IT-Sicherheits-Konferenzseminar (Bachelor) (ITSecSem)


1 2 3

Dozentinnen/Dozenten
Dipl.-Inform. Dipl.-Math. Hans-Georg Eßer, Prof. Dr.-Ing. Felix Freiling

Angaben
Seminar, Schein, ECTS-Studium, ECTS-Credits: 5
für Gasthörer zugelassen, Sprache Deutsch
Zeit und Ort: Einzeltermine am 15.5.2014 18:00 - 19:30, 12.150; 14.7.2014 9:00 - 16:30, H15; Bemerkung zu Zeit und Ort: regelmäßige Termine nach Absprache; Vorbesprechung zu Semesterbeginn: siehe Webseite

Studienfächer / Studienrichtungen
WPF INF-BA-SEM 3-4 (ECTS-Credits: 5)
WF MT-BA 5-6 (ECTS-Credits: 5)

ECTS-Informationen:

Credits: 5

Zusätzliche Informationen
www: http://www1.informatik.uni-erlangen.de/courses/show/2014s/21191506
Für diese Lehrveranstaltung ist eine Anmeldung erforderlich.
Die Anmeldung erfolgt über: StudOn

Verwendung in folgenden UnivIS-Modulen

Startsemester SS 2018:
Biomedizin und Technik (BuT)

WICHTIG: RAUM FÜR DIE VORTRÄGE: Hörsaal H15 (Hans-Wilhelm-Schüßler-Hörsaal; Cauerstraße 7/9, 91058 Erlangen)

SWS: 4 (5 ECTS)
Termin: Blockseminar, Mo., 14.07.2014, 09:00-16:30, Hörsaal H15 (Hans-Wilhelm-Schüßler-Hörsaal; Cauerstraße 7/9, 91058 Erlangen)
Raum: Seminarraum, Lehrstuhl 1, Martensstraße 3, 12. OG
Vorbesprechung: Mo. 14.04.2014, 17:45, Seminarraum, Lehrstuhl 1, Martensstraße 3, 12. OG

Beschreibung

Dieses Seminar trägt den Titel "Konferenzseminar IT-Sicherheit".

Terminübersicht

Vorbesprechung 14.04.2014, 17:45
Einreichen der Abstracts und Präsenztermin Wiss. Arbeiten 23.04.
Fixierung der Themen 28.04.
Einreichen Konzept (Betreuer/in) 12.05.
Präsenztermin Review-Prozess, Arbeiten mit LaTeX (Teilnahme freiwillig) 15.05.
Einreichen Vorabversion (Betreuer/in) 03.06.
Einreichen Beitrag 16.06.
Beginn Peer Review 17.06.
Abgabe Gutachten 01.07.
Annahme-Entscheidung 02.07.
Abgabe Druckversion 09.07.
Konferenz (09:00-16:30 Uhr) 14.07.

Material

Ablauf

Das Seminar findet als Konferenzseminar statt. Der experimentelle Seminarstil kann durch folgende Punkte charakterisiert werden:

  • Die Teilnehmer suchen sich selbst ein Vortragsthema aus, zu dem sie bis zu einem bestimmten Termin einen Beitrag "einreichen". Das Thema muss zu einer der folgenden Kategorien gehören (daraus ergibt sich auch automatisch der Betreuer) oder vorab mit dem Betreuer abgesprochen sein; daneben gibt es Themenvorschläge von uns (siehe ganz unten):
    • Norman Hänsch: IT Security Awareness
    • Michael Gruhn: (Live) Forensics, Cryptography, Anonymity
    • Stefan Vömel: Memory Forensics und Rootkit Analysis
    • Zina Benenson: Human Factors in IT Security
    • Werner Massonne: Verschlüsselung, Datensicherheit, Obfuscation
    • Lena Reinfelder: Human Factors in IT Security and Privacy
    • Benjamin Stritter: Machine Learning and Intrusion Detection, Web Application Security
    • Hans-Georg Eßer: Speicherforensik, Linux
    • Philipp Klein: Digital Rights Management, Software Protection, Software Piracy
    • Tilo Müller: Softwareschutz und Systemsicherheit
    • Mykola Protsenko: Softwareschutz und Systemsicherheit
  • Der vom Teilnehmer verfasste Beitrag wird im "blind review"-Verfahren von den Seminar-Veranstaltern und Seminar-Teilnehmern begutachtet.
  • Anschließend haben die Teilnehmer die Möglichkeit, den Beitrag aufgrund der Gutachten nochmals zu überarbeiten und eine "camera ready copy" abzugeben, die im Rahmen eines Tagungsbandes erscheint.
  • Das Seminar findet dann als Blockveranstaltung wie eine kleine Konferenz statt, d.h. mit Sessions und Kaffeepausen.
  • Während dieser Konferenz werden die einzelnen Autoren/Autorinnen die Inhalte ihrer Konferenzbeiträge in einem 30-minütigen Vortrag vorstellen.
  • Parallel dazu erscheint ein "Tagungsband", in dem die eingereichten Beiträge abgedruckt sind.

