SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Professur für Informatik, Universität Duisburg-Essen de SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Professur für Informatik, Universität Duisburg-Essen TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Fri, 03 Nov 2023 16:01:04 +0100 Sicherheitslücken im Solana-Netzwerk aufgedeckt https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/sicherheitsluecken-im-solana-netzwerk-aufgedeckt-23729/?no_cache=1 Solana ist eine schnell wachsende Blockchain, die es ermöglicht, dezentrale Apps zu entwickeln und auf den Markt zu bringen. Sie zeichnet sich durch Skalierbarkeit und Schnelligkeit aus, birgt aber auch spezielle Sicherheitsrisiken. Mit einer neuen Analysemethode identifizierte ein Forschungsteam... Von dezentralen Finanzen (DeFI) bis hin zu Marktplätzen für digitale Kunst – dezentrale Applikationen, kurz DApps, haben ein breites Anwendungsspektrum. Und sie gewinnen zunehmend an Bedeutung, weil immer mehr Nutzer:innen unabhängig von einzelnen Anbietern sein wollen. Wichtige Daten werden bei DApps nicht wie üblich auf einem bestimmten Gerät oder Server, sondern dezentral in einem Netzwerk gespeichert. Realisiert wird dies mit Smart Contracts, die im Hintergrund von DApps laufen. Diese programmierten Verträge regeln z.B. den Kauf eines digitalen Kunstwerks, indem sie das Ergebnis einer Transaktion automatisch, ohne Eingriffe von Dritten, in unveränderbaren Blöcken auf einer Blockchain codieren.

Eine der bekanntesten öffentlichen Blockchains für Smart Contracts ist Ethereum. Doch auch Solana gewinnt zunehmend an Popularität. Im Vergleich zu Ethereum zeichnet sich diese Blockchain durch ihre „zustandslose“ Architektur aus, die sie sehr schnell, skalierbar und kostengünstig macht. Allerdings hat diese Technologie auch ihre Schattenseiten: Sie eröffnet neue, spezifische Angriffsmöglichkeiten auf Solana, für die es bislang nur wenige Abwehrmechanismen gibt. Tatsächlich haben bereits Angriffe auf Smart Contracts in Solana beträchtliche Verluste von Vermögenswerten verursacht. So z.B. beim berühmten Wormhole-Hack im Februar 2022, bei dem 320 Millionen US-Dollar verloren gingen.

Neue Analysetechnik benötigt keinen Quellcode

Um die Solana-Blockchain sicherer zu machen, haben die paluno-Teams von Prof. Dr. Lucas Davi und Prof. Dr. Klaus Pohl gemeinsam mit Prof. Dr. Ghassan Karame von der Ruhr-Universität Bochum eine Lösung entwickelt, mit der sich Sicherheitslücken in der Solana-Blockchain aufdecken lassen. Ihr Ansatz basiert auf Fuzz-Testing, bei dem sie die Smart Contracts mit einer großen Anzahl von Eingaben konfrontieren, um Rückschlüsse auf die Struktur der Codes zu ziehen. „Als bislang einzige Lösung für Solana arbeiten unsere Analysetechniken direkt mit dem Binärcode der Smart Contracts und können Solana-spezifische Programmierfehler aufspüren“, erklärt Prof. Dr. Lucas Davi. „Wir benötigen also keinen Quellcode, auf den man bei Solana meist keinen Zugriff hat.“

Mit Hilfe ihrer Testmethode haben die Forschenden die bislang umfangreichste Sicherheitsanalyse im Hauptnetzwerk von Solana durchgeführt. Sie untersuchten 6049 Smart Contracts und fanden in 52 Programmen Fehler. 14 Bugs wurden als schwerwiegend eingestuft und könnten potenziell von Hackern ausgenutzt werden. Die Solana Foundation wurde über diese Schwachstellen informiert. Am 28. November 2023 werden die Partner ihre Lösung auf der renommierten IT-Sicherheitstagung ACM CSS in Kopenhagen vorstellen.

