Dernière édition Attention: Le pdf pèse environ 17 - BFH-TI - Berner ...

Weitere Magazine

Empfehlungen

Info

BIBEBUVABSc in InformatikKassandra – A Firefox Security Demonstration Add-OnIT Security / Betreuer: Dr. Emmanuel BenoistExperte: Armin BlumAnhand einer Erweiterung, eines sogenannten Add-Ons, konnten wir diverse Schwachstellen im Design desFirefox Browser aufdecken. Wir waren in der Lage, bestehende Sitzungen (Ebay, Gmail…) zu übernehmen,die Tastaturschläge des Benutzers aufzuzeichnen, Passwortfelder zur Laufzeit zu manipulieren und privateDateien auf dem Laufwerk auszuspähen. Verschiedene Viren- und Internetscanner waren nicht in der Lage,Kassandra zu entdecken. Ein weiteres Highlight ist das Verstecken und Auslesen von geheimen Nachrichtenin Bildern auf Google+.Petar Aleksandrovicpetar.aleksandrovic@gmail.comStephan BergerFirefox und seine ErweiterungenDer Web-Browser nimmt in unserervernetzten Gesellschaft einen immergrösseren Stellenwert ein, unddieser Trend wird sich mit den fortschreitendentechnischen Möglichkeitennoch einmal vergrössern.Die Version 1.0 von Firefox wurdeEnde 2004 veröffentlicht, und seitdemkonnte der quelloffene Browserseinen Marktanteil auf gut25 Prozent ausbauen, dies nichtzuletzt wegen seinen Erweiterungen,den sogenannten Add-Ons,deren Sicherheit wir uns in dieserBachelor-Thesis gewidmet haben.Der Fuchs im SchafspelzEin Benutzer, so unerfahren er auchsein mag, würde sich kein Add-Oninstallieren, wenn er auf den erstenBlick sehen würde, dass es seinePasswörter und Login-Datenstehlen würde. Deshalb haben wirein sogenanntes Overlay programmiert,das dem Benutzer die aktuellenAngebote der DetailhandelsketteDenner anzeigt. AufKnopfdruck erscheint dann unserDenner Promotions – Das Overlayfür Kassandrarichtiges Add-On namens Kassandra(Seherin und Tochter desTrojanischen Königs Priamos, diedie Trojaner vor der List der Griechenwarnte). Wir haben unsereArbeit so benannt, weil wir uns wiedie Griechen einer List bedienen,um den Benutzer dazu zu bewegen,unsere Erweiterungen zu installieren.Der Hauptbereich von KassandraEin Add-On, viele MöglichkeitenNachdem sich ein Benutzer Kassandrainstalliert hat (über Social-Engineering oder über einen anderenKanal) stehen uns folgendeMöglichkeiten offen, um persönlicheund private Daten des Userauszuspionieren sowie ihn auffalsche Seiten zu leiten:– Keylogging – Aufzeichnen derTastaturschläge inklusive Screenshotder besuchten Seite– Redirection – Fernsteuern auffremde Seiten– Session Hijacking – Übernahmeeiner laufenden Sitzung (Ebay,Ricardo, GMail…)– Server Socket – Verbindung perTelnet auf den Rechner des Benutzers(<strong>Le</strong>sen / Schreiben vonDateien auf der Festplatte, Verändernder <strong>Le</strong>sezeichen, Durchsuchendes Verlaufes…)– DOM Manipulation – Ersetzenvon Formularen und auslesenvon gespeicherten Passwörtern– Spoofing – Weiterleitung auf einenanderen Server und Täuschungdes Benutzers, damit ersich bei einer fremden Seite anmeldet(GMail / Yahoo Mail)– Kryptographie – VerschlüsselteDateien zur Laufzeit in ein Objektmit lauffähigem Code umwandelnzur Täuschung vonMalware-ScannernDas letzte Feature von Kassandrakönnte z. B. von Regimegegnernin unterdrückten Ländern verwendetwerden:– Steganographie – Das Versteckenvon geheimen Nachrichtenin Bildern auf Google+Unter dem RadarVerschiedene Tests mit Viren- undInternetscannern von namhaftenAnbietern verliefen positiv in demSinne, dass Kassandra unentdecktgeblieben ist, und zwar beiallen oben vorgestellten Funktionen.Dies zeigt deutlich, dass imHinblick auf die Sicherheit vonBrowsern noch eine Menge Potentialvorhanden ist, um den Benutzerndie grösstmögliche Sicherheitgewährleisten zu können.142 ti.bfh.ch
