SBA Research is a research center for Information Security funded by the national initiative for COMET Competence Centers for Excellent Technologies. We bring together 25 companies, 4 Austrian universities, one university of applied sciences, a non-university research institute, and many international research partners to jointly work on challenges ranging from organizational to technical security.
ISIS @ TU Wien IAIK @ TU Graz DKE @ Uni Wien NM @ WU Wien FH St. Pölten AIT

News

SBA Research @ Karriere Netzwerk 2014

SBA Research@ Karriere NetzwerkSBA Research ist auch dieses Jahr als Austeller beim Karriere Netzwerk der Fachhochschule St. Pölten vertreten.

Das Karriere Netzwerk ist eine Job- und Karrieremesse, die dieses Jahr zum zweiten Mal stattfindet.

Genaue Informationen zu den Ausstellern finden Sie unter karrierenetz.online, allgemeine Informationen zur Veranstaltung finden Sie hier.

 

Markus Klemen zum Thema Secure E-Government am VIS!T Symposium

Markus Klemen erläutert am heutigen VISI!T Symposium (Verwaltung integriert sichere Informationstechnologie) die Herausforderungen der aktuell laufenden KIRAS Studie zum Entwurf eines Zertifizierungsstandards für E-Government.

Der Grundgedanke des Symposiums “Verwaltung integriert sichere Informationstechnologie” (ViS!T) ist die multilaterale Diskussion des Themas IT-Sicherheit (in Strategien, IT-Vorhaben, Projekten) in den vier deutschsprachigen europäischen Staaten Deutschland, Österreich, Schweiz und Luxemburg. Dabei richtet sich das Symposium an die Mitarbeitenden der öffentlichen Verwaltungen dieser Länder. ViS!T findet alle 2 Jahre abwechselnd in Österreich, in der Schweiz und in Luxemburg statt, heuer organisiert A-SIT (Das Zentrum für sichere Informationstechnologie – Austria) die Veranstaltung im Park Hyatt Vienna. Das heurige Programm finden Sie hier.

SBA Research @ IT-Businesstalk

Aljosha Judmayer spricht beim 7. IT-Businesstalk zum Thema “Trends im Future Internet” über “(Security)-Stolpersteine auf dem Weg zum IoT”.

In diesem Vortag werden einige Security-Stolpersteine auf dem Weg zu einem Internet-of-Things (IoT) aufgezeigt. Dabei werden unterschiedliche, für IoT relevante, Technologien unter die Lupe genommen und aus Perspektive der IT-Security betrachtet. Die behandelten Themenfelder umfassen IPv6, GSM und Building Automation Systems (BAS).

Der IT-Businesstalk wird von nic.at und Salzburg Research veranstaltet, die Teilnahme ist kostenlos. Weitere Informationen zur Veranstaltung sowie die Möglichkeit zur Anmeldung finden Sie hier.

23.10.2014, 13.30 – 18.00 Uhr, Crowne Plaza Salzburg

iPRES 2014 Best Paper Award goes to researchers at SBA

iPresBestPaper

For the second time in a row the Best Paper Award of the International Conference on Preservation of Digital Objects (iPRES 2014) has been awarded to the researchers from SBA.

In this year´s edition Tomasz Miksa and his co-authors were rewarded for their contribution “VPlan – Ontology for Collection of Process Verification Data”. This paper is a direct outcome of their activities in the EU funded FP7 project TIMBUS.

The iPRES is an annual scientific conference, and the major gathering of experts in the field of digital preservation, gathering several hundreds of researchers. The iPRES 2014 was held from 6-10 October 2014 in Melbourne, Australia.

11. Österreichischer Sicherheitstag

Edgar Weippl sprich über Social Engineering (Details)

SBA Research @ 1. Mobile Quality Night

Severin Winkler präsentiert auf der 1. Mobile Quality Night, die unter dem Themenschwerpunkt Testen von mobilen Applikationen” steht, das OWASP Mobile Security Projekt.

Das OWASP Mobile Security Projekt ist eine zentrale Ressource für Entwickler und Security-Teams. Es enthält notwendige Informationen, die sie brauchen, um sichere mobile Anwendungen zu entwickeln und testen zu können.
Der Schwerpunkt liegt dabei auf der Anwendungsschicht. Darüber hinaus beleuchtet das Projekt auch die serverseitigen Aspekte von mobilen Anwendungen. Mehr.

Die Mobile Quality Night Vienna ist eine Veranstaltung des ASQF e.V. und seiner Fachgruppe „Vienna Mobile Quality Crew“, anmelden kann man sich kostenlos hier.

16.10.2014, 17.30 – 23.00 Uhr, Milleniums Tower

Neue SSL Lücke (POODLE)

Die neu bekanntgewordene Lücke im SSL Verschlüsselungsprotokoll mit Namen POODLE (CVE-2014-3566) betrifft viele Browser und Server weltweit.
Praktisch könnten unter Umständen Online-Sitzungen übernommen werden, wenn Benutzer in unsicheren Netzwerken (z.B. öffentliches WLAN) surfen.

SBA Research stellt mit folgendem Whitepaper eine Kurzübersicht über die Bedrohungslage dar und zeigt mögliche Gegenmaßnahmen für Privatanwender und Unternehmen auf.

Für nähere Informationen oder Unterstützung bei der Behebung wenden Sie sich bitte an: poodle@sba-research.org.

