SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen de SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Tue, 15 Nov 2022 14:59:01 +0100 Preisverleihung des 9. Deutschen IT-Sicherheitspreis 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/preisverleihung-des-9-deutschen-it-sicherheitspreis-2022-23109/?no_cache=1 Am vergangenen Donnerstag, 10. November 2022, fand die Preisverleihung des alle zwei Jahre verliehenen deutschen IT Sicherheitspreises statt. Mit unserer Einreichung "CoCoS: Secure Development of Smart Contracts" gehören wir zu den 10 Finalisten unter 54 Einreichungen. Der deutsche... Am vergangenen Donnerstag, 10. November 2022, fand die Preisverleihung des alle zwei Jahre verliehenen deutschen IT Sicherheitspreises statt. Mit unserer Einreichung "CoCoS: Secure Development of Smart Contracts" gehören wir zu den 10 Finalisten unter 54 Einreichungen. Der deutsche IT-Sicherheitspreis ist die renommierteste und mit einem Preisgeld von 160.000 Euro höchstdotierte Auszeichnung der Branche.

Smart Contracts sind Programme, die auf der Blockchain ausgeführt werden. Auf öffentlichen Blockchains führen Sicherheitslücken in Smart Contracts zu Verlusten in Millionenhöhe. CoCoS (Contracts Compiled Securely) ist das erste Verfahren, welches Smart Contracts voll-automatisch gegen verschiedene Angriffsklassen schützt. Dabei unterstützt CoCoS verschiedene Smart Contract-Plattformen und Programmiersprachen, um die sichere Ausführung von Contracts in unterschiedlichen Blockchain Technologien zu ermöglichen und so auch Anwendungen auf privaten Enterprise Blockchains zu schützen.

Der deutsche IT-Sicherheitspreis wird seit 2006 alle zwei Jahre durch die Horst Görtz Stiftung vergeben und wurde in diesem Jahr von der 2. Innovationskonferenz Cybersicherheit flankiert. Gemäß dem erklärten Ziel des Preises, den Wirtschaftsstandort Deutschland im Punkt IT-Sicherheit zu fördern, werden die Gewinnerkonzepte durch eine unabhängige Jury nicht nur nach wissenschaftlichen, sondern auch nach wirtschaftlichen Kriterien begutachtet und ausgewählt.

Bei der Verleihung des 8. deutschen IT-Sicherheitspreises im Jahr 2020 reichte unsere Gruppe mit Tobias Cloosters, Michael Rodler und Prof. Lucas Davi eine Arbeit zur Schwachstellenanalyse von Trusted Execution Environments ein, und belegte damit den 3. Platz.

]]>
Tue, 15 Nov 2022 14:59:01 +0100
Vortrag auf RAID 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortrag-auf-raid-2022-23078/?no_cache=1 Das 25. internationale Symposium zu Research in Attacks, Intrusions and Defenses (RAID 2022) fand vom 26. bis 28. Oktober in Limassol, Zypern, statt. Tobias Cloosters präsentierte RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64. Diese Arbeit analysiert den... Research in Attacks, Intrusions and Defenses (RAID 2022) fand vom 26. bis 28. Oktober in Limassol, Zypern, statt.

Tobias Cloosters präsentierte RiscyROP: Automated Return-Oriented Programming Attacks on RISC-V and ARM64. Diese Arbeit analysiert den eingeschränkten Gadget-Raum für Return-Oriented Programming auf RISC-V und ARM64 und stellt ein Werkzeug vor, um ROP-Chains aus dem begrenzten und komplexen Gadget-Raum zu erzeugen.

]]>
tobias.cloosters@uni-due.de Thu, 03 Nov 2022 09:00:00 +0100
Vorträge und Tutorials auf IEEE SecDev https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vortraege-und-tutorials-auf-ieee-secdev-23065/?no_cache=1 Mitarbeiter des Lehrstuhls präsentieren ihre Arbeit zu sicherem Videostreaming und ein Tutorial zur sicheren Programmierung von Smart Contracts auf der IEEE SecDev-Konferenz in Atlanta. In seinem dreistündigen Tutorial hat Jens-Rene Giesen auf der IEEE Secure Development Conference (SecDev) erklärt welche Sicherheitslücken bei der Programmierung von Smart Contracts auftreten können, wie man sie findet und verhindern kann.

