SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen de SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Fri, 15 Jul 2022 17:36:28 +0200 Blockchain-Security Summer School https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/blockchain-security-summer-school-22803/?no_cache=1 Was sind Smart Contracts? Welche Fehler und Sicherheitslücken können in Smart Contracts auftreten? Sind diese Lücken gefährlich und wie kann man diese Lücken vermeiden? Diesen Fragenstellungen sind wir mit unserer Arbeitsgruppe in unserem Tutorial auf der Summer School zum Thema Blockchain-Security... Auf der Summer School durfte unsere Arbeitgruppe vertreten durch Prof. Lucas Davi und den wissenschaftlichen Mitarbeitern Jens-Rene Giesen, Michael Rodler und Oussama Draissi den dritten Tag mit Vorträgen und einem 180-minütigen Hands-On Lab füllen, um den Teilnehmenden eine Einführung in das Thema Smart Contract Security zu geben. Prof. Davi startete mit einem Vortrag zu dem bekannten DAO Angriff, der im Jahre 2016 zu einem massiven Diebstahl von Kryptowährung geführt hat und das Vertrauen in Blockchain Technologien erschüttert hat. Nach der weiteren Vorstellung von Forschungsarbeiten zum dynamischen Überwachen von Smart Contracts sowie Patching, hat sich Michael Rodler angeschlossen und hat neuste Ergebnisse seiner Forschung zu Smart Contract Fuzzing präsentiert. Danach konnten die Teilnehmer zum ersten Mal selber Smart Contracts programmieren sowie Schwachstellen finden und ausnutzen ("exploiten"). Den Teilnehmern hat es sichtlich Spaß gemacht praktische Angriffe selber zu testen und Sicherheitslücken zu patchen.

Seit einigen Jahren arbeiten wir mit der Firma NEC Labs an Lösungen, um Smart Contract Ausführung sicherer zu machen und haben in diesem Bereich schon einige Ergebnisse erzielt. Für den interessierten Leser sei an dieser Stelle unsere Projektseite erwähnt: Smart Contract Security Research

]]>
Fri, 15 Jul 2022 17:36:28 +0200
Sicherheitslücken in Fingerabdrucksensoren und Krypto-Wallets https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/sicherheitsluecken-in-fingerabdrucksensoren-und-krypto-wallets-22800/?no_cache=1 Unser Team hat zusammen mit Forschern des DFG Exzellenzclusters CASA eine neue Technik entwickelt, die erstmals das Fuzz-Testing von besonders geschützten Speicherbereichen moderner Prozessoren ermöglicht. Mithilfe dieser Methode konnten wir Schwachstellen in sicherheitskritischen Programmen... Sie sollen besonders sensible Daten vor Missbrauch schützen –  die „Software Guard Extensions“ (SGX) von Intel. Die weit verbreitete Technologie wird eingesetzt, um einen bestimmten Speicherbereich vom Rest eines Computers abzuschirmen. In einer solchen Enklave lässt sich beispielsweise ein Passwortmanager sicher ausführen, selbst wenn das übrige System von Schadsoftware befallen sein sollte.

Nicht selten schleichen sich allerdings Fehler bei der Programmierung der Enklaven ein. Bereits 2020 hat unsere Arbeitsgruppe mehrere Schwachstellen in SGX-Enklaven entdeckt und veröffentlicht (zum Artikel: Gefahr für sensible Daten). Nun ist uns gemeinsam mit Partnern des Exzellenzclusters CASA ein weiterer Durchbruch bei der Analyse-Technik gelungen:  Während wir zuvor den Enklaven-Code auf Basis symbolischer Ausführung analysierten, ermöglicht unsere neueste Entwicklung das sehr viel effektivere Fuzz-Testing. Hierbei wird ein Programm mit einer großen Anzahl von Eingaben konfrontiert, um Rückschlüsse auf die Struktur des Codes zu ziehen. „Fuzzing lässt sich nicht ohne Weiteres auf Enklaven anwenden – schließlich ist deren Speicherbereich ja extra vor Zugriffen von außen geschützt“, erklärt Tobias Cloosters (wissenschaftl. Mitarbeiter in unserer Arbeitsgruppe) die Herausforderung. „Außerdem sind für das Fuzzing verzweigte Datenstrukturen notwendig, welche wir dynamisch aus dem Enklaven-Code rekonstruieren.“ Forschungspartner Johannes Willbold aus dem Forschungskolleg "SecHuman - Sicherheit für Menschen im Cyberspace" von der Ruhr-Universität Bochum ergänzt: „Auf diese Weise lassen sich die abgeschirmten Bereiche ohne Zugriff auf den Quellcode analysieren.“

