Seminar "Praktische IT-Sicherheit"

Innerhalb dieses Seminars weren unterschiedliche Security-Themen behandelt. Insbesondere stehen aktuelle Forschungen von 2016 und 2015 aus den folgenden Breichen im Vordergrund: Web Security, Mobile Security, Cloud Security, Automotive Security, Malware, aber auch klassischere Gebiete wie Hardware Security, System Security und Kryptographie. Dabei geht es vor allem darum, die Arbeiten nachzuvollziehen, vorzustellen und auch konkrete Umsetzungen zu präsentieren.

Im Rahmen dieses Seminars muss jeder Teilnehmer ein Thema wissenschaftlich aufarbeiten und eine Präsentation über dieses halten. Weiterhin muss ein Handout begleitend zum Vortrag ausgehändigt werden. Abschließend ist eine aktive Beteiligung an den Vorträgen der anderen Seminarteilnehmer erwünscht.

Organisatorisches

Leitung und Organisation: Prof. Frederik ArmknechtChristian Reuter

Verfügbar für: Bachelor, Master, Lehramt, keine speziellen Vorkenntnisse notwendig.

Sprache: Primär deutsch, englischer Vortrag möglich

Veranstaltungsraum & Vortragstermine: Ein Vortrag pro Woche, siehe unten stehende Tabelle.

Aktuelles

03.11.2016: Der Vortrag von Herrn Diebold findet gesondert statt. Keine Studententeilnahme.

02.11.2016: Aktualisierung der Vortragszeiten und Festlegen der Termine für offene Seminartermine.

17.10.2016: Das erste Seminar wurde um eine Woche nach hinten verschoben.

12.10.2106: Vortragsraum geändert.

11.10.2016: Vortragsraum hinzugefügt.

06.10.2016: Vortragstermine aktualisiert.

Der Raum und die Uhrzeit für die Kick-Off-Besprechung stehen fest: 12.09.2016 um 15:30 in Raum B6, A 3.01.

Infos zur Bachelor Thesis hinzugefügt.

Seminarthemen

Es stehen folgende Seminarthemen zur Auswahl, die Liste kann sich jedoch noch ändern.

Allgemein

  1. Draft of new NIST Encryption Guidelines (Document)
    Draft of new NIST Digital Authentication Guideline (Document)
    Barcode-Hacks (Weitere Informationen, Präsentation)

Kryptographie

  1. A Practical Cryptanalysis of the Algebraic Eraser (Paper, Weitere Informationen)
  2. Dual_EC_DRBG & Juniper (Paper, Informationen, Präsentation, Paper2, Paper3, BlogEC, Blog Juniper)
  3. Watermarking Cryptographic Programs Against Arbitrary Removal Strategies (Paper)
  4. Indistinguishability Obfuscation (Informationen, Paper1, Paper2, Paper3, Paper4, Paper5)
  5. scrypt (Paper)
  6. Argon2 (Paper)
  7. Strongly Undetectable Algorithm-Substitution Attacks (Paper1, Paper2, Paper3, Paper4)
  8. Differential Privacy & RAPPOR (Paper1, Paper2, Paper3, Paper4, Paper5, RAPPOR, Additional Paper1, Additional Paper2, Addition Paper3, Book, Website, Presentation)
  9. Post-quantum key exchange - a new hope & CECPQ1 (Paper, Backreference1, Backreference2, CECPQ1)

Web Security

  1. HTTPS: Let's Encrypt, DNSSec & Key Exchange, HTTP Strict Transport Security (HSTS), HTTP Public Key Pinning (HPKP), Automated Certificate Management Environment (ACME)  (Let's Encrypt, DNSSec, Key Exchange, HSTS, HPKP, ACME)
  2. Attacking the Network Time Protocol (Paper, Informationen)
    Malware in Advertisements & Ads vs. Ad Blocker vs. Ad Blocker Blocker (Source1, Source2)
  3. Brotli & HTTP/2 (Paper, Informationen, Github, HTTP/2)
    Time-based One-time Password Algorithm (RFC)
  4. CA list administration in browsers like Firefox, Chrome, Safari, and Internet Explorer (Mozilla, News)
    HTTP Public Key Pinning (HPKP)
  5. Security of Adobe Flash and Silverlight over the last 10 years (Start)
  6. Fingerprints: Online tracking: A 1-million-site measurement and analysis (Paper1, Paper2, Study, News, c't 11/16)