Wir versprechen uns von dieser Form der Seminar-Organisation die folgenden Vorteile:

  • Die Themenauswahl ist für die Teilnehmer/Teilnehmerinnen im Rahmen der ausgeschriebenen Themengebiete frei (es werden aber auch eine Reihe von speziellen Einzelthemen vorgeschlagen).
  • Durch den aufwendigen Begutachtungsprozess ist die Betreuung der Arbeiten sehr intensiv.
  • Wie auf echten Konferenzen wird es einen "best-paper award" für den nach Meinung des Programmkomitees besten eingereichten Beitrag geben. Das motiviert (hoffentlich)!
  • Die Teilnehmer/Teilnehmerinnen erhalten einen kleinen Einblick in die Abläufe auf "echten" akademischen Konferenzen.

Vorbesprechung

Am 14.04. findet um 17:45 Uhr im Seminarrum des i1 (Martensstraße 3, 12. OG) eine Vorbesprechung statt. Zur Vorbesprechung sind nur Studenten/innen eingeladen, die über StudOn angemeldet sind -- wer zum Vorbesprechungstermin noch auf der Warteliste steht, kann nicht teilnehmen. Nachrücken ist nur bis Montag (14.04.) früh möglich, falls sich bis dahin noch Teilnehmer abmelden.

Einreichen von Abstracts

Bis zum 23.04. müssen die Teilnehmer zwei Abstracts zu geplanten Themen einreichen. (Geben Sie dabei eine Priorisierung an, wir versuchen, Ihnen das erste Wunschthema zuzuordnen.) Wichtig: Maximal eines der vorgeschlagenen Themen dürfen Sie von unserer Liste nehmen (geben Sie dabei dann die Themennummer an), das zweite Thema muss ein eigener Vorschlag sein.

Senden Sie die Abstracts als ASCII-Text (kein pdf oder Word) zusammen mit Ihrem Namen und Ihrer Matrikelnummer per E-Mail an "h.g.esser <@> cs.fau.de" mit dem Betreff "Konferenzseminar Abstract". Diese Abstracts sollten in jeweils maximal 200 Worten die geplanten Themen umschreiben. Die weiter unten genannten Themen können dabei als Anregung dienen. Hilfestellung beim Finden eines Themas gibt das Veranstalterteam gerne.

Fixierung der Themen

Bis 28.04. werden Sie über die Festlegung Ihres Themas und eventuelle Änderungen informiert. Ihr Thema ist damit fixiert. Gleichzeitig wird Ihnen auch der/die offizielle Betreuer/in mitgeteilt (falls diese/r nicht bereits durch Wahl eines der vorgeschlagenen Themen klar ist).

Abgabe von Konzept und Vorabversion der Ausarbeitung

Um eine kontinuierliche Bearbeitung über das ganze Semester zu sichern, gibt es folgende zusätzliche verpflichtende Abgabetermine:

Bis 12.05. schicken Sie der/dem Betreuer/in ein Konzept für die Ausarbeitung zu, das eine Gliederung der Arbeit (provisorisches Inhaltsverzeichnis) und eine Beschreibung, welche Teilaspekte behandelt und welche Quellen verwendet werden, enthält.

Bis 03.06. schicken Sie der/dem Betreuer/in eine provisorische Version der Ausarbeitung zu, die bereits alle wesentlichen Inhalte enthält. Dadurch können Sie auch Feedback noch rechtzeitig vor dem endgültigen Einreichen erhalten.

Wichtig: Das Einhalten dieser beiden Termine ist verpflichtend. Diese Termine ohne guten Grund verstreichen zu lassen, interpretieren wir als Abmeldung vom Seminar.

