CAST-Förderpreis IT-Sicherheit

Date: 25.11.2021
Duration: 10:00-17:30
Location: Digitale Veranstaltung
Diese Veranstaltung wird als Weiterbildung im Sinne der T.I.S.P.-Rezertifizierung anerkannt

Program

10:00
Begrüßung zum CAST-Förderpreis IT-Sicherheit 2021 und Moderation
Andreas Heinemann
CAST e.V. / Hochschule Darmstadt / ATHENE
Andreas Heinemann
Kategorie 2 – Bachelorarbeiten
10:10
Tobias Kröll
TU Darmstadt
Tobias Kröll
ARIstoteles: iOS Baseband Interface Protocol Research

Das Apple Remote Invocation Protokoll ist bisher noch nicht öffentlich bekannt gewesen und dient der Kommunikation zwischen iOS und dem Baseband Chip. Wir schauen uns die Felder und Strukturen innerhalb dieses Protokolls an und veranschaulichen unsere Ergebnisse schließlich in einem Wireshark Dissector. Unter anderem zeigen wir auch wie und woher man bspw. mit Ghidra automatisiert Informationen über das Protokoll aus der Software extrahieren kann.

CAST Members can download the documents here.
10:40
Timo Pohl
Universität Bonn
Timo Pohl
Benutzerfreundliche Schutzmechanismen gegen USB-basierte Angriffe unter Linux

Über die weit verbreitete USB-Schnittstelle können Angriffe auf Computer erfolgen, gegen die es noch keine weit verbreiteten Schutzmaßnahmen gibt. Diese Arbeit stellt ein Konzept vor, welches den Kontext in dem ein USB-Gerät angeschlossen wird, sowie die Verifikation der erwarteten Fähigkeiten dieses Geräts durch den Benutzer zur Ableitung der Maliziösität des Geräts nutzt. Außerdem wird anhand eines Prototyps die Benutzerfreundlichkeit des Konzepts evaluiert.

CAST Members can download the documents here.
11:10 Kaffeepause
11:30
Moritz Wilhelm
Universität des Saarlandes
Moritz Wilhelm
retroCSP: Retrofitting Web Security on the Client Side by Reinforcing Widespread CSP Support

Die Content Security Policy (CSP) ist ein Mechanismus um Cross-Site Scripting (XSS) Angriffe abzuschwächen, allerdings scheitern viele Browser dabei den Sicherheitsstandard konsistent durchzusetzen, was eine große Herausforderung bei der Entwicklung einer sicheren und effektiven CSP darstellt.

In dieser Arbeit stelle ich retroCSP vor, eine Retrofitting-Architektur, welche nicht-universell unterstützte CSP-Features nachimplementiert und somit eine konsistente Benutzung neuester Erweiterungen des CSP-Standards erlaubt. Durch die Analyse der Implementierung des Sicherheitsstandards in den verschiedenen Browsern bin ich auf mehrere inkonsistente Verhaltensweisen sowie Verletzungen des Standards gestoßen, welche retroCSP behebt und letztlich durch diese Arbeit zu einer Anpassung der CSP Spezifikation geführt haben.

CAST Members can download the documents here.
Kategorie 1 – Masterarbeiten
12:00
Andreas Bäuml
TU Darmstadt
Andreas Bäuml
A Framework to Enhance User Security and Privacy in Radiometric WiFi Fingerprinting

The omnipresence of Wi-Fi and Internet of Things (IoT) devices in our daily lives demands strong quantifiable security and privacy mechanisms to protect us from attackers. In order to increase the resilience of wireless networks against attacks such as the Key Reinstallation Attack (KRACK) published in 2017, it is necessary to introduce additional authentication mechanisms. In this work, I investigate radiometric identification schemes in wireless networks based on physical properties of devices and how they can be used securely, while at the same time, preserving the privacy of users.

CAST Members can download the documents here.
12:30 Mittagspause
13:30
Pia Bauspieß
Hochschule Darmstadt
Pia Bauspieß
Privacy-Preserving Preselection for Workload Reduction in Protected Biometric Identification Systems

Secure and efficient biometric identification is one of the key challenges in biometrics today. As a solution to both challenges, this thesis proposes an efficient privacy-preserving reduction of the computational workload of biometric identification systems by applying public-key encryption with keyword search (PEKS) and fully homomorphic encryption (FHE), both of which can be instantiated in post-quantum secure configurations. In terms of efficiency, the proposed system achieves face identification on 1000 subjects in 210 milliseconds.

