/tag/rd-study/R&D StudyHugo Blox Builder (https://hugoblox.com)en-usThu, 20 Mar 2025 00:00:00 +0000/media/logo_hu12465375348167678909.png/tag/rd-study//offerings/2025-03-thesis-prolead-gpu-port/Thu, 20 Mar 2025 00:00:00 +0000/offerings/2025-03-thesis-prolead-gpu-port/<h2 id="motivation">Motivation</h2> <p>Seitenkanalangriffe gewinnen zunehmend an Bedeutung, wenn wie z.B. im Falle einer Smartcard, die Hardware in die Hände des Angreifers gelangen kann. In so einen Fall muss die Hardware-Software Kombination gegen Angriffe auf die Implementierung geschützt sein.</p> <p>Um die Sicherheit von Hardware-Software Kombinationen gegen Seitenkanalangriffe zu evaluieren, können heutzutage Software-Tools verwendet werden, welche z.B. auf Basis eines Leakage-Modells sowie einer Ausführung der Software in einem Emulator arbeiten. Ein Derartiges Tool wird von uns derzeit für die verhältnismäßig neue CPU-Architektur RISC-V entwickelt.</p> <p>Ein Leakage Assessment der Hardware-Software-Kombination eines Sicherheitsproduktes noch vor dem ersten Prototyp verringert die Entwicklungskosten und die Zeit pis zum Rollout des Produktes. Dennoch kann ein simulations-basiertes Leakage-Assessment im Sinne von Rechenzeit und Speicher ressourcen-aufwendig. Da in der heutigen Zeit z.B. im Hinblick auf KI-Anwendungen oftmals in leistungsfähige GPU-Cluster investiert wird, wird eine Unterstützung von GPU-basierten Plattformen zunehmend wichtiger.</p> <h2 id="ziel">Ziel</h2> <p>Ziel dieser Arbeit ist, unser in Entwicklung befindliches Leakage-Assessment Tool so zu erweitern oder zu portieren, dass es auf die Rechenleistung von GPU-Clustern zurückgreifen kann. Eine Umsetzung könnte beipsielsweise mit Hilfe von OpenCL oder CUDA erfolgen.</p> <h2 id="aufgaben">Aufgaben</h2> <p>Ziel dieser Arbeit ist die Entwicklung eines Konzeptes zur Trennung der Implementierung zwische GPU und Host-Seite, so dass diese effizient arbeitet und mit der Anzahl der GPUs skaliert. In einem weiteren Schritt soll das Konzept implementiert werden. Des weiteren sollen Konzepte erarbeitet werden, wie sich die GPU- sowie die klassische Implementierung nebeneinander warten und weiterentwickeln lassen.</p> <h2 id="voraussetzungen">Voraussetzungen</h2> <ul> <li>Gute C und C++ Kenntnisse</li> <li>Vorkenntnisse in CUDA, OpenCL</li> <li>Vorkenntnisse im Umgang mit Git, GNU-Make sowie Linux</li> <li>Spaß an Softwareentwicklung</li> </ul> <h2 id="referenzen-und-literatur-auswahl">Referenzen und Literatur (Auswahl)</h2> <ul> <li><a href="https://eprint.iacr.org/2023/034.pdf" target="_blank" rel="noopener">Zeitschner et al., (2023). PROLEAD_SW Probing-Based Software Leakage Detection for ARM Binaries</a></li> <li><a href="https://dx.doi.org/10.1007/978-3-540-45146-4_27" target="_blank" rel="noopener">Ishai et al., (2003). Private Circuits: Securing Hardware against Probing Attacks</a></li> <li><a href="https://tches.iacr.org/index.php/TCHES/article/view/7270" target="_blank" rel="noopener">Faust et al., (2018). Composable Masking Schemes in the Presence of Physical Defaults &amp; the Robust Probing Model</a></li> <li><a href="https://tches.iacr.org/index.php/TCHES/article/view/9294" target="_blank" rel="noopener">Marshall et al., (2021). MIRACLE: MIcRo-ArChitectural Leakage Evaluation: A study of micro-architectural power leakage across many devices</a></li> </ul> <p>Haben wir Ihr Interesse geweckt? Kontakt: <a href="/author/nicolai-schmitt/">Nicolai Schmitt</a>.