Hardware Security

  1. On the (in)security of a Self-Encrypting Drive series (Paper)
  2. Physical Cryptanalysis of KeeLoq Code Hopping Applications (Informationen, Paper)
  3. ECDH Key-Extraction via Low-Bandwidth Electromagnetic Attacks on PCs (Paper)
  4. MouseJack (Paper, Details, Devices, News)
  5. Fansmitter (Paper, News, Video1, Video2)
  6. Spoofing GPS and Countermeasures (Website)

Automotive Security

  1. Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars (Paper, Präsentation, News1, News2, News3)
  2. Lock It and Still Lose It - On the (In)Security of Automotive Remote Keyless Entry Systems (Paper, News)
  3. Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer (Paper, Slides, Video, News)
  4. Security of BMWs ConnectedDrive (Attack1, Attack2, Attack3, News1, News2, Video, c't 05/15)

Crypto & Politics

  1. Front-Door vs. Back-Door, Apple vs. IBM Debate (Paper, Weitere Informationen, mehr, mehr, Thüringen, Comics: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, Apple-News1, Apple-News2, News-Overview, c't 06/16)
    Encryption & Politics: Escrowed Encryption Standard ("Clipper Chip") & Feinstein-Burr Bill (Clipper Chip Wiki, Feinstein-Burr Bill, Source1, Source2, Source3)
  2. Safe Harbor & Privacy Shield & Privacy vs. Surveillance (Weitere Informationen, Paper, Pressemeldung, Paper PvS, TR 03/16)
    EU-Datenschutz-Grundverordnung (EU-DSGVO) (Quelle, http://www.heise.de/newsticker/meldung/EU-Datenschutzverordnung-gilt-ab-Mai-2018-3197099.html)

Mobile Security

  1. User-Generated Free-Form Gestures for Authentication: Security and Memorability (Paper)
  2. XApp: Unauthorized Cross-App Resource Access on MAC OS X and iOS (Paper)
    Angriff auf Sparkassen TAN-App (Informationen, zweiter Angriff)
  3. WhatsApp: From Unsecure Most Widely Used End To End Crypto Tool On The Planet & The Noise Protocol Framework (Noise Protocol, WhatsApp Security, Axolotl, Private Groups, Asynchronous Security, Simplifying OTR Deniability, News1, News2, News3, News4), News5, News6)
  4. Dancing on the Lip of the Volcano: Chosen Ciphertext Attacks on Apple iMessage (Paper, Infos)
  5. Guess Who’s Texting You? Evaluating the Security of Smartphone Messaging Applications (Paper1, Paper2, Paper3, Paper4, Paper5)
  6. Toward Robotic Robbery on the Touch Screen (Paper, Information)
  7. (In-) Security of Security Applications (Paper, Informationen)
  8. Riposte: An Anonymous Messaging System Handling Millions of Users (Paper)
  9. Extracting Qualcomm's KeyMaster Keys - Breaking Android Full Disk Encryption (Blogpost, Apple)
  10. Spatial-Temporal Recreation of Android App Displays from Memory Images (Paper, Video)

Cloud Security

  1. Authentication & Identification: OAuth, Single Sign-On (SSO), OpenID, SAML, and SCIM. (OAuth, 3-legged-OAuth, OAuth2Oz, SSO, Covert Redirect, OpenID, SAML, SCIM, Simplecloud, iX 03/16)
  2. Gone in Six Characters: Short URLs Considered Harmful for Cloud Services (Paper, Informationen)

System Security

  1. Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques (Paper, Overview, c't 18/15)
  2. Deep Dive: Return Oriented Programming (Book)
  3. Off-Path TCP Exploits: Global Rate Limit Considered Dangerous (Paper, News)

