SBA Research is a research center for Information Security funded by the national initiative for COMET Competence Centers for Excellent Technologies. We bring together 25 companies, 4 Austrian universities, one university of applied sciences, a non-university research institute, and many international research partners to jointly work on challenges ranging from organizational to technical security.
ISIS @ TU Wien IAIK @ TU Graz DKE @ Uni Wien NM @ WU Wien FH St. Pölten AIT

News

iPRES 2014 Best Paper Award goes to researchers at SBA

iPresBestPaper

For the second time in a row the Best Paper Award of the International Conference on Preservation of Digital Objects (iPRES 2014) has been awarded to the researchers from SBA.

In this year´s edition Tomasz Miksa and his co-authors were rewarded for their contribution “VPlan – Ontology for Collection of Process Verification Data”. This paper is a direct outcome of their activities in the EU funded FP7 project TIMBUS.

The iPRES is an annual scientific conference, and the major gathering of experts in the field of digital preservation, gathering several hundreds of researchers. The iPRES 2014 was held from 6-10 October 2014 in Melbourne, Australia.

11. Österreichischer Sicherheitstag

Edgar Weippl sprich über Social Engineering (Details)

SBA Research @ 1. Mobile Quality Night

Severin Winkler präsentiert auf der 1. Mobile Quality Night, die unter dem Themenschwerpunkt Testen von mobilen Applikationen” steht, das OWASP Mobile Security Projekt.

Das OWASP Mobile Security Projekt ist eine zentrale Ressource für Entwickler und Security-Teams. Es enthält notwendige Informationen, die sie brauchen, um sichere mobile Anwendungen zu entwickeln und testen zu können.
Der Schwerpunkt liegt dabei auf der Anwendungsschicht. Darüber hinaus beleuchtet das Projekt auch die serverseitigen Aspekte von mobilen Anwendungen. Mehr.

Die Mobile Quality Night Vienna ist eine Veranstaltung des ASQF e.V. und seiner Fachgruppe „Vienna Mobile Quality Crew“, anmelden kann man sich kostenlos hier.

16.10.2014, 17.30 – 23.00 Uhr, Milleniums Tower

Neue SSL Lücke (POODLE)

Die neu bekanntgewordene Lücke im SSL Verschlüsselungsprotokoll mit Namen POODLE (CVE-2014-3566) betrifft viele Browser und Server weltweit.
Praktisch könnten unter Umständen Online-Sitzungen übernommen werden, wenn Benutzer in unsicheren Netzwerken (z.B. öffentliches WLAN) surfen.

SBA Research stellt mit folgendem Whitepaper eine Kurzübersicht über die Bedrohungslage dar und zeigt mögliche Gegenmaßnahmen für Privatanwender und Unternehmen auf.

Für nähere Informationen oder Unterstützung bei der Behebung wenden Sie sich bitte an: poodle@sba-research.org.

Edgar Weippl zum Thema Cloud Security

Man muss sich gut überlegen, welche Daten wo gespeichert werden. Ich habe manche Daten unverschlüsselt in der Cloud, andere verschlüsselt und wieder andere überhaupt nicht. Hier gilt es, Datenschutz und Verfügbarkeit gegeneinander abzuwägen“, so Edgar Weippl (futurezone.at)

SBA Research beim Conect Informunity

Christoph Falta spricht heute im Rahmen der Conect Informunity zum Thema “Security & Riskmanagement” über “APTs in der Praxis – Gefahren, Maßnahmen und Restrisiko”.

10. Oktober 2014
09.00 – 14.00 Uhr
IBM Österreich

weitere Infos

Security Day

Heute findet der Security Day – Young Researchers’ Day trifft Kryptostammtisch statt, der im Rahmen des ACM SIGSAC Chapters Vienna und des OCG-Arbeitskreises IT-Sicherheit organisiert wird. Der Security Day findet gemeinsam mit dem Kryptostammtisch des IAIK TU Graz statt und bietet Vorträge von Young und Senior Researchers im Bereich IT Security.