Edgar Weippl zum Thema Cloud Security

Man muss sich gut überlegen, welche Daten wo gespeichert werden. Ich habe manche Daten unverschlüsselt in der Cloud, andere verschlüsselt und wieder andere überhaupt nicht. Hier gilt es, Datenschutz und Verfügbarkeit gegeneinander abzuwägen“, so Edgar Weippl (futurezone.at)

SBA Research beim Conect Informunity

Christoph Falta spricht heute im Rahmen der Conect Informunity zum Thema “Security & Riskmanagement” über “APTs in der Praxis – Gefahren, Maßnahmen und Restrisiko”.

10. Oktober 2014
09.00 – 14.00 Uhr
IBM Österreich

weitere Infos

Security Day

Heute findet der Security Day – Young Researchers’ Day trifft Kryptostammtisch statt, der im Rahmen des ACM SIGSAC Chapters Vienna und des OCG-Arbeitskreises IT-Sicherheit organisiert wird. Der Security Day findet gemeinsam mit dem Kryptostammtisch des IAIK TU Graz statt und bietet Vorträge von Young und Senior Researchers im Bereich IT Security.

Programm und alle Abstracts zu den Vorträgen gibt es hier.
Details zum Event

Der Security Day findet im Rahmen des ENISA European Cyber Security Month statt. http://cybersecuritymonth.eu/

Hollywood-Hacking, CSI in der EDV und mehr – SBA bei der European Researchers’ Night 2014

SBA Research ist mit drei Themen auf der European Researchers’ Night vertreten:

2014-09-26 19.44.17

  1. Sicherheit im Internet: Facebook, WhatsApp, Instagramm & Co.
  2. Hollywood-Hacking: Ein Reality-Check
  3. Digitale Forensik – CSI in der EDV

Shellshock a.k.a. Bashbleed

Was ist Shellshock?
Am 24.9.2014 wurde eine Sicherheitsschwachstelle als CVE-2014-6271 (auch Shellshock oder Bashbleed) veröffentlicht. Die Sicherheitslücke befindet sich in der Kommandozeilensoftware bash, die praktisch in allen Linux-Systemen als Standard-Shell eingesetzt wird. Durch einen Fehler beim Parsen von Umgebungsvariablen wird das Ausführen von beliebigen Befehlen möglich. Die Schwachstelle lässt sich unter bestimmten Umständen auch von einem externen Angreifer ausnutzen.

Update 29.09.2014: Die Lücke wird bereits im Rahmen automatisierter Attacken ausgenutzt, wie die Beobachtungen auf Honeypotsystemen zeigen.

Auswirkungen
Das gefährliche ist, dass bash an vielen Stellen implizit verwendet wird, wodurch externe Angriffsmöglichkeiten über das Internet existieren. Am offensichtlichsten erscheinen Angriffe über Webserver, die CGI-Skripte anbieten. Das Ausführen von CGI-Skripten beinhaltet einen Aufruf der bash, bei der Benutzereingaben als Umgebungsvariablen mitgeschleust werden. Dadurch ist es einem Angreifer unter bestimmten Umständen möglich, eigene Kommandos auf dem verwundbaren Webserver auszuführen und somit den Webserver zu übernehmen!

Weitere Informationen zu Überprüfung und Behebung finden Sie hier.

Kontakt
Für nähere Informationen oder Unterstützung bei der Überprüfung wenden Sie sich bitte an: bashbleed@sba-research.org

The Washington Post on National Security and IMSI Catchers Catchers.

Adrians ACSAC prepublication is picked up by the Washington Post:

There are rare occurrences when all these indicators are present without an IMSI catcher,” Dabrowski said. “But it’s a situation where you might say, ‘Let’s now be careful and not talk about sensitive things on the phone.’ It’s not a perfect indicator.”

He also warned that the makers of IMSI catchers will probably adapt their technology to defeat the new IMSI catcher-catchers, triggering “an arms race” in surveillance technology and the tools intended to defeat it.

SBA Research – I like IT

SBA Research beim IT-Aktionstag #digtialcitywien

digitalcitywien

P3F Prototype is ready

Picture Privacy Policy Framework: for details on the prototype please go to http://www.p3f.at/

This was ARES 2014!

ARES 2014 was held from 8 – 12 September 2014 in Fribourg, Switzerland.
Thanks to 133 participants from 30 countries for participating!

All pictures of ARES 2014 can be found here.
Website ARES Conference

KIRAS Studie zu sicheren E-Government Infrastrukturen startet

Die Bedeutung von E-Government als Schnittstelle zwischen öffentlichen Einrichtungen und BürgerInnen im erweiterten Sinn ist bereits heute eine wichtige. Ziel der vorliegenden Studie ist, Sicherheit von E-Government-Anwendungen, Projekten und Einrichtungen durch die Definition eines entsprechenden Standards sowie eines potentiellen Zertifizierungsprozesses in den Mittelpunkt zu rücken und überprüfbar zu machen.

Partner:

Universität Wien, Rechtswissenschaftliche Fakultät, Institut für Europarecht, Internationales Recht und Rechtsvergleichung
Zentrum für sichere Informationstechnologien – Austria (A-SIT)
REPUCO Unternehmensberatung GmbH

Bedarfsträger:

Bundesministerium für Finanzen
Bundeskanzleramt
Bundesministerium für Inneres