SSL/TLS & RC4

  1. BEAST (Informationen)
    POODLE (Weitere Informationen, Paper)
  2. BREACH (Informationen, Paper)
    CRIME (Weitere Informationen, Präsentation)
    HEIST (Paper)
  3. LogJam (Website, News, Paper)
    FREAK (Weitere Informationen, Paper, Webseite, Präsentation)
    DROWN (Webseite, Paper)
  4. Lucky 13 (Informationen, Paper)
    BERserk (Informationen, Paper1, Paper2)
    SLOTH (Informationen, Paper)
  5. RC4-Angriff von Klein (Paper)
  6. TLS/RC4-Angriff von AlFardan et al. (Informationen, Paper)
  7. RC4-Angriff innerhalb WPA-TKIP und TLS von Vanhoef und Piessens (Paper)

Malware & Ransomware

  1. Ransomware Backend RIG (c't 18/15)
  2. Malware PC: Locky, CTB-Locker, TeslaCrypt 2, trun, CryptoLocker, KeRanger, Surpirse, Petya, Samsa: How they work and why some stopped encrypting (Web)
    Malware Mobil: SLocker, Xbot, Cyber Police (c't 15/16)

Digital Currencies

  1. Zerocash & Zerocoin (Paper Zerocash, Paper Zerocoin, Website)
  2. DigiCash (Paper Chaum, Paper Brands, Paper Opencoin, Opencoin Website)
  3. Peppercoin (Paper)
  4. Taler (Paper Draft, Webseite)
  5. Ethereum, DAO Hack, Smart Contracts und Scheme (Ehtereum, DAO Hack, Smart Contracts, Scheme)

Teilnahme & Themenwunsch

  1. Vorbesprechung: Nehmen Sie an der Vorbesprechung am 12.09.2016 um 15:30 in Raum B6 A301 teil und informieren Sie sich über die verfügbaren Themen.
  2. Auswahl der Themen: Wählen Sie bis zum 15.09.2016 um 16:00 Ihre Wunschthemen (mindestens 3, maximal 4) und tragen Sie sich in die anonymisierte Doodle-Umfrage ein.
  3. Bestätigung: Sie erhalten am 15.09.2016 um 17:00 eine Benachrichtigung darüber, welches Seminarthema und welcher Zeitslot Ihnen zugewiesen wurde.
  4. Terminkorrektur: Sollten Sie an dem zugewiesenen Termin auf keinen Fall vortragen können, melden Sie sich bitte bis spätestens 16.09.2016 um 23:59 bei uns. Wir finden dann einen neuen Termin.

Vortrag & Bewertung

Vortragsdauer: Ein Vortrag dauert genau 60 Minuten.

Umfang des Handouts: Das Handout sollte knapp und informativ sein; nicht länger als 6 Seiten.

Abweichung von der Vorgabe: Dauer und/oder Umfang kann nach Absprache größer sein, zum Beispiel für Demonstrationen oder Quelltexte.

Vorheriges Feedback: Wenn Sie Feedback zu Ihrem Vortrag wünschen, dann schicken Sie uns bis spätestens eine Woche vor Ihrem Vortragstermin Ihre Slides per Mail (reuter(at)uni-mannheim.de) zu. Wir können leider kein Feedback für Arbeiten geben, welche später eingereicht wurden.

Abgabe: Sie müssen die Slides Ihrer Präsentation (PDF, alternativ PowerPoint) spätestens am Vortragstermin abgeben. Die Abgabe muss vor Ihrem Vortrag erfolgen. Zusätzlich müssen Sie noch eine ausgedruckte und digitale Version Ihres Handouts abgeben. Die eidesstattliche Erklärung am Ende der LaTeX-Datei müssen Sie nur dann auskommentieren, wenn Ihre Studienordnung eine solche Erklärung erfordert. Beide Abgaben senden Sie bitte per Mail an reuter(at)uni-mannheim.de.

