CAST-Förderpreis IT-Sicherheit 2022

Termin: 10.10.2022
Dauer: 12:00-17:30
Ort: Cybersicherheitsgipfel Hessen 2022
Friedrich-Ebert-Allee 1 (RheinMain Congress Center)
65185 Wiesbaden
Diese Veranstaltung wird als Weiterbildung im Sinne der T.I.S.P.-Rezertifizierung anerkannt

Programm

12:00
Begrüßung zum CAST-Förderpreis IT-Sicherheit 2022 und Moderation
Andreas Heinemann
CAST e.V. / Hochschule Darmstadt / ATHENE
Andreas Heinemann
Finalisten Kategorie 2 – Bachelorarbeiten
12:10
Nico Heitmann
Universität Paderborn
Security Analysis of the Web Conferencing System BigBlueButton

Zu Beginn der Corona-Pandemie wurden kurzfristig und flächendeckend Konferenzsysteme wie BigBlueButton für kontaktfreies Arbeiten eingeführt. Dabei gerieten einige Systeme wegen Sicherheitsfragen in Kritik, aber ihre Sicherheit blieb weiter unklar. Als Schritt zur umfassenden Analyse von Konferenzsystemen führen wir in dieser Arbeit eine systematische Sicherheitsanalyse von BigBlueButton 2.3.3 durch und identifizieren 45 Schwachstellen.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
12:40
Lorenz Hetterich
Universität des Saarlandes / Helmholtz Center for Information Security (CISPA)
Exploiting Spectre on iOS

Moderne Prozessoren benutzen viele Optimierungen um Code schneller auszuführen. So wer- den Instruktionen in anderer Reihenfolge ausgeführt (out-of-order execution) und Programm- und Datenflüsse spekuliert (speculative execution) um möglichst viele verfügbaren Prozessor- resourcen zu nutzen. Gibt es im Code Pfad zum Beispiel einen Sprungbefehl, der von einem Wert im Hauptspeicher abhängt, wartet der Prozessor nicht auf den Wert, sondern beginnt spekulativ den Pfad auszuführen, der aufgrund vergangener Ausführungen der Instruktion am wahrscheinlichsten erscheint. Da die Vorhersagen nicht perfekt sind, ist es manchmal nötig Ergebnisse fälschlich spekulativ ausgeführter Instruktionen zu verwerfen. Allerdings lässt die Ausführung der Instruktionen dennoch Spuren zurück, die mit Seitenkanälen sichtbar gemacht werden können. Spectre verwirrt absichtlich den Prozessor, dass er bei so einer fälschlichen Ausführung Spuren zurück lässt, die Informationen über geheime Daten preisgeben. Obwohl so gut wie alle modernen Prozessoren von Spectre betroffen sind, gab es kaum Informationen zu Apple Hardware. Wir betrachten die Bausteine, die für einen Spectre Angriff nötig sind und zeigen, dass diese auf Apple Prozessoren implementiert werden können.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
13:10
Leon Michael Trampert
Universität des Saarlandes / Helmholtz Center for Information Security (CISPA)
Browser-based CPU Fingerprinting

Über den Browser können Prozessor-spezifische Angriffe (bspw. Spectre oder Meltdown) durchgeführt werden. Praktisch ist dies jedoch eine technische Herausforderung, da solche Angriffe ohne konkrete Prozessorinformationen schwer zu implementieren sind. Unsere Arbeit untersucht, inwieweit im Browser Client-seitiger Code verwendet werden kann, um Informationen über den Prozessor zu sammeln. Wir stellen Algorithmen vor, welche mit hoher Genauigkeit für Angreifer relevante Informationen wie den Hersteller, die Mikroarchitektur oder sogar das Modell extrahieren können.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
13:40 Mittagessen (Möglichkeit zum Besuch der Begleitausstellung des Cybersicherheitsgipfels)
Finalisten Kategorie 1 – Masterarbeiten
14:15
Felix Clemens Gail
TU Darmstadt / Fraunhofer SIT
Intrusion Detection for SOME/IP through Machine Learning and Rule Generation

Um die neue Generation internetfähiger Fahrzeuge besser vor Cyberangriffen zu schützen, werden sogenannte Intrusion Detection Systems (IDS) zur Unterstützung konventioneller Schutzmaßnahmen erforscht. Im Rahmen der Arbeit wurde untersucht inwiefern Genetische Programmierung, eine Form des Maschinellen Lernens, genutzt werden kann um Regeln für ein solches IDS bereitzustellen. Vorgestellt wird das entwickelte System und dessen Evaluation anhand von Angriffen auf das in Fahrzeugen genutzten Protokoll SOME/IP.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
14:45
Johanna Henrich
Hochschule Darmstadt
Performanz Evaluation von PQC in TLS 1.3 unter variierenden Netzwerkcharakteristiken

Eine beispielsweise durch Quantencomputer erzielte Steigerung der Rechenleistung könnte eine baldige Kompromittierung asymmetrischer Kryptographie ermöglichen, welche in unzähligen digitalen Systemen einen vertraulichen Schlüsselaustausch und eine Authentifizierung ermöglicht. Im Rahmen der Arbeit wurde daher ein Software Werkzeug erweitert und eingesetzt, um eine Integration alternativer Algorithmen für den Schlüsselaustausch im vielfach verwendeten TLS 1.3 Protokoll zu evaluieren. Der Fokus lag auf der Performanz unter variierenden Netzwerkbedingungen, sodass Rückschlüsse bezüglich der Eignung in unterschiedlichen Anwendungsfällen möglich waren. Es stellte sich heraus, dass einige Ansätze den aktuell verwendeten Algorithmen kaum nachstehen, während andere sehr individuelle Nachteile aufweisen, wobei auch die Konfiguration von Algorithmen und verwendeten Netzwerkprotokollen Einfluss nimmt.

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
15:15
Simon Nachtigall
Universität Paderborn
Evaluation of TLS session tickets

Transport Layer Security (TLS) ist eines der am häufigsten verwendeten kryptografischen Protokolle zur Gewährleistung einer sicheren Kommunikation im Internet. Eine Erweiterung von TLS ist der Session-Ticket Mechanismus, welcher den Verbindungsaufbau beschleunigt und die Rechenlast auf Client-Seite reduziert. In dieser Arbeit werden die 1 Millionen beliebtesten Webseiten auf verschiedene Sicherheitslücken in dem Session-Ticket Mechanismus untersucht und die zugehörigen Ergebnisse präsentiert (darunter auch eine schwerwiegende Sicherheitslücke bei Amazon Web Services).

CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
15:45 Beratung der Jury (intern)

Im Rahmen der Abschlussbetrachtung des Cybersicherheitsgipfels im Plenum
16:45 Preisverleihung des CAST-Förderpreises IT-Sicherheit 2022
17:30 Ende der Veranstaltung

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Andreas Heinemann
CAST e.V. / Hochschule Darmstadt / ATHENE
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Reiseplanung

Start


CAST e.V.
Rheinstraße 75
64295 Darmstadt

Kommende CAST Veranstaltungen

MedCAST 02.03.2023
Recht und IT-Sicherheit: Digitale Souveränität - Eine Forderung von Datenschutz und Datensicherheit? 16.03.2023
Automotive Security 27.04.2023
CAST/GI Promotionspreis IT-Sicherheit 2023 10.-11.05.2023
ID:Smart Workshop 21.-22.06.2023
22nd International Conference of the Biometrics Special Interest Group (BIOSIG 2023) 20.-22.09.2023