CAST Members can download the documents here.
14:00
Oleksiy Lisovets
Ruhr-Universität Bochum
EM Side-Channel Analysis on Smartphone Early Boot Encryption

An EM side-channel is used to analyse the hardware AES implementation of a smartphone and to recover the hardware fused encryption key.

Therefore, various statistical tools like t-test, SNR and correlation are used to blackbox reverse engineer the hardware implementation of the AES, which leads to a successful attack. This attack allows offline decryption of software updates as well as scaleable passcode cracking on GPU clusters using hashcat.

CAST Members can download the documents here.
14:30 Kaffeepause
14:50
Johannes Lohmöller
RWTH Aachen University
Johannes Lohmöller
An Internet-Wide Study on TLS Usage in Industrial Control Systems

Over recent years, industrial networks and the Internet moved closer together, raising fundamental concerns about the communication security of protocols initially standardized for isolated usage. To analyze how efficient Transport Layer Security (TLS) as a successful and well-understood security solution protects such deployments, we employ Internet-wide scans for ten well-known industrial protocols.

We show that with a TLS-adoption rate of 7%, out of which 44% have severe security deficiencies, the transition towards secure Internet-wide industrial communication is still in an early stage.

CAST Members can download the documents here.
15:20
Julia Wunder
FAU Erlangen-Nürnberg
Julia Wunder
Eine Verlässlichkeitsanalyse von CVSSv3.1

CVSS steht für das Common Vulnerability Scoring System, das zur Bewertung von Schwachstellen eingesetzt wird und weit verbreitet ist. Innerhalb der Masterarbeit wurde die Verlässlichkeit von CVSSv3.1 mithilfe von definierten Einflussfaktoren und einer Online-Umfrage als Nutzerstudie überprüft. Die Studienergebnisse zeigten, dass CVSS keine verlässlichen Ergebnisse erzeugt und die Bewertungen gewissen persönlichen Einflüssen unterliegt.

CAST Members can download the documents here.
15:50
Sitzung der Jury
Mitglieder der diesjährigen Jury
  • Paul Duplys, Robert Bosch GmbH

  • Markus Duermuth, Ruhr Universität Bochum

  • Christian Rathgeb, Hochschule Darmstadt / ATHENE

  • Andy Rupp, University of Luxembourg / KASTEL Security Research Labs

  • Ben Stock, CISPA - Helmholtz-Zentrum für Informationssicherheit gGmbH

  • Christoph Maggioni, secunet Security Networks AG

16:30
Hans-Peter Fischer
KPMG AG Wirtschaftsprüfungsgesellschaft
Laudatio und Preisverleihung

Information and Contact

If you have any questions please contact:

Moderator

Andreas Heinemann
CAST e.V. / Hochschule Darmstadt / ATHENE
Email:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
Email:

In Hardware We Trust: Challenges and Opportunities of Hardware Security

The CAST hot topic "In Hardware We Trust: Challenges and Opportunities of Hardware Security" on November 19, 2021 is cancelled. We plan to place the event next year, an exact date is not yet known.

CAST Online Workshops

In these times of COVID-19 restrictions in particular, questions of cyber security remain highly topical. CAST would like to make its contribution and will be organising the CAST workshops online as virtual events from July 2020. This will ensure a continuous exchange of knowledge on current cyber security issues.

The CAST workshops in digital format will be implemented with the open source web conference system BigBlueButton, which is operated with a CAST-owned server located in Darmstadt to ensure data protection.

As soon as the COVID-19 restrictions allow it, CAST will return to the usual workshop format and is already looking forward to welcoming you again personally in Darmstadt.

Upcoming CAST Events

Forensik / Internetkriminalität 16.12.2021
PKI in a nutshell 26.01.2022
eIDAS & Digitales Vertrauen 03.02.2022
Recht und IT-Sicherheit 17.03.2022
Automotive Security 28.04.2022
Mobile+Embedded Security 19.05.2022
Cloud Security 30.06.2022
Quantentechnologie und Quantencomputer- resistente Sicherheit 01.09.2022
Biometrie-BIOSIG 2022 14.-16.09.2022
hot topic 20.10.2022
CAST-Förderpreis 24.11.2022
5G-Security 01.12.2022