</p>/offerings/2024-01-thesis-threat-modelling-dbsystel/Tue, 23 Jan 2024 00:00:00 +0000/offerings/2024-01-thesis-threat-modelling-dbsystel/<hr> <h3 id="motivation">Motivation</h3> <p>Im Unternehmenskontext des Teams <em>Application Security Specialists</em> der DB Systel soll im Rahmen des dort implementierten <em>Software Development Lifecycle (SDLC)</em> sowie des zugehörigen <em>Information Security Management System (ISMS)</em> ein Thread Modelling weitgehend automatisiert und eingebettet werden.</p> <p>Hierbei soll die Lösung sowohl das agile Vorgehen im SDLC berücksichtigen sowie einen Mehrwert und eine Arbeitserleichterung für die verschiedenen Stakeholder (Development-Team, Product Owner, Security Architect, CISO) bieten.</p> <h3 id="ziel">Ziel</h3> <p>Das Ziel der Arbeit ist die Erarbeitung eines Vorgehensmodells zur Aufbereitung von technischen Risiken aus einem Thread Modelling Prozess für das Risikomanagement gemäß eines Information Security Management System (ISMS). Hierbei soll aus technischer Sicht eine Export- und Report-Schnittstelle aus Basis von IriusRisk als Web Service implementiert werden.</p> <h3 id="aufgaben">Aufgaben</h3> <ul> <li>Recherche: <ul> <li>Wie kann kontinuierliches Threat Modeling in einem agilen Entwicklungsprozess realisiert werden?</li> <li>Wie kann Risiko Management gemäß ISMS realisiert werden?</li> </ul> </li> <li>Erarbeitung eines Vorgehensmodells zur Aggregation von technischen Risiken aus dem Thread Modeling für ein Risiko Management gemäß ISMS</li> <li>Basis von IriusRisk: Design, Implementierung und Test einer Export- und Report-Schnittstelle</li> <li>Evaluation des Tool-gestützten Vorgehensmodells hinsichtlich Usability, Effizienz, Effektivität und Wirkungsgrad</li> </ul> <h3 id="voraussetzungen">Voraussetzungen</h3> <ul> <li>Grundkenntnisse in IT-Sicherheit und sicherer Software-Entwicklung</li> <li>Programmierkenntnisse</li> <li>Docker-Kenntnisse sind von Vorteil</li> <li>Spaß an Literaturarbeit und theoretischen Konzepten</li> </ul> <h3 id="literatur-einstieg">Literatur (Einstieg)</h3> <ul> <li>Izar Tarandach and Matthew J. Coles: &ldquo;Threat Modeling: A Practical Guide for Development Teams&rdquo;. O’Reilly Media, Inc. (November 2020), ISBN: 9781492056553</li> <li><a href="https://github.com/Autodesk/continuous-threat-modeling/blob/master/Continuous_Threat_Modeling_Handbook.md" target="_blank" rel="noopener">Continuous Threat Modeling Handbook</a>, via GitHub</li> <li>Scott, F. <a href="https://www.iriusrisk.com/resources-blog/introduction-to-the-open-threat-model-standard" target="_blank" rel="noopener">&ldquo;Introduction to the Open Threat Model standard&rdquo;</a>, 2022, IrusRisk Blog</li> <li><a href="https://github.com/iriusrisk/OpenThreatModel" target="_blank" rel="noopener">Open Threat Modeling Format (OTM)</a>, via GitHub</li> </ul> <!-- - [IriusRisk](https://www.iriusrisk.com) Website --> <h3 id="start">Start</h3> <ul> <li>nach Absprache</li> </ul> <hr> <p><em>Diese Arbeit wird in Kooperation mit dem Team <strong>Application Security Specialists</strong> der DB Systel in Frankfurt/M durchgeführt</em>.