Alle Ausgaben des Magdeburger Journals zur Sicherheitsforschung

All Issues of the Magdeburg Journal of Security Research

1. Ausgabe, 1. Jahrgang, Band 1, 2011

  • Die psychologischen Grundlagen des Social Engineerings
    Stefan Schumacher
    Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkorenhat. Stattdessen wird hier viel lieber – und vor allem effizienter – der Mensch, bzw.sein Verhalten angegriffen. Dieser Artikel zeigt, wie Social-Engineering funktioniert underklärt die zugrundeliegenden Tricks anhand sozialpsychologischer Studien und Experimente.Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen vorgestellt.Er richtet sich an Sicherheitsverantwortliche und Systemadministratoren, die verstehenwollen, wie Social-Engineering funktioniert und dieses Wissen in ihre Sicherheitsmaßnahmenintegrieren wollen.
  • Die Europäische Sicherheitsstrategie 2003. Europas Versuch einer Positionierung als eigenständiger sicherheitspolitischer Akteur (Essay)
    Jan W. Meine
    In diesem Essay wird die Europäische Sicherheitsstrategie von 2003 untersucht und als Versuch Europas identifiziert, sich als eigenständiger sicherheitspolitischer Akteur zu etablieren. Dabei bildet die National Security Strategy der USA von 2002 ein Referenzpunkt.
  • Die Außen- und Friedenspolitik des Heiligen Stuhls. Ein systematisierender Überblick
    Mathias Bethke
    Der Vatikan fasziniert. Filme wie „Illuminati“ locken Millionen in die Kinos, versprechen sie doch einen Blick hinter die dicken Mauern von Sankt Peter. Den Vatikan umweht beinahe etwas mystisches. Und doch ist er zugleich auch eine sehr weltliche Organisation, ja auch ein politischer Akteur – und dies vor allem auf dem internationalen Parkett. Die Bilder des leidenden Papstes neben dem zum Krieg entschlossenen US-Präsidenten gingen um die Welt. In diesem Artikel wird nun die Außen- und Friedenspolitik des Heiligen Stuhls unter besonderer Berücksichtigung der institutionellen wie auch der theologischen Grundlagen dargestellt. Darüber hinaus gilt es, auch die friedenspolitische Praxis des Heiligen Stuhls zu illustrieren, bevor abschließend – vor dem Hintergrund des vatikanischen Engagements gegen den Irak-Krieg – eine erste Antwort auf die Frage gesucht wird, wie mächtig der Heilige Stuhl ist.
  • Daten sicher löschen
    Stefan Schumacher
    Die Hauptaufgabe eines Systemadministrators sind Schutz und Verfügbarmachung von Daten. Doch Daten müssen teilweise wieder sicher vernichtet werden. Dies ist beispielsweise der Fall, wenn alte Rechner oder Datenträger ausgesondert werden oder gesetzliche Aufbewahrungsfristen überschritten werden. In diesem Artikel wird gezeigt, welche Methoden zur sicheren Datenlöschung existieren, was bei den verschiedenen Datenträgern zu beachten ist und wie man die Datenvernichtung bereits im Vorfeld plant.
  • Über den Umgang mit Unsicherheit.
    Dr. Hubert Feyrer
    Anhand der aktuellen Sicherheits-Situation werden die Begriffe »Sicherheit« und »Unsicherheit« diskutiert, und drei Beispiele für Unsicherheit exemplarisch gezeigt. Der Umgang mit Unsicherheit wird mit Hilfe von von praktischen Gegenmaßnahmen illustriert. Im Fazit wird geschlossen, daß Sicherheit nicht allein durch eine rein technische Lösung herbeigeführt werden kann.

