20130812cased und ec spride und fraunhofer sit · – 4 – center for advanced security research...
TRANSCRIPT
– 3 –
Darmstadt
Karlsruhe
Saarbrücken
Bochum
München
IT-Sicherheitsforschung in DeutschlandZentren mit starkem Fokus auf IT-Sicherheit
Bonn
(1)
(2)
(3)
(4)
(5)
(5)
(1,4)
(1,2,3,5)
(3)
(1,3,4)
(1)
– 4 –
Center for Advanced Security Research Darmstadt (CASED)Größtes Forschungscluster zur IT-Sicherheit in Deutschland
� 25.000 Studierende, 4.150 Mitarbeit.,
davon 290 Professuren
� 9 Profs, 100 Mitarbeit. in IT-Sicherheit
� #1 in IT-Sicherheit in Deutschland(Source: Microsoft Academic Search)
� 13.000 Studierende, 870 Mitarbeit.,
davon 320 Professuren
� 11 Profs in IT-Sicherheit
� 160 Mitarbeiter/innen, 22 Nationen,
in Darmstadt und St. Augustin (bei Bonn)
� 9M€ Jahresbudget (Grund- & Drittmittel)
� 3 Professuren an TU Darmstadt
– 5 –
Center for Advanced Security Research Darmstadt (CASED)Größtes Forschungscluster zur IT-Sicherheit in Deutschland
� 25.000 Studierende, 4.150 Mitarbeit.,
davon 290 Professuren
� 9 Profs, 100 Mitarbeit. in IT-Sicherheit
� #1 in IT-Sicherheit in Deutschland(Source: Microsoft Academic Search)
� 13.000 Studierende, 870 Mitarbeit.,
davon 320 Professuren
� 11 Profs in IT-Sicherheit
� 160 Mitarbeiter/innen, 22 Nationen,
in Darmstadt und St. Augustin (bei Bonn)
� 9M€ Jahresbudget (Grund- & Drittmittel)
� 3 Professuren an TU Darmstadt
– 6 –
Center for Advanced Security Research Darmstadt (CASED)Breites Spektrum an Forschungsthemen und Anwendungen
Leitmotiv:
Security and Privacy by Design
Cloud
Computing
Mobile & Cyber-
Physikalische Systeme
Netzsicherheit
Kryptographie
Benutzbare Sicherheit
Sichere Identitäten,
Datenschutz und Vertrauen
Sichere Software
Kritische
Infrastrukturen
Forensik
Automatisierung
und Produktion
Internet und
Social Networks
– 8 –
Auszeichnungen 2012/2013
Best Demonstrator Award
IEE International Symposium
on a World of Wireless,
Mobile and Multimedia
Networks
Matthias Hollick andAdrian Carlos Loch Navarro
Tsungming Tu – Alexander
von Humboldt Research
Award 2012 – J. Buchmann
Intel Early Career Faculty
Honor Program Award
Thomas Schneider (2012)Pouyan Sepehrdad (2013)
Science Award of German
Association for Data
Protection and Data Security
Most successful
University of
Software
Campus Award
First Degree Prize
Award of the Director
of TU Prague
Gernot Alber et. al.
ERC
Advanced Grant
Mira Mezini
– 11 –
Was ist unser Ziel, was ist machbar?
Kosten
Sicherheit
100%
0%
Heute
realisiert
Unmöglich
Erreichbar mit
überschaubaren
Kosten für F&E
In 10 Jahren
Heute
möglich
– 12 –
EC SPRIDE EC SPRIDE EC SPRIDE EC SPRIDE ÜberblickÜberblickÜberblickÜberblick
Trends
Anwendungen
Architekturen
(Sadeghi)
Designmethoden &
Werkzeuge
(Mezini, Waidner)
Design Elemente
(J. Buchmann)
Koordination:
WaidnerIT-Sicherheitsgruppen der TU Darmstadt und des Fraunhofer SIT
Starke Kooperationen mit anderen Zentren und exzellenten Gästen
– 13 –
Praxis braucht Forschung …
Grundlagenforschung Anwendungsorientierte Forschung
Joint Laboratory for
Secure Engineerging
Joint Research for
Secure Engineerging
Security Test Lab
…und genau das machen wir!
Experten Workshop -Thema Secure EngineeringSchirmherrschaft - SAP
– 14 –
Bisher erzielte Ergebnisse vonProf. Dr. Eric Bodden
• Join Point Interfaces: Programmiersprachenerweiterung für Java, die es erlaubt,
Sicherheitsaspekte modular zu implementieren
• Prominent publiziert (ACM TOSEM), Implementierung als Open Source
• SPLLift: automatisierte Analyse von Softwareproduktlinien
• Führt Analysen in wenigen Minuten durch, die sonst Jahre benötigt hätten!
