CAST/GI Promotionspreis IT-Sicherheit 2015/2016

Termin: 05.04.2016
Dauer: 16:00-20:00
Ort: Universitätsclub Bonn e.V.
Konviktstr.9
53113 Bonn

Programm

16:00
Begrüßung und Moderation
Andreas Heinemann
CAST e.V.
Andreas Heinemann
Hannes Federrath
GI e.V.
16:10
Lucas Davi
Lucas Davi
Code-Reuse Attacks and Defenses

Code-Reuse Angriffe wie Return-Oriented Programming sind eine moderne, mächtige Klasse von Laufzeitangriffen (Exploits), die es einem Angreifer erlauben den Programmfluss von Software zu manipulieren. Durch die bösartige Kombination von vorhandenem Programmcode, kompromittieren diese Angriffe Computersysteme ohne Schadcode auf dem Opfersystem einzuschleusen. Da existierende Systeme keinen generischen Schutz gegen diese Angriffe bieten, werden Code-Reuse Techniken in zahlreichen Browser Exploits, Smartphone Angriffen wie Stagefright und Cyberattacken wie Stuxnet genutzt. Die Dissertation erforscht Code-Reuse Angriffe auf unterschiedlichen Prozessorarchitekturen und präsentiert innovative, generische und praktische Abwehrmethoden. Insbesondere zeigt sie neuartige Angriffstechniken, die Schutzmechanismen wie Microsoft EMET (Enhanced Mitigation Experience Toolkit) umgehen, den ersten Code-Reuse Schutz für mobile Geräte, eine neue Klasse von dynamischen Code-Reuse Angriffen und eine Chip-basierte Sicherheitstechnologie für zukünftige eingebettete Systeme der Firma Intel.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
16:40 Diskussion zum Vortrag von Lucas Davi
16:50
Juliane Krämer
Juliane Krämer
Why Cryptography Should Not Rely on Physical Attack Complexity

Kryptografische Anwendungen müssen nicht nur mathematisch sicher sein, sondern auch vor physikalischen Angriffen geschützt werden. Da sich die Einschätzung physikalischer Angriffskomplexität als falsch erweisen kann, müssen sämtliche physikalische Angriffe bei der Entwicklung von Gegenmaßnahmen berücksichtigt werden – auch solche, die nur theoretisch bekannt sind, aber noch nicht praktisch realisiert wurden. Dass dies notwendig ist, aber bisher nicht umgesetzt wird, demonstriert Dr. Juliane Krämer, indem sie in ihrer Arbeit einen Seitenkanal- und einen Fehlerangriff, die beide aufgrund ihrer vermeintlichen Komplexität viele Jahre nicht berücksichtigt wurden, genau erforscht und ihre praktische Umsetzung sowie Gegenmaßnahmen beschreibt.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
17:20 Diskussion zum Vortrag von Juliane Krämer
17:30 Kaffeepause
18:00
Benjamin Stock
Benjamin Stock
Untangling the Web of Client-Side Cross-Site Scripting

Die Arbeit analysiert im Detail das Problemfeld Client-Side Cross-Site Scripting. Mithilfe eines instrumentieren Browsers zeigt sie, dass eine von zehn der 5000 wichtigsten Webseiten eine solche Schwachstelle enthält. Aufgrund dieser hohen Verbreitung untersucht die Arbeit die Gründe für diese Arten von Verwundbarkeiten und zeigt, dass die Gründe zu vielfältig sind, um sie einfach in den Griff zu kriegen. Daher wird zum Abschluss ein neuartiger Schutz vorgestellt und in einem echten Browser implementiert und evaluiert. Auf diese Weise kann das Ausnutzen von Client-Side XSS Verwundbarkeiten effizient unterbunden werden.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
18:30 Diskussion zum Vortrag von Benjamin Stock
18:40
Fabian Yamaguchi
Fabian Yamaguchi
Pattern-Based Vulnerability Discovery

Die Entdeckung und Eliminierung von Schwachstellen im Programmcode ist eine Grundvoraussetzung für den sicheren Betrieb von IT-Systemen. Bis dato werden derartige Fehler größtenteils in langwierigen manuellen Untersuchungen des Codes durch erfahrene Analysten identifiziert, ein Vorgehen, das aufgrund der wachsenden Größe moderner Softwareprojekte zunehmend an seine Grenzen stößt. Um diesem Problem zu begegnen, stellt die Dissertation die musterbasierte Schwachstellenidentifizierung vor, ein neuartiger Ansatz, der Verfahren der statischen Analyse, des maschinellen Lernens und des Graph Minings kombiniert, um den Analysten in der täglichen Arbeit zu unterstützen, ohne dabei auf die Stärken manueller Analyse zu verzichten. Dabei zeigt sich empirisch, dass der Ansatz nicht nur zu einer drastischen Reduktion der zu untersuchenden Codemenge führt, sondern es auch erlaubt unter realen Bedingungen kritische, bisher unbekannte Schwachstellen in ausgereiften Projekten wie dem Linux Kernel und dem Medien Player VLC aufzudecken

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
19:10 Diskussion zum Vortrag von Fabian Yamaguchi
19:20 Vergleichende Diskussion
19:50 Abstimmung des Publikums

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Andreas Heinemann
CAST e.V.
Tel.: +49 (0) 6151/168 482
Fax: +49 (0) 6151/869 224
E-Mail:

Hannes Federrath
GI e.V.
Tel.: +49 (0) 40 42883 2358
Fax: +49 (0) 40 42883 2086
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Reiseplanung

Start


CAST e.V.
Rheinstraße 75
64295 Darmstadt

Kommende CAST Veranstaltungen

Automotive Security 11.04.2019
Quantentechnologie und Quantencomputer-resistente Sicherheit 02.05.2019
Mobile und Embedded Security 16.05.2019
CAST/GI Promotionspreis IT-Sicherheit 2019 22.05.2019
Hands-on: PKI in a nutshell 26.06.2019
Cloud Security 27.06.2019
Biometrie-BIOSIG 2019 18.-20.09.2019

Registrierung für die Volksverschlüsselung

Zusammen mit dem CAST e.V. bietet das Fraunhofer SIT im Rahmen der CAST-Workshops die Möglichkeit der Vor-Ort-Registrierung an. Möchten Sie diese Gelegenheit wahrnehmen, so bringen Sie hierfür bitte ein gültiges Ausweisdokument mit und tragen Vorname(n) und Nachname aus Ihrem Ausweis, sowie Ihre E-Mail-Adresse, für die Sie ein Zertifikat der Volksverschlüsselung beantragen möchten, in das Formuar ein. Sie können das Registrierungsformular auch vorab ausfüllen und zur Veranstaltung mitbringen.

Weitere Informationen finden Sie unter volksverschluesselung.de.