#WeKnowCybersecurity

Cybersecurity-Blog des Fraunhofer AISEC

Headerbild zum Blogartikel "Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS" im Cybersecurityblog des Fraunhofer AISEC
Kryptografie
Silvan Streit

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS

Für die Sicherheit von eingebetteten Systemen muss die Integrität und Authentizität der Software geprüft werden – z. B anhand von Signaturen. Gezielte Hardware-Angriffe ermöglichen jedoch die Übernahme des Systems mit Schadsoftware. Welchen Risiken sind moderne kryptografische Implementierungen ausgesetzt? Welche Gegenmaßnahmen sind zu ergreifen?

Zur Beantwortung dieser Fragen führte das Fraunhofer AISEC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie zu Laser-basierten Fehlerangriffen auf XMSS durch. Im Fokus steht ein hash-basiertes, quantensicheres Schema für die Erstellung und Überprüfung von Signaturen, das auf dem Winternitz One-Time-Signature-Verfahren (WOTS) basiert.

Zum Artikel »
Trusted AI
Kilian Tscharke

Anomalieerkennung mit Quantum Machine Learning zur Identifizierung von Cybersicherheitsproblemen in Datensätzen

Seit der Veröffentlichung von ChatGPT hat die Popularität des maschinellen Lernens (ML) immens zugenommen. Neben der Verarbeitung natürlicher Sprache (NLP) ist die Erkennung von Anomalien ein wichtiger Zweig der Datenanalyse, dessen Ziel es ist, auffällige und vom restlichen Datensatz abweichende Beobachtungen oder Ereignisse zu identifizieren. Am Fraunhofer AISEC forschen Cybersecurity-Experten an Methoden des Quantum Machine Learning (QML) zur Erkennung von Anomalien, um Cybersicherheitsprobleme in Datensätzen zu erkennen. Der Blogbeitrag zeigt zwei Ansätze: Die Klassifizierung von Quantenmaterie und die Berechnung von sicherheitsrelevanten Anomalien mithilfe eines Quantencomputers.

Zum Artikel »
Industrial Security
Nico Haas

Der Weg zum automatisierten Cloud-Sicherheitsmonitoring

Die Überwachung der Sicherheit einer Cloud und eine entsprechende Zertifizierung erfordern erheblichen Aufwand und bestehen aus vielen, hauptsächlich manuellen und somit fehleranfälligen Prozessen. Unser Assurance-Tool »Clouditor« schafft Abhilfe, indem es die Vorbereitung auf ein Zertifizierungsaudit systematisiert und automatisiert. So lassen sich Cloud-Dienste kontinuierlich überwachen und ihre Compliance mit Cloud-Sicherheitskatalogen wie BSI C5[1], EUCS[2] oder CCM [3] überprüfen.

Zum Artikel »
Industrial Security
Tobias Specht

gallia – ein erweiterbares Framework für Penetrationstests

gallia ist ein erweiterbares Framework für Penetrationstests mit Fokus auf den Automotive-Bereich, das von Fraunhofer AISEC unter der Apache 2.0 Lizenz entwickelt wurde. Der Anwendungsbereich der Toolchain umfasst die Durchführung von Penetrationstests von einem einzelnen Steuergerät bis hin zu ganzen Fahrzeugen. Derzeit liegt der Hauptfokus von Testings auf der UDS-Schnittstelle, ist aber nicht darauf beschränkt.
Der folgende Blogartikel gibt einen Gesamtüberblick über die Architektur von gallia. Er geht auf die Plugin-Schnittstelle sowie den beabsichtigten Automotive-Anwendungsfall ein. Der Beitrag behandelt zudem die Interaktion zwischen einzelnen Komponenten und zeigt, wie gallia für andere Anwendungsfälle erweitert werden kann.

Zum Artikel »
Mobile Security
Lawrence Dean

Sicherheitskritische Risiken mit Android App Links

Android App Links ermöglichen die Verknüpfung von Webinhalten mit mobilen Anwendungen. Die bestehenden Systeme weisen jedoch mehrere sicherheitskritische Probleme auf – vor allem drei verschiedene Arten des Link-Hijacking. Bisher gab es kaum Informationen über den Forschungsstand hinsichtlich dieser Sicherheitslücken. Wurden sie bereits behoben und wann? Wie funktionieren unsichere Übertragungswege von Webinhalten zu mobile Anwendungen? Dieser Beitrag informiert über den Stand dieser Probleme und zeigt Wege auf, den Transfer sicherer zu gestalten.