• Prominent publiziert (PLDI), Implementierung als Open Source
• Heros: Neuartige, höchst effiziente Analyseplattform für Android/Java
• Implementierung als Open Source,
Publikation in bei Top Konferenz USENIX SECURITY in Begutachtung
• Weltweit führende Analyseplattform für Android
• Wird bereits jetzt extern verwendet; Gespräche mit SAP und Intel/McAfee
– 16 –
� Softwaresicherheit durch Automatisierungund Reduktion menschlicher Fehlereinflüsse
� Security by Design bei verteilter Entwicklung und Integration
� Security by Design für Legacy-Software
� Die Zukunft mit Security by Design
– 17 –
17. 4 Alfred Nordmann, Institut für Philosophie; Stefan Katzenbeisser, Fachbereich Informatik
24. 4. Ann Cavoukian, Information and Privacy Commissioner of Ontario
8. 5. Leif Blum, FDP; Daniel Mack, Die Grünen; Karin Wolff, CDU; Brigitte Zypries, SPD
15. 5. Armgard von Reden, Leibniz Universität Hannover
22. 5. Emilio Mordini, Centre for Science, Society and Citizenship, Rome
29. 5. René von Schomberg, Scientific/Policy Officer, European Commission
5. 6. Peter Buxmann, Fachgebiet Wirtschaftsinformatik
12. 6. Jessica Heesen, Intern. Zentrum für Ethik in den Wissenschaften, Universität Tübingen
19. 6. Welf Schröter, Forum soziale Technikgestaltung, Stuttgart
26. 6. Carsten Ochs, Fachbereich Informatik, EC SPRIDE
3. 7. Lorenz M. Hilty, Institut für Informatik, Universität Zürich
10. 7. Peter Schaar, Bundesbeauftrager für den Datenschutz und die Informationsfreiheit
17. 7. Podiumsdiskussion
– 18 –
EC SPRIDE
Prof. Dr. Michael Waidner
phone: +49 6151 16-64530
KASTEL
Prof. Dr. Jörn Müller-Quade
phone: +49 721 608-44213
CISPA
Prof. Dr. Michael Backes
phone: +49 681-302-3249
Kompetenzzentren für IT-Sicherheit
– 20 –
Die Fraunhofer-GesellschaftForschung zum Wohle von Gesellschaft und Industrie
Angewandte Forschung und Entwicklung
� Gründung 1949
� Größte gemeinnützige Organisation für
angewandte Forschung in Europa
� 66 unabhängige Institute und Einrichtungen
� Ca. 22’000+ Mitarbeiter
� Ca. € 1.9 Milliarden Jahresbudget
� Innovation und Exzellenz in
anwendungsorientierter Forschung
� Ausbildung und Vorbereitung auf Führungs-
positionen, insbesondere in der Industrie
� Grundfinanzierung (1/3), Auftragsforschung (1/3),
öffentliche Förderprojekte (1/3)
– 21 –
Fraunhofer-Institut für Sichere InformationstechnologieÄlteste und größte Einrichtung für IT-Sicherheitsforschungin Deutschland
Kompetenzfelder
� Cloud Computing
� Cyberphysical Systems
� Identity and Privacy
� Industrie 4.0
� IT-Forensik
� Mediensicherheit
� Mobile Systeme
� Secure Engineering
� Security Test Lab
� Sicherheitsmanagement
� Betrieb Fraunhofer PKI
167Mitarbeiter (2012)
8.7 M€Jahresbudget (2012)
3 Professoren der TU Darmstadt
� Michael Waidner (2010)
� Ahmad-Reza Sadeghi (2010)
� Eric Bodden (2013)
Darmstadt
Birlinghoven
Berlin
– 24 –
Preise für Fraunhofer SIT und Mitarbeiter/innen (2012/2013)
1. Platz bei Deutschem
IT-Sicherheitspreis 2012
für OmniCloud
2. Platz bei Deutschem
IT-Sicherheitspreis 2012
für ForBild
1. Platz bei TeleTrusT-
Innovationspreis 2012
für BizzTrust
IBM Cyber Security Faculty Award für
Michael Waidner
2 x Google Faculty Research Award,
für Eric Bodden und
Michael Waidner
2 x BMBF Software Campus Award
für Alexandra Dmitrienko und
Waldemar Berchtold
Fraunhofer ATTRACT für Eric Bodden
– 27 –
Sicherheit in Sozialen Netzen
Problem
� Popularität von Sozialen Netzen (z.B. Facebook)
� Private Anwender, Unternehmen, Behörden
� Konfiguration oft zu kompliziert und Tragweite
unklar
� Unbeabsichtigte Preisgabe von Daten
Ziel
� Information und Sensibilisierung von Nutzern
� Handlungsanweisungen für Anwender mit
Do‘s &
Dont‘s
Gefördert durch HMDiS: 2012 & 2013, ca. 20T €
– 28 –
ForBild – Forensische Bildanalyse
Problem
� Datenüberlastung bei Ermittlern
� Effizienz bei Analyse verbesserbar
� Mangelnde Robustheit bei Datenerkennung:
Anti-Forensik möglich, damit Spuren nicht
erkannt werden können
Lösung
� Integration von Suche und forensischer
Voranalyse
� Verbesserung der Erkennungsverfahren:
Robuste Bildhashes, z.B. zur Erkennung von
Kinderpornographie
Gefördert durch
Hessen Agentur:
2010/-11,
230T € (SIT)
Integration:
1. Kopieren
2. Forensische
Voranalyse 2.Platz unter mehr als 50 Einreichungen!