Dank moderner Fuzzing-Technik konnten wir viele, bisher unbekannte Sicherheitslücken aufspüren. Betroffen waren diesmal alle getesteten Fingerabdruck-Treiber sowie Wallets zur Aufbewahrung von Kryptowährung. Hacker könnten diese Schwachstellen ausnutzen, um biometrische Daten auszulesen oder das gesamte Guthaben der gespeicherten Krypto-Währung zu stehlen. Alle Hersteller wurden informiert; das SKALE Network zeigte sich für die Hinweise sogar mit einer „Bug-Bounty“-Prämie in Form von Krypogeld erkenntlich. Drei Schwachstellen wurden in das allgemein zugängliche CVE-Verzeichnis aufgenommen. Die Ergebnisse unserer Arbeit werden auf dem USENIX Security Symposium in Boston (USA) im August vorgestellt.

Weitere Infos

CVE steht für Common Vulnerabilities and Exposures und listet größere, öffentlich bekannte Sicherheitslücken. Die hier referenzierten Schwachstellen haben die CVE-Einträge CVE-2021-3675 (Synaptics Fingerprint Driver), CVE-2021-36218 (SKALE sgxwallet ) und CVE-2021-36219 (SKALE sgxwallet)

Veröffentlichung: Cloosters, Tobias; Willbold, Johannes; Holz, Thorsten; Davi, Lucas Vincenzo: SGXFuzz: Efficiently Synthesizing Nested Structures for SGX Enclave Fuzzing. In: Proc. of 31st USENIX Security Symposium. 2022. Pre-Print: SGXFuzz: Efficiently Synthesizing Nested Structures for SGX Enclave Fuzzing

TEE Projektseite: Analysis of TEE Software 

DFG Exzellenzcluster CASALink zur CASA-Website

]]>
Thu, 14 Jul 2022 14:25:23 +0200
SFB geht in die 3. Runde: Sicherheit für zukünftige Rechnergenerationen https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/sfb-geht-in-die-3-runde-sicherheit-fuer-zukuenftige-rechnergenerationen-22758/?no_cache=1 Gute Nachrichten für die paluno-Arbeitsgruppe Sichere Software Systeme. Die Deutsche Forschungsgemeinschaft fördert den Sonderforschungsbereich CROSSING für weitere vier Jahre. UDE-Professor Lucas Davi leitet in der 3. Phase von CROSSING zwei Teilprojekte, in denen es darum geht, die... Seit Oktober 2014 arbeiten in CROSSING mehr als 65 Wissenschaftler:innen  aus den Forschungsbereichen Kryptografie, Quantenphysik, Systemsicherheit und Softwaretechnik erfolgreich zusammen. Ihr Ziel ist die Entwicklung kryptografiebasierter Sicherheitslösungen, die den Rechenumgebungen der Zukunft gewachsen sind. Dazu zählen z.B. große Cloudumgebungen und Quantencomputer. Neben hohen Ansprüchen an die Effizienz und Sicherheit wird die Bedienbarkeit der entwickelten Lösungen eine große Rolle spielen: Softwareentwickler, Administratoren und sogar Endanwender sollen in der Lage sein, die Lösungen zu verwenden, auch wenn sie keine Kryptografie-Experten sind.

Die Arbeitsgruppe von Prof. Davi hat im Rahmen von CROSSING bereits neue Sicherheits-Techniken für eingebettete Systeme, Smart Contracts und Trusted Execution Environments entwickelt. Mit seinem Team konzentrierte er sich dabei auf Techniken der „Attestation“ und damit wortwörtlich auf die „Beglaubigung“, dass Komponenten sicher und vertrauenswürdig sind. „Attestation überprüft die Zustandsintegrität eines Systems, also z.B. ob die Software oder die Hardware einer Komponente von Hackern manipuliert wurde“, erklärt Lucas Davi den Ansatz.