Einreichen des Beitrages

Bis zum 16.06. muss eine fertige Version des eigentlichen Beitrages als PDF-Datei über das Konferenz-Management-System an die Veranstalter geschickt werden. Dazu im System unter "Authors" den Link "Make Submission" wählen. In dem Formular werden die Daten des Autors eingegeben und die zu verschickende Datei ausgewählt. Im Feld "Organization" bitte die Matrikelnummer eintragen. Unter "Topic Areas" kreuzen Sie bitte den Themenbereich Ihres Themas an. Jeder eingereichte Beitrag wird per E-Mail (an die angegebene Adresse) bestätigt. Einmal abgegebene Beiträge und die zugehörigen Daten können bis zum endgültigen Abgabetermin über "Edit Submission" nachträglich verändert werden (dafür eingegebenes Passwort und die Paper-Submission-Nummer merken!).

Der Beitrag muss eine Länge von 6–8 Seiten (Bachelor-Studenten) bzw. 8–10 Seiten (Master-Studenten) haben. Die Gestaltung kann sich bereits an den Anforderungen an die endgültige Druckfassung orientieren (siehe unten). Der Beitrag kann in gutem Deutsch oder gutem Englisch abgefasst werden. Ganz wichtig: Der Beitrag sollte keinerlei Hinweise auf den Autor enthalten (Grund: siehe unten). Prüfen Sie vor der Abgabe Rechtschreibung, Grammatik und Zeichensetzung.

Form der eingereichten Beiträge

Die Form der eingereichten Beiträge soll den Richtlinien für Konferenzbände der IEEE genügen. Einen Überblick über die Richtlinien finden Sie hier. Eine Reihe von Vorlagen für Word und LaTeX, die diese Richtlinien umsetzen, finden Sie hier. Die Verwendung von LaTeX ist für die Seminarteilnahme verpflichtend. Für das Konferenzseminar haben wir eine Vorlage vorbereitet, die Sie einfach verwenden können. Die Vorlagen können Sie hier herunterladen: http://pi1.informatik.uni-mannheim.de/filepool/teaching/konferenzseminar-2008/

Die Datei "pi1_bare_conf.tex" ist die Vorlage für englische Einreichungen, die Datei "pi1_bare_conf_german.tex" für deutsche Texte. Die Vorlagen setzen bereits die folgenden Richtlinien um: Der Titelbereich Ihres Artikels soll keine Matrikelnummer und keine E-Mailadresse enthalten und folgendermaßen gestaltet sein:

Titel
Vorname Nachname
Universität Erlangen-Nürnberg

Beachten Sie, dass die Einreichung (wie oben angegeben) anonym erfolgen soll (schreiben Sie als Name auf den Beitrag ein Pseudonym oder einfach "Anonym"). Erst in der finalen Konferenzversion soll der wirkliche Autorenname auf dem Beitrag erscheinen.

Achten Sie darauf, dass nach Ihrem Namen (und vor der Uni) ein Zeilenumbruch erfolgt (in LaTeX mit dem Kommando \\ oder einer Leerzeile).

Auf der ersten Seite soll eine Fussnote stehen, die wie folgt formuliert sein soll: "Dieser Beitrag entstand im Rahmen des Konferenzseminars "IT-Sicherheit", das im Sommersemester 2014 an der Universität Erlangen-Nürnberg durchgeführt wurde. Es wurde organisiert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen (Prof. Dr. F. Freiling)."

Auf English: "This paper was written as part of the conference seminar "IT Security" which was organized by the Chair for IT Security Infrastructures (Prof. Dr. F. Freiling) at the University of Erlangen-Nuremberg during summer term 2014."

Die LaTeX-Vorlage ist standardmäßig für die finale Druckversion eingerichtet. In dieser Version reichen Sie auch die Vorabversion ein. Für den Tagungsband soll jeder Beitrag Seitenzahlen der Form Buchstabe-Nummer erhalten (also z.B. B-1, B-2, B-3, usw.). In LaTeX muss man dazu in der Präambel (vor \begin{document}) das Kommando \renewcommand{\thepage}{X-\arabic{page}} einfügen und "X" durch den dem Beitrag zugeordneten Buchstaben (wird bekannt gegeben, wenn das Programm feststeht) ersetzen.