</p> <p><em>Weitere Informationen und Kontakt</em></p> <p><a href="/author/andreas-heinemann/">Andreas Heinemann</a></p>/offerings/2024-01-thesis-pentest-report-dbsystel/Tue, 23 Jan 2024 00:00:00 +0000/offerings/2024-01-thesis-pentest-report-dbsystel/<hr> <h3 id="motivation">Motivation</h3> <p>Im Unternehmenskontext des Teams <em>Application Security Specialists</em> der DB Systel muss für jeden Penetrationtest ein Abschlussbericht erstellt werden. Hierzu wird eine Vorlage eines Reporting-Tools verwendet. Der Nutzen und die Qualität eines Berichts bleiben jedoch hinter den Erwartungen zurück. So fehlen klare Vorgaben und Guidelines an das Design und die Struktur. Darüber hinaus ist unklar, welche Nutzergruppen einen Bericht in welcher Form verwenden und ob die Ergebnisse eines Pentests hierbei optimal kommuniziert werden und die gewünschten Handlungen nach sich ziehen.</p> <h3 id="ziel">Ziel</h3> <p>Das Ziel der Arbeit ist den unternehmensweiten Wirkungsgrad von Abschlussberichten von Penetrationstests zu erhöhen.</p> <p>Hierzu könnte die Verbesserung der Verständlichkeit, die Vereinheitlichung von Vorgaben und die Reduzierung des eigentlichen Schreibaufwands durch technische Unterstützung gehören.</p> <h3 id="aufgaben">Aufgaben</h3> <ul> <li>Literaturrecherche zu Berichtswesen im Pentesting</li> <li>Recherche von Test- und Bewertungsmethoden zur Verständlichkeit von Berichten</li> <li>Einarbeitung in Usability/UX von technischen Dokumentationssystemen</li> <li>Recherche von alternativen Aufbereitungsformen von Berichten. Schlagworte: <em>information dashboards</em>, <em>visual analytics</em>, etc.</li> </ul> <h3 id="voraussetzungen">Voraussetzungen</h3> <ul> <li>Grundlegende Kenntnisse im Pentesting</li> <li>Kenntnisse des <a href="https://owasp.org/" target="_blank" rel="noopener">OWASP</a> Projects</li> <li>Kenntnisse des <a href="https://www.first.org/cvss/v4-0/index.html" target="_blank" rel="noopener">Common Vulnerability Scoring System (CVSS)</a></li> <li>Kenntisse der <a href="https://www.cve.org/" target="_blank" rel="noopener">Common Vulnerabilities and Exposures (CVE)</a> Systematik</li> <li>Erfahrungen im Schreiben von technischen Berichten</li> </ul> <h3 id="literatur-einstieg">Literatur (Einstieg)</h3> <ul> <li>M. N. Zakaria et al., &ldquo;A Review of Standardization for Penetration Testing Reports and Documents,&rdquo; 2019 6th International Conference on Research and Innovation in Information Systems (ICRIIS)</li> <li><a href="https://en.wikibooks.org/wiki/Professional_and_Technical_Writing/Design/Usability" target="_blank" rel="noopener">Professional and Technical Writing/Design/Usability</a>, WIKIBOOKS</li> <li>Parker, Kesi, &ldquo;<a href="https://medium.com/@kesiparker/usability-in-technical-documentation-8424e0e297dc" target="_blank" rel="noopener">Usability in Technical Documentation</a>&rdquo; 2018, Medium</li> </ul> <h3 id="start">Start</h3> <ul> <li>nach Absprache</li> </ul> <hr> <p><em>Diese Arbeit wird in Kooperation mit dem Team <strong>Application Security Specialists</strong> der DB Systel in Frankfurt/M durchgeführt</em>.</p> <p><em>Weitere Informationen und Kontakt</em></p> <p><a href="/author/andreas-heinemann/">Andreas Heinemann</a></p>