Die häufigsten Fehlerklassen im Solana-Hauptnetzwerk

Die meisten der aufgedeckten Schwachstellen lassen sich den Fehlerklassen „Missing Signer Checks“ und „Arbitrary Cross Program Invocation“ zuordnen.

Der Missing Signer Check ist eine fehlende Überprüfung der Signatur einer Transaktion. In vielen Fällen haben solche Schwachstellen schwerwiegende Folgen, da sie Angreifern die Möglichkeit bieten, unautorisierten Zugriff auf sensible Daten und finanzielle Ressourcen zu erhalten. Das kann zum Beispiel Crowdfunding-Initiativen betreffen, wenn sie die Transaktion von Spenden mit Hilfe von Smart Contracts realisieren. Hier muss die Methode zum Abrufen der Gelder explizit prüfen, dass die Signatur des Aufrufenden auch tatsächlich die Signatur des Crowdfunding-Initiators ist. Wenn diese Überprüfung fehlt oder unzureichend ist, liegt ein Missing Signer Check vor. In solchen Fällen kann ein beliebiger Nutzer seine eigene Signatur angeben und der Smart Contract akzeptiert die Transaktion. Angreifer könnten auf diesem Weg die gesamten Gelder des Crowdfunding-Projekts stehlen. Die Forscher fanden Missing-Signer-Check-Lücken in 30 der 6049 Smart Contracts. 3 dieser Bugs wurden nach näherer Untersuchung als schwerwiegend eingestuft.

Eine zweite Fehlerklasse, die Arbitrary Cross Program Invocation (ACPI), kann dazu führen, dass ein Smart Contract einen schädlichen, von Angreifern entwickelten Smart Contract aufruft. Bei dieser Art der Schwachstelle wird die Adresse eines unerlaubten Smart Contracts übergeben und innerhalb der aktiven Funktion zu einem späteren Zeitpunkt aufgerufen.

Dies kann zum Beispiel im Bereich von Decentralized Finance (DeFi) zu Problemen führen. Eine DeFi-Plattform besteht aus mehreren Smart Contracts, die beispielsweise eine Kreditvergabe regeln. Diese Verträge holen von externen Oracle-Services Daten ein, wie zum Beispiel den Preis einer Kryptowährung. Angreifer könnten nun einen eigenen Oracle-Service erstellen und diesen unter Ausnutzung einer ACPI-Lücke in den Kreditvertrag einschleusen. Der Kreditvertrag würde dann den vom Angreifer erstellen Oracle-Service aufrufen, welcher den Preis für die Kryptowährung beliebig niedrig ansetzt, um der DeFi-Plattform finanziellen Schaden zuzufügen.

Die Forschenden fanden ACPI-Schwachstellen in 12 der 6049 Smart Contracts. Nach näheren Untersuchungen stufte das Forschungsteam 5 Fälle als schwerwiegenden Fehler ein, der eine gezielte Ausnutzung der ACPI-Lücke ermöglicht.

Veröffentlichung

Smolka, Sven; Giesen, Jens-Rene; Winkler, Pascal; Draissi, Oussama; Davi, Lucas; Karame, Ghassan; Pohl, Klaus: Fuzz on the Beach: Fuzzing Solana Smart Contracts. In: Proceedings of the 2023 ACM SIGSAC conference on Computer & communications security. Kopenhagen, Denmark 2023. arXiv.org

]]>
Pressemeldung birgit.kremer@paluno.uni-due.de Fri, 03 Nov 2023 16:01:04 +0100
Lehrveranstaltungen im Wintersemester 2023/2024 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehrveranstaltungen-im-wintersemester-20232024-23636/?no_cache=1 Im kommenden Semester wird unsere Arbeitsgruppe verschiedene Veranstaltungen in den Bachelor und Master Studiengängen anbieten. Im Bachelor bieten wir die neue Vorlesung, Application Management an. Diese Vorlesung wird die Sicherheitskonzepte von Kryptowährungen und Blockchain Technologien mit... Im kommenden Semester wird unsere Arbeitsgruppe verschiedene Veranstaltungen in den Bachelor und Master Studiengängen anbieten.

