Konferenzseminar IT-Sicherheit

Transkript

1 Konferenzseminar IT-Sicherheit WS 2014/15 Veranstalter: Felix Freiling, Hans-Georg Eßer Weitere Betreuer: Zinaida Benenson, Andreas Dewald, Johannes Götzfried, Michael Gruhn, Norman Hänsch, Nadina Hintz, Sven Kälber, Philipp Klein, Werner Massonne, Tilo Müller, Mykola Protsenko, Lena Reinfelder, Ben Stock, Benjamin Stritter, Johannes Stüttgen Lehrstuhl für IT-Sicherheitsinfrastrukturen Univ. Erlangen-Nürnberg Foliensatz A ( ) Einführung, Organisatorisches Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-1

2 Konferenzseminar IT-Sicherheit Heutiges Programm: Veranstaltungstyp Konferenzseminar Organisatorisches / Ablauf Übersicht über weitere Präsenztermine Vorstellung der Themen letzte Fragen Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-2

3 Konferenzseminar simuliert eine wissenschaftliche Konferenz Call for papers läuft jetzt Einreichen von Beiträgen für die Konferenz Begutachtung durch mehrere Reviewer double blind Überarbeitung des Beitrags Konferenz (mehrtägig) mit allen Vorträgen, aufgeteilt in thematische Sessions Session Chair stellt Vortragende vor gedruckter Konferenzband Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-3

4 Drei Präsenztermine Vorstellung der Themenvorschläge N. N. Wissenschaftliches Arbeiten; Erstellen einer wissenschaftlichen Arbeit Thema verstehen und strukturieren Arbeit mit Quellen: Literaturrecherche und -auswertung, richtiges Zitieren Schreiben der Ausarbeitung N. N. Einführung in LaTeX (freiwilliger Termin); Hinweise zum Review-Prozess Aufbau eines Dokuments, Gliederung einfache Formatierungen Literaturverwaltung mit BibTeX Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-4

5 Anforderungen (1) Themen müssen eigenständig bearbeitet werden Erfolgreiche Teilnahme durch Einreichen von zwei Abstracts und zwei weiteren Alternativthemen von Vorschlagsliste (per Mail) (23.10.) Einreichen eines Konzepts bei Betreuer/in ( *) ) Einreichen Vorabversion der Arbeit bei Betreuer/in ( *) ) Fertigstellen der Arbeit (zum zugeteilten Thema) und Einreichen der Ausarbeitung über das Konferenz-Management-System ( ) Verfassen von drei ausführlichen Reviews von Seminarbeiten anderer Teilnehmer/innen ggf. Einpflegen von Korrekturen nach dem Lesen der Reviews der eigenen Arbeit 30-min. Vortrag (+ 5 min. Fragen) *) ggf. früher, nach Absprache mit Betreuer/in Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-5

6 Anforderungen (2) Formale Rahmenbedingungen (Mindeststandard) Bachelor: Master: Umfang der Ausarbeitung: 6 8 Seiten im vorgeg. Format Kritische Auseinandersetzung mit den vorgeschlagenen Quellen Umfang der Ausarbeitung: 8 10 Seiten im vorgeg. Format Selbständige Literatur- Recherche (Erweiterung der vorgeschlagenen Quellen) Kritische Auseinandersetzung mit den Quellen Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-6

7 Anforderungen (3) 5 ECTS = 125 Stunden 5 h: Themensuche, Abstracts schreiben 6 h: Präsenztermine (heute + Wiss. Arbeiten + LaTeX) 20 h: Lektüre/Recherche 55 h: Verfassen der Seminararbeit, ggf. inkl. Einarbeitung in LaTeX 10 h: Einarbeiten ins Reviewing, Verfassen von drei Reviews 5 h: Lesen der erhaltenen Reviews, Einpflegen der Änderungen 24 h: Drei Präsenztage (evtl. weniger; abhängig von Teilnehmerzahl) Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-7

8 Themenvergabe (1) Themenvergabe erfolgt durch uns Eigener Themenvorschlag hat nur Chancen, wenn sich ein/e Betreuer/in dafür findet also: auch Marketing-Aspekt im Abstract in Abstract passende/n Betreuer/in, Schwerpunkt nennen ansonsten: Vergabe eines der Themen aus unserer Vorschlagsliste Nach Mitteilung des zugeteilten Themas bitte kurz die Teilnahme/Bearbeitung bestätigen Bei evtl. Abmeldung: bitte auch an Prüfungsabmeldung denken ( mein campus) Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-8

