SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen de SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Thu, 25 May 2023 15:44:27 +0200 Vortrag auf ACM CODASPY https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortrag-auf-acm-codaspy-23413/?no_cache=1 Sebastian Surminski, Mitarbeiter des Lehrstuhls haben im April auf der ACM Conference on Data and Application Security and Privacy (CODASPY) in Charlotte (NC) in den Vereinigsten Staaten eine neue Sicherheitslösung für Smart Speaker vorgestellt. Smart Speaker wie Amazon Alexa lassen sich von Nutzern über Sprachbefehle steuern und sind sehr populär. Allerdings müssen diese Geräte die ganze Zeit per Mikrofon mithören, ob sie angesprochen werden. Und wie kann man sicher sein, dass dieses Gerät wirklich nur das macht was es soll, und nicht vielleicht gehackt wurde und den Nutzer bespitzelt?

Eine Technik um die Integrität eines anderen Gerätes festzustellen ist "Remote Attestation". Mit Remote-Attestation-Techniken kann ein Gerät prüfen, ob ein anderes Gerät in Ordnung ist. Die Arbeitsgruppe für Systemsicherheit hat in Zusammenarbeit mit Forschern der TU Darmstadt im Rahmen des DFG Sonderforschungsbereichs CROSSING unter dem Titel "SCAtt-man" eine Methode entwickelt, wie Benutzer mit ihrem Smartphone Smart Speaker attestieren und so feststellen können, ob die Software auf Gerät unverändert ist oder ob Viren oder andere Malware installiert wurden. In einer Benutzerstudie wurde festgestellt, dass der Prototyp eine hohe Benutzerfreundlichkeit aufweist. Außerdem gaben die Probanden an, dass dieses Verfahren ihr Vertrauen in Smart Speaker erhöht und sie es verwenden würden, falls dieses Verfahren in ihrem Smart Speaker integriert würde.

Alle weiteren Details sind im Paper zu finden:
Surminski, S., Niesler, C., Linsner, S., Davi, L., & Reuter, C. (2023, April). SCAtt-man: Side-Channel-Based Remote Attestation for Embedded Devices that Users Understand. In Proceedings of the Thirteenth ACM Conference on Data and Application Security and Privacy (pp. 225-236).

]]>
jens-rene.giesen@paluno.de Thu, 25 May 2023 15:44:27 +0200
Lehrveranstaltungen im Sommersemester 2023 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehrveranstaltungen-im-sommersemester-2023-23281/?no_cache=1 Im kommenden Semester wird unsere Arbeitsgruppe verschiedene Veranstaltungen in den Bachelor und Master Studiengängen anbieten. Im Bachelor Pflichtbereich werden die Vorlesungen Cybersicherheit und Concurrency angeboten. Dabei ist zu beachten, dass aufgrund der geplanten Änderungen im Bachelor... Im kommenden Semester wird unsere Arbeitsgruppe verschiedene Veranstaltungen in den Bachelor und Master Studiengängen anbieten. Im Bachelor Pflichtbereich werden die Vorlesungen Cybersicherheit und Concurrency angeboten. Dabei ist zu beachten, dass aufgrund der geplanten Änderungen im Bachelor Studiengang Software Engineering die Veranstaltung Concurrency dieses Semester letztmalig gehalten wird. Im Master bieten wir die neue Vorlesung Sicherheit in Kryptowährungen und Blockchain Technologien an. Diese Vorlesung wird die Sicherheitskonzepte von Kryptowährungen und Blockchain Technologien mit Schwerpunkt Smart Contract Security behandeln. Zudem bieten wir jedes Semester eine begrenzte Anzahl an Seminararbeiten und Bachelorprojektarbeiten an. Eine Übersicht über die angebotenen Veranstaltungen findet sich auf unserer Lehre Seite für das Sommersemester 2023.

Beachte: Denken Sie bitte an die Anmeldungen in den entsprechenden Moodle Kursen für die oben genannten Vorlesungen. Direkt Links zu den Moodle Kursen finden Sie auf unser Lehre Seite. Die Zugangsschlüssel zur Einschreibung in die Moodle-Kurse erhalten Sie jeweils während der ersten Vorlesung.