Im Bachelor bieten wir die neue Vorlesung, Application Management an. Diese Vorlesung wird die Sicherheitskonzepte von Kryptowährungen und Blockchain Technologien mit Schwerpunkt Smart Contract Security behandeln. Die Vorlesung Application Management vermittelt ein umfassendes Verständnis für die effiziente und sichere Verwaltung von Anwendungen über ihren gesamten Lebenszyklus hinweg, mit einem Schwerpunkt auf Sicherheit und bewährten Praktiken. Es werden technische und Managementaspekte behandelt, um Anwendungen funktionsfähig und sicher zu halten.

Im Master bieten wir die Vorlesung Secure Software Systems an. In dieser Vorlesung werden Studierende über aktuelle Forschung, Angriffstechniken und Abwehrmethoden im Bereich der Software- und Systemsicherheit informiert, mit einem Schwerpunkt auf der Analyse von Sicherheitsproblemen und Schutztechnologien für verschiedene Rechnerarchitekturen sowie der Verwundbarkeit von Softwaresystemen gegenüber Laufzeitangriffen (Exploits).

Zudem bieten wir jedes Semester eine begrenzte Anzahl an Seminararbeiten und Bachelorprojektarbeiten an. Eine Übersicht über die angebotenen Veranstaltungen findet sich auf unserer Lehre Seite für das Wintersemester 2023/2024 .

Beachte: Denken Sie bitte an die Anmeldungen in den entsprechenden Moodle Kursen für die oben genannten Vorlesungen. Die Zugangsschlüssel zur Einschreibung in die Moodle-Kurse erhalten Sie jeweils während der ersten Vorlesung.

]]>
News Studium & Lehre Forschung Wirtschaft und Praxis IBES ICB WIWI Organisation Praktikumsangebote Stellenangebote Oussama.Draissi@uni-due.de Tue, 26 Sep 2023 13:31:00 +0200
CSAW'23: Zwei Arbeiten in der Endrunde https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/csaw23-zwei-arbeiten-in-der-endrunde-23632/?no_cache=1 Zwei Arbeiten unseres Lehrstuhls haben es in die Endrunde des jährlichen Cyber Security Awareness Week Applied Forschungswettbewerb des NYU Tandon College of Engineering geschafft. Diese beiden Arbeiten wurden in die Auswahl von zehn Finalisten aufgenommen: RiscyROP: Automated Return-Oriented... Zwei Arbeiten unseres Lehrstuhls haben es in die Endrunde des jährlichen Cyber Security Awareness Week Applied Forschungswettbewerb des NYU Tandon College of Engineering geschafft.
Diese beiden Arbeiten wurden in die Auswahl von zehn Finalisten aufgenommen:

RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64
Tobias Cloosters, David Paaßen, Jianqiang Wang, Oussama Draissi, Patrick Jauernig, Emmanuel Stapf, Lucas Davi, Ahmad-Reza Sadeghi

ClepsydraCache – Preventing Cache Attacks with Time-Based Evictions
Jan Philipp Thoma, Christian Niesler, Dominic Funke, Gregor Leander, Pierre Mayr, Nils Pohl, Lucas Davi, Tim Güneysu

