Vortrag von Prof. Dr. Thorsten Holz: „Proaktiver Kampf gegen Hacker“
Mittwoch, 15.01.2020, 17.00-18.15 Uhr
Vortrag Prof. Dr. Thorsten Holz und Diskussion
Inhaber des Lehrstuhls für Systemsicherheit, Ruhr-Universität Bochum (RUB)
Ort: Hörsaal AH IV, Informatik-Zentrum, Ahornstraße 55, 52074 Aachen, Parken hinter dem Haus
Der Vortrag ist öffentlich. Eintritt frei. Anmeldung nicht erforderlich.
Täglich gibt es neue und spezielle Hackerangriffe und täglich werden neue Möglichkeiten erfunden, diese Angriffe für die Zukunft abzuwehren. Beim nächsten Angriff auf eine andere Art beginnt das Spiel erneut. Das kostet viel Geld, für die Beseitigung der Schäden des Angriffs und für die spezielle Abwehr. Die Angriffe nutzen Fehler/ Schwachstellen der Software, seien es Schwächen der Programmiersprache (Compiler/ Laufzeitsystem), der Software für das Betriebssystems, für die Netze, für das Internet oder beliebige Anwendungsprogramme.
Wäre es nicht sinnvoller, nach Wegen zu suchen, die diese Angriffe unmöglich machen? Geht das überhaupt? Falls ja, ist das vom Aufwand her durchführbar? Mit Fragen und Ansätzen solcher Art beschäftigt sich der Vortrag von Prof. Holz am 15. Januar 2020. Das Gebiet Systemsicherheit ist sein Spezialgebiet, IT-Sicherheit ist ein Schwerpunkt der Informatik in Bochum.
Inhalt
Wirtschaftsspionage per Software-Trojaner, erfolgreiche Einbrüche in das Netz von Bundesbehörden, kompromittierte Industrieanlagen, … Diese Liste ließe sich beliebig erweitern und wöchentlich werden neue Sicherheitsvorfälle aufgedeckt. Dabei sind Softwarefehler eine der Grundursachen, häufig bilden sie den ersten Schritt hinter erfolgreichen Angriffen. Entsprechend benötigen wir effiziente und effektive Methoden, um komplexe Softwaresysteme robust gegen Angriffe zu machen.
Im Rahmen dieses Vortrags werden zwei komplementäre Ansätze vorgestellt, um Softwaresysteme zu härten: Einerseits stelle ich unsere Ansätze zu Control-Flow Integrity (CFI) vor. Dies ist eine Technik zum proaktiven Schutz gegen die Ausnutzung von Softwareschwachstellen und ich erläutere, wie solche Verfahren heute bereits in der Praxis genutzt werden können. Anderseits stelle ich unsere Methoden zum automatisierten Testen von Softwaresystemen vor, um Fehler möglichst frühzeitig im Entwicklungsprozess zu identifizieren. Wir nutzen dabei vor allem eine Technik namens Fuzzing und haben damit schon mehr als 100 Fehler in populären Programmen gefunden, die ich anhand von Beispielen erläutere.
In Kooperation mit der Fachgruppe Informatik der RWTH, der Regionalgruppe der Gesellschaft für Informatik (RIA), dem Regionalen Industrieclub Informatik Aachen (REGINA e.V.) und der Gruppe Aachen des Deutschen Hochschulverbands.
Sie können die Ankündigung gerne an interessierte Personen weitergeben. Diese sind herzlich eingeladen.