]]>
lucas.davi.ude@gmail.com Wed, 22 Mar 2023 11:03:04 +0100
Neue Sicherheitslösung für Smart Speaker https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neue-sicherheitsloesung-fuer-smart-speaker-23248/?no_cache=1 Smart Speaker wie Amazon Alexa lassen sich von Nutzern über Sprachbefehle steuern und sind sehr populär. Allerdings müssen diese Geräte die ganze Zeit per Mikrofon mithören, ob sie angesprochen werden. Und wie kann man sicher sein, dass dieses Gerät wirklich nur das macht was es soll, und nicht... Smart Speaker wie Amazon Alexa lassen sich von Nutzern über Sprachbefehle steuern und sind sehr populär. Allerdings müssen diese Geräte die ganze Zeit per Mikrofon mithören, ob sie angesprochen werden. Und wie kann man sicher sein, dass dieses Gerät wirklich nur das macht was es soll, und nicht vielleicht gehackt wurde und den Nutzer bespitzelt?

Eine Technik um die Integrität eines anderen Gerätes festzustellen ist "Remote Attestation". Mit Remote-Attestation-Techniken kann ein Gerät prüfen, ob ein anderes Gerät in Ordnung ist. Die Arbeitsgruppe für Systemsicherheit hat in Zusammenarbeit mit Forschern der TU Darmstadt im Rahmen des DFG Sonderforschungsbereichs CROSSING unter dem Titel "SCAtt-man" eine Methode entwickelt, wie Benutzer mit ihrem Smartphone Smart Speaker attestieren und so feststellen können, ob die Software auf Gerät unverändert ist oder ob Viren oder andere Malware installiert wurden. In einer Benutzerstudie wurde festgestellt, dass der Prototyp eine hohe Benutzerfreundlichkeit aufweist. Außerdem gaben die Probanden an, dass dieses Verfahren ihr Vertrauen in Smart Speaker erhöht und sie es verwenden würden, falls dieses Verfahren in ihrem Smart Speaker integriert würde.

Dieses Projekt wird im April auf der ACM Conference on Data and Application Security and Privacy (CODASPY) in Charlotte (NC) in den Vereinigsten Staaten vorgestellt werden.

]]>
Thu, 02 Mar 2023 16:13:14 +0100
Preisverleihung des 9. Deutschen IT-Sicherheitspreis 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/preisverleihung-des-9-deutschen-it-sicherheitspreis-2022-23109/?no_cache=1 Am vergangenen Donnerstag, 10. November 2022, fand die Preisverleihung des alle zwei Jahre verliehenen deutschen IT Sicherheitspreises statt. Mit unserer Einreichung "CoCoS: Secure Development of Smart Contracts" gehören wir zu den 10 Finalisten unter 54 Einreichungen. Der deutsche... Am vergangenen Donnerstag, 10. November 2022, fand die Preisverleihung des alle zwei Jahre verliehenen deutschen IT Sicherheitspreises statt. Mit unserer Einreichung "CoCoS: Secure Development of Smart Contracts" gehören wir zu den 10 Finalisten unter 54 Einreichungen. Der deutsche IT-Sicherheitspreis ist die renommierteste und mit einem Preisgeld von 160.000 Euro höchstdotierte Auszeichnung der Branche.

Smart Contracts sind Programme, die auf der Blockchain ausgeführt werden. Auf öffentlichen Blockchains führen Sicherheitslücken in Smart Contracts zu Verlusten in Millionenhöhe. CoCoS (Contracts Compiled Securely) ist das erste Verfahren, welches Smart Contracts voll-automatisch gegen verschiedene Angriffsklassen schützt. Dabei unterstützt CoCoS verschiedene Smart Contract-Plattformen und Programmiersprachen, um die sichere Ausführung von Contracts in unterschiedlichen Blockchain Technologien zu ermöglichen und so auch Anwendungen auf privaten Enterprise Blockchains zu schützen.

Der deutsche IT-Sicherheitspreis wird seit 2006 alle zwei Jahre durch die Horst Görtz Stiftung vergeben und wurde in diesem Jahr von der 2. Innovationskonferenz Cybersicherheit flankiert. Gemäß dem erklärten Ziel des Preises, den Wirtschaftsstandort Deutschland im Punkt IT-Sicherheit zu fördern, werden die Gewinnerkonzepte durch eine unabhängige Jury nicht nur nach wissenschaftlichen, sondern auch nach wirtschaftlichen Kriterien begutachtet und ausgewählt.

Bei der Verleihung des 8. deutschen IT-Sicherheitspreises im Jahr 2020 reichte unsere Gruppe mit Tobias Cloosters, Michael Rodler und Prof. Lucas Davi eine Arbeit zur Schwachstellenanalyse von Trusted Execution Environments ein, und belegte damit den 3. Platz.