Tobias Cloosters und Sebastian Surminski haben ihre Arbeit zum Thema Runtime Attestation von SGX Enlaves vorgestellt. Anhand eines Videoplayers für Videostreaming haben sie gezeigt, wie man Applikationen in SGX Enclaves um Control Flow Attestation erweitern kann um Runtime Attacks zu detektieren.

]]>
Sebastian.Surminski@paluno.uni-due.de Thu, 27 Oct 2022 15:51:06 +0200
Lehre im Wintersemester 2022/2023 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehre-im-wintersemester-20222023-22898/?no_cache=1 Im nächsten Semester findet unsere Master Vorlesung Secure Software Systems und unsere Bachelor-Wahlpflichtvorlesung Reverse-Engineering Software Systems statt. Im Master Bereich wird auch eine Projektgruppe von uns betreut, die sich mit Blockchain Technologien und Smart Contracts beschäftigt.... Im nächsten Semester findet unsere Master Vorlesung Secure Software Systems und unsere Bachelor-Wahlpflichtvorlesung Reverse-Engineering Software Systems statt. Im Master Bereich wird auch eine Projektgruppe von uns betreut, die sich mit Blockchain Technologien und Smart Contracts beschäftigt. Zudem bieten wir jedes Semester eine begrenzte Anzahl an Seminararbeiten und Bachelorprojektarbeiten an. Eine Übersicht über die angebotenen Veranstaltungen findet sich auf unserer Lehre Seite für das Wintersemester 2022/2023.

Beachte: Für die Studierenden der Vorlesungen Secure Software Systems und Reverse-Engineering  Software Systems werden wir in der ersten Vorlesungseinheit jeweils am Donnerstag den 13.10.22 ausführlich die zu verwendenden Tools und Virtual Machine Images vorstellen. Diese werden für die praktischen Laborübungen benötigt. Zudem wird für beide Vorlesungen im Moodle Kurs ein BBB-aufgezeichntes Video zur Verfügung gestellt, welches die Kursinhalte der Veranstaltung vorstellt und organisatorische Aspekte der Vorlesung bespricht. Mit den Upload der BBB-Aufzeichnungen kann bis Ende September gerechnet werden. 

]]>
Lucas.Davi@wiwinf.uni-due.de Thu, 22 Sep 2022 10:46:06 +0200
ERC Starting Grant Eingeworben https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/erc-starting-grant-eingeworben-22896/?no_cache=1 Prof. Lucas Davi erhält einen ERC Starting Grant. Damit stehen rund 1,5 Millionen Euro zur Verfügung, um in den nächsten fünf Jahren eine Lösung zu entwickeln, die Smart Contracts ganzheitlich vor Hacker-Angriffen schützt. Smart Contracts sind Computerprogramme, mit denen die Bedingungen eines Vertrags in eine Blockchain eingebunden und dort automatisch ausgeführt werden können. Die vielversprechende Technologie kommt bei Kryptowährungen zum Einsatz und steht in vielen Branchen in den Startlöchern: Immobiliengeschäfte, Lizenzvergaben, die Prüfung von Lieferketten oder die Steuerung von Produktionsabläufen – viele Transaktionen und Vorgänge, die heute von Hand erledigt werden müssen, ließen sich zukünftig mit programmierten Verträgen automatisieren und deutlich beschleunigen.

Allerdings wächst auch in Hacker-Kreisen das Interesse an Smart Contracts. Die Programme sind permanent online. Sobald irgendwo eine Schwachstelle im Code entdeckt wird, kann diese leicht ausgenutzt werden. In jüngster Zeit kam es zu mehreren Diebstählen von Kryptowährung, weil Smart Contracts Sicherheitslücken aufwiesen, die nicht schnell genug geschlossen wurden. 

Mit den Mitteln des ERC Starting Grant planen wir die erste Lösung zum Schutz von Smart Contracts zu realisieren, die alle Entwicklungs- und Einsatzphasen einer Blockchain abdeckt: Ein Schlüsselelement wird der erste Compiler für Smart Contracts sein, der Programmierfehler schon in der Entwicklungsphase aufdeckt und automatisch behebt. Cyberangriffe auf laufende Transaktionen sollen durch ein neues Monitoring-Werkzeug erkannt und rechtzeitig abgewehrt werden, bevor sie größeren Schaden anrichten. Um schließlich auch die Sicherheit bestehender Verträge zu bewerten und die Gründe für Cyberangriffe besser zu verstehen, forschen wir zudem an neuartigen forensischen Analyseverfahren.