9 Zur Themenauswahl: Themenvergabe (2) Zwei Themen auswählen (maximal eines von unserer Vorschlagsliste, also mind. ein selbst gewähltes) und Abstracts dazu verfassen zusätzlich zwei weitere Alternativthemen auswählen Losentscheid bei mehreren Interessenten Kontakte: Fragen zum Thema (während der Bearbeitung)? Themen-Betreuer/in Fragen zur Organisation? Hans-Georg Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-9

10 Themenvergabe (3) Selbst Themen finden (1) Google Scholar: findet wiss. Veröffentlichungen, Buchkapitel etc. passende Suchbegriffe verwenden forensics, security, attack, spam, privacy etc. Suche einschränken (z. B.: ab 2013) Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-10

11 Themenvergabe (4) Selbst Themen finden (2) Schwerpunkte Norman Hänsch: IT Security Awareness Michael Gruhn: (Live) Forensics, Cryptography, Anonymity Zina Benenson: Human Factors in IT Security Werner Massonne: Verschlüsselung, Datensicherheit, Obfuscation Lena Reinfelder: Human Factors in IT Security and Privacy Benjamin Stritter: Machine Learning and Intrusion Detection, Web Application Security Hans-Georg Eßer: Speicherforensik, Linux Philipp Klein: Digital Rights Management, Software Protection, Software Piracy Tilo Müller: Softwareschutz und Systemsicherheit Mykola Protsenko: Softwareschutz und Systemsicherheit Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-11

12 Themenvergabe (5) Mail an mich (H.-G.) sieht also so aus: 1. Thema (von Vorschlagsliste) - Titel des Themas - Betreuer/in Abstract: (ca. 200 Worte) 2. Thema (eigener Vorschlag) - Titel des Themas - Betreuer/in und Schwerpunkt Abstract: (ca. 200 Worte) 3. Thema (von Vorschlagsliste) - Titel des Themas - Betreuer/in 4. Thema (von Vorschlagsliste) - Titel des Themas - Betreuer/in Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-12

13 Vortrag + Ausarbeitung (1) Vorträge finden in (bis zu ganztägigen) Blöcken statt, nach Semesterende (zu Beginn der vorlesungsfreien Zeit) Terminvorschläge via Doodle bei 30 Min. / Vortrag: max. 12 Vorträge / Tag 2, max. 3 Vortragstage Termine für Präsenzveranstaltung und Vorträge werden wir über Doodle-Terminsuche festlegen Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-13

14 Vortrag + Ausarbeitung (2) Ausarbeitung und Vortrag: wahlweise auf Deutsch oder auf Englisch Ausarbeitung: mit Textsatzsystem LaTeX erstellen zwingend! kein Word, LibreOffice etc. Vortragsfolien: gehen auch mit LaTeX ( oder PowerPoint & Co.) Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-14

15 Zur Arbeitsweise Wichtig: Kontinuierliches Arbeiten während des gesamten Semesters Ansatz Das schreib ich zwei Wochen vor dem Abgabetermin schnell zusammen wird fehlschlagen Fehlendes Konzept / fehlende Vorabversion der Ausarbeitung Ausschluss vom Seminar Empohlen: Regelmäßiger Kontakt mit Betreuer/in Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-15

16 Themenvorschläge 1. Intel Software Guard Extensions (SGX) Betreuer/in: Tilo Müller, Sprache: Englisch (bevorzugt) oder Deutsch Im Jahr 2013 hat Intel den SGX-Befehlssatz für zukünftige x86 CPUs vorgestellt. Durch SGX wird Software in Zukunft besser vor einer Analyse durch höher privilegierte Prozesse (wie dem Betriebssystemkern oder Debuggern) geschützt werden können. SGX dient im Gegensatz zu einer Sandbox nicht dem Schutz der Ausführungsumgebung vor unprivilegierten Prozessen, sondern dem Schutz von Prozessen vor der Ausführungsumgebung. Intel bezeichnet dieses Konzept daher auch als "inverse Sandbox". Im Zuge dieses Seminars soll das Konzept von Intel SGX beschrieben werden, sowie Möglichkeiten und Herausforderungen beim Einsatz des Befehlssatz herausgearbeitet werden. Auch die potentiellen Gefahren von Intel SGX, wie bspw. der Einsatz von DRM-Systemen und SGX-geschützte Malware, sollen erörtert werden. 2. Steganographie: Die Kunst, Daten in Daten zu verstecken Betreuer/in: Werner Massonne [1] Zielińska, Elżbieta, Wojciech Mazurczyk, and Krzysztof Szczypiorski. "Trends in steganography." Communications of the ACM 57.3 (2014): [2] Johnson, Neil F., and Sushil Jajodia. "Exploring steganography: Seeing the unseen." Computer 31.2 (1998): [3] Anderson, Ross J., and Fabien AP Petitcolas. "On the limits of steganography." Selected Areas in Communications, IEEE Journal on 16.4 (1998): Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-16