In der dritten Phase von CROSSING will Prof. Davi gemeinsam mit Prof. Sadeghi (TU Darmstadt) komplexere Softwareumgebungen in den Fokus nehmen. „Unser Ziel ist es, die Attestation für groß angelegte, verteilte Rechnersysteme und Cloud-Anwendungen zu ermöglichen“, erläutert Davi die Pläne für die nächste Projektphase.  

Zusätzlich ist der paluno-Wissenschaftler verantwortlich für ein neues Transfer-Projekt in CROSSING. Gemeinsam mit den NEC Laboratories Europe zielt das Projekt auf neue Attestation-Techniken speziell für Smart Contracts. Damit soll gewährleistet werden, dass die programmierten Verträge sicher in einer Blockchain ausgeführt werden können. Ihre Praxistauglichkeit wird anhand von Anwendungsfällen aus dem Finanzsektor evaluiert. 

Über CROSSING

CROSSING wird seit 2014 als Sonderforschungsbereich (SFB 1119) von der Deutschen Forschungsgemeinschaft (DFG) gefördert. Mit der Zusage für die dritte Förderperiode stellt die DFG weitere zehn Millionen Euro zur Erforschung und Entwicklung von langfristig vertrauenswürdigen Sicherheitslösungen auf der Grundlage von Kryptografie bereit, die u.a. leistungsfähigen Quantencomputern standhalten können. Die TU Darmstadt koordiniert den SFB und kooperiert mit den Universitäten Duisburg-Essen, Paderborn und Regensburg sowie dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Mit der Zusage für weitere vier Jahre erreicht CROSSING die maximale Förderdauer von zwölf Jahren.

Zur Pressemitteilung der TU Darmstadt: „Dritte Runde für Sonderforschungsbereiche unter Beteiligung der TU“

]]>
Thu, 23 Jun 2022 16:20:49 +0200
Vorlesung Cybersicherheit im Sommersemester 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vorlesung-cybersicherheit-im-sommersemester-2022-22529/?no_cache=1 Die Vorlesung Cybersicherheit (Cybersecurity) bietet einen breiten Einstieg in das Thema der IT-Sicherheit. Es werden grundlegende Konzepte der Kryptographie behandelt, ohne die eine sichere Kommunikation im Internet oder die Integrität moderner Systeme nicht möglich ist. Neben den... Die Vorlesung Cybersicherheit (Cybersecurity) bietet einen breiten Einstieg in das Thema der IT-Sicherheit. Es werden grundlegende Konzepte der Kryptographie behandelt, ohne die eine sichere Kommunikation im Internet oder die Integrität moderner Systeme nicht möglich ist. Neben den kryptographischen Grundlagen bietet die Vorlesung einen Überblick über die verschiedenen Bereiche der Cybersicherheit. Hierzu gehört die Netzwerksicherheit (Wireless Security, Websecurity) und Software Security (Malware, Exploits, Trusted Computing). Die Studierenden haben am Ende der Veranstaltung einen guten Überblick über die Themenbereiche moderner IT-Sicherheit, sie verstehen die grundlegenden Konzepte für den Aufbau sicherer Kommunikation und Integritätsprüfung von Software. Zudem sind Sie in der Lage ihr Wissen auf andere Themenbereiche zu übertragen. Dadurch können die Studierenden beurteilen, ob ein System im ausreichenden Maße von potentiellen Angreifern geschützt ist.

Weitere Informationen finden Sie hier.

]]>
Christian.Niesler@paluno.uni-due.de Mon, 14 Mar 2022 17:11:43 +0100
Seminar Embedded Security in Sommersemester 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/seminar-embedded-security-in-sommersemester-2022-21836/?no_cache=1 Im Sommersemester findet ein Seminar zum Thema Embedded Security statt. In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Der Schwerpunkt dieses Seminars liegt in der schriftlichen Ausarbeitung, es werden aber auch praktische Probleme... Eingebettete Geräte sind weit im Alltag der Menschen verbreitet. Wie andere Computersysteme auch sind Schwachstellen in diesen Geräten weit verbreitet. Die Sicherheitsanalyse solcher Geräte stellt durch die verwendete Technik und Architektur einige Besonderheiten dar.

