In dieser Arbeit wurden zum einen zwei SAPUI5 Anwendungen auf mögliche Sicherheitslücken untersucht und es wird gezeigt welches Schadenspotential sie haben und wie vorhandene behoben werden können. Zum anderen ging es um die Entwicklung eines Best-Practice Konzeptes, welches anerkannte Maßnahmen zur Verbesserung der Sicherheit enthält, indem gezeigt wird, wie die Entstehung von Sicherheitslücken verhindert oder bereits vorhandene geschlossen werden können. Dieses dient dem Zweck, den Entwickler bei der zukünftigen Entwicklung einer sicheren Webanwendung zu unterstützen.

In dieser Arbeit präsentieren wir eine grundlegende Analyse des Konzepts von Log Dateien aus forensische Sicht. Anhand einer detaillierten Untersuchung von drei häufig genutzten Log Formaten wurde ein gemeinsames Format entwickelt, das Untersuchungen solcher Dateien unabhängig von deren ursprünglichem Format ermöglicht. Als Beispiel für solch eine formatunabhängige Untersuchungsart wurde ein Tool entwickelt, das simple Visualisierungen von Log Dateien erzeugt, welche vor allem hilfreich bei der Analyse von Zeitlinien sind.

Universal Circuits (UCs) are special boolean circuits than can be programmed to compute any boolean circuit up to a given size n. Therefore, they are well-suited for Private Function Evaluation (PFE) that allows two partys to jointly compute a private function provided by one party on the secret input of the other party without revealing their private data to the respective other party. We provide a modular design and the best performing UC compiler to date that allows to efficiently perform PFE with the ABY framework.

In dieser Masterarbeit wird die heuristische Browser-Erweiterung Privacy Badger beispielhaft für Anti-Tracking-Verfahren, die nicht auf manuell gepflegten Blacklists basieren, hinsichtlich ihrer Schwächen und ihres Potentials analysiert. Zunächst wird mit dem transitiven Tracking ein neues, verteiltes Trackingverfahren vorgestellt, das die Heuristik des Privacy Badger umgeht. Anschließend wird aufgezeigt, dass mit der Kombination Blacklist-basierter und heuristischer Ansätze Verbesserungen hinsichtlich des Anti-Tracking-Schutzes und des Wartungsaufwands erreicht werden können.

Security Incidents sind selten durch komplexe Attacken begründet, ausgesprochen oft hingegen durch einfache menschliche Fehler: Security Misconfigurations. Die Arbeit untersucht empirisch vor allem, wie häufig und aus welchen Gründen es zu sicherheitsrelevanten Fehlkonfigurationen kommt, und gibt auf Basis der Daten Vorschläge, wie Institutionen und Firmen das Risiko für menschliche Fehler langfristig minimieren können.

The field of biometrics aims at performing automatic recognition of individuals based on their biological traits. To make biometric systems truly robust and reliable, multiple biometric sources could be combined, which, in itself, is not a trivial task.

Within the scope of this work, a data-driven fusion scheme, based on neural networks, has been designed and evaluated.

Non-Interactive Zero-Knowledge (NIZK) Proofs erlauben es Aussagen nachzuweisen, und dabei keinerlei Informationen, außer der Wahrheit der Aussage, preiszugeben.

Sie sind ein zentrales Werkzeug für kryptographische Protokolle. Sogenannte Groth-Sahai Beweise sind eine verbreitete und relativ effiziente Instanz von NIZKs. Der Vortrag stellt Optimierungen vor, die Groth-Sahai Beweise effizienter und damit praxistauglicher machen.

This thesis implements an interactive Bluetooth analysis framework by modifying the firmware inside a Broadcom Bluetooth Controller which is embedded in the Nexus 5. The framework named InternalBlue is an openly available and flexible tool which supports security researchers in analyzing and experimenting with protocol layers that have been difficult to access before. In addition, this work offers deep insight into the internal architecture of a widespread commercial family of Bluetooth controllers, which is used in smartphones and IoT platforms.

The Intrusion Detection Dataset Toolkit (ID2T) was proposed to dynamically create high quality datasets for Intrusion Detection Systems (IDSs) evaluation purposes. In this thesis, I conduct an analysis of the ID2T attacks to eliminate their shortcomings, and I enrich the ID2T arsenal by developing more sophisticated attacks. In addition, I propose a set of tests that undertake a statistical analysis of datasets.

Mitglieder

• Markus Dürmuth (HGI, Ruhr-Universität Bochum)
• Hans Löhr (Bosch GmbH)
• Kai Martius, (secunet AG)
• Kim Nguyen (Bundesdruckerei GmbH)
• Christian Rathgeb (Center for Research in Security and Privacy (CRISP))
• Andy Rupp (Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL))
• Norbert Schirmer (VP Endpoint Security)
• Ben Stock (Center for It-Security, Privacy & Accountability (CISPA))
• Christian Stüble (Rohde&Schwarz Cybersecurity)