17 Themenvorschläge 3. State of the Art in XSS filters Betreuer/in: Ben Stock In the course of this work, the current implementations of XSS filters on both server and client side is to be discussed. The focus should be on the implementation (e.g. RegExp) and drawbacks of specific current and previous filter approaches and discuss other related work such as the one listed below. Es geht darum, die Funktionsweisen sowie Vor- und Nachteile verschiedener publizierter XSS- Filter-Ansätze aufzuarbeiten. [0] Bates, D; Barth, A; Jackson, C; Regular expressions considered harmful in client-side XSS filters in WWW '10 [1] Pelizzi, R; Sekar, R; Protection, Usability and Improvements in Reflected XSS Filters in AsiaCCS '12 [2] Bisht, P; Venkatakrishnan V.N.; XSS-GUARD: Precise Dynamic Prevention of Cross-Site Scripting Attacks in DIMVA '08 [3] Reis, C; Dunagan, J; Wang, H.; Dubrovsky, O; Esmeir, S; BrowserShield: Vulnerability-driven filtering of dynamic HTML in ACM Transactions on the Web Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-17 X

18 Themenvorschläge 4. Praktische Probleme aktueller technologischer Entwicklungen für forensische Ermittlungen Betreuer/in: Andreas Dewald (Recherchearbeit ohne vorgegebene Literatur) 5. Status quo in der forensischen Analyse von Navigationsgeräten Betreuer/in: Andreas Dewald (Recherchearbeit ohne vorgegebene Literatur) Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-18

19 Themenvorschläge 6. Attacks against Support Vector Machines (NUR Master-Studenten!) Betreuer/in: Benjamin Stritter [1] Battista Biggio, Igino Corona, Blaine Nelson, Benjamin I. P. Rubinstein, Davide Maiorca, Giorgio Fumera, Giorgio Giacinto, Fabio Roli: Security Evaluation of Support Vector Machines in Adversarial Environments. CoRR abs/ (2014), 7. Fuzzing for Cross Site Scripting Vulnerability Detection Betreuer/in: Benjamin Stritter [1] Fabien Duchene, Sanjay Rawat, Jean-Luc Richier, and Roland Groz KameleonFuzz: evolutionary fuzzing for black-box XSS detection. In Proceedings of the 4th ACM conference on Data and application security and privacy (CODASPY '14). ACM, New York, NY, USA, DOI= / Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-19

20 Themenvorschläge 8. Schwachstellensuche in ULIX Betreuer/in: Hans-Georg Eßer ULIX ist ein Lehrbetriebssystem, das aktuell am Lehrstuhl 1 entwickelt wird. Aufgabe ist es, den Quellcode auf klassische Schwachstellen hin zu untersuchen, die sich aus dem User Mode heraus ausnutzen lassen, also z. B. Buffer Overflows, Integer Overflows. Die zu erstellende Ausarbeitung listet die gefundenen Schwachstellen (kategorisiert) auf, enthält den Code für mindestens einen Exploit und spricht Empfehlungen aus, wie die Probleme zu beheben sind. [1] Aktueller ULIX-Sourcecode als Literate Program [2] blexim: "Basic Integer Overflows", Phrack Magazine 60, 2002, [3] Isaac Gerg: "An Overview and Example of the Buffer-Overflow Exploit", IAnewsletter 04/2005, pp [4] CERN Computer Security: "Common vulnerabilities guide for C programmers", Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-20

21 Themenvorschläge 9. Memory Encryption Betreuer/in: Hans-Georg Eßer [1] Michael Henson, Stephen Taylor: "Memory Encryption: A Survey of Existing Techniques", ACM Comput. Surv. 46, 4 (March 2014), [2] Peter A. H. Peterson: "Cryptkeeper: Improving Security With Encrypted RAM", Technologies for Homeland Security (HST), 2010 IEEE International Conference on. IEEE, _security_with_encrypted_ram/file/d912f50cfdf4b2e20b.pdf 10. Swap Forensics Betreuer/in: Hans-Georg Eßer [1] Golden G. Richard III, Andrew Case: "In lieu of swap: Analyzing compressed RAM in Mac OS X and Linux", Digital Investigation Vol. 11, Suppl. 2, pp. S3-S12, Aug. 2014, Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-21

