CISPA TL;DR

In der aktuellen Folge von CISPA TL;DR geht es um einen oft übersehenen, aber risikoreichen Aspekt der Softwareentwicklung: Compiler-Optimierungen und ihre Auswirkungen auf die Sicherheit von kryptografischem Code. Unser Gast Lukas Gerlach hat mit seinem Team untersucht, ob moderne Compiler unbeabsichtigt dafür sorgen, dass eigentlich sicherer „Constant-Time“-Code plötzlich anfällig für Seitenkanalangriffe wird – also Angriffe, bei denen Hacker sensible Daten wie Passwörter oder Schlüssel durch die Analyse der Programmlaufzeit ausspionieren. Im Podcast erklärt Lukas, warum das ein Problem ist, was er beim Testen von fünf bekannten Krypto-Bibliotheken herausgefunden hat – und wie sein neues Tool DOCC dabei hilft, solche Sicherheitslücken zu entdecken, bevor sie gefährlich werden.

Web applications are powering the Internet of today. But how do you look for bugs and vulnerabilities in these apps to make sure they are secure? Easy – you automate the process, of course. But traditional scanners are struggling to automatically access all parts of these increasingly complicated apps. Introducing: the YuraScanner! Developed by Aleksei Stafeev and his colleagues, this new type of scanner leverages ChatGPT to scan apps in a more "human-like" fashion. In this episode, Aleksei joins us to talk about how he got into web security research in the first place, why reliable automatic testing is so important and why his new scanner might even work a little bit too well in some cases.

Auf der renommierten IT-Konferenz USENIX Security Symposium 2024 hat die CISPA-Forscherin Lea Gröber gleich zwei Paper als Erstautorin vorgestellt: eines zur Online- und Offlinesicherheit von Content Creators in Pakistan und eines zum Thema Self-Hosting. Wir haben dies zum Anlaß genommen, mit Lea über ihre Forschung im Bereich der Usable Security zu sprechen. Zur Sprache kommt auch ihre Faszination für Pakistan und ihre Einblicke in die dortige Cybersicherheitsforschung. Darüber hinaus geht es im Podcast auch um in ihren persönlichen Werdegang in der Cybersicherheitsforschung, die Arbeit als Doktorandin am CISPA und ihre Vision eines offenen, privatsphäreschützenden und sicheren Internets.

With the holidays just around the corner, you'll probably want to send some greetings to your loved ones via your favorite messaging app. But have you ever stopped to think about how secure your messages really are? Could they be at risk of being read by prying eyes – whether people or organizations? That's exactly what Aurora Naska is working on: secure messaging. In this episode, we dive into what happens behind the scenes to keep your messages safe, why getting frequent error messages in those apps could be worth paying attention to, and whether messaging apps are really as secure as they claim to be.

Für den Erfolg von Wissenstransfer über IT-Sicherheitsthemen sind die richtigen Partner und die passgenaue Ansprache in der Beratung entscheidend. Dies für kleine und mittelständische Unternehmen umzusetzen, ist Auftrag des DAISEC in Hannover, dem Digital Innovation Hub für KI und Cybersicherheit. Was sich hinter dem EU-geförderten Projekt verbirgt und was die Herausforderungen bei der Beratung mit Handwerksbetrieben sind, darüber sprechen wir in dieser Pocast-Epispode mit CISPA-Forscher und DAISEC-Mitarbeiter Ulli Holtgrave. Darüber hinaus erzählt er uns von seinen Forschungsprojekten im Bereich der Usable Security. Das Gespräch wurde auf Deutsch geführt. Viel Spaß beim Hören!

