SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen de SYSSEC: Aktuelle Meldungen https://www.syssec.wiwi.uni-due.de/ https://www.syssec.wiwi.uni-due.de/ Aktuelle Meldungen für: Juniorprofessur für Informatik, Universität Duisburg-Essen TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Mon, 14 Mar 2022 17:11:43 +0100 Vorlesung Cybersicherheit im Sommersemester 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/vorlesung-cybersicherheit-im-sommersemester-2022-22529/?no_cache=1 Die Vorlesung Cybersicherheit (Cybersecurity) bietet einen breiten Einstieg in das Thema der IT-Sicherheit. Es werden grundlegende Konzepte der Kryptographie behandelt, ohne die eine sichere Kommunikation im Internet oder die Integrität moderner Systeme nicht möglich ist. Neben den... Die Vorlesung Cybersicherheit (Cybersecurity) bietet einen breiten Einstieg in das Thema der IT-Sicherheit. Es werden grundlegende Konzepte der Kryptographie behandelt, ohne die eine sichere Kommunikation im Internet oder die Integrität moderner Systeme nicht möglich ist. Neben den kryptographischen Grundlagen bietet die Vorlesung einen Überblick über die verschiedenen Bereiche der Cybersicherheit. Hierzu gehört die Netzwerksicherheit (Wireless Security, Websecurity) und Software Security (Malware, Exploits, Trusted Computing). Die Studierenden haben am Ende der Veranstaltung einen guten Überblick über die Themenbereiche moderner IT-Sicherheit, sie verstehen die grundlegenden Konzepte für den Aufbau sicherer Kommunikation und Integritätsprüfung von Software. Zudem sind Sie in der Lage ihr Wissen auf andere Themenbereiche zu übertragen. Dadurch können die Studierenden beurteilen, ob ein System im ausreichenden Maße von potentiellen Angreifern geschützt ist.

Weitere Informationen finden Sie hier.

]]>
Christian.Niesler@paluno.uni-due.de Mon, 14 Mar 2022 17:11:43 +0100
Seminar Embedded Security in Sommersemester 2022 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/seminar-embedded-security-in-sommersemester-2022-21836/?no_cache=1 Im Sommersemester findet ein Seminar zum Thema Embedded Security statt. In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Der Schwerpunkt dieses Seminars liegt in der schriftlichen Ausarbeitung, es werden aber auch praktische Probleme... Eingebettete Geräte sind weit im Alltag der Menschen verbreitet. Wie andere Computersysteme auch sind Schwachstellen in diesen Geräten weit verbreitet. Die Sicherheitsanalyse solcher Geräte stellt durch die verwendete Technik und Architektur einige Besonderheiten dar.

In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Es wird sowohl der theoretische Hintergrund, als auch der praktische Umgang mit Analysetools behandelt. Dabei werden die Teilnehmer anhand eine exemplarische IoT Applikation mit bekannten Schwachstellen, mit Hilfe von existierenden Tools analysieren um den Umgang und die Vor- und Nachteile der Methoden kennenzulernen. In der Seminararbeit werden dann die theoretischen Hintergründe schriftlich ausgearbeitet. Erfahrungen in systemnaher Programmierung sind hilfreich da wir uns primär mit Systemsoftware (C, C++) auseinandersetzen aber nicht zwingend notwendig.

Für die Teilnahme am Seminar ist eine vorherige, formlose Anmeldung per E-Mail an Sebastian Surminski notwendig bis zum 1. April notwendig. Um eine intensive Betreuung der Studierenden zu gewährleisten ist die Anzahl der Teilnehmer begrenzt. Bitte melden Sie sich nur an wenn Sie auch das Seminar absolvieren wollen um auch anderen Studenten auch die Teilnahme zu ermöglichen.

Alle verfügbaren Plätze sind belegt. Wir können leider keine weiteren Anmeldungen berücksichtigen.

Weitere Informationen finden Sie hier.

]]>
Sebastian.Surminski@paluno.uni-due.de Wed, 09 Mar 2022 10:42:00 +0100
Neue Sicherheitslösung für eingebettete Echtzeitsysteme https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neue-sicherheitsloesung-fuer-eingebettete-echtzeitsysteme-22385/?no_cache=1 Unsere Arbeit zu "software-based attestation for realtime systems" wurde auf der Top-Tagung CCS vorgestellt. Remote Attestation beschreibt das Kozept, dass ein Verifier die Integrität eines entfernten Systems überprüfen kann. Auf der Tagung CCS präsentierten wir unsere Arbeit "RealSWATT", die erste software-only Lösung für remote attestation von Echtzeitsystemen. Andere Ansätze für remote attestation setzen zusätzliche Hardwareerweiterungen oder spezielle Sicherheitschips voraus, was die Einsetzbarkeit vor allem in bestehenden Systemen einschränkt. RealSWATT ist speziell für den Einsatz in bestehenden IoT Installationen optimiert und kann daher flexibel auf Microcontrollern eingesetzt werden, wie sie millionenfach in normalen IoT-Geräten verbaut werden.