Nach oben

2. Ausgabe, 1. Jahrgang, Band 2, 2011

  • Datenschutz, IT-Sicherheit, Betriebsschutz: Unternehmensentscheidungen zwischen gesetzlichem Zwang und betrieblicher Notwendigkeit
    Robert Kudrass
    Dieser Artikel setzt sich mit dem Risiko des Datendiebstahls über Firmennetzwerke auseinander und wie Konzerne immer wieder Opfer von Hackerangriffen werden. Ein angemessenes Datensicherheitssystems kann über die Firmenexistenz entscheiden.
  • Sicherheitsumfeld Cyber-Space: Abhängigkeiten, Akteure, Herausforderungen und Perspektiven
    Felix F. Seidler
    In diesem Artikel wird der Wandel der Sicherheitspolitik im Cyber-Space, ausgehend von einer zunehmenden Vernetzung sämtlicher elektronischer Geräte, thematisiert. Die staatliche Sicherheitspolitik bleibt davon zukünftig nicht unberührt.
  • Einführung in die Forschungsthematik der verdeckten Kanäle
    Steffen Wendzel und Jörg Keller
    Verdeckte Kanäle stellen eine bisher nur wenig außerhalb der Forschung betrachtete Technik für unzensierte Kommunikation dar. Zugleich liegt in verdeckten Kanälen die Gefahr des unbemerkten Informationsverlusts (Data Leakage) und der unbemerkten Steuerung von Botnetzen. Dieser Artikel bietet zunächst eine Einführung in die Thematik der verdeckten Kanäle, ihre Risiken und Chancen. Anschließend werden exemplarisch einzelne Techniken zur Erzeugung von verdeckten Kanälen vorgestellt, sowie gängige Gegenmaßnahmen diskutiert. Der Artikel schließt mit einem Überblick über neuere Techniken der letzten Jahre.
  • Systemcalls mit Systrace steuern
    Stefan Schumacher
    Systrace ermöglicht die Überwachung und Steuerung von Systemaufrufen. Dazu benutzt es Richtlinien, die für jedes verwendete Programm definiert werden. Anhand dieser Richtlinie werden Systemaufrufe erlaubt oder verboten. Ebenso kann man einzelne Systemaufrufe unter anderen Benutzerrechten ausführen. Somit ist es möglich, SETUID-Programme als unpriviliegierter Benutzer auszuführen und nur bestimmte Systemaufrufe mit Root-Rechten auszuführen. Systrace erlaubt daher die Implementierung einer feingranulierten Sicherheitsrichtlinie, die sogar Argumente von Systemaufrufen überprüfen kann.

3. Ausgabe, 2. Jahrgang, Band 1, 2012

  • Die Sicherheitsarchitektur der EU im Wandel – Die geplante parlamentarische Kontrolle der Sicherheits- und Nachrichtendienste in der Europäischen Union durch das Europa-Parlament
    Günther K. Weiße
    Das Generaldirektorat für Innenpolitik der EU-Kommission hat in einer Studie die parlamentarische Kontrolle der Sicherheits- und Nachrichtendienste in den Staaten der Europäischen Union durch das Genfer Institut zur demokratischen Kontrolle der Streitkräfte (Centre for the Democratic Control of Armed Forces - DCAF)  und das European Union Institute - EUI  untersuchen lassen. Dieses offizielle, 446 Seiten umfassende Papier enthält eine Vielzahl von Vorschlägen zur Angleichung der parlamentarischen Kontrolle von Sicherheits- und Nachrichtendiensten in der EU. Diese Vorschläge berühren massiv die Souveränitätsrechte der Nationalstaaten in der Union und zielen damit langfristig  auf die Einführung einer Sicherheits- und Nachrichtendienststruktur unter Kontrolle der Europäischen Union ab.
  • IT-Sicherheit in der öffentlichen Wahrnehmung
    Kristin Krüger
    In der deutschen sicherheitspolitischen Debatte nimmt das Thema Sicherheit in der Informationstechnologie (IT) einen immer größeren Raum ein. Vor allem seit Stuxnet hat sich die öffentliche Wahrnehmung dieses Problemfeldes deutlich intensiviert. Auf welchen Ebenen das Thema IT-Sicherheit diskutiert wird und welche Meinungen die Öffentlichkeit zu diesem komplexen Thema hat, soll in diesem Aufsatz analysiert werden.
  • Anonymität im Internet
    Jens Kubieziel
    Der Artikel stellt verschiedene Möglichkeiten der Anonymisierung im Internet vor und zeigt deren historische Entwicklung.
  • Eine Geschichte der Hackerkultur - Subkultur im Digitalen Zeitalter
    Jens Holze
    Aus Sicht der Bildungsforschung können Medien essentieller Katalysator für unser Selbst- und Weltbild sein. Der Beitrag argumentiert am Beispiel der Hackerkultur, dass konkrete Ausprägungen von Medienstrukturen dem Denken der Menschen und damit den Werten der Kultur entstammen, durch die sie erschaffen wurden. Im Kontext eines modernen Sicherheitsbegriffs scheinen die neuen sozialen Räume des Cyberspace auch zur Herausforderung für die gesamte Gesellschaft zu werden.