22 Themenvorschläge 11. Searchable Encryption Betreuer/in: Michael Gruhn Searchable Encryption allows the search, either for keywords or raw text, in encrypted data. This seminar work should summarize the current searchable encryptions schemes and their different properties. 12. Electroencephalographical Side-Channels Betreuer/in: Michael Gruhn In 2012 Martinovic et. al. [1] introduced their work on side-channels in Computer Brain Interfaces. This seminar work should summarize the current state of the art on electroencephalographical side-channel research. [1] Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-22

23 Themenvorschläge 13. Smartphones in Unternehmen Betreuer/in: Lena Reinfelder Welche Risiken und Lösungen zur Integration von Smartphones in Unternehmen gibt es und wie kann man sicherstellen, dass sich Mitarbeiter an interne Vorgaben und Richtlinien halten. Literatur: "Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and information security awareness" 14. Private Daten auf Smartphones Betreuer/in: Lena Reinfelder Welche Daten speichern Smartphone-Nutzer auf ihren Smartphones, welche Daten empfinden Sie als sensibel falls jemand Unbefugtes darauf zugreift und welche Maßnahmen (z.b. Passwörter, speziellen Apps) ergreifen Nutzer um sich vor unauthorisierten Zugriffen zu schützen. Literatur: "Understanding Users' Requirements for Data Protection in Smartphones" und "How Come I'm Allowing Strangers to Go Through My Phone? - Smartphones and Privacy Expectations" 15. Verlust/Diebstahl von Smartphones Betreuer/in: Lena Reinfelder Wie empfinden Smartphone-Nutzer das Risiko/die Gefahr, dass ihr Smartphone verloren oder gestohlen wird? Welche Maßnahmen ergreifen Nutzer um sich davor zu schützen? Welche Daten wären endgülig verloren, welche werden durch Backups geschützt? Welche Konsequenzen hat ein Verlust des Smartphones? Literatur: eigene Recherche Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-23

24 Themenvorschläge 16. ARM TrustZone Betreuer/in: Mykola Protsenko und Tilo Müller, Sprache: Englisch (bevorzugt) oder Deutsch Seit ARMv6KZ existiert die Sicherheitserweiterung TrustZone für ARM CPUs. TrustZone teilt Anwendungen in zwei sogenannte "Welten" auf: eine vertrauenswürdige (oder sichere) Welt und eine normale (oder nicht-sichere) Welt. Die sichere Welt ist in einem CPU-Modus implementiert, der orthogonal zum klassischen Ring-Konzept agiert, so dass höher privilegierte Prozesse nicht auf geschützte Anwendungen in der sicheren Welt zugreifen können. Bei ARM TrustZone handelt es sich also um eine Hardware-Erweiterung zum Softwareschutz, um Anwendungen vor einer Analyse (Reverse Engineering) zu schützen. Im Zuge dieses Seminars soll das Konzept von ARM TrustZone erläutert werden, sowie Möglichkeiten und aktuelle Entwicklungen beim Einsatz dieses Befehlssatz beschrieben werden. Auch die potentiellen Gefahren von ARM TrustZone, wie bspw. zum Einsatz von DRM-Systemen oder speziell geschützter Malware, sollen kritisch behandelt werden Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-24

25 Themenvorschläge 17. Kann man mit Tor anonym surfen? Benutzbarkeit und Sicherheit von Tor Betreuer/in: Zina Benenson Tor gilt unter technisch versierten Nutzern als _die_ Lösung für anonymes Websurfen, wobei einige spektakuläre Fälle zeigen, dass die Nutzung von Tor für Laien alles andere als einfach ist und manchmal zu fatalen Fehlern führt [1,2]. Auch wissenschaftliche Untersuchungen haben einige Probleme mit Benutzbarkeit und Verständlichkeit von Tor festgestellt [3,4]. Trotzdem ist das Interesse an Tor insbesondere nach den NSA-Enthüllungen ständig gewachsen, was man auch in der Presse nachvollziehen kann [5,6]. Diese Seminararbeit soll aufzeigen, welche Probleme bei Nutzung von Tor entstehen und wie sie gelöst werden können. [1] Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (Kim Zetter, Wired, 2007), [2] Harvard Student Receives F For Tor Failure While Sending 'Anonymous' Bomb Threat (Runa A. Sandvik, Forbes, 2013), [3] Spoiled Onions, [4] Greg Norcie, Jim Blythe, Kelly Caine, L Jean Camp, USEC 2014, Why Johnny Can t Blow the Whistle: Identifying and Reducing Usability Issues in Anonymity Systems [5] Tor die Tarnkappe fürs Netz (Patrick Beuth, Zeit Online, 2013), [6] HTG Explains: Is Tor Really Anonymous and Secure? (Chris Hoffman, 2013), X Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-25