Programm und alle Abstracts zu den Vorträgen gibt es hier.
Details zum Event

Der Security Day findet im Rahmen des ENISA European Cyber Security Month statt. http://cybersecuritymonth.eu/

Hollywood-Hacking, CSI in der EDV und mehr – SBA bei der European Researchers’ Night 2014

SBA Research ist mit drei Themen auf der European Researchers’ Night vertreten:

2014-09-26 19.44.17

  1. Sicherheit im Internet: Facebook, WhatsApp, Instagramm & Co.
  2. Hollywood-Hacking: Ein Reality-Check
  3. Digitale Forensik – CSI in der EDV

Shellshock a.k.a. Bashbleed

Was ist Shellshock?
Am 24.9.2014 wurde eine Sicherheitsschwachstelle als CVE-2014-6271 (auch Shellshock oder Bashbleed) veröffentlicht. Die Sicherheitslücke befindet sich in der Kommandozeilensoftware bash, die praktisch in allen Linux-Systemen als Standard-Shell eingesetzt wird. Durch einen Fehler beim Parsen von Umgebungsvariablen wird das Ausführen von beliebigen Befehlen möglich. Die Schwachstelle lässt sich unter bestimmten Umständen auch von einem externen Angreifer ausnutzen.

Update 29.09.2014: Die Lücke wird bereits im Rahmen automatisierter Attacken ausgenutzt, wie die Beobachtungen auf Honeypotsystemen zeigen.

Auswirkungen
Das gefährliche ist, dass bash an vielen Stellen implizit verwendet wird, wodurch externe Angriffsmöglichkeiten über das Internet existieren. Am offensichtlichsten erscheinen Angriffe über Webserver, die CGI-Skripte anbieten. Das Ausführen von CGI-Skripten beinhaltet einen Aufruf der bash, bei der Benutzereingaben als Umgebungsvariablen mitgeschleust werden. Dadurch ist es einem Angreifer unter bestimmten Umständen möglich, eigene Kommandos auf dem verwundbaren Webserver auszuführen und somit den Webserver zu übernehmen!

Weitere Informationen zu Überprüfung und Behebung finden Sie hier.

Kontakt
Für nähere Informationen oder Unterstützung bei der Überprüfung wenden Sie sich bitte an: bashbleed@sba-research.org

The Washington Post on National Security and IMSI Catchers Catchers.

Adrians ACSAC prepublication is picked up by the Washington Post:

There are rare occurrences when all these indicators are present without an IMSI catcher,” Dabrowski said. “But it’s a situation where you might say, ‘Let’s now be careful and not talk about sensitive things on the phone.’ It’s not a perfect indicator.”

He also warned that the makers of IMSI catchers will probably adapt their technology to defeat the new IMSI catcher-catchers, triggering “an arms race” in surveillance technology and the tools intended to defeat it.

SBA Research – I like IT

SBA Research beim IT-Aktionstag #digtialcitywien

digitalcitywien

P3F Prototype is ready

Picture Privacy Policy Framework: for details on the prototype please go to http://www.p3f.at/

This was ARES 2014!

ARES 2014 was held from 8 – 12 September 2014 in Fribourg, Switzerland.
Thanks to 133 participants from 30 countries for participating!

All pictures of ARES 2014 can be found here.
Website ARES Conference

KIRAS Studie zu sicheren E-Government Infrastrukturen startet

Die Bedeutung von E-Government als Schnittstelle zwischen öffentlichen Einrichtungen und BürgerInnen im erweiterten Sinn ist bereits heute eine wichtige. Ziel der vorliegenden Studie ist, Sicherheit von E-Government-Anwendungen, Projekten und Einrichtungen durch die Definition eines entsprechenden Standards sowie eines potentiellen Zertifizierungsprozesses in den Mittelpunkt zu rücken und überprüfbar zu machen.

Partner:

Universität Wien, Rechtswissenschaftliche Fakultät, Institut für Europarecht, Internationales Recht und Rechtsvergleichung
Zentrum für sichere Informationstechnologien – Austria (A-SIT)
REPUCO Unternehmensberatung GmbH

Bedarfsträger:

Bundesministerium für Finanzen
Bundeskanzleramt
Bundesministerium für Inneres

ARES Conference 2014

Today starts the 9th International Conference on Availability, Reliability and Security (ARES 2014). ARES 2014 is organized by SBA Research in cooperation with the University of Fribourg and takes place from 8 – 12 September 2014 in Fribourg, Switzerland. Website

ARES

Andrubis app online

The Andrubis app is now available in Google Play Store. The work has been partly funded by uSmile and COMET. The work is part of Martina’s PhD research.

SBA Research sportlich am Business Run

Auch dieses Jahr haben wieder zwei Teams von SBA Research ihre Sportlichkeit beim 14. Wien Energie Business Run unter Beweis gestellt.

Business Run Team Ultimate Running Heroes Business Run Team zeitlos

Edgar Weippl ist Studio-Gast bei Heute Mittag

Edgar Weippl beantwortet Fragen zu Cloud-Sicherheit bei Heute Mittag (ORF).

Edgar Weippl