Unsere Sommer-Konferenzreihe 2024 geht mit einem Knall zu Ende, oder eher gesagt mit ein paar mehr – im Hintergrund unserer Aufnahme. Denn das USENIX Security Symposium 2024 in Philadelphia war ziemlich gut besucht und einen geeigneten Ort für die Aufnahme zu finden, nicht ganz so einfach. Aber hey, das ist live. Adrian und Gabriel haben uns Einblicke in ihre Forschung zu zum Mobilfunkprotokoll Voice over WiFi gegeben, das sogenanntem WLAN-Calling zugrunde liegt. WLAN-Calling ermöglicht in modernen Smartphones, dass Telefonverbindungen nicht nur über das Mobilfunknetz, sondern auch über WLAN aufgebaut werden können. Ziel ist es, so auch an Orten mit schlechter Mobilfunkqualität wie etwa Tunneln, Kellern oder auf Bahnfahrten Erreichbarkeit zu garantieren. Zwei kritische Sicherheitslücken haben solche Calls aber leider in der Vergangenheit zu einer etwas unsicheren Angelegenheit gemacht. Die Sicherheitslücken sind inzwischen aber dank der Forscher geschlossen. Was bei den Calls von Seiten verschiedener Hersteller und Mobilfunkanbieter schief lief, wie die beiden darauf aufmerksam geworden sind und wie es dann weiter ging, erzählen Adrian und Gabriel uns in dieser deutschen Sonderausgabe von CISPA TL;DR.

Time for another round of our TL;DR conference special! At USENIX 2024 in Philadelphia, we met an old CISPA friend: Dr. Sebastian Roth, Postdoc at TU Vienna. Sebastian did his PhD in the research group of CISPA-Faculty Dr. Ben Stock, where he focussed on web security at the intersection of usable security. In the hallway of the conference hotel, we talk about his time at CISPA, the role of everyday developers in web security and about the importance of security standards in the web. Listening is just like meeting an old friend – enjoy this latest episode of TL;DR!

Diesen Sommer haben wir uns aus der vertrauten Umgebung der CISPA-Büros herausgewagt und unsere Forscher zu ihren wichtigsten wissenschaftlichen Veranstaltungen begleitet: Konferenzen! Ende Juli fuhren wir nach Wien, um an der International Conference on Machine Learning teilzunehmen. Und da der Flur und die Gespräche dort ohnehin das Wichtigste an einer Konferenz sind, haben wir uns dort in einer Kaffeepause mit unseren Forscher:innen zusammengesetzt, um über ihre Forschung und das Neueste im Bereich des maschinellen Lernens zu sprechen. Unsere Gästin: Rebekka Burkholz, die 2021 zum CISPA kam und seitdem mit einem ERC-Starting Grant ausgezeichnet wurde, um mit ihrer Forschung neuronale Netzwerke effizienter zu machen. Im Podcast sprechen wir darüber, wie sie ihren wissenschaftlichen Hintergrund aus der Physik im Bereich KI anwendet und wie KI in Zukunft die Gesellschaft beeinflussen kann.

This summer, we ventured out of the safe and sound surroundings of the CISPA offices and accompanied our researchers to their most important science events: conferences! At the end of July, we went to Vienna to attend the International Conference on Machine Learning. And with the hallway and the conversations there being the most important part of a conference anyway, we sat down there with our researchers during a coffee break to talk about their research and the latest in machine learning. In this episode, we talk to Krikamol Muandet, who joined CISPA in 2022 and leads the Rational Intelligence Lab. His focus is on making AI truly intelligent – not just behaving like it is.

„Nach der Deadline ist vor der Deadline“, dieser Spruch ist im CISPA häufig zu hören. Kein Wunder: Das wissenschaftliche Jahr ist neben viel Forschungsarbeit vor allem von Paper-Fristen und wissenschaftlichen Konferenzen geprägt. Doch warum sind Konferenzen eigentlich so wichtig? Um was geht es dort, wie laufen sie ab und was bringen sie? Auf diese und noch viel mehr Fragen haben die CISPA-Faculty Dr. Katharina Krombholz und Dr. Ben Stock Antworten. Nicht nur, weil sie wie sie selbst im Podcast mehrfach durchblicken lassen, schon „alte Hasen“ sind und an vielen Konferenzen teilgenommen haben, sondern auch, weil sie beide in diesem Jahr als Program Chairs zwei wichtige Konferenzen in ihren Fachgebieten maßgeblich mitgestaltet und mitorganisiert haben. Was dabei die schwierigsten Aufgaben sind, wie der Forschungsnachwuchs von Konferenzen profitiert und in ihre Abläufe eingebunden wird und vieles mehr, könnt ihr in dieser deutschsprachigen Folge von CISPA TL:DR hören. Viel Spaß beim Hören!