ERC Starting Grants sind Förderinstrumente des Europäischen Forschungsrats (European Research Council, ERC), die junge Wissenschaftler:innen dabei unterstützen sollen, den Karrieresprung zu unabhängigen Spitzenforschern zu machen. Bei Antragstellung dürfen seit dem Erlangen des Doktorgrades höchstens sieben Jahre vergangen sein. Das ausdrücklich einzige Bewertungskriterium ist die wissenschaftliche Exzellenz des Forschers bzw. der Forscherin und des vorgeschlagenen Projekts. Weitere Informationen: https://erc.europa.eu/funding/starting-grants

]]>
Thu, 22 Sep 2022 10:21:32 +0200
Blockchain-Security Summer School https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/blockchain-security-summer-school-22803/?no_cache=1 Was sind Smart Contracts? Welche Fehler und Sicherheitslücken können in Smart Contracts auftreten? Sind diese Lücken gefährlich und wie kann man diese Lücken vermeiden? Diesen Fragenstellungen sind wir mit unserer Arbeitsgruppe in unserem Tutorial auf der Summer School zum Thema Blockchain-Security... Auf der Summer School durfte unsere Arbeitgruppe vertreten durch Prof. Lucas Davi und den wissenschaftlichen Mitarbeitern Jens-Rene Giesen, Michael Rodler und Oussama Draissi den dritten Tag mit Vorträgen und einem 180-minütigen Hands-On Lab füllen, um den Teilnehmenden eine Einführung in das Thema Smart Contract Security zu geben. Prof. Davi startete mit einem Vortrag zu dem bekannten DAO Angriff, der im Jahre 2016 zu einem massiven Diebstahl von Kryptowährung geführt hat und das Vertrauen in Blockchain Technologien erschüttert hat. Nach der weiteren Vorstellung von Forschungsarbeiten zum dynamischen Überwachen von Smart Contracts sowie Patching, hat sich Michael Rodler angeschlossen und hat neuste Ergebnisse seiner Forschung zu Smart Contract Fuzzing präsentiert. Danach konnten die Teilnehmer zum ersten Mal selber Smart Contracts programmieren sowie Schwachstellen finden und ausnutzen ("exploiten"). Den Teilnehmern hat es sichtlich Spaß gemacht praktische Angriffe selber zu testen und Sicherheitslücken zu patchen.

Seit einigen Jahren arbeiten wir mit der Firma NEC Labs an Lösungen, um Smart Contract Ausführung sicherer zu machen und haben in diesem Bereich schon einige Ergebnisse erzielt. Für den interessierten Leser sei an dieser Stelle unsere Projektseite erwähnt: Smart Contract Security Research

]]>
Fri, 15 Jul 2022 17:36:28 +0200
Sicherheitslücken in Fingerabdrucksensoren und Krypto-Wallets https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/sicherheitsluecken-in-fingerabdrucksensoren-und-krypto-wallets-22800/?no_cache=1 Unser Team hat zusammen mit Forschern des DFG Exzellenzclusters CASA eine neue Technik entwickelt, die erstmals das Fuzz-Testing von besonders geschützten Speicherbereichen moderner Prozessoren ermöglicht. Mithilfe dieser Methode konnten wir Schwachstellen in sicherheitskritischen Programmen... Sie sollen besonders sensible Daten vor Missbrauch schützen –  die „Software Guard Extensions“ (SGX) von Intel. Die weit verbreitete Technologie wird eingesetzt, um einen bestimmten Speicherbereich vom Rest eines Computers abzuschirmen. In einer solchen Enklave lässt sich beispielsweise ein Passwortmanager sicher ausführen, selbst wenn das übrige System von Schadsoftware befallen sein sollte.