]]>
Mon, 18 Sep 2023 10:53:00 +0200
Neue Publikation zu ACM CCS: FuzzDelSol entdeckt Sicherheitslücken in Solana-Programmen https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neue-publikation-zu-acm-ccs-fuzzdelsol-entdeckt-sicherheitsluecken-in-solana-programmen-23633/?no_cache=1 Im kommenden November präsentieren wir unsere Forschungsarbeit Fuzz on the Beach: Fuzzing Solana Smart Contracts auf der renommierten ACM CCS-Konferenz vor. Diese Arbeit stellt FuzzDelSol vor, die erste Fuzzing-Architektur für Solana Smart Contracts, die die Plattform- und Vertragsinteraktionen... Im kommenden November präsentieren wir unsere Forschungsarbeit Fuzz on the Beach: Fuzzing Solana Smart Contracts auf der renommierten ACM CCS-Konferenz vor. Diese Arbeit stellt FuzzDelSol vor, die erste Fuzzing-Architektur für Solana Smart Contracts, die die Plattform- und Vertragsinteraktionen präzise abbildet. Da der Quellcode der meisten Solana Smart Contracts nicht verfügbar ist, arbeitet FuzzDelSol direkt mit dem Binärcode und nutzt sorgfältig extrahierte Informationen sowie Bug Oracles. Diese Untersuchung gewinnt an Bedeutung, da Solana zunehmend als bevorzugte Plattform für die Entwicklung dezentraler Anwendungen (DApps) wie NFT-Marktplätze genutzt wird.

Diese Arbeit entstand in Kooperation mit der Paluno-Arbeitsgruppe Software Systems Engineering von Prof. Klaus Pohl und Prof. Ghassan Karame vom Lehrstuhl für Information Security an der Ruhr-Universität Bochum.

]]>
News Studium & Lehre Forschung Wirtschaft und Praxis IBES ICB WIWI Organisation Praktikumsangebote Stellenangebote oussama.Draissi@stud.uni-due.de Sat, 02 Sep 2023 15:52:00 +0200
Lehrveranstaltungen im Sommersemester 2023 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehrveranstaltungen-im-sommersemester-2023-23281/?no_cache=1 Im kommenden Semester wird unsere Arbeitsgruppe verschiedene Veranstaltungen in den Bachelor und Master Studiengängen anbieten. Im Bachelor Pflichtbereich werden die Vorlesungen Cybersicherheit und Concurrency angeboten. Dabei ist zu beachten, dass aufgrund der geplanten Änderungen im Bachelor... Im kommenden Semester wird unsere Arbeitsgruppe verschiedene Veranstaltungen in den Bachelor und Master Studiengängen anbieten. Im Bachelor Pflichtbereich werden die Vorlesungen Cybersicherheit und Concurrency angeboten. Dabei ist zu beachten, dass aufgrund der geplanten Änderungen im Bachelor Studiengang Software Engineering die Veranstaltung Concurrency dieses Semester letztmalig gehalten wird. Im Master bieten wir die neue Vorlesung Sicherheit in Kryptowährungen und Blockchain Technologien an. Diese Vorlesung wird die Sicherheitskonzepte von Kryptowährungen und Blockchain Technologien mit Schwerpunkt Smart Contract Security behandeln. Zudem bieten wir jedes Semester eine begrenzte Anzahl an Seminararbeiten und Bachelorprojektarbeiten an. Eine Übersicht über die angebotenen Veranstaltungen findet sich auf unserer Lehre Seite für das Sommersemester 2023.

Beachte: Denken Sie bitte an die Anmeldungen in den entsprechenden Moodle Kursen für die oben genannten Vorlesungen. Direkt Links zu den Moodle Kursen finden Sie auf unser Lehre Seite. Die Zugangsschlüssel zur Einschreibung in die Moodle-Kurse erhalten Sie jeweils während der ersten Vorlesung.

]]>
lucas.davi.ude@gmail.com Wed, 22 Mar 2023 11:03:04 +0100
Neue Sicherheitslösung für Smart Speaker https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neue-sicherheitsloesung-fuer-smart-speaker-23248/?no_cache=1 Smart Speaker wie Amazon Alexa lassen sich von Nutzern über Sprachbefehle steuern und sind sehr populär. Allerdings müssen diese Geräte die ganze Zeit per Mikrofon mithören, ob sie angesprochen werden. Und wie kann man sicher sein, dass dieses Gerät wirklich nur das macht was es soll, und nicht... Smart Speaker wie Amazon Alexa lassen sich von Nutzern über Sprachbefehle steuern und sind sehr populär. Allerdings müssen diese Geräte die ganze Zeit per Mikrofon mithören, ob sie angesprochen werden. Und wie kann man sicher sein, dass dieses Gerät wirklich nur das macht was es soll, und nicht vielleicht gehackt wurde und den Nutzer bespitzelt?

