzung der Projektideen notwendiges Know-How verfügen und sich an Startups beteiligen möchten.
  • Das vierte Team möchte innerhalb einer Hochschule Projekte von Professoren und Studierenden bekannt machen und eine bessere Vernetzung der Personen erreichen.

Aktuell erstellen alle Teams einen Prototyp der Anwendung und arbeiten das Business Modell weiter aus.

Interesse, an einem der Teams mitzuwirken? Interesse, eines der Teams zu sponsoren? Interesse, eine der Anwendungen einzusetzen? Dann setzen Sie sich mit hof@hm.edu in Verbindung.

Einladung zum Forschungskolloqium

Im Rahmen des Forschungskolloquiums der MuSe – Munich IT Security Research Group (http://muse.bayern) am 30.04.2015 um 09:00 Uhr im Raum R3.015 an der Hochschule München (Lothstraße 64) werden die Ergebnisse folgende Arbeiten vorgestellt:

  • Web Application Honeypots with Focus on SQL Injection Emulation Capabilities
  • Security Monitoring für Serversysteme
  • Entwicklung eines sicheren Moduls zur zentralen Benutzerverwaltung von verteilten Datentransfer-Servern
  • Wirtschaftliche Auswirkungen IT-Sicherheitsrisiken bei Energieversorgern
  • Automatisierte Anmeldung auf Webseiten mit Hilfe der „Passwort vergessen“-Funktion

Gäste sind herzlich willkommen. Abstracts der Vorträge:

„Web Application Honeypots with Focus on SQL Injection Emulation Capabilities“ 

Intelligent honeypots are important for analyzing the intrusion techniques of attackers. The more convincing a honeypot emulates vulnerabilities, the more an attacker is provoked to conduct further attacks. For this thesis “GlastopfInjectable” is developed, an extension of the web application honeypot “Glastopf”. It has the ability to emulate success of SQL injections towards the attacker, whereas in reality it is not successful. After the attacker is fingerprinted, the injected SQL statement isexecuted inside an attacker-specific database copy in a virtualized environment. The honeypot’s behavior and responses are well adapted to the SQL injection attack tool sqlmap, so that sqlmap finds many SQL injection techniques to prove vulnerability. During the attempt of obtaining valuable information, the attacker is provided with honeytokens for later tracking. The honeypot is evaluated based on the criteria fidelity, security and performance and log data from real attacks are examined.

„Security Monitoring für Serversysteme“

Ein fehlendes Sicherheitsupdate lässt Sicherheitslücken auf dem System offen, die der Öffentlichkeit bekannt sind und von einem Angreifer ausgenutzt werden können. Daher überprüft die SpaceNet AG ihre Kundensysteme auf bestehende Installationen von Webanwendungen, wie z.B. verschiedene Content-Management-Systemen, auf Aktualität um bestehende Sicherheitslücken aufzudecken. Die Überprüfung der installierten Versionen erfolgt derzeit noch manuell, durch die Mitarbeiter von SpaceNet, da jede Webanwendung einen eigenen Aufbau hat. Anhand des Security Monitors für Serversysteme wird ein Modell dargestellt, welches eine automatische Überprüfung der verschiedenen Webanwendungen auf den Systemen ermöglicht und die einzelnen Webanwendungen mit deren Erweiterungen in einer Übersicht darstellt. Webanwendungen werden dabei über Module verwaltet und ermöglichen so dem Security Monitor verschiedene Typen von Webanwendungen zu verwalten. Da die Mitarbeiter von der SpaceNet AG auch die Systeme manuell updaten, müssen modifizierte Dateien im Security Monitor mit angezeigt werden, da diese sonst durch ein Update verloren gehen. Für eine Überprüfung auf modifizierte Dateien einer Webanwendung arbeitet der Security Monitor mit den digitalen Fingerabdrücken der einzelnen Dateien und vergleicht diese mit den Fingerabdrücken in seiner Datenbank und verletzt dabei nicht die Integrität des Systems.

„Entwicklung eines sicheren Moduls zur zentralen Benutzerverwaltung von verteilten Datentransfer-Servern“

Auf Basis einer bestehenden Datentransfer-Lösung wird ein Konzept eines Serversystems vorgestellt, welches den Zusammenschluss einzelner Datentransfer-Server ermöglicht. Hierzu werden die Hauptkomponenten der Server modularisiert um das gegenseitige Bereitstellen von notwendigen Informationen zu erlauben. Dies wird benötigt um den Benutzern der einzelnen Datentransfer-Servern den Austausch von Daten Server-übergreifend zu ermöglichen. Dabei wird der Fokus auf die Realisierung der zentralen Benutzerverwaltung, insbesondere deren Sicherheitsarchitektur, gelegt. Anhand der durchgeführten Bedrohungsmodellierung werden die zu ergreifen Sicherheitsmaßnahmen ermittelt und bei der Realisierung des Prototypen implementiert.

„Wirtschaftliche Auswirkungen IT-Sicherheitsrisiken bei Energieversorgern“

Durch die zunehmende Integration von Informations- und Kommunikationssystemen in die Energieversorgung steigt auch das Risiko von Cyberangriffen auf diese. Doch zu wenig Energieversorger haben ein Bewusstsein für diese Thematik. Um ein solches Bewusstsein zu wecken, beschäftigt sich diese Arbeit mit der Frage, welche Kosten für Energieversorgungsunternehmen infolge eines Angriffs entstehen können. Zu diesem Zweck wurde eine Methodik zur Bewertung potenzieller Folgeschäden entwickelt, sowie eine fiktive Fallstudie zur Erhöhung des Bewusstseins für Cyberrisiken im Management von Energieversorgungsunternehmen erstellt.

“Automatisierte Anmeldung auf Webseiten mit Hilfe der „Passwort vergessen“-Funktion”

Der Großteil der Internetbenutzer verwendet unzureichend starke Passwörter, was zusammen mit der steigenden Anzahl gestohlener Passwörter zu erheblichen Sicherheitsrisiken führen kann. Um diesem Problem entgegenzuwirken wird ein Konzept vorgestellt, welches die Anmeldung auf einer Webseite, durch Ausnutzung der „Passwort vergessen“-Funktion, erlaubt. Dabei wird vor jeder Anmeldung ein neues, generiertes Passwort gesetzt und zur anschließenden Anmeldung genutzt. Diese Vorgehensweise  zeichnet sich, im Gegensatz zu bekannten Lösungen, insbesondere dadurch aus, dass ein Passwort niemals dauerhaft gespeichert wird. Anhand einer hierzu entwickelten Firefox-Erweiterung wird dieses Konzept nach den Kriterien der Benutzerfreundlichkeit, Performance und Sicherheit evaluiert.