[an error occurred while processing the directive]

Ausgewählte Themen des Modellbasierten Sicherheits-Engineerings
Themen-Liste

Analysis Techniques for Information Security Kap. 1, 2: Introduction, Foundations (JJ; 2 Bearbeiter)

Literatur:

  • Anupam Datta, Somesh Jha, Ninghui Li, David Melski, and Thomas Reps: Analysis Techniques for Information Security. 2010, Morgan and Claypool. E-Book (kostenloser Zugang über Uninetz). Kap. 1, 2.

Analysis Techniques for Information Security Kap. 3: Detecting Buffer Overruns Using Static Analysis (JJ)

Literatur:

  • Anupam Datta, Somesh Jha, Ninghui Li, David Melski, and Thomas Reps: Analysis Techniques for Information Security. 2010, Morgan and Claypool. E-Book (kostenloser Zugang über Uninetz). Kap. 3.

Analysis Techniques for Information Security Kap. 4: Analyzing Security Policies (JJ)

Literatur:

  • Anupam Datta, Somesh Jha, Ninghui Li, David Melski, and Thomas Reps: Analysis Techniques for Information Security. 2010, Morgan and Claypool. E-Book (kostenloser Zugang über Uninetz). Kap. 4.

Analysis Techniques for Information Security Kap. 5: Analyzing Security Protocols (JJ)

Literatur:

  • Anupam Datta, Somesh Jha, Ninghui Li, David Melski, and Thomas Reps: Analysis Techniques for Information Security. 2010, Morgan and Claypool. E-Book (kostenloser Zugang über Uninetz). Kap. 5.

CrypTool 2 -- Visuelle Programmierung / Visualisierung von Algorithmen (SP)

CrypTool 2 ist ein Open Source Projekt und bietet eine Oberfläche zur visuellen Programmierung, mit der auf einfache Weise kryptographische Funktionen zu Workflows zusammengefügt und manipuliert werden können. Ausserdem lässt sich auch der innere Ablauf eines implementierten Algorithmus visualisieren. In diesem Vortrag sollen die Fähigkeiten von CrypTool in Hinblick auf visuelle Programmierung und Visualisierung von Algorithmen vorgestellt, mit Beispielen demonstriert werden und eine kurze Bewertung des Nutzens in Hinblick auf die Entwicklung sicherer Software vorgenommen werden.

Literatur:

CrypTool 2 -- Kryptoanalyse (SP)

CrypTool 2 ist ein Open Source Projekt und bietet ein Sortiment an Werkzeugen, die hilfreich bei der Kryptoanalyse sein können. Im Vortrag sollen die Kryptoanalyse-Funktionen von CrypTool 2 vorgestellt werden, diese an Beispielen demonstriert und ausschnittsweise deren Funktionsweise erlätert werden.

Literatur:

Penetration Testing und Vulnerability Scanning -- Metasploit(able) (SP)

Metasploit ist eine frei verfügbare Penetration Testing Software. Im Vortrag soll kurz der Hintergrund von Penetration Testing erläutert werden und eine Einführung in die Funktionsweise von Metasploit gegeben werden (z.B. mittels Metasploitable Virtual Maschines). Weiterhin soll eine kurze Bewertung der Nützlichkeit für die Entwicklung und Pflege vertrauenswürdiger, sicherheitskritischer Systeme erfolgen.

Literatur:

Reverse Engineering -- Java Decompiler (SP)

Mittels sogenannter Decompiler lässt sich maschinennaher Source Code "zurück zu einer lesbareren Form" transformieren. Im Vortrag soll die Funktionsweise des Decompilieren erlätert werden und anschliessend ein Decompiler wie beispielsweise der Java Decompiler vorgestellt werden. Weiterhin soll eine kurze Berwertung der Nützlichkeit für die Entwicklung und Pflege vertrauenswürdiger, sicherheitskritischer Systeme erfolgen.

Web Application Security: SQL Injection, Cross Site Scripting -- w3af (SP)

w3af ist ein Angriffs- und Auditwerkzeug für Web Applikationen. Im Vortrag soll kurz die Funktionsweise von SQL-Injections (und gegebenenfalls Cross Site Scripting) erläutert werden und eine Einführung in die Funktionsweise von w3af gegeben werden. Weiterhin soll eine kurze Berwertung der Nützlichkeit für die Entwicklung und Pflege vertrauenswürdiger, sicherheitskritischer Systeme erfolgen.

Literatur:

Modellbasierte Softwareentwicklung mit Sicherheitseigenschaften und UMLsec (JB)

Welche Sicherheitseigenschaften in verschiedenen Softwarekomponenten gelten sollen, bereits zu Beginn der Entwicklung eines Projekts beachtet werden. Die Modellierungssprache UML bietet mit der Erweiterung UMLsec die Möglichkeit, Modelle mit sicherheitsrelevanten Anforderungen zu annotieren.

Literatur:

CARiSMA (JB)

CARiSMA ist eine Plugin-basierte Plattform zur Durchführung von Compliance, Risiko und Sicherheitsanalysen. Als Reimplementierung des früheren UMLsec-Tools bietet es verschiedene Plugins, sog. checks, um UMLsec-Sicherheitseigenschaften auf Modellen überprüfen zu können.

Literatur:

WBMP/Riskfinder (JB)

Bei der Entwicklung von Software in Geschäftsfeldern regulierten Industrie (wie zum Beispiel das Bankenwesen oder die Medizin) stellt die Compliance, also die Einhaltung verschiedenster Regelwerke, Gesetze und Vorschriften, eine größer werdende Herausforderung. Die relevanten Anforderungsdokumente sind zumeist allgemein formuliert und liegen nur in natürlichsprachlicher Form vor. Ziel von WBMP / Riskfinder ist die Unterstützung bei der Identifikation relevanter Anforderungen, indem ein Prozessmodell bspw. in BPMN oder UML modelliert und den Anforderungen gegenüber gestellt wird.

Literatur:

Model-based risk assessment with CORAS (JB)

Eine Sicherheitsrisikoanalyse liefert Antworten auf Sicherheitsfragen, wie „Wie sicher ist ein Internetbankkonto?“ oder „Wie gefährlich kann ein Fehler einer einzelnen Person für die Firma sein?“. CORAS ist eine Methode um Sicherheitsrisikoanalysen durchzuführen. Es verwendet UML Profile zur Analyse und Darstellung und stellt ein Tool für Dokumentation, Wartung und Analysereport zur Verfügung.

Literatur:

Packetsniffer (wireshark) (JB)

Packetsniffer sind ein wichtiges Werkzeug nicht nur für die Fehlerdiagnose in Computernetzwerken. In zunehmendem Maße kommunizieren Anwendungen über (Ethernet-)Netzwerke (z. B. bei Zugriff auf Cloud-Diensleistungen), aber auch verschiedene andere Systeme wie Telefonanlagen, eingebettete Systeme (Hausautomation, Industriesteuerungen), Türzutrittssysteme, usw. Daher spielt Analysen des Netzwerkverkehrs eine wichtige Rolle bei der Entwicklung dem Testen sicherer Software.

Literatur:

Kontakt

Zum Profil von Prof. Dr. Jan Jürjens