marx.wtf

GI Sicherheit Tag 1

Towards an Architecture for Pseudonymous E-Commerce - Applying Privacy by Design to Online Shopping

Bei Nutzung von Zahlungs- und Versanddienstleistern muss ein Online-Shop nicht unbedingt auch die Konto- und Versanddaten seiner Kunden erfahren. Eigentlich sollte es genügen, wenn ein Online-Shop weiß, welche Artikel verkauft wurden und dass die Ware bezahlt wurde. Sebastian Pape hat mehrere Architekturen vorgestellt, die genau das erreichen. Die Architekturen wurden unter Datenschutz-, Transparenz, Nutzbarkeits- und Kompatibilitätsaspekten miteinander verglichen. In einem nächsten Schritt soll die von den Autoren favorisierte Architektur umgesetzt werden.

Anreize und Hemmnisse für die Implementierung von Privacy-Enhancing Technologies im Unternehmenskontext

Die Autoren dieser Arbeit (welche ebenfalls von Sebastian Pape vorgestellt wurde) haben Anreize für Unternehmen PETs zu implementieren untersucht. Dazu wurden 10 Interviews mit Experten geführt, die beruflich mit Privacy zu tun haben.

Ein Werkzeug zur automatisierten Analyse von Identitätsdaten-Leaks

Timo Malderle hat ein Werkzeug vorgestellt, mit dem Leaks automatisch analysiert werden können. Die Arbeit dient als Vorbereitung zur individuellen Benachrichtigung von Betroffenen. Unklar ist noch, durch wen Betroffene informiert werden sollen. Wenn etwa Xing Betroffene über Leaks informiert, erfährt Xing welche Dienste von Betroffenen genutzt werden.

Hashing of personally identifiable information is not sufficient

Wir haben unser letztes Freitagsprojekt vorgestellt. Bei einem Tracking Workshop der GI im Oktober 2017 erzählte Christian Bennefeld vom eBlocker wie Tracker tracken. Unter anderen werden Hashes von E-Mail-Adressen genutzt. Es liegt auf der Hand, dass das Hashen zumindest theoretisch keinen wirksamen Schutz der E-Mail-Adressen darstellt und man aus dem Hash zurück auf die E-Mail-Adresse schließen kann. Wir haben gezeigt, dass man auch praktisch, auf günstiger Hardware und in relativ kurzer Zeit gehashte Telefonnummern, IP-, MAC- und E-Mail-Adressen wiederherstellen kann.

Improving Anonymization Clustering

Bei k-Anonymität sollen einzelne Individuen in einer Gruppe von k Individuen untergehen. Um k-Anonymität zu erreichen, werden wenigstens k ähnliche Individuen in Gruppen zusammengefasst, die Merkmale einer Gruppe werden gemittelt. Durch das Mitteln kommt es zu einem Informationsverlust. Die Frage ist, wie die Gruppen zusammengefasst werden sollen, um den Informationsverlust zu minimieren. Dieses Problem ist schon für k=3 NP-hart. Mit MDAV* stellen die Autoren eine Heuristik vor, die, gemessen an verschiedenen Benchmarks, einen kleineren Informationsverlust erreicht als andere Heuristiken.

Verbesserung der Syndrome-Trellis-Kodierung zur Erhöhung der Unvorhersagbarkeit von Einbettpositionen in steganographischen Systemen

Adaptive steganographische Systeme berücksichtigen beim Einbetten von Bits die erwartete Auffälligkeit von Änderungen. Bei Auswahl durch Syndrome-Trellis-Kodierung kommt es an Randpositionen zu Ausreißern. Olaf Markus Köhler stellt eine outlier corrected-Variante vor, die Ausreißer an Randpositionen berücksichtigt.

Promotionspreis

Als letztes hatten die beiden Finalisten des Cast-GI-Promotionspreises die Gelegenheit, ihre Dissertationen vorzustellen. Im Anschluss an die halbstündigen Vorträge waren jeweils 15 Minuten für Fragen vorgesehen. Nach den Vorträgen verließen die beiden Finalisten den Saal und das Publikum diskutierte, welcher Vortrag besser war. Abschließend wählte das Publikum in geheimer Wahl den Gewinner. Gewonnen hat Sebastian Banescu.

Characterizing the Strength of Software Obfuscation Against Automated Attacks

Sebastian Banescu stellt ein Modell vor, mit dem er die Stärke verschiedener Software Obfuscation-Techniken gegen automatisierte Angriffe bewerten kann. Er zeigt u.a., dass bestimmte Techniken nicht gegen automatisierte Angriffe helfen.

Generating and Managing Secure Passwords for Online Accounts

Moritz Horsch stellt ein Password Assistance System (PAS) vor. Das PAS kann als Ergänzung eines Password Managers automatisch ein möglichst starkes Passwort generieren, das auch den Passwort-Richtlinien einer Webseite entspricht. PAS schätzt ab, wie lange es dauern würde, dieses (dann hoffentlich gehashte) Passwort zu brechen, und setzt vor dem Ablaufen dieses Zeitraumes ein neues Passwort.