In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Es wird sowohl der theoretische Hintergrund, als auch der praktische Umgang mit Analysetools behandelt. Dabei werden die Teilnehmer anhand eine exemplarische IoT Applikation mit bekannten Schwachstellen, mit Hilfe von existierenden Tools analysieren um den Umgang und die Vor- und Nachteile der Methoden kennenzulernen. In der Seminararbeit werden dann die theoretischen Hintergründe schriftlich ausgearbeitet. Erfahrungen in systemnaher Programmierung sind hilfreich da wir uns primär mit Systemsoftware (C, C++) auseinandersetzen aber nicht zwingend notwendig.

Für die Teilnahme am Seminar ist eine vorherige, formlose Anmeldung per E-Mail an Sebastian Surminski notwendig bis zum 1. April notwendig. Um eine intensive Betreuung der Studierenden zu gewährleisten ist die Anzahl der Teilnehmer begrenzt. Bitte melden Sie sich nur an wenn Sie auch das Seminar absolvieren wollen um auch anderen Studenten auch die Teilnahme zu ermöglichen.

Alle verfügbaren Plätze sind belegt. Wir können leider keine weiteren Anmeldungen berücksichtigen.

Weitere Informationen finden Sie hier.

]]>
Sebastian.Surminski@paluno.uni-due.de Wed, 09 Mar 2022 10:42:00 +0100
Neue Sicherheitslösung für eingebettete Echtzeitsysteme https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neue-sicherheitsloesung-fuer-eingebettete-echtzeitsysteme-22385/?no_cache=1 Unsere Arbeit zu "software-based attestation for realtime systems" wurde auf der Top-Tagung CCS vorgestellt. Remote Attestation beschreibt das Kozept, dass ein Verifier die Integrität eines entfernten Systems überprüfen kann. Auf der Tagung CCS präsentierten wir unsere Arbeit "RealSWATT", die erste software-only Lösung für remote attestation von Echtzeitsystemen. Andere Ansätze für remote attestation setzen zusätzliche Hardwareerweiterungen oder spezielle Sicherheitschips voraus, was die Einsetzbarkeit vor allem in bestehenden Systemen einschränkt. RealSWATT ist speziell für den Einsatz in bestehenden IoT Installationen optimiert und kann daher flexibel auf Microcontrollern eingesetzt werden, wie sie millionenfach in normalen IoT-Geräten verbaut werden.

]]>
Sebastian.Surminski@paluno.uni-due.de Fri, 17 Dec 2021 15:54:02 +0100
Fuzzing Evaluation Framework wird auf ESORICS publiziert https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/fuzzing-evaluation-framework-wird-auf-esorics-publiziert-22149/?no_cache=1 Unserere Arbeit über die Evaluation von Fuzzern wurde auf dem 26th European Symposium on Research in Computer Security (ESORICS) 2021 angenommen. In unserer Forschungsarbeit My Fuzzer Beats Them All! Developing a Framework for Fair Evaluation and Comparison of Fuzzers (David Paaßen,... Unserere Arbeit über die Evaluation von Fuzzern wurde auf dem 26th European Symposium on Research in Computer Security (ESORICS) 2021 angenommen. In unserer Forschungsarbeit My Fuzzer Beats Them All! Developing a Framework for Fair Evaluation and Comparison of Fuzzers (David Paaßen, Sebastian Surminski, Michael Rodler, Lucas Davi) stellen wir unser eigenes Setup zur Evaluierung von Fuzzern vor.

Fuzzer werden sehr erfolgreich dazu genutzt automatisiert Fehler und Sicherheitslücken in Programmen zu finden. Viele Forschungsprojekte beschäftigen sich daher damit, Fuzzer zu verbessern und zu testen. Jedoch ist es alles andere als trivial unterschiedliche Fuzzer miteinander zu vergleichen. Aktuelle Forschungsarbeiten nutzen viele unterschiedliche Methoden und befolgen dabei nicht immer vollumfänglich existierende Empfehlungen.

Unsere Arbeit überprüft systematisch welchen Einfluss unterschiedliche Parameter auf die Evaluation von Fuzzern haben. Dazu haben wir Experimente mit einer Laufzeit von über 280 Tausend CPU-Stunden durchgeführt. So konnten wir unter anderem zeigen, dass die Nutzung unterschiedlicher Testprogramme einen entscheidenen Einfluss auf die Ergebnisse hat. Um zukünftige Forschungsarbeiten zu unterstützen und weitere Forschung im selben Themenbereich zu ermöglichen, veröffentlichen wir unser Evaluations-Framework SENF (Statistical EvaluatioN of Fuzzers) und alle dazugehörigen Datensätze auf Github. Eine Vorabversion des ESORICS Papers ist bereits auf arXiv verfügbar.