Begutachtung eingereichter Beiträge

Die Teilnehmer/Teilnehmerinnen können ab 17.06. die Beiträge über das Konferenz-Management-System abrufen, welche sie begutachten sollen. Dazu ist die Einrichtung eines Reviewer-Accounts unter "Committee Members - Sign up" erforderlich, mit einem Passwort, das noch bekannt gegeben wird. Die Gutachten sollen den Autoren/Autorinnen konstruktive Kritik zur inhaltlichen Gestaltung der Beiträge liefern und werden im "double-blinded"-Verfahren abgewickelt (Identitäten bleiben auf beiden Seiten verborgen). Richtlinien zur Abfassung von Gutachten werden im Konferenz-Management-System vorhanden sein.

Abgabe der Gutachten

Die fertigen Gutachten sollen bis zum 01.07., mittels des Konferenz-Management-Systems abgegeben werden.

Beispiele für Reviews: Eins, Zwei, Drei

Überarbeitung der Beiträge

Am 02.07. werden die Autoren/Autorinnen über die Annahme ihres Beitrags unterrichtet. Danach können sie die Gutachten zu ihrem Beitrag über das Konferenz-Management-System abrufen und haben eine knappe Woche Zeit, ihren Beitrag nochmals zu überarbeiten.

Abgabe der Druckversion

Bis spätestens zum 09.07. (feste Deadline!) muss der überarbeitete Beitrag als PDF-Datei eingereicht worden sein ("Authors - Upload File"; wird zu gegebener Zeit wieder freigeschaltet). Der Beitrag muss 6–8 Druckseiten (Bachelor-Studenten) bzw. 8-10 Druckseiten (Master-Studenten) umfassen! Die Hinweise zur Gestaltung der Beiträge (siehe oben, Abschnitt Form der eingereichten Beiträge) sind einzuhalten.

Die Konferenz

Die Konferenz findet am 14.07. ab 09:00 Uhr im Raum N.N. statt (Programm wird noch bekannt gegeben). Jeder Autor/jede Autorin darf (und muss) dort einen 25-minütigen Vortrag halten (Details werden noch bekannt gegeben). In dem Vortrag soll der Inhalt des eigenen Tagungsbeitrags (ggf. in Auswahl) vorgestellt werden. Die Vortragssprache ist Deutsch oder Englisch. Zur Tagung erscheint der Tagungsband, von dem jeder Teilnehmer/jede Teilnehmerin ein Exemplar erhält.

Weitere Termine

Vorbereitend gibt es zudem einen Präsenztermin, der sich u.a. mit wissenschaftlichem Arbeiten und dem Textsatzsystem LaTeX befassen; Details und Termine folgen.

Präsenztermin Wiss. Arbeiten / LaTeX: N.N., Seminarrum (i1)

 

Weiterführende Hinweise:

Themenvorschläge

1. The (in)security of the SSL/TLS protocol
Betreuer/in: Zina Benenson
[1] C. Soghoian, S. Stamm. "Certified lies: Detecting and defeating government interception attacks against SSL. Financial Cryptography and Data Security, 2012, http://link.springer.com/chapter/10.1007/978-3-642-27576-0_20
[2] R. Holz et al.: X.509 Forensics: Detecting and Localising the SSL/TLS Men-in-the-Middle, ESORICS 2012, http://link.springer.com/chapter/10.1007/978-3-642-33167-1_13
[3] M. Georgiev et al.: The most dangerous code in the world: validating SSL certificates in non-browser software, ACM CCS 2012, https://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs.html

2. Approaches for Firmware-Based Memory Acquisition (NUR Bachelor-Studenten!)
Betreuer/in: Stefan Vömel
[1] Wang et al.: "Firmware-assisted Memory Acquisition and Analysis tools for Digital Forensics", Proceedings of the Sixth IEEE, International Workshop on Systematic Approaches to Digital Forensic Engineering (SADFE), 2011
[2] Reina et al.: "When Hardware Meets Software: A Bulletproof Solution to Forensic Memory Acquisition", Proceedings of the 28th Annual Computer Security Applications Conference, 2012.

