Schlagwort-Archive: Fraunhofer

Studentische Hilfskräfte gesucht

Security, ,

Wir suchen Studis, die für uns Sachen basteln. Wir arbeiten an Werkzeugen für die Entwicklung sicherer Software, z.B. zur Visualisierung von Testergebnissen und zur Bedrohungsmodellierung, und probieren sie an Entwicklern aus. Richtig ist bei uns, wer nur ungefähr spezifizierte Anforderungen in einen funktionierenden Prototypen umsetzen kann, dabei ggf. die richtigen Fragen stellt und nicht traurig ist, wenn sich die Anforderungen später ändern.

Arbeitsort: Darmstadt, nicht weit vom Hauptbahnhof

Details: https://www.sit.fraunhofer.de/de/jobs/stellen/details/job-offer/sit-2014-19/

The Evil Jan Attack

English, Hackmeck, IT, Security, Testlabor, Trusted Computing, Video, , , , , , , , , , , ,

[See only posts in English]

Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.

We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later. The Evil Jan Attack weiterlesen

Privatsphäre in sozialen Netzen

Datenschutz, Studien, Testlabor, , , , , , ,

Klingt wie ein Widerspruch, ist aber keiner: wer in sozialen Netzen Informationen über sich preisgibt, verzichtet damit noch lange nicht auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung. Theoretisch jedenfalls, denn in der Theorie steht jedem die Kontrolle über die Verwendung seiner personenbezogenen Daten zu. Wieviel Kontrolle man jedoch als Nutzer in der Praxis behält, hängt davon ab, welche Möglichkeiten die verwendeten Plattformen bieten.

Unser Kollege Andreas Poller hat sich genau mit dieser Frage beschäftigt. Herausgekommen ist eine Studie, die Mechanismen zum Schutz der Privatsphäre in sieben Plattformen für soziale Netze untersucht. Angeschaut hat er sich die größten und bekanntesten Plattformen: myspace, facebook, studiVZ, wer-kennt-wen, lokalisten, XING und LinkedIn. Alle Kriterien und Ergebnisse sowie praktische Tipps für Nutzer gibt es hier:

Andreas Poller, Privatsphärenschutz in Soziale-Netzwerke-Plattformen, 124 Seiten.

Update 2008-09-27: Einige Blogreaktionen gibt es inzwischen auch, etwa bei Bräkling.de (sorry für die Linking Policy, die hat die Zentrale verbrochen), bei den Blogpiloten,in DOBSZAY’s Ansichten und Einsichten sowie im roloblog. Die vielen Hinweise auf die Golem– und Heise-Artikel und Weiterverbreitungen der Pressemitteilung zähle ich nicht einzeln auf, das kann Google besser.

Plattenverschlüsselung: viermal mangelhaft

IT, Security, Testlabor, , , , , ,

Delivering bad news since 2004:

Meine Kollegen aus dem Testlabor IT-Sicherheit haben sich wieder einmal mit Verschlüsselungssoftware beschäftigt. Diesmal im Auftrag der Zeitschrift Computerbild, in deren aktuelles Heft die Ergebnisse eingeflossen sind. Ausgabe 20/2008 berichtet ab Seite 70 über den Test, zu dem unser Institut die Sicherheitsuntersuchung und -bewertung beigetragen hat.

Vier von acht untersuchten Programmen sind durchgefallen. Ich gratuliere. Den Kollegen, nicht den Programmen. Wir haben so etwas vor drei Jahren schon einmal gemacht, damals waren es nur zwei. Eines davon ist jetzt allerdings wieder auf einem der hinteren Plätze gelandet. So einfach ist das eben nicht mit der Sicherheit.

BitLocker-Leitfaden veröffentlicht

Forschung, Security, Testlabor, Trusted Computing, , , , ,

Wir haben uns zusammen mit dem BSI die Partitionsverschlüsselung BitLocker Drive Encryption genauer angeschaut. Herausgekommen ist der Leitfaden BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz. Das BSI hat auch eine Seite dazu und die gemeinsame Presseinformation gibt es hier.

BitLocker ist Bestandteil der Versionen Enterprise und Ultimate von Windows Vista. Mit Unterstützung des Trusted Platform Module (TPM) verschlüsselt BitLocker die Systempartition, demnächst ab Service Pack 1 auch beliebige andere Volumes (tatsächlich geht das jetzt schon, aber nur inoffiziell).

Die Kombination aus Plattenverschlüsselung und Trusted Computing hält jede Menge Stolpersteine bereit für den Anwender, der gleichzeitig an Vertraulichkeit, Benutzbarkeit und Verfügbarkeit interessiert ist. Ein Problem wurde bereits vor dem Erscheinen von Windows Vista heftig diskutiert: Multiboot-Systeme. Prinzipiell geht das auch mit BitLocker, solange man nicht mit einem Fremdsystem auf die BitLocker-Partition(en) zugreifen möchte. Es macht aber in der Praxis keinen rechten Spaß.

Unser Leitfaden zeigt eine Reihe weiterer Klippen und wie man sie umschifft. Die Sache mit dem gekühlten Speicher hat in dieser Form allerdings auch uns überrascht.

Und das steht drin (die Numerierung stimmt nicht ganz mit dem Leitfaden überein): BitLocker-Leitfaden veröffentlicht weiterlesen