– 29 –
ForSicht – Forensische Sichtung von Bildern und Videodaten
Nachfolgeprojekt zu ForBild
� Entwicklung von robusten Hashverfahren für
Videos
� Reduktion von Fehlerraten für Bilder und
Videos
� Ergebnisvisualisierung für Bilder und Videos
� Integration in Kopierstation
Gefördert durch
Hessen Agentur:
2012/-14,
280T € (SIT)
– 30 –
Sharekey: Smartphone als TüröffnerNeues Projekt zum flexiblen Management von Schließberechtigungen für NFC-basierte Funkschlösser
– 31 –
OmniCloudAvoid lock-in, simplify integration, provider-independent security
Client or Gateway for cloud backup services
Entwicklung /
Produktisierung
unterstützt
durch HMWVL/
EFRE in CIRECS
– 32 –
Tracking Protection für MicrosoftEntwicklung und Wartung einer “Tracking Protection Liste” für den Microsoft Internet Explorer
– 33 –
Wasserzeichen für Deutsche Digitale Bibliothek
� Integration Wasserzeichen in das Internetportal der DDB
� Kombiniert mit Suchdienstleistung des SIT Spin-Offs CoSee
– 34 –
SIT Appicaptor Framework – Analysis workflow
No automatedFindings
• App-Bundle
• Binaries
• Metadata…
Apple
AppStore
Play
…
• Post-
processed
analysis
data
• Privacy &
Security
Implications
• Usable,
structured
data
• Identified
relevant
Entry
Points
Investigationrequired
Direct Findings
Data Extraction Reversing
• Decrypt
• Decompile
• Disassemble
• Parse, Run ...
Analysis of
• Source code
• Disassembly
• Metadata
• Behavior
Analysis and correlation of
• Raw data
• Indicators
• List of
Indicators
• Raw
analysis
data
• Visualization
• Interaction
Rating andDocumentation
ManualFindings
NoFindings
Focused Manual Analysis
– 35 –
NCP VPN GovNet Box: Sicherer VPN Client für Behörden
Entwicklung in Zusammenarbeit mit NCP, Nürnberg. BSI Zulassung für VS-NfD Daten ist für 2013 angestrebt.
� Unveränderbarer Bootloader als Sicherheitsanker� Hardware-Zufallszahlengenerator� Integriertes kapazitives PIN Pad� Integrierter Smartcard Reader (ID-1 Scheckkartenformat)� TPM-basierte Verschlüsselung sicherheitsrelevanter
Daten auf der Box� LAN, WLAN und UMTS. Stromversorgung per USB.
– 36 –
Sicheres Passwortmanagement - iMobileSitter
� Sichere Passwortverwaltung
ohne Werkzeuge unmöglich
� Konventionelle Werkzeuge oft
unsicher trotz starker
Verschlüsselung:
Wörterbuchangriffe
� Resistenz gegen
Wörterbuchangriffe
� Entwicklung durch Fraunhofer
SIT
� Vertrieb durch AppStore von
Apple
– 37 –
Sicheres Cloud Computing ohne blindes Vertrauen in den Anbieter?
� Grundproblem: Perimeter reicht in Cloud
hinein, aber Unternehmen delegiert Kontrolle
an Cloud-Anbieter (meist nicht in Europa)
� Cloud-Anbieter sieht alles
� Wenig zufriedenstellender Stand der Technik
� Verschlüsselung für reine Speicher-Clouds, aber in der
Praxis schwierig und selten richtig angewandt
� Absicherung der Cloud auf Anbieterseite und
vertrauensbildende Maßnahmen (Technik, Auditierung)
Unternehmen