CISPA-Faculty Dr. Franziska Boenisch spricht in dieser Folge mit uns darüber, warum Privatsphäreschutz bei Large-Language-Modellen wichtig ist und welche technische Infrastruktur die Forschung in diesem Bereich benötigt. Darüber hinaus erzählt sie, wie der Wissenstransfer in die Politik gelingen kann, wo ihrer Ansicht nach die Herausforderungen in der deutschen Forschungsförderung liegen und was sie macht, um weibliche Talente schon im Studium zu fördern. Die im Podcast erwähnten Aufzeichnung der Vorlesungen von Franziska Boenisch sind über diesen Link abrufbar: https://twitter.com/CISPA/status/1790736507742962071

As End-to-end encryption is becoming ever more widespread in most popular messaging services, discussions have emerged to enable the scanning of messages and files directly on end-user-devices. Carolyn Guthoff and Divyanshu Bhardwaj, usable security researchers at CISPA, have looked into these systems in their latest study on Client-Side-Scanning. They discuss potential implications such a system would bring and how Client-Side Scanning is perceived by experts, from cybersecurity researchers to law enforcement agencies. Content Warning: This episode contains mention of how Client-Side Scanning could help combat Child Sexual Abuse Material.

In dieser Folge von CISPA TL;DR spricht Websicherheitsforscher Florian Hantke mit uns darüber, warum ein Großteil von Web-Schwachstellen bislang kaum wissenschaftlich untersucht werden kann. Der Grund: Sie liegen auf Seiten der Server. Da gezieltes Server-Side-Scanning zum einen sensible Daten offenlegen und zum anderen zu Serverausfällen und damit zu finanziellen Schäden führen könnte, ist das Verfahren sowohl rechtlich als auch ethisch problematisch. Der Preis dafür ist, dass viele Schwachstellen unentdeckt bleiben und somit auch von Angreifer:innen ausgenutzt werden könnten. Was Florian über das Thema Server-Side-Scanning im Gespräch mit Rechtsgelehrten, Server-Betreiber:innen und Ethiker:innen erfahren hat, erzählt er uns in dieser Folge. Das Gespräch wurde auf Deutsch aufgezeichnet.

This episode will change your life! As if Clickbait headlines weren't bad enough: now there's something even worse lurking on the internet: Clickbait PDFs. Giada Stivala, PhD candidate and CISPA researcher, has discovered this new type of phishing attack, in which scammers are desperately trying to steal your click (and ultimately your data and/or money). Giada tells us how she scoured hacker forums to get to the bottom of these attacks, what the road from discovery to a finished research paper looks like and what to watch out for to protect yourself against these new phishing scams.

Wenn es um ihr Forschungsziel geht, hat die CISPA-Forscherin Dr. Christine Utz eine klare Vorstellung: „Ich möchte es Nutzer:innen gerne erleichtern, ihr Recht auf Privatheit in der digitalen Welt durchzusetzen“, so CISPA-Forscherin Dr. Christine Utz im Podcast. Die CISPA-Forscherin hat eine interdisziplinäre Studienkarriere mit Abschlüssen in Jura und Informationssicherheit hinter sich. Was sie an Interdisziplinarität fasziniert, welchen Forschungsthemen sie sich aktuell zuwendet und mit welchen Methoden sie nach Antworten sucht, sind Themen des Podcasts. Das Gespräch wurde auf Deutsch geführt. Viel Spass beim Hören!

Ground Control to CISPA TL;DR.... For this episode we venture into the great unknown that is space! Though it's not all that unknown anymore, as CISPA Faculty Dr. Ali Abbasi tells us, with a 'New Space Era' just around the corner. 40.000 satellites will orbit our home planet by 2030, with most of them not paying too much attention to cybersecurity. Sounds like a job for CISPA! Listen as Ali tells us what risks we face and what the future will hold in store for his research.