4. Ausgabe, 2. Jahrgang, Band 2, 2012,

  • Timeo Danaos et dona ferentes: Zur Funktionsweise von Schadsoftware
    Stefan Schumacher
    Schadsoftware verschiedenster Art, von Viren über Würmer bis zu Trojanern, ist eine ernstzunehmende Gefahr für die Sicherheit aller IT-Systeme weltweit. Dieser Artikel stellt die Grundlegende Funktionsweisen vor und analysiert den Staatstrojaner genauer.
  • Penetrationstests mit Metasploit
    Michael Kohl
    Jede aus dem Internet erreichbare Maschine sieht sich früher oder später Angriffen aus- gesetzt. Dies gilt als unvermeidbare Tatsache, was aber nicht bedeuetet, dass man sich für solche Eventualitäten nicht rüsten kann. Möglich ist dies beispielsweise mittels so genannter »Penetrationstests«, wobei verschiedene Werkzeuge wie beispielsweise das hier besprochene »Metasploit Framework« zum Einsatz kommen.
  • Salafistische Propaganda im Internet. Von der reinen Mission bis zum globalen Jihad - Die wesentlichen ideentheoretischen Unterschiede unter den salafistischen Strömungen in Deutschland
    Dirk Baehr
    In Deutschland existieren zahlreiche salafistische Gruppierungen, die seit mehreren Jahren missio- nieren. Die Inhalte der salafistischen Propaganda, die mit Videos oder Büchern im Internet verbreitet wird, variiert zwischen dem puristisch-salafistischen Denken eines Hassan Dabbaghs bis zu der radikal-militanten Propaganda Eric Breiningers. In dem vorliegenden Aufsatz werden die verschiedenen Strömungen vorgestellt und darauf hingewiesen, dass es in Deutschland sowohl reine Missionsgruppen als auch militante Gruppierungen unter den Salafisten gibt. Da viele Salafisten im Internet anonym mit ihren Sympathisanten kommunizieren, gibt es Anhaltspunkte, welche salafistische Strömung nur Mission betreibt und welche den globalen Jihad propagiert. Anhand der Propaganda existiert eine der wenigen Möglichkeiten, die jihadi-salafistische Strö- mung von den anderen Strömungen zu unterscheiden. Denn bislang gibt es nur wenig offen zugängliches deutschsprachiges Material, welches die militante Intention aufzeigt oder verdeutlicht. Anhand der dreigliedrigen Typologie des Salafismus von dem amerikanischen Politikwissenschaftler Quentin Wiktorowicz werden die Aktivitäten der deutschen Salafisten im Internet analysiert.
  • Sichere Benutzer-Authentifikation an sensiblen IT-Systemen
    Frank Hofmann
    Verschiedenste technische Geräte und Dienste benötigen zur Authentifikation eines berechtigten Benutzers Zugangsdaten. In der Regel bestehen diese Zugangsdaten aus einem Benutzernamen und einem Passwort. Dieser Artikel stellt alternative Möglichkeiten vor, wie eToken, Smartcards und mTAN.
  • Vom Cyber-Kriege. Gibt es einen Krieg im Internet?
    Stefan »Kaishakunin« Schumacher
    Dieser Beitrag untersucht die Frage, ob ein Krieg im Cyberspace möglich ist. Dazu stütze ich mich auf die Kriegs-Definition die Clausewitz aufgestellt hat und wende diese auf die aktuelle Cyberwar-Diskussion an. Ich stelle die aktuellen technischen Möglichkeiten für Cyberattacken in einem kurzen Überblick vor und zeige, wie sich durch die ausbreitende Technik Angriffsvektoren für Cyberattacken öffnen. Außerdem zeige ich, welchen Einfluss die gegenwärtige Entwicklung auf militärische Strategien hat.
  • Angriffe und Verteidigungsstrategien für vertrauliche Kommunikation über Funkdienste
    Michael "MiKa" Kafka René "Lynx" Pfeiffer
    Dieses Dokument dient als Zusammenfassung mit Angabe weiterer Quellen zum Vortrag "Angriffe und Verteidigungsstrategien für vertrauliche Kommunikation über Funkdienste", gehalten am 9. IKT Sicherheitsseminar des österreichischen Abwehramtes. Es enthält eine Aufbereitung verschiedener Vorträge der letzten DeepSec-Konferenzen sowie Ergänzungen aus zwischenzeitlich publizierten Forschungsergebnissen.