Eine Technik um die Integrität eines anderen Gerätes festzustellen ist "Remote Attestation". Mit Remote-Attestation-Techniken kann ein Gerät prüfen, ob ein anderes Gerät in Ordnung ist. Die Arbeitsgruppe für Systemsicherheit hat in Zusammenarbeit mit Forschern der TU Darmstadt im Rahmen des DFG Sonderforschungsbereichs CROSSING unter dem Titel "SCAtt-man" eine Methode entwickelt, wie Benutzer mit ihrem Smartphone Smart Speaker attestieren und so feststellen können, ob die Software auf Gerät unverändert ist oder ob Viren oder andere Malware installiert wurden. In einer Benutzerstudie wurde festgestellt, dass der Prototyp eine hohe Benutzerfreundlichkeit aufweist. Außerdem gaben die Probanden an, dass dieses Verfahren ihr Vertrauen in Smart Speaker erhöht und sie es verwenden würden, falls dieses Verfahren in ihrem Smart Speaker integriert würde.

Dieses Projekt wird im April auf der ACM Conference on Data and Application Security and Privacy (CODASPY) in Charlotte (NC) in den Vereinigsten Staaten vorgestellt werden.

]]>
Thu, 02 Mar 2023 16:13:14 +0100
Preisverleihung des 9. Deutschen IT-Sicherheitspreis 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/preisverleihung-des-9-deutschen-it-sicherheitspreis-2022-23109/?no_cache=1 Am vergangenen Donnerstag, 10. November 2022, fand die Preisverleihung des alle zwei Jahre verliehenen deutschen IT Sicherheitspreises statt. Mit unserer Einreichung "CoCoS: Secure Development of Smart Contracts" gehören wir zu den 10 Finalisten unter 54 Einreichungen. Der deutsche... Am vergangenen Donnerstag, 10. November 2022, fand die Preisverleihung des alle zwei Jahre verliehenen deutschen IT Sicherheitspreises statt. Mit unserer Einreichung "CoCoS: Secure Development of Smart Contracts" gehören wir zu den 10 Finalisten unter 54 Einreichungen. Der deutsche IT-Sicherheitspreis ist die renommierteste und mit einem Preisgeld von 160.000 Euro höchstdotierte Auszeichnung der Branche.

Smart Contracts sind Programme, die auf der Blockchain ausgeführt werden. Auf öffentlichen Blockchains führen Sicherheitslücken in Smart Contracts zu Verlusten in Millionenhöhe. CoCoS (Contracts Compiled Securely) ist das erste Verfahren, welches Smart Contracts voll-automatisch gegen verschiedene Angriffsklassen schützt. Dabei unterstützt CoCoS verschiedene Smart Contract-Plattformen und Programmiersprachen, um die sichere Ausführung von Contracts in unterschiedlichen Blockchain Technologien zu ermöglichen und so auch Anwendungen auf privaten Enterprise Blockchains zu schützen.

Der deutsche IT-Sicherheitspreis wird seit 2006 alle zwei Jahre durch die Horst Görtz Stiftung vergeben und wurde in diesem Jahr von der 2. Innovationskonferenz Cybersicherheit flankiert. Gemäß dem erklärten Ziel des Preises, den Wirtschaftsstandort Deutschland im Punkt IT-Sicherheit zu fördern, werden die Gewinnerkonzepte durch eine unabhängige Jury nicht nur nach wissenschaftlichen, sondern auch nach wirtschaftlichen Kriterien begutachtet und ausgewählt.

Bei der Verleihung des 8. deutschen IT-Sicherheitspreises im Jahr 2020 reichte unsere Gruppe mit Tobias Cloosters, Michael Rodler und Prof. Lucas Davi eine Arbeit zur Schwachstellenanalyse von Trusted Execution Environments ein, und belegte damit den 3. Platz.