]]>
Tue, 15 Nov 2022 14:59:01 +0100
Vortrag auf RAID 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortrag-auf-raid-2022-23078/?no_cache=1 Das 25. internationale Symposium zu Research in Attacks, Intrusions and Defenses (RAID 2022) fand vom 26. bis 28. Oktober in Limassol, Zypern, statt. Tobias Cloosters präsentierte RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64. Diese Arbeit analysiert den... Research in Attacks, Intrusions and Defenses (RAID 2022) fand vom 26. bis 28. Oktober in Limassol, Zypern, statt.

Tobias Cloosters präsentierte RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64. Diese Arbeit analysiert den eingeschränkten Gadget-Raum für Return-Oriented Programming auf RISC-V und ARM64 und stellt ein Werkzeug vor, um ROP-Chains aus dem begrenzten und komplexen Gadget-Raum zu erzeugen.

]]>
tobias.cloosters@uni-due.de Thu, 03 Nov 2022 09:00:00 +0100
Vorträge und Tutorials auf IEEE SecDev https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortraege-und-tutorials-auf-ieee-secdev-23065/?no_cache=1 Mitarbeiter des Lehrstuhls präsentieren ihre Arbeit zu sicherem Videostreaming und ein Tutorial zur sicheren Programmierung von Smart Contracts auf der IEEE SecDev-Konferenz in Atlanta. In seinem dreistündigen Tutorial hat Jens-Rene Giesen auf der IEEE Secure Development Conference (SecDev) erklärt welche Sicherheitslücken bei der Programmierung von Smart Contracts auftreten können, wie man sie findet und verhindern kann.

Tobias Cloosters und Sebastian Surminski haben ihre Arbeit zum Thema Runtime Attestation von SGX Enlaves vorgestellt. Anhand eines Videoplayers für Videostreaming haben sie gezeigt, wie man Applikationen in SGX Enclaves um Control Flow Attestation erweitern kann um Runtime Attacks zu detektieren.

]]>
Sebastian.Surminski@paluno.uni-due.de Thu, 27 Oct 2022 15:51:06 +0200
Lehre im Wintersemester 2022/2023 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehre-im-wintersemester-20222023-22898/?no_cache=1 Im nächsten Semester findet unsere Master Vorlesung Secure Software Systems und unsere Bachelor-Wahlpflichtvorlesung Reverse-Engineering Software Systems statt. Im Master Bereich wird auch eine Projektgruppe von uns betreut, die sich mit Blockchain Technologien und Smart Contracts beschäftigt.... Im nächsten Semester findet unsere Master Vorlesung Secure Software Systems und unsere Bachelor-Wahlpflichtvorlesung Reverse-Engineering Software Systems statt. Im Master Bereich wird auch eine Projektgruppe von uns betreut, die sich mit Blockchain Technologien und Smart Contracts beschäftigt. Zudem bieten wir jedes Semester eine begrenzte Anzahl an Seminararbeiten und Bachelorprojektarbeiten an. Eine Übersicht über die angebotenen Veranstaltungen findet sich auf unserer Lehre Seite für das Wintersemester 2022/2023.

Beachte: Für die Studierenden der Vorlesungen Secure Software Systems und Reverse-Engineering  Software Systems werden wir in der ersten Vorlesungseinheit jeweils am Donnerstag den 13.10.22 ausführlich die zu verwendenden Tools und Virtual Machine Images vorstellen. Diese werden für die praktischen Laborübungen benötigt. Zudem wird für beide Vorlesungen im Moodle Kurs ein BBB-aufgezeichntes Video zur Verfügung gestellt, welches die Kursinhalte der Veranstaltung vorstellt und organisatorische Aspekte der Vorlesung bespricht. Mit den Upload der BBB-Aufzeichnungen kann bis Ende September gerechnet werden. 