]]>
Sebastian.Surminski@paluno.uni-due.de Fri, 17 Dec 2021 15:54:02 +0100
Fuzzing Evaluation Framework wird auf ESORICS publiziert https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/fuzzing-evaluation-framework-wird-auf-esorics-publiziert-22149/?no_cache=1 Unserere Arbeit über die Evaluation von Fuzzern wurde auf dem 26th European Symposium on Research in Computer Security (ESORICS) 2021 angenommen. In unserer Forschungsarbeit My Fuzzer Beats Them All! Developing a Framework for Fair Evaluation and Comparison of Fuzzers (David Paaßen,... Unserere Arbeit über die Evaluation von Fuzzern wurde auf dem 26th European Symposium on Research in Computer Security (ESORICS) 2021 angenommen. In unserer Forschungsarbeit My Fuzzer Beats Them All! Developing a Framework for Fair Evaluation and Comparison of Fuzzers (David Paaßen, Sebastian Surminski, Michael Rodler, Lucas Davi) stellen wir unser eigenes Setup zur Evaluierung von Fuzzern vor.

Fuzzer werden sehr erfolgreich dazu genutzt automatisiert Fehler und Sicherheitslücken in Programmen zu finden. Viele Forschungsprojekte beschäftigen sich daher damit, Fuzzer zu verbessern und zu testen. Jedoch ist es alles andere als trivial unterschiedliche Fuzzer miteinander zu vergleichen. Aktuelle Forschungsarbeiten nutzen viele unterschiedliche Methoden und befolgen dabei nicht immer vollumfänglich existierende Empfehlungen.

Unsere Arbeit überprüft systematisch welchen Einfluss unterschiedliche Parameter auf die Evaluation von Fuzzern haben. Dazu haben wir Experimente mit einer Laufzeit von über 280 Tausend CPU-Stunden durchgeführt. So konnten wir unter anderem zeigen, dass die Nutzung unterschiedlicher Testprogramme einen entscheidenen Einfluss auf die Ergebnisse hat. Um zukünftige Forschungsarbeiten zu unterstützen und weitere Forschung im selben Themenbereich zu ermöglichen, veröffentlichen wir unser Evaluations-Framework SENF (Statistical EvaluatioN of Fuzzers) und alle dazugehörigen Datensätze auf Github. Eine Vorabversion des ESORICS Papers ist bereits auf arXiv verfügbar.

]]>
David.Paassen@paluno.uni-due.de Mon, 16 Aug 2021 16:09:17 +0200
Erklärvideo „TeeRex: Sicherheitsscanner für Intel SGX-Enklaven” https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/erklaervideo-teerex-sicherheitsscanner-fuer-intel-sgx-enklaven-21891/?no_cache=1 Trusted Exceution Environments automatisch nach Schwachstellen absuchen mit TeeRex. Das Paper „TeeRex: Discovery and Exploitation of Memory Corruption Vulnerabilities in SGX Enclaves” von Tobias Cloosters, Michael Rodler,und Lucas Davi wurde auf der USENIX Security '20 veröffentlicht.

Über CROSSING ist nun ein Erkärvideo erschienen: https://www.youtube.com/watch?v=2aGDAilYioo

Trusted Execution Environments (TEE) sind besonders abgesicherte Einheiten auf den Hauptprozessoren von Rechnern oder Smartphones. Bisher gab es keine Möglichkeit, TEEs automatisiert auf Schwachstellen zu testen. Daher haben unsere Forscher TeeRex entwickelt.
Dank der Forschung zu Trusted Execution Environments können Schwachstellen entdeckt und behoben werden, bevor sie der Öffentlichkeit - und damit auch potentiellen Angreifern - bekannt werden.
TeeRex gewann den 3. Platz des Deutschen IT-Sicherheitspreis 2020.
Daran arbeiten die Forscherinnen und Forscher der TU Darmstadt und der Universität Duisburg-Essen im Sonderforschungsbereich CROSSING.