Bewertung: Der Schwerpunkt des Seminars liegt auf der Einarbeitung und dem Vortrag des vorgegebenen Themas/Materials. Dies beinhaltet sowohl Inhalt als auch Form und Vortragsstil. Es fließen zusätzlich noch das Handout und die mündliche Beteiligung an den anderen Seminarvorträgen wie folgt ein:

  • Mündliche Beteiligung: 10%
  • Handout: 20%
  • Vortrag: 70%

Fehltermine: Es ist maximal ein unentschuldigter Fehltermin erlaubt.

Zeitplan & Termine

DatumZeitOrtInhaltVortragender
12.09.201615:30B6, A3.01Kick-Off-Meeting: Vorbesprechung und Organisatorisches-
15.09.201616:00DoodleEntscheidungsfrist für Seminarthemen-
15.09.201617:00-Bekanntgabe der Themenzuteilungen und vorläufiger Seminartag-
16.09.201623:59-Deadline Seminartag-Wünsche und Bekanntgabe Votragsreihenfolge-
27.09.201615:00-Bekanntgabe des finalen Seminartags-
04.10.201623:59DoodleEntscheidungsfrist für Seminaruhrzeit-
06.10.201614:00-Bekanntgabe der finalen Seminarzeiten-
10.10.201613:00-Bekanntgabe des Vortragsraums-
19.10.201612:00B6, A2.03Off-Path TCP Exploits: Global Rate Limit Considered Dangerous fällt ausMengel
26.10.201612:00B6, A2.03Off-Path TCP Exploits: Global Rate Limit Considered Dangerous fällt ausMengel
02.11.201612:00B6, A2.03Lock It and Still Lose It - On the (In)Security of Automotive Remote Keyless Entry SystemsDosch
09.11.201612:15B6, A2.03Security of BMWs ConnectedDriveDjordjeski
14.11.201609:00BASFBig Data Analytics for Security Intelligence [keine studentische Teilnahme]Diebold
16.11.201612:15B6, A2.03Malware PC: Locky, CTB-Locker, TeslaCrypt 2, trun, CryptoLocker, KeRanger, Surpirse, Petya, Samsa: How they work and why some stopped encrypting & Malware Mobil: SLocker, Xbot, Cyber PoliceZimmermann
23.11.201612:15B6, A2.03Physical Cryptanalysis of KeeLoq Code Hopping ApplicationsCichon
30.11.201612:15B6, A2.03Differential Privacy & RAPPORZichert
30.11.201613:45B6, A2.03Off-Path TCP Exploits: Global Rate Limit Considered Dangerous fällt ausMengel
07.12.201612:15B6, A2.03Front-Door vs. Back-Door, Apple vs. IBM Debate & Encryption & Politics: Escrowed Encryption Standard ("Clipper Chip") & Feinstein-Burr BillLehrbacher
07.12.201613:45B6, A2.03Fingerprints: Online tracking: A 1-million-site measurement and analysisWarda
15.12.201610:00B6, B2.01Front-Door vs. Back-Door, Apple vs. IBM Debate & Encryption & Politics: Escrowed Encryption Standard ("Clipper Chip") & Feinstein-Burr Bill [keine studentische Teilnahme]Lehrbacher

Bachelor Thesis

Sind Sie an einem Thema oder Themenkomplex aus dem Seminar weiterführend interessiert, dann bieten wir Ihnen für die meisten Themen die Möglichkeit, darüber Ihre Bachelor Thesis zu schreiben. Die Seminarthemen lassen sich entweder vertiefen oder mit anderen Seminarthemen zu einem Oberthema verknüpfen.

Bei Interesse wenden Sie sich bitte an Christian Reuter.

ILIAS & Mailingliste

Die Veranstaltung finden Sie auch in ILIAS.

Wenn Sie eine Teilnahme am Seminar planen, bitten wir Sie eine kurze Mail von Ihrer Uni Mannheim Mailadresse an reuter(at)uni-mannheim.de zur Anmeldung zu schicken. So können wir Ihnen spontane Raumänderungen und Organisatorisches direkt mitteilen.