]]>
Lucas.Davi@wiwinf.uni-due.de Thu, 22 Sep 2022 10:46:06 +0200
ERC Starting Grant Eingeworben https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/erc-starting-grant-eingeworben-22896/?no_cache=1 Prof. Lucas Davi erhält einen ERC Starting Grant. Damit stehen rund 1,5 Millionen Euro zur Verfügung, um in den nächsten fünf Jahren eine Lösung zu entwickeln, die Smart Contracts ganzheitlich vor Hacker-Angriffen schützt. Smart Contracts sind Computerprogramme, mit denen die Bedingungen eines Vertrags in eine Blockchain eingebunden und dort automatisch ausgeführt werden können. Die vielversprechende Technologie kommt bei Kryptowährungen zum Einsatz und steht in vielen Branchen in den Startlöchern: Immobiliengeschäfte, Lizenzvergaben, die Prüfung von Lieferketten oder die Steuerung von Produktionsabläufen – viele Transaktionen und Vorgänge, die heute von Hand erledigt werden müssen, ließen sich zukünftig mit programmierten Verträgen automatisieren und deutlich beschleunigen.

Allerdings wächst auch in Hacker-Kreisen das Interesse an Smart Contracts. Die Programme sind permanent online. Sobald irgendwo eine Schwachstelle im Code entdeckt wird, kann diese leicht ausgenutzt werden. In jüngster Zeit kam es zu mehreren Diebstählen von Kryptowährung, weil Smart Contracts Sicherheitslücken aufwiesen, die nicht schnell genug geschlossen wurden. 

Mit den Mitteln des ERC Starting Grant planen wir die erste Lösung zum Schutz von Smart Contracts zu realisieren, die alle Entwicklungs- und Einsatzphasen einer Blockchain abdeckt: Ein Schlüsselelement wird der erste Compiler für Smart Contracts sein, der Programmierfehler schon in der Entwicklungsphase aufdeckt und automatisch behebt. Cyberangriffe auf laufende Transaktionen sollen durch ein neues Monitoring-Werkzeug erkannt und rechtzeitig abgewehrt werden, bevor sie größeren Schaden anrichten. Um schließlich auch die Sicherheit bestehender Verträge zu bewerten und die Gründe für Cyberangriffe besser zu verstehen, forschen wir zudem an neuartigen forensischen Analyseverfahren.

ERC Starting Grants sind Förderinstrumente des Europäischen Forschungsrats (European Research Council, ERC), die junge Wissenschaftler:innen dabei unterstützen sollen, den Karrieresprung zu unabhängigen Spitzenforschern zu machen. Bei Antragstellung dürfen seit dem Erlangen des Doktorgrades höchstens sieben Jahre vergangen sein. Das ausdrücklich einzige Bewertungskriterium ist die wissenschaftliche Exzellenz des Forschers bzw. der Forscherin und des vorgeschlagenen Projekts. Weitere Informationen: https://erc.europa.eu/funding/starting-grants

]]>
Thu, 22 Sep 2022 10:21:32 +0200
Blockchain-Security Summer School https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/blockchain-security-summer-school-22803/?no_cache=1 Was sind Smart Contracts? Welche Fehler und Sicherheitslücken können in Smart Contracts auftreten? Sind diese Lücken gefährlich und wie kann man diese Lücken vermeiden? Diesen Fragenstellungen sind wir mit unserer Arbeitsgruppe in unserem Tutorial auf der Summer School zum Thema Blockchain-Security... Auf der Summer School durfte unsere Arbeitgruppe vertreten durch Prof. Lucas Davi und den wissenschaftlichen Mitarbeitern Jens-Rene Giesen, Michael Rodler und Oussama Draissi den dritten Tag mit Vorträgen und einem 180-minütigen Hands-On Lab füllen, um den Teilnehmenden eine Einführung in das Thema Smart Contract Security zu geben. Prof. Davi startete mit einem Vortrag zu dem bekannten DAO Angriff, der im Jahre 2016 zu einem massiven Diebstahl von Kryptowährung geführt hat und das Vertrauen in Blockchain Technologien erschüttert hat. Nach der weiteren Vorstellung von Forschungsarbeiten zum dynamischen Überwachen von Smart Contracts sowie Patching, hat sich Michael Rodler angeschlossen und hat neuste Ergebnisse seiner Forschung zu Smart Contract Fuzzing präsentiert. Danach konnten die Teilnehmer zum ersten Mal selber Smart Contracts programmieren sowie Schwachstellen finden und ausnutzen ("exploiten"). Den Teilnehmern hat es sichtlich Spaß gemacht praktische Angriffe selber zu testen und Sicherheitslücken zu patchen.