]]>
News Studium & Lehre Forschung Wirtschaft und Praxis IBES ICB WIWI Organisation Praktikumsangebote Stellenangebote Tobias.Cloosters@paluno.uni-due.de Tue, 30 Mar 2021 10:00:00 +0200
Seminar Embedded Security in Sommersemester 2021 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/seminar-embedded-security-in-sommersemester-2021-22504/?no_cache=1 Im Sommersemester findet ein Seminar zum Thema Embedded Security statt. In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Neben einer theoretischen Ausarbeitung werden die Studierenden hierbei mit unterschiedlichen Tools praktische... Eingebettete Geräte sind weit im Alltag der Menschen verbreitet. Wie andere Computersysteme auch sind Schwachstellen in diesen Geräten weit verbreitet. Die Sicherheitsanalyse solcher Geräte stellt durch die verwendete Technik und Architektur einige Besonderheiten dar.

In diesem Seminar werden Grundlagen und Methoden der Sicherheitsanalyse solcher eingebetteten Systeme vermittelt. Es wird sowohl der theoretische Hintergrund, als auch der praktische Umgang mit Analysetools behandelt. Dabei werden die Teilnehmer anhand eine exemplarische IoT Applikation mit bekannten Schwachstellen, mit Hilfe von existierenden Tools analysieren um den Umgang und die Vor- und Nachteile der Methoden kennenzulernen. In der Seminararbeit werden dann die theoretischen Hintergründe und die praktischen Erfahrungen der Teilnehmer kombiniert und schriftlich ausgearbeitet. Erfahrungen in systemnaher Programmierung sind hilfreich da wir uns primär mit Systemsoftware (C, C++) auseinandersetzen aber nicht zwingend notwendig.

Für die Teilnahme ist eine vorherige, formlose Anmeldung per E-Mail an Sebastian Surminski notwendig. Weitere Informationen sind hier zu finden.

]]>
Sebastian.Surminski@paluno.uni-due.de Wed, 10 Mar 2021 15:02:00 +0100
Lehre im Sommersemester 2021 https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/lehre-im-sommersemester-2021-21837/?no_cache=1 Im Sommersemester findet eine Vorlesung sowie eine Projektgruppe statt. Im Sommersemester bietet die Arbeitsgruppe "Sichere Software Systeme " die Bachelorvorlesung "Concurrency" an. Außerdem findet die Master-Projektgruppe "HiFE" statt, die einen High-Speed Fuzzer für Smart Contracts entwickelt.

Näheres finden Sie dazu unter Lehre.

Projekte und Abschlussarbeiten werden individuell angeboten, bitte wenden Sie sich hierzu an Prof. Davi.

]]>
Sebastian.Surminski@paluno.uni-due.de Wed, 10 Mar 2021 14:57:27 +0100
Großer Erfolg beim 8. Deutschen IT-Sicherheitspreis https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/grosser-erfolg-beim-8-deutschen-it-sicherheitspreis-21784/?no_cache=1 Alle zwei Jahre zeichnet die Horst Görtz Stiftung mit insgesamt 200.000 Euro die besten zukunfts-relevanten Innovationen der IT-Sicherheit aus. Für ihr neuartiges Werkzeug TeeRex zur Schwachstellenanalyse von Trusted Execution Environments, kurz TEEs, hat unsere Gruppe mit Tobias Cloosters, Michael... TEEs sind extra geschützte Speicherbereiche und eigentlich der ideale Ort für besonders sensible Daten oder Programme. Weil ihre Hardware vom Rest des Systems isoliert ist, können in TEEs Programme auf nicht-vertrauenswürdigen und sogar kompromittierten, also bereits gehackten, Rechnern, sicher ausgeführt werden. Im Cloud-Bereich nutzen immer mehr Anbieter diese Technologie, damit Kunden sensible Daten sicher in der Cloud verwalten können. Auch in Laptops und Smartphones werden TEEs eingesetzt, um Daten zu schützen, die z.B. für Fingerabdrucksensoren oder kontaktlose Bezahldienste wie Apple Pay benötigt werden.

Erstmals automatische Verwundbarkeitsanalyse von TEEs

Allerdings greift der Schutz nicht, wenn die Programme, die innerhalb eines TEE ausgeführt werden, Programmierfehler aufweisen. Um dem entgegenzuwirken, haben Tobias Cloosters, Michael Rodler und Prof. Lucas Davi von Softwaretechnik-Institut paluno an der Universität Duisburg-Essen TeeRex entwickelt – das erste Werkzeug zur automatischen Verwundbarkeitsanalyse von TEE-Anwendungen. TeeRex überprüft automatisch TEE-Anwendungen auf Sicherheitsprobleme und hilft Entwicklern mit Warnungen und Programmierhinweisen, Fehler im Code zu korrigieren.