3. An Introduction to Hardware-Level Rootkits (NUR Master-Studenten!)
Betreuer/in: Stefan Vömel
Einstiegsquellen:
[1] Stewin, Bystrov: "Understanding DMA Malware", Proceedings of the 9th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA), 2012
[2] Duflot: "ACPI: Design Principles and Concerns", Proceedings of the 2nd International Conference on Trusted Computing, 2009

4. Passwords: The good, the bad and the cracked
Betreuer/in: Michael Gruhn
This seminar work should summarize the state of the art on password research [1]. Some exemplary questions that can be focusing on are: How is "good" and "bad" defined with regard to passwords? How do people generate password? How many people reuse their passwords? Why do people use bad passwords? ...
[1] http://www.passwordresearch.com/papers/pubindex.html

5. Searchable Encryption
Betreuer/in: Michael Gruhn
Searchable Encryption allows the search, either for keywords or raw text, in encrypted data. This seminar work should summarize the current searchable encryptions schemes and their different properties.

6. State of the Art in XSS filters
Betreuer/in: Ben Stock
In the course of this work, the current implementations of XSS filters on both server and client side is to be discussed. The focus should be on the implementation (e.g. RegExp) and drawbacks of specific current and previous filter approaches and discuss other related work such as the one listed below.
[0] Bates, D; Barth, A; Jackson, C; Regular expressions considered harmful in client-side XSS filters in WWW '10
[1] Pelizzi, R; Sekar, R; Protection, Usability and Improvements in Reflected XSS Filters in AsiaCCS '12
[2] Bisht, P; Venkatakrishnan V.N.; XSS-GUARD: Precise Dynamic Prevention of Cross-Site Scripting Attacks in DIMVA '08
[3] Reis, C; Dunagan, J; Wang, H.; Dubrovsky, O; Esmeir, S; BrowserShield: Vulnerability-driven filtering of dynamic HTML in ACM Transactions on the Web 2007

7. Awareness is not a game!(?)
Betreuer/in: Norman Hänsch
To raise awareness for security/privacy usually an awareness campaign or training is proposed. The results vary on different factors and it is expected that fun could also be a key to success. Since games tend to be more interesting than conventional lectures, several researchers proposed the use of security related games to raise awareness.
The paper for this seminar could give an overview about published scientific papers on awareness raising games. Students could also focus on one game and search for related papers that validate the effectiveness of the game. In both cases own literature research about the topic is expected.
[1] Benjamin D. Cone, Cynthia E. Irvine, Michael F. Thompson, Thuy D. Nguyen, A video game for cyber security training and awareness, Computers & Security, Volume 26, Issue 1, February 2007, Pages 63-72, ISSN 0167-4048, http://dx.doi.org/10.1016/j.cose.2006.10.005
[2] Tamara Denning, Adam Lerner, Adam Shostack, and Tadayoshi Kohno. 2013. Control-Alt-Hack: the design and evaluation of a card game for computer security awareness and education. In Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security (CCS '13). ACM, New York, NY, USA, 915-928. DOI=10.1145/2508859.2516753 http://doi.acm.org/10.1145/2508859.2516753
[3] Cetto, Alexandra und Netter, Michael und Pernul, Günther und Richthammer, Christian und Riesner, Moritz und Roth, Christian und Sänger, Johannes (2014) Friend Inspector: A Serious Game to Enhance Privacy Awareness in Social Networks (Best Paper Award). In: Proc. of the 2nd International Workshop on Intelligent Digital Games for Empowerment and Inclusion (IDGEI)
http://epub.uni-regensburg.de/29359/

8. Ethical Problems with Phishing experiments
Betreuer/in: Nadina Hintz
[1] Design Ethical Phishing Experiments : A study of (ROT13) rOnl query features; Autoren: Markus Jakobsson, Jacob Ratiewicz
[2] Why and How to Perform Fraud Experiments; Autoren: Markus Jakobsson, Peter Finn, Nathaniel Johnson
[3] Ethik in der Sicherheitsforschung; Autoren: S. Schrittwieser, M. Mualazzani, E. Weipel, S. Panhans

9. Automatic Event Reconstruction in Digital Forensics
Betreuer/in: Sven Kälber
This seminar work should summarize the state of the art on automatic event reconstruction in digital forensic investigations. Which approaches and ideas exist today? Which challenges still exist, esp. regarding automatization?

10. Steganographie: Die Kunst, Daten in Daten zu verstecken
Betreuer/in: Werner Massonne
[1] Zielińska, Elżbieta, Wojciech Mazurczyk, and Krzysztof Szczypiorski. "Trends in steganography." Communications of the ACM 57.3 (2014): 86-95.
[2] Johnson, Neil F., and Sushil Jajodia. "Exploring steganography: Seeing the unseen." Computer 31.2 (1998): 26-34.
[3] Anderson, Ross J., and Fabien AP Petitcolas. "On the limits of steganography." Selected Areas in Communications, IEEE Journal on 16.4 (1998): 474-481.