Seit einigen Jahren arbeiten wir mit der Firma NEC Labs an Lösungen, um Smart Contract Ausführung sicherer zu machen und haben in diesem Bereich schon einige Ergebnisse erzielt. Für den interessierten Leser sei an dieser Stelle unsere Projektseite erwähnt: Smart Contract Security Research

]]>
Fri, 15 Jul 2022 17:36:28 +0200
Sicherheitslücken in Fingerabdrucksensoren und Krypto-Wallets https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/sicherheitsluecken-in-fingerabdrucksensoren-und-krypto-wallets-22800/?no_cache=1 Unser Team hat zusammen mit Forschern des DFG Exzellenzclusters CASA eine neue Technik entwickelt, die erstmals das Fuzz-Testing von besonders geschützten Speicherbereichen moderner Prozessoren ermöglicht. Mithilfe dieser Methode konnten wir Schwachstellen in sicherheitskritischen Programmen... Sie sollen besonders sensible Daten vor Missbrauch schützen –  die „Software Guard Extensions“ (SGX) von Intel. Die weit verbreitete Technologie wird eingesetzt, um einen bestimmten Speicherbereich vom Rest eines Computers abzuschirmen. In einer solchen Enklave lässt sich beispielsweise ein Passwortmanager sicher ausführen, selbst wenn das übrige System von Schadsoftware befallen sein sollte.

Nicht selten schleichen sich allerdings Fehler bei der Programmierung der Enklaven ein. Bereits 2020 hat unsere Arbeitsgruppe mehrere Schwachstellen in SGX-Enklaven entdeckt und veröffentlicht (zum Artikel: Gefahr für sensible Daten). Nun ist uns gemeinsam mit Partnern des Exzellenzclusters CASA ein weiterer Durchbruch bei der Analyse-Technik gelungen:  Während wir zuvor den Enklaven-Code auf Basis symbolischer Ausführung analysierten, ermöglicht unsere neueste Entwicklung das sehr viel effektivere Fuzz-Testing. Hierbei wird ein Programm mit einer großen Anzahl von Eingaben konfrontiert, um Rückschlüsse auf die Struktur des Codes zu ziehen. „Fuzzing lässt sich nicht ohne Weiteres auf Enklaven anwenden – schließlich ist deren Speicherbereich ja extra vor Zugriffen von außen geschützt“, erklärt Tobias Cloosters (wissenschaftl. Mitarbeiter in unserer Arbeitsgruppe) die Herausforderung. „Außerdem sind für das Fuzzing verzweigte Datenstrukturen notwendig, welche wir dynamisch aus dem Enklaven-Code rekonstruieren.“ Forschungspartner Johannes Willbold aus dem Forschungskolleg "SecHuman - Sicherheit für Menschen im Cyberspace" von der Ruhr-Universität Bochum ergänzt: „Auf diese Weise lassen sich die abgeschirmten Bereiche ohne Zugriff auf den Quellcode analysieren.“

Dank moderner Fuzzing-Technik konnten wir viele, bisher unbekannte Sicherheitslücken aufspüren. Betroffen waren diesmal alle getesteten Fingerabdruck-Treiber sowie Wallets zur Aufbewahrung von Kryptowährung. Hacker könnten diese Schwachstellen ausnutzen, um biometrische Daten auszulesen oder das gesamte Guthaben der gespeicherten Krypto-Währung zu stehlen. Alle Hersteller wurden informiert; das SKALE Network zeigte sich für die Hinweise sogar mit einer „Bug-Bounty“-Prämie in Form von Krypogeld erkenntlich. Drei Schwachstellen wurden in das allgemein zugängliche CVE-Verzeichnis aufgenommen. Die Ergebnisse unserer Arbeit werden auf dem USENIX Security Symposium in Boston (USA) im August vorgestellt.

Weitere Infos

CVE steht für Common Vulnerabilities and Exposures und listet größere, öffentlich bekannte Sicherheitslücken. Die hier referenzierten Schwachstellen haben die CVE-Einträge CVE-2021-3675 (Synaptics Fingerprint Driver), CVE-2021-36218 (SKALE sgxwallet ) und CVE-2021-36219 (SKALE sgxwallet)

Veröffentlichung: Cloosters, Tobias; Willbold, Johannes; Holz, Thorsten; Davi, Lucas Vincenzo: SGXFuzz: Efficiently Synthesizing Nested Structures for SGX Enclave Fuzzing. In: Proc. of 31st USENIX Security Symposium. 2022. Pre-Print: SGXFuzz: Efficiently Synthesizing Nested Structures for SGX Enclave Fuzzing

TEE Projektseite: Analysis of TEE Software 

DFG Exzellenzcluster CASALink zur CASA-Website

]]>
Thu, 14 Jul 2022 14:25:23 +0200