  • Eine DIN für IT-Sicherheit?
    Dr. Hubert Feyrer
    Es wird ein Überblick über zentrale Begriffe sowie existierende Gesetze und Normen für den Bereich IT-Sicherheit gegeben. Dem folgt eine Vorstellung des Informations- sicherheitsmanagements nach ISO 27001, inklusive Betrachtung der technischen und organisatorischen Maßnahmen, aber auch der Integration des Faktors Mensch und des Managements von Risiken. Es wird gezeigt dass hier nicht nur eine DIN für IT-Sicherheit vorliegt, sondern ein internationaler Standard, der alle Bereiche der In- formationssicherheit abdeckt.

5. Ausgabe, 3. Jahrgang, Band 1, 2013

  • In eigener Sache
    Stefan Schumacher und Jörg Sambleben
    Editorial zur neuen Ausgabe.
  • Sicherheit durch Freiheit und Offenheit? - Ein Fallbeispiel.
    Dr. Hubert Feyrer
    Nach der Definition zentraler Begriffe wird das NetBSD Projekt mit seiner Governance sowie den Prozessen für Entwicklung und Sicherheit vorgestellt. Die Prozesse und ihre Ergebnisse werden vermessen, und die Fragestellung, ob Sicherheit durch Freiheit und Offenheit möglich ist, wird basierend auf dem vorliegenden Projekt beantwortet.
  • Vom Cyber-Frieden
    Stefan »Kaishakunin« Schumacher
    Der Artikel beschreibt den ersten Entwurf einer Strategie zur globalen Cyber-Sicherheit. Dabei lege ich einen besonderen Schwerpunkt auf die Handlungskompetenz der handelnden Akteure und die zugrunde liegende psychologische Forschung.
  • Zukünftige Handlungsspielräume in der Genese von »Sicherheitstechnologien«
    Simon Runkel und Jürgen Pohl
    Die Entwicklung neuer Technologien soll nach politischen Vorgaben neue Handlungsspielräume für ein sicheres und freieres Leben der Bürger in Zukunft eröffnen. Technologie ist nicht neutral, denn soziale Praktiken verändern sich und nehmen großen Einfluss auf die zukünftige Organisation unseres Lebens. Sicherheitstechnologien - wie dem beispielhaft diskutierten Evakuierungsassistent - ist eine prognostizierende Funktionalität gemein, um potentielle Gefahren abzuwehren. Damit ist Sicherheitstechnologien die Erwartung zukünftiger Gefahren immanent. Auf Basis einer postphänomenologisch-ethnografischen Beschreibung wird der Prozess einer High-Tech-Entwicklung erfasst und kritisch beleuchtet. Dabei wird im Rückgriff auf Heideggers Technikphilosophie in der Lesart von Don Ihde die politisch-normalisierende als auch nützliche Dimension von technischem Handeln betrachtet. Neben der Analyse der Wirkmächtigkeit technischer Entwicklungen wird ebenso die Nutzung von Leitbildern und Präskriptionen in der Technikgenese kritisch betrachtet. Schließlich wird eine Begriffswendung von Sicherheit zu Fürsorge versucht, die sich letztlich mit einer zukünftigen Vision von technischem Handeln im Horizont der Hoffnung eines demokratischen, gemeinschaftlichen Zusammenlebens verbindet.