11. Schwachstellensuche in ULIX
Betreuer/in: Hans-Georg Eßer
ULIX ist ein Lehrbetriebssystem, das aktuell am Lehrstuhl 1 entwickelt wird. Aufgabe ist es, den Quellcode auf klassische Schwachstellen hin zu untersuchen, die sich aus dem User Mode heraus ausnutzen lassen, also z. B. Buffer Overflows, Integer Overflows. Die zu erstellende Ausarbeitung listet die gefundenen Schwachstellen (kategorisiert) auf, enthält den Code für mindestens einen Exploit und spricht Empfehlungen aus, wie die Probleme zu beheben sind.
[1] Aktueller ULIX-Sourcecode als Literate Program
[2] blexim: "Basic Integer Overflows", Phrack Magazine 60, 2002, http://phrack.org/issues/60/10.html
[3] Isaac Gerg: "An Overview and Example of the Buffer-Overflow Exploit", IAnewsletter 04/2005, pp. 16-21
[4] CERN Computer Security: "Common vulnerabilities guide for C programmers", https://security.web.cern.ch/security/recommendations/en/codetools/c.shtml

12. Forensic Implications of Ext4
Betreuer/in: Hans-Georg Eßer
Ext4 [2] has become the default file system on popular Linux distributions; this means that it will be the subject of digital forensic investigations. In this paper [1] a brief overview of Ext4 is given followed by a discussion of how the differences between it and its predecessors affect file system forensics.
[1] Kevin D. Fairbanks, Christopher P. Lee, and Henry L. Owen III: "Forensic Implications of Ext4", http://dl.acm.org/citation.cfm?id=1852691
[2] Avantika Mathur, Mingming Cao, Suparna Bhattacharya: The new ext4 filesystem: current status and future plans, https://www.kernel.org/doc/ols/2007/ols2007v2-pages-21-34.pdf

13. Memory Encryption
Betreuer/in: Hans-Georg Eßer
[1] Michael Henson, Stephen Taylor: "Memory Encryption: A Survey of Existing Techniques", ACM Comput. Surv. 46, 4 (March 2014), http://dl.acm.org/citation.cfm?id=2566673
[2] Peter A. H. Peterson: "Cryptkeeper: Improving Security With Encrypted RAM", Technologies for Homeland Security (HST), 2010 IEEE International Conference on. IEEE, 2010. http://www.researchgate.net/profile/Peter_Peterson/publication/224201954_Cryptkeeper_Improving_security_with_encrypted_RAM/file/d912f50cfdf4b2e20b.pdf

14. Smartphone apps and private data
Betreuer/in: Lena Reinfelder
[1] How Expensive are Free Smartphone Apps? (Li Zhang, Dhruv Gupta, Prasant Mohapatra), http://dl.acm.org/citation.cfm?id=2412100
Related Work:
[2] Choice Architecture and Smartphone Privacy: There’s A Price for That (Serge Egelman, Adrienne Porter Felt, David Wagner), http://weis2012.econinfosec.org/papers/Egelman_WEIS2012.pdf

15. User Tracking on the Web
Betreuer/in: Lena Reinfelder
[1] What Matters to Users? Factors that Affect Users’ Willingness to Share Information with online Advertisers (Pedro Giovanni Leon, Blase Ur, Yang Wang, et al.), http://cups.cs.cmu.edu/soups/2013/proceedings/a7_Leon.pdf
Related Work:
[2] Detecting and Defending Against Third-Party Tracking on the Web (Franziska Roesner, Tadayoshi Kohno, David Wetherall), http://www.franziroesner.com/pdf/webtracking-NSDI2012.pdf

16. Security risks and solutions of smartphone usage in organizations
Betreuer/in: Lena Reinfelder
[1] Modifying Smartphone User Locking Behavior (Dirk Van Bruggen, Shu Liu, Mitch Kajzer, Aaron Striegel, Charles R. Crowell, John D’Arcy), http://cups.cs.cmu.edu/soups/2013/proceedings/a10_VanBruggen.pdf
Related Work:
[2] Sizing Up the BYOD Security Challenge (S.Cobb), http://www.eset.com/us/resources/threat- trends/Global_Threat_Trends_March_2012.pdf