„Wir müssen mal über AirTags reden“, sagt Dañiel Gerhardt. Der Nutzen der kleinen Standort-Tracker zum Wiederfinden von Brieftaschen oder Schlüsseln sei nicht zu bestreiten, aber über die Risiken noch zu wenig bekannt, so der Forscher. Denn die Tracker sind laut Gerhardt auch ein nützliches Instrument für Stalker. In die AirTags eingebaute Funktionen, die einen solchen Missbrauch verhindern sollen, sind laut dem Gerhardt noch nicht so gut, wie sie sein könnten – zumindest ist das die Prämisse für seine Forschung zu diesem Thema. Im Podcast reden wir darüber, wie AirTags funktionieren, welche solche “Anti-Stalking-Features“ es schon gibt und warum diese oft nicht ausreichend vor Missbrauch schützen. Das Gespräch wurde auf Deutsch geführt.

Dr. Rebekka Burkholz and Dr. Julian Loss seem to have liked it on our podcast – they both are returning for their second episode of TL;DR! The two CISPA Faculty are working on completely different things, but they both have been awarded with a prestigious research grant by the European Research Council (ERC) this fall. We talk about what it means for them to receive this grant, what their research has in common and how to facilitate interdisciplinary research. If you want to find out even more about Julian and Rebekka's research, listen to episodes #10 and #15!

In der 24. Folge von CISPA TL;DR spricht CISPA-Forscher Dr. Adrian Dabrowski über „MobileAtlas“, eine von ihm zusammen mit Gabriel Gegenhuber von der Universität Wien und Kollegen von SBA Research entwickelte Infrastruktur für Mobilfunktests. Damit wird es endlich leichter für Mobilfunkforschende Messungen und Sicherheitstest quer durch Europa und nicht nur in den heimischen Mobilfunknetzen durchzuführen. Wie „MobileAtlas“ funktioniert, was bisher das Problem war und wie Forschende beim Aufbau mithelfen können, hört ihr überall, wo es Podcasts gibt. Die Folge wurde in deutscher Sprache aufgenommen.

The prestigious USENIX Security 2023 conference in Anaheim, California is only days away! CISPA Faculty Dr. Ben Stock has co-authored a paper on E-Mail Security that will be presented there, along with 29 other papers with CISPA involvement. In this episode of TL;DR, he tells us all about how secure E-Mails really are, why you should always double check who the sender of a suspicious E-Mail really is and what the future might hold in store for the E-Mail standard.

Large-Language-Modelle (LLM) wie Chat GPT sind große generative Sprachmodelle, die mittels künstlicher Intelligenz in der Lage sind, Eingaben in natürlicher Sprache zu verstehen und zu verarbeiten. Sie kommen häufig auch mit komplexen Fragen und Anweisungen zurecht und produzieren Texte in bisher nie dagewesener Qualität. Die den Modellen zugrundeliegenden neuronale Netzwerke und Deep-Learning-Algorithmen können aber noch für sehr viel mehr eingesetzt werden als nur zum Chatten. So gibt es codegenerative Modelle, die – wie die Bezeichnung schon verrät – Code und damit ganze Computerprogramme generieren können. Doch egal ob natürlichsprachliches oder codegeneratives Modell ¬– sie alle haben Schwachstellen. Dr. Lea Schönherr erzählt uns in dieser Folge, wie sie Schwächen und Sicherheitslücken in den Modellen aufspürt, wo sie Gefahren bei der Nutzung von LLM sieht und wie wir als Nutzende damit umgehen können. Außerdem erzählt uns Lea, wie es sich als Elektro- und Informationstechnologin unter Informatiker:innen forscht. Spoiler: Ziemlich entspannt. Das Gespräch wurde in deutscher Sprache geführt. Viel Spaß beim Hören.