BSc in InformatikBIBEBUVASuisseID ‹CAS as a VM›IT-Security / Betreuer: Prof. Gerhard HassensteinExperte: Prof. Dr. Andreas SpichigerDer ‹CAS as a VM› ist eine als virtuelle Maschine konzipierte und lizenzfreie Implementation des ClaimAssertion Services. Dieses System bildet in der SuisseID-Welt eine Art Auskunftsdienst für beliebig konfigurierbareInformationen aus verschiedenen internen LDAP- und MySQL-Datenquellen über einen auf demCAS registrierten Benutzer. Diese Informationen lassen sich, ausschliesslich mit der aktiven Zustimmungdes jeweiligen Benutzers, von jedem SP (Service Provider) signiert und somit beglaubigt abrufen.AusgangslageMit der SuisseID existiert seit demFrühling 2010, lanciert durch dasStaatssekretariat für Wirtschaft(SECO), die erste standardisierteMethode, um eine Person elektronischsicher zu authentifizieren.Weiter lassen sich damit eine kleineAnzahl von Informationen, welcheklassischerweise auch in einemPass abgedruckt sind, über diesesSystem abrufen. Diese sogenanntenCore-Attribute werden von derBasis-Infrastruktur, den IdPs (IdentityProvider), in signierter und somitbeglaubigter Form dem Benutzerzur Verfügung gestellt.Damit der SuisseID-Welt zusätzliche,zu den durch die IdPs geliefertenbegrenzten, Informationenzugänglich gemacht werden können,wurde der CAS als Konzeptdurch die Arbeitsgruppe der SuisseIDausgearbeitet.ZielsetzungDamit die einzelnen Firmen undVerbände, welche Informationenüber Benutzer anbieten wollen,einen CAS kostengünstig und einfachbei sich einbinden können,soll mit diesem Projekt ein lizenzfreierund durch den jeweiligenAdministrator parametrierbarerCAS entwickelt werden. Der CASsoll zudem direkt als vollständiglauffähige virtuelle Maschine zumkostenlosen Download angebotenwerden, damit das ganze Systemdirekt in die bestehende Umgebungeingebunden und konfiguriertwerden kann.UmsetzungUm das Konzept als kostenlosesSystem umzusetzen wurden alsBetriebssystem CentOS und alsApplikationsserver GlassFish gewählt.Aufbauend auf diese Grundlagewurde der CAS gemässSpezifikation und Konzept alsWebanwendung implementiert.Zusammen mit der Administrationsanwendung,ist es dem Administratordes Systems möglich,eine beliebige Anzahl an Datenquellen(zurzeit LDAP-Verzeichnisdiensteund MySQL-Datenbanken)an den CAS anzubinden. Basierendauf diesem Datenbestandkann er einzelne Attribute dieserDatenquellen unter einem eindeutigenNamen der SuisseID-Weltzum Abrufen anbieten. Optionallassen sich die Ausgabewerte derAttribute anhand von Übersetzungsregelnvor der Ausgabe abändern.Um den Dienst nutzen zu können,muss der Benutzer zuerst mit seinerSuisseID-Nummer und internemBenutzernamen vom Administratorauf dem CAS registriertwerden. Zudem muss jeder dieserEinträge vom jeweiligen Benutzerzusammen mit seiner SuisseIDund seinem internen Passwortvalidiert werden. Damit ist sichergestellt,dass jegliche Daten nuran den eigentlichen Benutzer ausgegebenwerden.Florian Bänzigersuisseid@sysdev.infoInteraktion des Benutzers mit dem SP und dem CAS mit dessen unterstütztenDatenquellenti.bfh.ch143
Seite 1 und 2:
Berner FachhochschuleHaute école s
Seite 3 und 4:
EditorialWissen und EngagementSavoi
Seite 5 und 6:
Inhalt Contenu ContentsInserenten A
Seite 7 und 8:
Ihre AnsprechpartnerVos interlocute
Seite 9 und 10:
Lehre und Forschung am Puls der Pra
Seite 11 und 12:
Das Masterstudium alsSprungbrett f
Seite 13 und 14:
Steht beim Masterstudium im Vorderg
Seite 15 und 16:
Master of Science in EngineeringEfe
Seite 17 und 18:
BSc in MaschinentechnikBSc en Méca
Seite 19 und 20:
optimalen, zukünftigen Organisatio
Seite 21 und 22:
Master of Science in Engineering
Seite 23 und 24:
Master of Science in EngineeringBIB
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 41 und 42:
Master of Science in Biomedical Eng
Seite 43 und 44:
Seite 45 und 46:
Seite 48 und 49:
BIBEBUVAMaster of Science in Biomed
Seite 50 und 51:
BIBEBUVAMaster of Science in Biomed
Seite 53 und 54:
Managementzentrum Bern
Seite 55 und 56:
ManagementzentrumBIBEBUVASolar Farm
Seite 57:
Adrian ZauggAlumni EMBA Innovation
Seite 60 und 61:
BIBEBUVASoftware-Schule SchweizVirt
Seite 62 und 63:
BIBEBUVASoftware-Schule SchweizRene
Seite 65 und 66:
Medical Technology Center
Seite 67 und 68:
BIBEBUVAMedical Technology CenterEn
Seite 71 und 72:
BSc in AutomobiltechnikBSc en Techn
Seite 73 und 74:
BSc en Technique automobileBIBEBUVA
Seite 75 und 76:
BSc in AutomobiltechnikBIBEBUVAChar
Seite 77 und 78:
BSc in AutomobiltechnikBIBEBUVAREX
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
BSc in AutomobiltechnikBIBEBUVAPrü
Seite 85 und 86:
BSc in AutomobiltechnikBIBEBUVAAuto
Seite 87 und 88:
BSc in AutomobiltechnikBIBEBUVAOld-
Seite 89 und 90:
BSc in AutomobiltechnikBIBEBUVADies
Seite 91 und 92:
BSc in AutomobiltechnikBIBEBUVAReal
Seite 93 und 94: BSc in AutomobiltechnikBIBEBUVALKW
Seite 97 und 98: BSc in Elektro- und Kommunikationst
Seite 106 und 107: BIBEBUVABSc in Elektro- und Kommuni
Seite 110 und 111: BIBEBUVABSc en Électricité et sys
Seite 114 und 115: BIBEBUVABSc en Électricité et sys
Seite 143: BSc in InformatikBSc en Informatiqu
Seite 147 und 148: BSc in InformatikBIBEBUVAElektronis
Seite 149 und 150: BSc in InformatikBIBEBUVAKryptonIT
Seite 151 und 152: BSc in InformatikBIBEBUVATouch - Zu
Seite 153 und 154: BSc in InformatikBIBEBUVASpielimple
Seite 155: BSc in InformatikBIBEBUVAVSD - Soci
Seite 158 und 159: BIBEBUVABSc in InformatikIdentity M
Seite 160 und 161: BIBEBUVABSc in InformatikRagnarok G
Seite 162 und 163: BIBEBUVABSc in InformatikPolizon -
Seite 164 und 165: BIBEBUVABSc in InformatikKinect Int
Seite 166 und 167: BIBEBUVABSc in InformatikHeterogene
Seite 168 und 169: BIBEBUVABSc in Computer ScienceFace
Seite 170 und 171: BIBEBUVABSc in InformatikWebapplika
Seite 172 und 173: BIBEBUVABSc in InformatikMashups (D
Seite 174 und 175: BIBEBUVABSc en InformatiqueProjet i
Seite 176 und 177: BIBEBUVABSc in InformatikRoutenplan
Seite 178: BIBEBUVABSc en InformatiqueSwissiVi
Seite 181 und 182: BSc in Computer ScienceBIBEBUVAA We
Seite 183 und 184: BSc in InformatikBIBEBUVAlibKeynect
Seite 185 und 186: BSc en InformatiqueBIBEBUVAMobile W
Seite 187 und 188: BSc en InformatiqueBIBEBUVAImplemen
Seite 189 und 190: BSc in MaschinentechnikBIBEBUVAVorr
Seite 191 und 192: BSc in MaschinentechnikBIBEBUVALuft
Seite 193 und 194: BSc in MaschinentechnikBIBEBUVAModu
Seite 195 und 196:
BSc in MaschinentechnikBIBEBUVAElim
Seite 197 und 198:
BSc in MaschinentechnikBIBEBUVAAusl
Seite 199 und 200:
BSc in MaschinentechnikBIBEBUVANeue
Seite 201 und 202:
BSc in MaschinentechnikBIBEBUVAGree
Seite 203 und 204:
BSc in MaschinentechnikBIBEBUVASens
Seite 205 und 206:
BSc in MaschinentechnikBIBEBUVASimu
Seite 207 und 208:
BSc in MaschinentechnikBIBEBUVAVirt
Seite 209 und 210:
BSc in MaschinentechnikBIBEBUVARein
Seite 211 und 212:
BSc in MaschinentechnikBIBEBUVAModu
Seite 213 und 214:
BSc in MaschinentechnikBIBEBUVASimu
Seite 215 und 216:
BSc in MaschinentechnikBIBEBUVALeit
Seite 217 und 218:
BSc in MaschinentechnikBIBEBUVAMach
Seite 219 und 220:
BSc in MaschinentechnikBIBEBUVAProd
Seite 221 und 222:
BSc in MaschinentechnikBIBEBUVAModu
Seite 223 und 224:
MaschinentechnikBIBEBUVAStrahlchara
Seite 225 und 226:
MaschinentechnikBIBEBUVAKonzepterst
Seite 227 und 228:
MaschinentechnikBIBEBUVALeckage- un
Seite 229 und 230:
BSc in MaschinentechnikBIBEBUVAAntr
Seite 231 und 232:
BSc in MaschinentechnikBIBEBUVAEntw
Seite 233 und 234:
BSc in MaschinentechnikBIBEBUVAEntg
Seite 235 und 236:
BSc in MaschinentechnikBIBEBUVAAusk
Seite 237 und 238:
BSc in MaschinentechnikBIBEBUVARege
Seite 239 und 240:
BSc in MaschinentechnikBIBEBUVAComp
Seite 241 und 242:
BSc in Mikro- und MedizintechnikBIB
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Seite 249 und 250:
BSc en Microtechnique et technique
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Seite 259 und 260:
Seite 261 und 262:
Seite 263 und 264:
Seite 265 und 266:
Seite 267 und 268:
Seite 269 und 270:
Seite 271 und 272:
Seite 273 und 274:
Seite 275 und 276:
Seite 277 und 278:
Seite 279 und 280:
drive inInnovators in Wire Processi
Alle anzeigen

Dernière édition Attention: Le pdf pèse environ 17 - BFH-TI - Berner ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?