Nicht selten schleichen sich allerdings Fehler bei der Programmierung der Enklaven ein. Bereits 2020 hat unsere Arbeitsgruppe mehrere Schwachstellen in SGX-Enklaven entdeckt und veröffentlicht (zum Artikel: Gefahr für sensible Daten). Nun ist uns gemeinsam mit Partnern des Exzellenzclusters CASA ein weiterer Durchbruch bei der Analyse-Technik gelungen:  Während wir zuvor den Enklaven-Code auf Basis symbolischer Ausführung analysierten, ermöglicht unsere neueste Entwicklung das sehr viel effektivere Fuzz-Testing. Hierbei wird ein Programm mit einer großen Anzahl von Eingaben konfrontiert, um Rückschlüsse auf die Struktur des Codes zu ziehen. „Fuzzing lässt sich nicht ohne Weiteres auf Enklaven anwenden – schließlich ist deren Speicherbereich ja extra vor Zugriffen von außen geschützt“, erklärt Tobias Cloosters (wissenschaftl. Mitarbeiter in unserer Arbeitsgruppe) die Herausforderung. „Außerdem sind für das Fuzzing verzweigte Datenstrukturen notwendig, welche wir dynamisch aus dem Enklaven-Code rekonstruieren.“ Forschungspartner Johannes Willbold aus dem Forschungskolleg "SecHuman - Sicherheit für Menschen im Cyberspace" von der Ruhr-Universität Bochum ergänzt: „Auf diese Weise lassen sich die abgeschirmten Bereiche ohne Zugriff auf den Quellcode analysieren.“

Dank moderner Fuzzing-Technik konnten wir viele, bisher unbekannte Sicherheitslücken aufspüren. Betroffen waren diesmal alle getesteten Fingerabdruck-Treiber sowie Wallets zur Aufbewahrung von Kryptowährung. Hacker könnten diese Schwachstellen ausnutzen, um biometrische Daten auszulesen oder das gesamte Guthaben der gespeicherten Krypto-Währung zu stehlen. Alle Hersteller wurden informiert; das SKALE Network zeigte sich für die Hinweise sogar mit einer „Bug-Bounty“-Prämie in Form von Krypogeld erkenntlich. Drei Schwachstellen wurden in das allgemein zugängliche CVE-Verzeichnis aufgenommen. Die Ergebnisse unserer Arbeit werden auf dem USENIX Security Symposium in Boston (USA) im August vorgestellt.

Weitere Infos

CVE steht für Common Vulnerabilities and Exposures und listet größere, öffentlich bekannte Sicherheitslücken. Die hier referenzierten Schwachstellen haben die CVE-Einträge CVE-2021-3675 (Synaptics Fingerprint Driver), CVE-2021-36218 (SKALE sgxwallet ) und CVE-2021-36219 (SKALE sgxwallet)

Veröffentlichung: Cloosters, Tobias; Willbold, Johannes; Holz, Thorsten; Davi, Lucas Vincenzo: SGXFuzz: Efficiently Synthesizing Nested Structures for SGX Enclave Fuzzing. In: Proc. of 31st USENIX Security Symposium. 2022. Pre-Print: SGXFuzz: Efficiently Synthesizing Nested Structures for SGX Enclave Fuzzing

TEE Projektseite: Analysis of TEE Software 

DFG Exzellenzcluster CASALink zur CASA-Website

]]>
Thu, 14 Jul 2022 14:25:23 +0200
Neuer Mitarbeiter am Lehrstuhl! https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neuer-mitarbeiter-am-lehrstuhl-23067/?no_cache=1 Seit Juli ist Oussama Draissi Mitarbeiter in der Arbeitsgruppe für Sichere Software Systeme. Herzlich willkommen, Oussama! Sebastian.Surminski@paluno.uni-due.de Fri, 01 Jul 2022 16:07:00 +0200 SFB geht in die 3. Runde: Sicherheit für zukünftige Rechnergenerationen https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/sfb-geht-in-die-3-runde-sicherheit-fuer-zukuenftige-rechnergenerationen-22758/?no_cache=1 Gute Nachrichten für die paluno-Arbeitsgruppe Sichere Software Systeme. Die Deutsche Forschungsgemeinschaft fördert den Sonderforschungsbereich CROSSING für weitere vier Jahre. UDE-Professor Lucas Davi leitet in der 3. Phase von CROSSING zwei Teilprojekte, in denen es darum geht, die... Seit Oktober 2014 arbeiten in CROSSING mehr als 65 Wissenschaftler:innen  aus den Forschungsbereichen Kryptografie, Quantenphysik, Systemsicherheit und Softwaretechnik erfolgreich zusammen. Ihr Ziel ist die Entwicklung kryptografiebasierter Sicherheitslösungen, die den Rechenumgebungen der Zukunft gewachsen sind. Dazu zählen z.B. große Cloudumgebungen und Quantencomputer. Neben hohen Ansprüchen an die Effizienz und Sicherheit wird die Bedienbarkeit der entwickelten Lösungen eine große Rolle spielen: Softwareentwickler, Administratoren und sogar Endanwender sollen in der Lage sein, die Lösungen zu verwenden, auch wenn sie keine Kryptografie-Experten sind.