In this episode, CISPA Faculty Dr. Christoph Lenzen tells us why it's important that mobile phones only talk when it's their turn to talk. He explains how his research on secure synchronization algorithms will make wireless communications more secure and robust and how they might even help make CPUs faster in the future. Your turn to listen!

Passwortmanager sollen User:innen dabei unterstützen, ihre Anmeldedaten für Online-Konten sicher zu verwalten. Die Tools generieren sichere Passwörter und füllen die erforderlichen Login-Daten auf der besuchten Seite automatisch ein. In der Praxis läuft die Interaktion zwischen den Sicherheitstools und Webseiten aber leider nicht so reibungslos wie erwünscht. Huaman Groschopf hat in seinem Paper „They Would do Better if They Worked Together: The Case of Interaction Problems Between Password Managers and Websites“ erstmals systematisch untersucht, welche Probleme dabei auftreten können und wie diese die Sicherheit und Benutzbarkeit der Tools einschränken. Für seine Arbeit hat Nicolas einen Best Paper Award auf 42nd IEEE Symposium on Security and Privacy 2021 erhalten. Er verrät uns, welchen Einfluss solche Preise auf die Karriere haben können. Diese Episode ist in deutscher Sprache. Viel Spaß beim Hören! Projektseite: https://publications.teamusec.de/2021-oakland-passwordmanagers/interactions Paper: https://publications.teamusec.de/2021-oakland-passwordmanagers/

CISPA Faculty Prof. Dr. Andreas Zeller has done it again – he receives a second ERC Advanced grant worth 2.5 million euros! In this episode, he tells us about his vision to make every piece of software in the world automatically testable, how he managed to convince the European Research Council to fund his new project S3 and how his software testing tool will benefit society as a whole.

In this episode we talk to one of our latest Faculty hires, Dr. Wouter Lueks, about his work that is aiming to make technological solutions to societal problems more privacy-friendly. He tells us about his work on a project that will enable investigative journalists to share sensitive documents anonymously. He also explains why tackling actual current real-world problems goes really well together with CISPA's approach of foundational cybersecurity research.

Prof. Dr. Sascha Fahl hat uns bei unserem Besuch in Hannover verraten, wie CISPA nach Hannover kommt und was er damit zu tun hat. Außerdem erzählt der Forscher im Bereich der Usable Security uns, warum sichere Authentifizierungslösungen noch immer eine Herausforderung sind und welche Forschungsfragen ihn und sein Team noch umtreiben. Viel Spaß beim Hören!

CISPA TL;DR goes to Hannover! For this (and the upcoming) episode, we visited our branch in Hanover, our „satellite“ in cooperation with the Leibniz University Hanover. We spoke to PhD student Dominik Wermke about his research on open source software, in particular about software supply chain attacks. If you want to know what exactly these are and why a software supply chain might resemble a big bowl of pasta, you've come to the right podcast!

CISPA-Faculty Dr. Rebekka Burkholz spricht in dieser Folge mit uns darüber, was relationales maschinelles Lernen ist und welche Chancen Methoden des maschinellen Lernens in der Diagnostik und Behandlung von Krankheiten eröffnen. Die Mathematikerin gibt zudem Einblicke, was Informatiker:innen und Mathematiker:innen unterscheidet und was aus ihrer Sicht helfen würde, mehr Frauen für eine Karriere in der Forschung zu begeistern.

TL;DR's first episode with not one, but two guests! Andreas Kogler from TU Graz stayed at CISPA for three weeks with Faculty Dr. Michael Schwarz's research group. Of course we took the chance to talk to our guest and his host about their past and current projects. With their research on side-channel attacks, they cost CPU vendors quite a few weekends and vacations. Michael and Andreas tell us how they found CPU vulnerabilities that left even them in disbelief and why security often comes at the price of speed.