6. Ausgabe, 3. Jahrgang, Band 2, 2013

  • Why Android SSL was downgraded from AES256-SHA to RC4-MD5 in late 2010
    Dr. Georg Lukas
    Android is using the combination of broken RC4 and MD5 as the first default cipher on all SSL connections. This impacts all apps that did not change the list of enabled ciphers (i.e. almost all existing apps). This paper investigates why RC4-MD5 is the default cipher, and why it replaced better ciphers which were in use prior to the Android 2.3 release in December 2010.
  • How bluetooth may jeopardize your privacy. An analysis of people behavioral patterns in the street.
    Verónica Valeros and Sebastián García
    Cell phones have become so personal that detecting them on the street means to detect the owners. By using the information of the phone along with its GPS position it is possible to record and analyze the behavioral patterns of the people in the street. Bluetooth devices are ubiquitous, but until recently, there were no tools to perform bluetooth wardriving with GPS position and behavioral analysis. A new tool called Bluedriving is presented for doing this type of bluetooth wardriving. Also, most people is not aware that their bluetooth device allows to abuse their privacy. The bludriving tool can visualize the devices on a map and set different alerts to follow people in the street. The tool is presented along with a large capture dataset and a deep privacy analysis. We conclude that it is possible to follow people in the street by detecting their bluetooth device.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • Rezension zu Schluss mit Cybermobbing! Das Trainings- und Präventionsprogramm »Surf-Fair«. von Stephanie Pieschl und Torsten Porsch
    Jens Holze
    Eine Rezension zu Schluss mit Cybermobbing!
  • Design and Implementation of an IPv6 Plugin for the Snort Intrusion Detection System
    Martin Schütte
    This work describes the implementation and use of a preprocessor module for the popular open source Intrusion Detection System Snort that detects attacks against the IPv6 Neighbor Discovery Protocol. The implementation utilizes the existing preprocessor APIs for the extension of Snort and provides several new IPv6-specific rule options that can be used to define IPv6 related attack signatures. The developed module is aimed at the detection of suspicious activity in local IPv6 networks and can detect misconfigured network elements, as well as malicious activities from attackers on the network. The plugin's source code is available at https://github.com/mschuett/spp_ipv6

7. Ausgabe, 4. Jahrgang, Band 1, 2014

  • Hacking Medical Devices
    Florian Grunow
    In the last few years we have seen an increase of high tech medical devices, including all flavors of communication capabilities. The need of hospitals and patients to transfer data from devices to a central health information system makes the use of a wide range of communication protocols absolutely essential. This results in an increasing complexity of the devices which also increases the attack surface of these devices. We decided to take a look at a few devices that are deployed in many major German hospitals and probably in hospitals around the world. We will focus on the security of these devices and the impact on the patient’s safety. The results will be presented in this talk.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • Das IT-Weiterbildungssystem und IT-Sicherheit
    Stefan Schumacher
    Seit 1997 existieren die neuen/neugeordneten IT-Ausbildungsberufe (Fachinformatiker, IT-Systemelektroniker etc.) welche berufliche Handlungskompetenzen im IT-Umfeld vermitteln sollen. Der Artikel stellt geeignete Weiterbildungsmaßnahmen und Aufstiegsfortbildungen im Rahmen des sogenannten IT-Weiterbildungssystems vor. Dieses beinhaltet unter anderem auch die Möglichkeit, sich als Specialist zum IT Security Coordinator weiterbilden zu lassen.

