[HGI-News] HGI Seminar, Montag, 06.06.05

hgi-news at lists.ruhr-uni-bochum.de hgi-news at lists.ruhr-uni-bochum.de
Do Jun 2 11:33:24 CEST 2005 


========================================================================

                             Stefan Strobel
                              Cirosec GmbH	
	
           "Sicherheit von Web-Applikation und E-Business-Systemen"

                   Montag, 06.06.2005, 13:15 Uhr, IC 4/39,


Abstract

In den letzten Jahren bestanden IT-Sicherheitsprojekte vor allem aus dem
Aufbau von Firewalls für die unterschiedlichsten Anwendungen. Seit für die
Kommunikation mit Kunden und Partnern immer neue web-basierte Anwendungen
aufgebaut werden und immer mehr Ports der existierenden Firewalls geöffnet
werden müssen, stellt sich die Frage ob die bisher verfolge
"Einmauerungs-Strategie" noch sinnvoll ist. Untersuchungen zeigern, dass
trotz hochmoderner Firewalls mindestens 50% aller webbasierten Systeme
angreifbar sind.

Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der
Anwendungsebene. Sie beruhen auf Fehlern in der Webserver-Software, aber
auch in kleinen Details aller anwendungsspezifischen Scripte und Programme.
Nur mit einem guten Verständnis dieser Fehler und wie man sie ausnutzen
kann, ist ein sinnvoller Schutz möglich.

Im Vortrag werden daher einige Angriffsmöglichkeiten auf Webserver und
E-Business Systeme wie SQL-Hacking, Stealth Commanding, Cookie-Poisoning,
Parameter Tampering und auch Hidden Manipulation mit anschaulichen
Beispielen vorgetragen.

Für den Schutz vor Angriffen auf der Anwendungsebene werden zusätzliche
Mechanismen benötigt, die im Vortrag ausführlich erläutert werden. Moderne
Produkte adressieren dieses Problem mit neuen Analysemethoden und Filterung
auf Anwendungsebene. Trusted Operating Systeme als sichere Plattformen
können den üblichen Hacker-Methoden entgegen wirken, indem sie die auch bei
Fehlern in Server-Diensten die Plattform vor dem Angreifer schützen. 


========================================================================

EMAIL-VERTEILER: Wenn Sie Vortragsankündigungen auch in Zukunft per
Email erhalten wollen, können Sie hier
http://www.hgi.ruhr-uni-bochum.de/deutsch/newsletter/
unseren Newsletter abonnieren.

ANFAHRT: Eine Wegbeschreibung zum IC Gebäude der RUB ist hier zu finden:
http://www.crypto.ruhr-uni-bochum.de/contact.html

VORTRÄGE IM SS 2005:
(Abstracts sind hier:
 http://www.crypto.ruhr-uni-bochum.de/hgi_sose05.html)

25.04 Marcel Holtmann, 13.15 hrs. IC 4/39,
"Bluetooth Security Unleashed"

02.05 Jan Pelzl, COSY - RUB, 13.15 hrs. IC 4/39,
"Hardware-based Factorization of Integers with the Elliptic Curve Method"

09.05 Michael Schmidt, University of Siegen, 13.15 hrs. IC 4/39,
"Subscriptionless Mobile Networking - A Secure, Privacy-Preserving Ad-hoc
Service Architecture"
 
23.05 Dario Carluccio, COSY - RUB, 13.15 hrs. IC 4/39,
"Electromagnetic Side Channel Analysis for Embedded Crypto Devices"

30.05 Thomas Dullien, RUB, 13.15 hrs. IC 4/39
"Structural Comparison of Executable Objects"

06.06 Stefan Strobel, cirosec GmbH, 13.15 hrs. IC 4/39,
"Sicherheit von Web-Applikation und E-Business-Systemen"

13.06 Marco Macchetti, Politecnico di Milano, 13.15 hrs. IC 4/39,
TBA

20.06  Philipp Südmeyer, COSY - RUB, 13.15 hrs. IC 4/39,
TBA

27.06  TBA

04.07  Björn Fay, Justus Liebig-Uni Giessen, 13.15 hrs. IC 4/39,
"Anwendung und Sicherheit der Random-Oracle Methode"

11.07  TBA

18.07  TBA

25.07  Jens-Peter Kaps, CRIS, WPI (USA), 13:15 hrs. IC 4/39,
"Cryptography for Ultra-Low Power Devices, Securing Pervasive Computing"


========================================================================

M.Tech. Sandeep Kumar
Chair for Communication Security
Dept. of Electr. Eng. & Information Sciences
Ruhr-University Bochum
44780 Bochum, Germany

URL: www.crypto.rub.de

Mehr Informationen über die Mailingliste Hgi-News-Deutschland