17. Attacks against Support Vector Machines (NUR Master-Studenten!)
Betreuer/in: Benjamin Stritter
[1] Battista Biggio, Igino Corona, Blaine Nelson, Benjamin I. P. Rubinstein, Davide Maiorca, Giorgio Fumera, Giorgio Giacinto, Fabio Roli: Security Evaluation of Support Vector Machines in Adversarial Environments. CoRR abs/1401.7727 (2014), http://arxiv.org/pdf/1401.7727

18. Fuzzing for Cross Site Scripting Vulnerability Detection
Betreuer/in: Benjamin Stritter
[1] Fabien Duchene, Sanjay Rawat, Jean-Luc Richier, and Roland Groz. 2114. KameleonFuzz: evolutionary fuzzing for black-box XSS detection. In Proceedings of the 4th ACM conference on Data and application security and privacy (CODASPY '14). ACM, New York, NY, USA, 37-48. DOI=10.1145/2557547.2557550. http://doi.acm.org/10.1145/2557547.2557550

19. Intel Software Guard Extensions (SGX)
Betreuer/in: Tilo Müller, Sprache: Englisch (bevorzugt) oder Deutsch
Im Jahr 2013 hat Intel den SGX-Befehlssatz für zukünftige x86 CPUs vorgestellt. Durch SGX wird Software in Zukunft besser vor einer Analyse durch höher privilegierte Prozesse (wie dem Betriebssystemkern oder Debuggern) geschützt werden können. SGX dient im Gegensatz zu einer Sandbox nicht dem Schutz der Ausführungsumgebung vor unprivilegierten Prozessen, sondern dem Schutz von Prozessen vor der Ausführungsumgebung. Intel bezeichnet dieses Konzept daher auch als "inverse Sandbox". Im Zuge dieses Seminars soll das Konzept von Intel SGX beschrieben werden, sowie Möglichkeiten und Herausforderungen beim Einsatz des Befehlssatz herausgearbeitet werden. Auch die potentiellen Gefahren von Intel SGX, wie bspw. der Einsatz von DRM-Systemen und SGX-geschützte Malware, sollen erörtert werden.

20. ARM TrustZone
Betreuer/in: Mykola Protsenko und Tilo Müller, Sprache: Englisch (bevorzugt) oder Deutsch
Seit ARMv6KZ existiert die Sicherheitserweiterung TrustZone für ARM CPUs. TrustZone teilt Anwendungen in zwei sogenannte "Welten" auf: eine vertrauenswürdige (oder sichere) Welt und eine normale (oder nicht-sichere) Welt. Die sichere Welt ist in einem CPU-Modus implementiert, der orthogonal zum klassischen Ring-Konzept agiert, so dass höher privilegierte Prozesse nicht auf geschützte Anwendungen in der sicheren Welt zugreifen können. Bei ARM TrustZone handelt es sich also um eine Hardware-Erweiterung zum Softwareschutz, um Anwendungen vor einer Analyse (Reverse Engineering) zu schützen. Im Zuge dieses Seminars soll das Konzept von ARM TrustZone erläutert werden, sowie Möglichkeiten und aktuelle Entwicklungen beim Einsatz dieses Befehlssatz beschrieben werden. Auch die potentiellen Gefahren von ARM TrustZone, wie bspw. zum Einsatz von DRM-Systemen oder speziell geschützter Malware, sollen kritisch behandelt werden.

21. Every download a lost sale? Software Piracy in Numbers
Betreuer/in: Philipp Klein
This seminar work should offer an overview of current software piracy rates and their regional distribution. Emphasis: The methodology with which the data was acquired.
[1] http://globalstudy.bsa.org/2011/downloads/study_pdf/2011_BSA_Piracy_Study-Standard.pdf
[2] Bryan W. Husted: "The Impact of National Culture on Software Piracy", Journal of Business Ethics

22. BitTorrent
Betreuer/in: Philipp Klein
This seminar work should focus on some of the following questions: How does BitTorrent work? What are public and private Trackers? How can I pirate software without getting caught? How do I catch the software pirates (preferably without doing illegal stuff myself)? Are there ways to attack a specific torrent?
[1] The BitTorrent protocol specification, http://www.bittorrent.org/beps/bep_0003.html
[2] Dhungel at al.: "Measurement and mitigation of BitTorrent leecher attacks", Computer Communications, Volume 32, Issue 17