8. Ausgabe, 4. Jahrgang, Band 2, 2014

  • Sexy Defense: Maximizing the home-field advantage
    Iftach Ian Amit
    Offensive security is easy, I know. But the goal of offensive security at the end of the day is to make us better defenders. And that’s hard. Usually after the pen-testers/auditors (or worst – red team) leaves, there’s a whole lot of mess of vulnerabilities, exposures, threats, risks and wounded egos. Now comes the money time – can you fix this so your security posture will actually be better the next time these guys come around?
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • Social Authentication: Vulnerabilities, Mitigations, and Redesign
    Marco Lancini
    High-value services have introduced two-factor authentication to prevent adversaries from compromising accounts using stolen credentials. Facebook has recently released a two-factor authentication mechanism, referred to as Social Authentication (SA). We designed and implemented an automated system able to break the SA, to demonstrate the feasibility of carrying out large-scale attacks against social authentication with minimal effort on behalf of an attacker. We then revisited the SA concept and propose reSA, a two-factor authentication scheme that can be easily solved by humans but is robust against face-recognition software.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • An innovative and comprehensive framework for Social Vulnerability Assessment
    Enrico Frumento & Roberto Puricelli
    Nowadays security attacks greatly rely on the human vulnerabilities, hence is fundamental to include the human factor into corporate risk analysis. However, is it possible to evaluate this risk through a specific type of vulnerability assessments? Since 2010, we have been working on the extension of traditional security as- sessment, going beyond the technology and including the “Social” context. In these years, we assessed several big European enterprises, understanding the impact of these activities on the relations among employees and employer, both from ethical and legal points of view. We developed a innovative methodology for Social Driven Vulnerability Assessments (SDVAs) that we present in this paper beside the early results. As part of their Advanced Threat Protection (ATP) programs, we performed more than 15 SDVAs in big enterprises with a gross number of 12.000 employees; this gave us a first-hand sight on the real vulnerabilities against modern non-conventional security threats.

    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer

9. Ausgabe, 5. Jahrgang, Band 1, 2015

  • Java’s SSLSocket: How Bad APIs Compromise Security
    Dr. Georg Lukas
    Internet security is hard. TLS is almost impossible. Implementing TLS correctly in Java is »Nightmare!«. This paper will show how a badly designed security API introduced over 15 years ago, combined with misleading documentation and developers unaware of security challenges, causes modern smartphone applications to be left exposed to Man-in-the-Middle attacks.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • IPv6 Security: Attacks and Countermeasures in a Nutshell
    Johanna Ullrich, Katharina Krombholz, Heidelinde Hobel, Adrian Dabrowski, Edgar Weippl
    The history of computers is full of underestimation: 640 kilobyte, 2-digit years, and 32-bit Internet addresses. IPv6 was invented to overcome the latter as well as to revise other drawbacks and security vulnerabilities of its predecessor IPv4. Initially considered the savior in terms of security because of its mandatory IPsec support, it turned out not to be the panacea it was thought to be. Outsourcing security to IPsec but eventually removing it as well as other design decisions led to a number of vulnerabilities. They range from the already known spoofing of answers to link-layer address requests to novel possibilities regarding node tracking. In an effort to fix them, a vast amount of updates have been introduced. In this paper, we discuss security and privacy vulnerabilities with regard to IPv6 and their current counter-measures. In a second step, vulnerabilities and countermeasures are systematized by the appliance of an extendible common language for computer security incidents. Our evaluation shows that a large part of vulnerabilities can be mitigated but several security challenges remain. We deduce three main research challenges for IPv6 security, namely address assignment and structure, securing local network discovery, and address selection for reconnaissance. This is a reprint of the authors’ article published in the 8th USENIX Workshop on Offensive Technologies (WOOT),
    2014.

    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • Trusting Your Cloud Provider: Protecting Private Virtual Machines
    Armin Simma
    This article proposes an integrated solution that allows cloud customers to increase their trust into the cloud provider including cloud insiders (e.g. administrators). It is based on Mandatory Access Control and Trusted Computing technologies, namely Measured Boot, Attestation and Sealing. It gives customers strong guaran- tees about the provider’s host system and binds encrypted virtual machines to the previously attested host. 
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer

10. Ausgabe, 5. Jahrgang, Band 2, 2015

  • Why Anti-Virus Software Fails
    Daniel Sauder
    Based on my work about antivirus evasion techniques, I started using antivirus evasion techniques for testing the effectivity of antivirus engines. I researched the internal functionality of antivirus products, especially the
    implementation of heuristics by sandboxing and emulation and succeeded in evasion of these.
    A result of my research are tests, if a shellcode runs within a x86 emulation engine. One test works by encrypting the payload, which is recognized as malicious normally. When the payload is recognized by the antivirus software, chances are high, that x86 emulation was performed.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • The Compromised Devices of the Carna Botnet - As used for the Internet Census 2012
    Parth Shukla
    This article will showcase the latest analysis and the progress of industry collaboration on the problem of Internet facing devices that have default credential logins through telnet. The Carna Botnet, which was used to perform the first-ever map of the Internet – Internet Census 2012 – highlighted a major information security concern with devices that allow default credential login from the Internet by default. For more information on the Internet Census 2012, please refer to the anonymous researcher’s paper.
    A complete list of compromised devices that formed part of the Carna Botnet was obtained exclusively by Parth Shukla. This list is NOT publicly available from any source. This data was acquired directly from the anonymous researcher who performed the Internet Census. As confirmed by the researcher, AusCERT to date remains the only organization and researcher in the world that has the complete dataset. Relevant snippets of this data, however, have been provided to CERTs around the world in order to reduce the threat made explicit by the Carna Botnet.
    This article will provide a detailed analysis of all the different identifying information for each of the compromised devices that formed part of the Botnet. This detailed analysis will showcase the prevalence of easily-exploitable devices in different countries, regions and in different manufacturers. The ultimate aim of this article is to continue to draw public awareness to the larger concerns faced by information security professionals worldwide. Hopefully, this awareness will persuade manufacturers and even local ISPs to collaborate and address this problem. The Carna Botnet reminds us all that there are numerous, simpler vulnerabilities at risk of exploitation and in need of immediate attention.
    The contents of this paper were first released to AusCERT members on 20 August 2013 and to the public on 25 August 2013.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • From Misconceptions to Failure - Security and Privacy in US Cloud Computing FedRAMP Program
    Mikhail Utin, PhD
    This Articles considers practical implementations of  »Cloud Computing« (CC) and associated services (CCS) in the US FedRAMP program, which is expected to convert all the government IT services into »cloud« based ones.  We conducted the research on how this concept helps to secure information in IT infrastructures. In particular, we were interested to see how it provides security in such a large-scale implementation as the US government FedRAMP program.  The following papers were analysed: NIST SP-800-53 R4, NIST SP-800-37 R1, NIST SP-800-144, NIST SP-800-145, NIST SP-800-146 and FedRAMP. 
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • IT Security Compliance Management can make sense
    Adrian Wiesmann
    What kind of internal and external controls from regulations and other sources are there? What is IT-Risk and IT-Compliance management? Why and for whom does it matter? How can we handle it and how does compliance aggregation fit into the picture?
    We will then look at the SOMAP.org project which is an Open Source project working on tools to handle IT-Compliance aggregation and IT Security compliance management in general. We will discuss why compliance management is not only about hot air but can make sense when done right.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer
  • Psychology of Security - A Research Programme
    Stefan Schumacher
    IT Security is often considered to be a technical problem. However, IT Security is about decisions made by humans and should therefore be researched with psychological methods. Technical/Engineering methods are not able to solve security problems.
    In this talk I will introduce the Institute's research programme about the Psychology of Security. We are going to research the psychological basics of IT security, including: How do people experience IT security? How are they motivated? How do they learn? Why do people tend to make the same mistakes again and again (Buffer Overflow, anyone?)? What can we do to prevent security incidents? Which curricula should be taught about IT security?
    It is based on the 2013 talk »Psychology of Security« and also incorporates parts of my
    2014 talk »Security in a Post NSA Age?« held at AUSCert Australia and »Why IT Security is
    fucked up and what we can do about it« held at Positive Hack Days Moscow.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“. Edited by Stefan Schumacher and René Pfeiffer