Aktuell ist TeeRex noch ein Prototyp; seine Wirksamkeit hat das Tool allerdings schon unter Beweis gestellt: In mehreren öffentlichen SGX-Enklaven – so nennt Intel seine TEEs – konnte TeeRex gravierende Sicherheitslücken aufdecken; darunter Schwachstellen in Software für Fingerabdrucksensoren, die auf Dell-, Lenovo- und HP-Laptops eingesetzt werden (siehe Meldung vom 15.7.2020: „Gefahr für sensible Daten“). Die Hersteller haben die Lücken mithilfe der Essener Sicherheitsforscher inzwischen geschlossen. Und auch die Weiterentwicklung von TeeRex läuft auf Hochtouren. So soll das Tool in Zukunft automatische Analysen für sicherheitskritische Software auf eingebetteten Systemen und aufstrebenden Architekturen wie RISC-V unterstützen.

Hoher Nutzen für die digitale Gesellschaft

Die Preisverleihung des 8. deutschen IT-Sicherheitspreises der Horst Görtz-Stiftung fand am 11.02.2021 im Anschluss an die Innovationskonferenz Cybersicherheit statt, die gemeinsam von Bitkom, Fraunhofer SIT, ATHENE sowie dem Digital Hub Cybersecurity ausgerichtet wurde. Ausschlaggebend für die Jury waren der hohe Nutzen und der Neuigkeitswert von TeeRex. Laudator Prof. Michael Waidner betonte, dass Tobias Cloosters und seine Kollegen mit ihrer Arbeit eine wichtige und nahezu übersehene Problematik der Softwaresicherheit adressieren. Das kann Prof. Lucas Davi bestätigen: „Softwaresicherheit und der Einsatz von TEEs rücken immer stärker in den Fokus der Industrie. Umso wichtiger ist es, dass wir Vertrauen in diese Technologie schaffen, denn jede TEE steht und fällt mit der Sicherheit der Software, welche in der TEE eingesetzt wird. Unser TeeRex-Ansatz leistet einen entscheidenden Beitrag, damit Entwickler und Sicherheitsanalysten schnell, automatisiert und umfassend eine Sicherheitsüberprüfung vornehmen können.“

Mehr Infos zum IT-Sicherheitspreis: https://www.deutscher-it-sicherheitspreis.de/

Mehr Infos zur Forschung der Analyse von TEE-Software

]]>
Thu, 11 Feb 2021 18:00:00 +0100
Neue Publikation auf NDSS: Framework HERA erlaubt das Hotpatching von Echtzeitsystemen https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/neue-publikation-auf-ndss-framework-hera-erlaubt-das-hotpatching-von-echtzeitsystemen-21694/?no_cache=1 Unsere Forschungsarbeit HERA: Hotpatching of Embedded Real-time Applications wurde auf dem Network and Distributed System Security Symposium (NDSS) 2021 akzeptiert. Die Arbeit stellt ein neuen Hotpatching Mechanismus für Echtzeitsysteme im Embedded Kontext vor. Durch die Nutzung bestehender Funktionalität von Debugging-Chips wird erstmalig das Hotpatching von kritischen Echtzeitsystemen ermöglicht ohne Einfluss auf die Ausführung zu nehmen. Folglich können kritische Sicherheitslücken für Echtzeitsysteme, die aufgrund von Verfügbarkeitsanforderungen zurzeit nicht gepatcht werden können, nun zeitnah behoben werden. In der Evaluation des Frameworks konnten Sicherheitslücken in medizinischen Geräte wie einer Infusionspumpe und einem Herzschrittmacher erfolgreich behoben werden.

]]>
Christian.Niesler@paluno.uni-due.de Mon, 07 Dec 2020 15:41:00 +0100
Christian Niesler gewinnt Eurobits Award https://www.syssec.wiwi.uni-due.de//aktuelles/einzelansicht/christian-niesler-gewinnt-eurobits-award-21692/?no_cache=1 Mit seiner Masterarbeit "Securing Real-time Embedded Systems Through Hotpatching" hat Christian Niesler den diesjährigen mit 1000€ dotierten Eurobits Award gewonnen. Herzlichen Glückwunsch! In seiner Masterarbeit hat Christian Niesler ein Framework vorgestellt, mit dem eingebettete Echtzeitsysteme gepatcht werden können ohne die tatsächliche Ausführung währrenddessen zu beeinflussen. Das erlaubt das Patchen von kritischen Systemen, die sonst nicht gepatcht werden könnten und ermöglicht es so Schwachstellen zeitnah zu beheben. Zudem zeigte er Leitlinien auf, wie man im Rahmen von traditionellen Patchentwicklungsprozessen auch entsprechende Hotpatches für die Anwendung im Rahmen des HERA Frameworks ableiten kann.

]]>
Sebastian.Surminski@paluno.uni-due.de Mon, 07 Dec 2020 15:04:29 +0100