]]>
Tue, 15 Nov 2022 14:59:01 +0100
Vortrag auf RAID 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortrag-auf-raid-2022-23078/?no_cache=1 Das 25. internationale Symposium zu Research in Attacks, Intrusions and Defenses (RAID 2022) fand vom 26. bis 28. Oktober in Limassol, Zypern, statt. Tobias Cloosters präsentierte RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64. Diese Arbeit analysiert den... Research in Attacks, Intrusions and Defenses (RAID 2022) fand vom 26. bis 28. Oktober in Limassol, Zypern, statt.

Tobias Cloosters präsentierte RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64. Diese Arbeit analysiert den eingeschränkten Gadget-Raum für Return-Oriented Programming auf RISC-V und ARM64 und stellt ein Werkzeug vor, um ROP-Chains aus dem begrenzten und komplexen Gadget-Raum zu erzeugen.

]]>
tobias.cloosters@uni-due.de Thu, 03 Nov 2022 09:00:00 +0100
Vorträge und Tutorials auf IEEE SecDev https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortraege-und-tutorials-auf-ieee-secdev-23065/?no_cache=1 Mitarbeiter des Lehrstuhls präsentieren ihre Arbeit zu sicherem Videostreaming und ein Tutorial zur sicheren Programmierung von Smart Contracts auf der IEEE SecDev-Konferenz in Atlanta. In seinem dreistündigen Tutorial hat Jens-Rene Giesen auf der IEEE Secure Development Conference (SecDev) erklärt welche Sicherheitslücken bei der Programmierung von Smart Contracts auftreten können, wie man sie findet und verhindern kann.

Tobias Cloosters und Sebastian Surminski haben ihre Arbeit zum Thema Runtime Attestation von SGX Enlaves vorgestellt. Anhand eines Videoplayers für Videostreaming haben sie gezeigt, wie man Applikationen in SGX Enclaves um Control Flow Attestation erweitern kann um Runtime Attacks zu detektieren.

]]>
Sebastian.Surminski@paluno.uni-due.de Thu, 27 Oct 2022 15:51:06 +0200
Lehre im Wintersemester 2022/2023 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehre-im-wintersemester-20222023-22898/?no_cache=1 Im nächsten Semester findet unsere Master Vorlesung Secure Software Systems und unsere Bachelor-Wahlpflichtvorlesung Reverse-Engineering Software Systems statt. Im Master Bereich wird auch eine Projektgruppe von uns betreut, die sich mit Blockchain Technologien und Smart Contracts beschäftigt.... Im nächsten Semester findet unsere Master Vorlesung Secure Software Systems und unsere Bachelor-Wahlpflichtvorlesung Reverse-Engineering Software Systems statt. Im Master Bereich wird auch eine Projektgruppe von uns betreut, die sich mit Blockchain Technologien und Smart Contracts beschäftigt. Zudem bieten wir jedes Semester eine begrenzte Anzahl an Seminararbeiten und Bachelorprojektarbeiten an. Eine Übersicht über die angebotenen Veranstaltungen findet sich auf unserer Lehre Seite für das Wintersemester 2022/2023.

Beachte: Für die Studierenden der Vorlesungen Secure Software Systems und Reverse-Engineering  Software Systems werden wir in der ersten Vorlesungseinheit jeweils am Donnerstag den 13.10.22 ausführlich die zu verwendenden Tools und Virtual Machine Images vorstellen. Diese werden für die praktischen Laborübungen benötigt. Zudem wird für beide Vorlesungen im Moodle Kurs ein BBB-aufgezeichntes Video zur Verfügung gestellt, welches die Kursinhalte der Veranstaltung vorstellt und organisatorische Aspekte der Vorlesung bespricht. Mit den Upload der BBB-Aufzeichnungen kann bis Ende September gerechnet werden. 

]]>
Lucas.Davi@wiwinf.uni-due.de Thu, 22 Sep 2022 10:46:06 +0200