11. Ausgabe, 6. Jahrgang, Band 1, 2016

  • IT-Sicherheit in der Wasserversorgung - Schutz kritischer Infrastrukturen
    Stefan Schumacher
    Informationstechnische Systeme werden in immer mehr industriellen Bereichen eingesetzt. Seien es klassische Regelungstechnische Systeme, SCADA oder Industrie 4.0 und das Internet der Dinge. Auch in der Wasserversorgung gewinnen Automatisierungstechnik und Informationstechnik immer mehr Bedeutung. Trotz des Einsatzes in dieser kritischen Infrastruktur kommt der IT-Sicherheit hier häufig nicht die notwendige Bedeutung zu.
  • Extending a Legacy Platform - Providing a Minimalistic, Secure Single-Sign-On-Library
    Bernhard Göschlberger and Sebastian Göttfert
    Despite decades of security research and authentication standards there is still a vast amount of systems with custom solutions and embedded user databases. Such systems are typically hard to securely integrate with others. We analysed an existing system of an organisation with approximately 12.000 sensitive user data records and uncovered severe vulnerabilities in their approach. We developed a minimal, secure Single-Sign-On-Solution and demonstrated the feasibility of implementing both a minimal Identity Provider and a minimal Service Provider with only a few lines of code. We provided a simple blueprint for an Identity Provider and an easy to use Service Provider Library. Therefore this organisation is now able to integrate arbitrary web based systems. Moreover, others can follow the proposed approach and tailor similar solutions at low cost.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences Vol. 2“. Edited by Stefan Schumacher and René Pfeiffer
  • Civil Society Organisation (CSO) participation in the European Security Research Programme (ESRP)
    Frank Balzer and Christoph Henseler
    As one might expect, the interdisciplinary and multi-accessible area of the ESRP shows a broad variety of actors within its research projects.  But, in contradiction to Article 11 of the Lisbon Treaty, especially CSOs rarely participate as project partners. The following article provides an overview of the participation of CSOs in research projects in the ESRP during the period of the European Union's Seventh Framework Programme for Research (FP7).  The data and research was obtained within the FP7 project SecurePART. We have found differences along the lines of geographical regions, the quantity of project participations per country, and the quality of civil society representation of the various kinds of CSOs. These parameters should be taken into account when thinking of rules of representation for future CSO participation in security research on the European level. 
    NB: The SecurePART project has received funding from
    the European Union's Seventh Framework Programme for research, technological development and demonstration under grant
    agreement no 608039. The project's website can be found here: http://www.securepart.eu/

12. Ausgabe, 6. Jahrgang, Band 2, 2016

  • ZigBee Exploited: The good, the bad and the ugly
    Tobias Zillner
    The Internet of Things (IoT) is an emerging trend. IoT involves the integration of digital and wireless technologies in physical objects and systems, especially those historically unconnected, which are supposed to make our everyday life easy and convenient. One of the most widespread used wireless technologies to connect IoT devices is the ZigBee standard. This emerging technology needs to keep pace with customer demands for cheap, long-living and available devices. One of the major challenges besides user and industry acceptance is security.  However, security is very often sacrificed or neglected due to fear of reduced or limited usability or fear of breaking backwards compatibility.  This paper describes the actual applied security measures in ZigBee, highlights the included weaknesses and introduces a software framework that can be used to automatically audit ZigBee communication and the implementation of ZigBee security services for various vulnerabilities and exploit them. 
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences Vol. 2“. Edited by Stefan Schumacher and René Pfeiffer
  • Bypassing McAfee’s Application Whitelisting for Critical Infrastructure Systems
    René Freingruber
    This paper describes the results of the research conducted by SEC Consult Vulnerability Lab on the security of McAfee Application Control. This product is an example of an application whitelisting solution which can be used to further harden critical systems such as server systems in SCADA environments or client systems with high security requirements like administrative workstations. Application whitelisting is a concept which works by whitelisting all installed software on a system and after that prevent the execution of not whitelisted software. This should prevent the execution of malware and therefore protect against advanced persistent threat (APT) attacks. McAfee Application Control is an example of such a software. It can be installed on any system, however, the main field of application is the protection of highly critical infrastructures. While the core feature of the product is application whitelisting, it also supports additional security features including write- and read-protection as well as different memory corruption protections.
    This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences Vol. 2“. Edited by Stefan Schumacher and René Pfeiffer