]]>
David.Paassen@paluno.uni-due.de Mon, 16 Aug 2021 16:09:17 +0200
Erklärvideo „TeeRex: Sicherheitsscanner für Intel SGX-Enklaven” https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/erklaervideo-teerex-sicherheitsscanner-fuer-intel-sgx-enklaven-21891/?no_cache=1 Trusted Exceution Environments automatisch nach Schwachstellen absuchen mit TeeRex. Das Paper „TeeRex: Discovery and Exploitation of Memory Corruption Vulnerabilities in SGX Enclaves” von Tobias Cloosters, Michael Rodler,und Lucas Davi wurde auf der USENIX Security '20 veröffentlicht.

Über CROSSING ist nun ein Erkärvideo erschienen: https://www.youtube.com/watch?v=2aGDAilYioo

Trusted Execution Environments (TEE) sind besonders abgesicherte Einheiten auf den Hauptprozessoren von Rechnern oder Smartphones. Bisher gab es keine Möglichkeit, TEEs automatisiert auf Schwachstellen zu testen. Daher haben unsere Forscher TeeRex entwickelt.
Dank der Forschung zu Trusted Execution Environments können Schwachstellen entdeckt und behoben werden, bevor sie der Öffentlichkeit - und damit auch potentiellen Angreifern - bekannt werden.
TeeRex gewann den 3. Platz des Deutschen IT-Sicherheitspreis 2020.
Daran arbeiten die Forscherinnen und Forscher der TU Darmstadt und der Universität Duisburg-Essen im Sonderforschungsbereich CROSSING.

]]>
News Studium & Lehre Forschung Wirtschaft und Praxis IBES ICB WIWI Organisation Praktikumsangebote Stellenangebote Tobias.Cloosters@paluno.uni-due.de Tue, 30 Mar 2021 10:00:00 +0200
Seminar Embedded Security in Sommersemester 2021 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/seminar-embedded-security-in-sommersemester-2021-22504/?no_cache=1 Im Sommersemester findet ein Seminar zum Thema Embedded Security statt. In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Neben einer theoretischen Ausarbeitung werden die Studierenden hierbei mit unterschiedlichen Tools praktische... Eingebettete Geräte sind weit im Alltag der Menschen verbreitet. Wie andere Computersysteme auch sind Schwachstellen in diesen Geräten weit verbreitet. Die Sicherheitsanalyse solcher Geräte stellt durch die verwendete Technik und Architektur einige Besonderheiten dar.

In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Es wird sowohl der theoretische Hintergrund, als auch der praktische Umgang mit Analysetools behandelt. Dabei werden die Teilnehmer anhand eine exemplarische IoT Applikation mit bekannten Schwachstellen, mit Hilfe von existierenden Tools analysieren um den Umgang und die Vor- und Nachteile der Methoden kennenzulernen. In der Seminararbeit werden dann die theoretischen Hintergründe und die praktischen Erfahrungen der Teilnehmer kombiniert und schriftlich ausgearbeitet. Erfahrungen in systemnaher Programmierung sind hilfreich da wir uns primär mit Systemsoftware (C, C++) auseinandersetzen aber nicht zwingend notwendig.

Für die Teilnahme ist eine vorherige, formlose Anmeldung per E-Mail an Sebastian Surminski notwendig. Weitere Informationen sind hier zu finden.

]]>
Sebastian.Surminski@paluno.uni-due.de Wed, 10 Mar 2021 15:02:00 +0100
Lehre im Sommersemester 2021 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehre-im-sommersemester-2021-21837/?no_cache=1 Im Sommersemester findet eine Vorlesung sowie eine Projektgruppe statt. Im Sommersemester bietet die Arbeitsgruppe "Sichere Software Systeme " die Bachelorvorlesung "Concurrency" an. Außerdem findet die Master-Projektgruppe "HiFE" statt, die einen High-Speed Fuzzer für Smart Contracts entwickelt.

Näheres finden Sie dazu unter Lehre.

Projekte und Abschlussarbeiten werden individuell angeboten, bitte wenden Sie sich hierzu an Prof. Davi.

]]>
Sebastian.Surminski@paluno.uni-due.de Wed, 10 Mar 2021 14:57:27 +0100