Zum Artikel »
Kryptografie
Maximilian Richter

Eine behutsame Einführung in die gitterbasierte Post-Quanten-Kryptografie

In den letzten Jahren wurden erhebliche Fortschritte bei der Erforschung und Entwicklung von Quantencomputern erzielt. Ein voll entwickelter Quantencomputer wird in der Lage sein, eine Reihe von mathematischen Problemen – wie die ganzzahlige Faktorisierung und den diskreten Logarithmus – effizient zu lösen, die die Grundlage für eine Vielzahl von kryptografischen Verfahren bilden. Im Jahr 2016 hat das US-amerikanisch National Institute of Standards and Technology (NIST) einen offenen Wettbewerb ausgeschrieben, mit dem Ziel, geeignete Algorithmen für quantenresistente Kryptografie zu finden und zu standardisieren. Die Standardisierungsbemühungen des NIST streben sichere Post-Quanten-KEMs und digitale Signaturen an. In diesem Artikel werden zwei der zu standardisierenden Algorithmen, Kyber und Dilithium, vorgestellt und einige ihrer mathematischen Details skizziert. Beide Algorithmen basieren auf sogenannten Gittern und dem darauf aufbauenden »Learning with Errors«, die im Artikel näher beleuchtet werden.

Zum Artikel »
Trusted AI
Claudia Eckert

ChatGPT – neues Lieblingstool für Hacker?

Der KI-Software ChatGPT wird einiges zugetraut: Zeitungsartikel soll sie schreiben, Abschlussarbeiten verfassen – oder Malware programmieren. Entwickelt sich mit ChatGPT ein neues Tool, mit dem Hacker und Cyberkriminelle noch einfacher Schadsoftware erstellen können? Institutsleiterin Prof. Dr. Claudia Eckert und KI-Experte Dr. Nicolas Müller ordnen das Bedrohungspotential durch ChatGPT für die digitale Sicherheit ein.

Zum Artikel »
IoT-Sicherheit
Katharina Bogad

Mit Fuzzing Schwachstellen in der Wi-Fi-Kommunikation finden

Fuzzing ist eine automatisierte Methode, um Software zu testen. Dabei werden ungültige, fehlerhafte oder unerwartete Eingaben eingegeben, um Fehler aufzudecken. Unsere Kollegin Katharina Bogad aus der Abteilung Secure Operating Systems nutzt Fuzzing, um Security-Schwachstellen in eingebetteten Wi-Fi-Geräten aufzuspüren.
Im Blogartikel gibt unsere Expertin Einblicke in das automatische (Fuzz-)Testen von 802.11-Firmware und -Treibern.
Sie erklärt, warum es notwendig ist, eine drahtlose Verbindung willkürlich zu ändern, und untersucht die Hardware- und Softwareanforderungen dafür. Darüber hinaus erläutert sie, wie man den Monitormodus für passives Hören und Frame-Injection verwendet, und schließt mit einem Überblick verschiedener Fallstricke der Methode.

Zum Artikel »
Trusted AI
Nicolas Müller

KI – es ist nicht alles Gold, was maschinell lernt

Machine Learning erscheint als der neue Heilsbringer: Mit zunehmendem Enthusiasmus wird darauf vertraut, dass selbst die komplexesten Probleme durch eine Künstliche Intelligenz (KI) gelöst werden können. Ergebnisse aus dem Labor befördern diese Erwartung. Die Erkennung einer Covid-19-Infektion mittels Röntgenbildern oder sogar Sprache, Autonomes Fahren, automatische Deepfake-Erkennung – all das ist mit KI in Laborbedingungen möglich. Doch wenn diese Modelle in die Realität transferiert werden, ist die Performance oft ungenügend. Woran liegt das? Was macht es so herausfordernd, im Labor funktionsfähiges Machine Learning in reale Umgebungen zu übertragen? Und wie können mit Blick auf den Realitäts-Check robustere Modelle gebaut werden? Dieser Blog-Beitrag hinterfragt wissenschaftliche Machine-Learning-Modelle und skizziert mögliche Wege auf, die reale Treffsicherheit von KI zu erhöhen.

Zum Artikel »
Industrial Security
Alexander Giehl

Digitale Zwillinge und ihr Potenzial für sichere Betriebstechnik (OT)

Ein digitaler Zwilling ist ein virtuelles Abbild eines realen Systems oder Geräts. Er begleitet sein physisches Gegenstück während seines gesamten Lebenszyklus. Tests, Optimierungsverfahren und Fehlersuche können zunächst auf dem Zwilling durchgeführt werden, ohne die eigentliche Anlage (die zu diesem Zeitpunkt vielleicht noch gar nicht existiert) einzubeziehen. In diesem Artikel möchte ich Ihnen einige Empfehlungen geben, wie Sie dieses Potenzial nutzen können, um den Stand der OT-Sicherheit (Operational Technology Security) zu verbessern, z. B. in der Fertigungs- oder Gebäudeautomatisierung.

Zum Artikel »

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.