26 Themenvorschläge 18. Automatic Event Reconstruction in Digital Forensics Betreuer/in: Sven Kälber This seminar work should summarize the state of the art on automatic event reconstruction in digital forensic investigations. Which approaches and ideas exist today? Which challenges still exist, esp. regarding automatization? 19. Ethical Problems with Phishing experiments Betreuer/in: Nadina Hintz [1] Design Ethical Phishing Experiments : A study of (ROT13) ronl query features; Autoren: Markus Jakobsson, Jacob Ratiewicz [2] Why and How to Perform Fraud Experiments; Autoren: Markus Jakobsson, Peter Finn, Nathaniel Johnson [3] Ethik in der Sicherheitsforschung; Autoren: S. Schrittwieser, M. Mualazzani, E. Weipel, S. Panhans [4] But the data is already public: on the ethics of research in Facebook. Autor: M. Zimmermann Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-26

27 Themenvorschläge 20. Cheating at Trust and Reputation Systems Betreuer/in: Norman Hänsch Unterschiedliche Modelle von Online Reputationssystemen und Möglichkeiten des Betrugs. [1] Kerr, Reid, and Robin Cohen. "Modeling trust using transactional, numerical units." Proceedings of the 2006 International Conference on Privacy, Security and Trust: Bridge the Gap Between PST Technologies and Business Services. ACM, [2] Kerr, Reid, and Robin Cohen. "Smart cheaters do prosper: defeating trust and reputation systems." Proceedings of The 8th International Conference on Autonomous Agents and Multiagent Systems-Volume 2. International Foundation for Autonomous Agents and Multiagent Systems, [3] Noorian, Zeinab, and Mihaela Ulieru. "The state of the art in trust and reputation systems: a framework for comparison." Journal of theoretical and applied electronic commerce research 5.2 (2010): Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-27

28 Themenvorschläge 21. Methods for Analyzing Kernel Data Structures in Memory Forensics Betreuer/in: Johannes Stüttgen Memory forensic techniques such as the enumeration of processes via parsing of the kernels tasks list require in-depth knowledge on the layout of kernel data-structures. Because the offsets and sizes of members in kernel data-structures change on most builds, this is a hard problem that can't be solved by manual reverse engineering. Tools like Volatility [1] or Rekall [2] use a profile based system derived from debugging symbols to parse data-structures in memory dumps [3]. There are also publications on other viable methods, like dynamic disassembly of kernel functions [4] or even brute force in conjunction with pointer validation [5]. Your task is to compile a survey on all known methods that solve this problem. [1] [2] [3] [4] Case, Andrew, Lodovico Marziale, and Golden G. Richard III. "Dynamic recreation of kernel data structures for live forensics." Digital Investigation 7 (2010): S32-S40. [5] Lin, Zhiqiang, et al. "SigGraph: Brute Force Scanning of Kernel Data Structure Instances Using Graph-based Signatures." NDSS Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-28

29 Themenvorschläge 22. Overview of State-of-the-Art Binary Unpacking Techniques Betreuer/in: Johannes Götzfried Description: The packing of binary files is often used to prevent analysts from figuring out the behaviour of a given program. While maleware usually uses poor and easy to reverse packing tools, e.g., the UPX packer, there exist sophisticated commercial packers such as Themida[1], VMProtect[2] or CodeVirtualizer[3] which complicate the analysis of closed-source binaries by utilizing virtual machine based obfuscation. Although the detailed packing techniques of these tools are kept secret, it is claimed by members of the 'reversing scene' that binaries protected with these tools can be automatically unpacked. Within this work, it shall be examined whether these claims are justified and different unpacking approaches for at least one of the three commercial tools shall be presented. A good starting point is the deobfuscation/unpacking section from the 30C3 session on binary analysis [4]. Tools and plugins provided by the tuts4you community [5,6,7] are of special interest. This work is mainly intended as an investigation work but tools may be tested practically as well if desired. [1] [2] [3] [4] [5] [6] [7] Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-29

30 Letzte Fragen???! Aktuelle Ankündigungen über Mail-Verteiler (StudOn) und auf der Vorlesungswebseite (nur auf der Bachelor-Kursseite) Konferenzseminar IT-Sicherheit, WS 2014/15, H.-G. Eßer Folie A-30