Die Arbeitsgruppe von Prof. Davi hat im Rahmen von CROSSING bereits neue Sicherheits-Techniken für eingebettete Systeme, Smart Contracts und Trusted Execution Environments entwickelt. Mit seinem Team konzentrierte er sich dabei auf Techniken der „Attestation“ und damit wortwörtlich auf die „Beglaubigung“, dass Komponenten sicher und vertrauenswürdig sind. „Attestation überprüft die Zustandsintegrität eines Systems, also z.B. ob die Software oder die Hardware einer Komponente von Hackern manipuliert wurde“, erklärt Lucas Davi den Ansatz.

In der dritten Phase von CROSSING will Prof. Davi gemeinsam mit Prof. Sadeghi (TU Darmstadt) komplexere Softwareumgebungen in den Fokus nehmen. „Unser Ziel ist es, die Attestation für groß angelegte, verteilte Rechnersysteme und Cloud-Anwendungen zu ermöglichen“, erläutert Davi die Pläne für die nächste Projektphase.  

Zusätzlich ist der paluno-Wissenschaftler verantwortlich für ein neues Transfer-Projekt in CROSSING. Gemeinsam mit den NEC Laboratories Europe zielt das Projekt auf neue Attestation-Techniken speziell für Smart Contracts. Damit soll gewährleistet werden, dass die programmierten Verträge sicher in einer Blockchain ausgeführt werden können. Ihre Praxistauglichkeit wird anhand von Anwendungsfällen aus dem Finanzsektor evaluiert. 

 

Über CROSSING

 

CROSSING wird seit 2014 als Sonderforschungsbereich (SFB 1119) von der Deutschen Forschungsgemeinschaft (DFG) gefördert. Mit der Zusage für die dritte Förderperiode stellt die DFG weitere zehn Millionen Euro zur Erforschung und Entwicklung von langfristig vertrauenswürdigen Sicherheitslösungen auf der Grundlage von Kryptografie bereit, die u.a. leistungsfähigen Quantencomputern standhalten können. Die TU Darmstadt koordiniert den SFB und kooperiert mit den Universitäten Duisburg-Essen, Paderborn und Regensburg sowie dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Mit der Zusage für weitere vier Jahre erreicht CROSSING die maximale Förderdauer von zwölf Jahren.

Zur Pressemitteilung der TU Darmstadt: „Dritte Runde für Sonderforschungsbereiche unter Beteiligung der TU“

]]>
Thu, 23 Jun 2022 16:20:49 +0200
Vorlesung Cybersicherheit im Sommersemester 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vorlesung-cybersicherheit-im-sommersemester-2022-22529/?no_cache=1 Die Vorlesung Cybersicherheit (Cybersecurity) bietet einen breiten Einstieg in das Thema der IT-Sicherheit. Es werden grundlegende Konzepte der Kryptographie behandelt, ohne die eine sichere Kommunikation im Internet oder die Integrität moderner Systeme nicht möglich ist. Neben den... Die Vorlesung Cybersicherheit (Cybersecurity) bietet einen breiten Einstieg in das Thema der IT-Sicherheit. Es werden grundlegende Konzepte der Kryptographie behandelt, ohne die eine sichere Kommunikation im Internet oder die Integrität moderner Systeme nicht möglich ist. Neben den kryptographischen Grundlagen bietet die Vorlesung einen Überblick über die verschiedenen Bereiche der Cybersicherheit. Hierzu gehört die Netzwerksicherheit (Wireless Security, Websecurity) und Software Security (Malware, Exploits, Trusted Computing). Die Studierenden haben am Ende der Veranstaltung einen guten Überblick über die Themenbereiche moderner IT-Sicherheit, sie verstehen die grundlegenden Konzepte für den Aufbau sicherer Kommunikation und Integritätsprüfung von Software. Zudem sind Sie in der Lage ihr Wissen auf andere Themenbereiche zu übertragen. Dadurch können die Studierenden beurteilen, ob ein System im ausreichenden Maße von potentiellen Angreifern geschützt ist.

Weitere Informationen finden Sie hier.

]]>
Christian.Niesler@paluno.uni-due.de Mon, 14 Mar 2022 17:11:43 +0100