In Folge 13 von TL;DR sprechen wir mit CISPA-Faculty Prof. Dr. Mario Fritz über die Chancen und Risiken von Künstlicher Intelligenz sowie den von ihm koordinierten Aufbau des virtuellen Exzellenzzentrums ELSA (European Lighthouse on Secure and Safe AI). Der Forscher verrät uns, wie in diesem Großprojekt KI-Expert:innen renommierter Forschungseinrichtungen und Unternehmen aus ganz Europa zusammenarbeiten, damit wir die Potenziale künstlicher Intelligenz ausschöpfen können und dabei Ethik und Sicherheit immer im Blick behalten.

12 episodes of TL;DR means it's our first birthday! Thanks to everyone who has listened to our podcast in the last 12 months! In this anniversary episode, we talk to Osman Ali Mian about causality in machine learning. Causality enables machine learning models to "predict responsibly", as Osman puts it. Osman tells us why he is essentially working on programming a "wise person" and why his research is actually comparable to the movie "Minority Report".

In Folge 11 von TL;DR sprechen wir mit CISPA-Faculty Dr. Katharina Krombholz über Usable Security und die Frage, warum Sicherheit und einfache Benutzbarkeit in der IT noch immer nicht genügend zusammen gedacht werden. Katharina will mit ihrer Forschung dafür sorgen, dass IT-Sicherheitsprobleme künftig nicht mehr auf Nutzer:innen abgewälzt, sondern schon im Entwicklungsprozess gelöst werden. Außerdem reden wir über den geringen Frauenanteil in der Cybersecurity, Vereinbarkeitshürden und warum Frauen ihren Platz in der Academia mehr behaupten sollten.

In episode 10 of TL;DR, we discuss CISPA Faculty Dr. Julian Loss's newest research project on so called „mix nets“: networks that can help anonymize internet traffic. The project recently received external funding by the web3 foundation. Julian tells us why a standard VPN is not a perfect solution for privacy and anonymity, how to formally prove security of a concept in cybersecurity and why cryptocurrencies could help demonopolize electronic payments in the future.

In unserer neuesten Folge von TL;DR sprechen wir mit CISPA-Forscherin Dr. Aurore Fass über ihre Forschung zur Sicherheit von Browser-Erweiterungen und das von ihr entwickelte Analysetool DoubleX. Außerdem verrät uns die gebürtige Französin, wann sie ihre Leidenschaft für Informatik und Cybersicherheitsforschung entdeckt hat und was sie jungen Frauen rät, die sich für diese Themen interessieren. Das Gespräch wurde auf Deutsch geführt. Viel Spaß beim Zuhören!

In this month's episode of TL;DR, we talk to CISPA faculty Dr. Giancarlo Pellegrino about his early days at CISPA, about the evolution of web applications, about breaking news of horror vulnerabilities with flashy names and about what the future will hold for his security research.

In der neuen Folge des CISPA-Podcasts TL;DR haben wir mit CISPA-Faculty Prof. Dr. Thorsten Holz über das Thema Softwaresicherheit und sein Projekt „Resilient and Sustainable Software Security“, kurz RS3, gesprochen. Erst kürzlich wurde der 40-Jährige dafür vom ERC mit einem Consolidator Grant in Höhe von 2 Millionen Euro ausgezeichnet. Der CISPA-Forscher erzählt, wie man zu einer solch enormen Förderung kommt und was sie für ihn bedeutet.

In episode 6 of our podcast, we talk to CISPA researcher Sahar Abdelnabi about fake images, texts, and videos that are increasingly getting harder to recognize as fake. The PhD student explains how these so-called deepfakes are created and how her research ensures that the real deal remains distinguishable from fakes.

In der 5. Episode unseres Podcasts sprechen wir mit CISPA-Faculty Dr. Sven Bugiel über sichere Logins und Passwörter. Der leitende Wissenschaftler erklärt, warum Passwortmanager sinnvoll sind, wie man sie richtig nutzt und welche Möglichkeiten der 2-Faktor-Authentifizierung es gibt.

In the first episode of TL;DR in 2022, we're talking to Dr. Mridula Singh, one of our latest Faculty hires. In this podcast, Mridula tells us all about how she helped make newer cars with keyless entry systems more secure and why 5G networks will be important for self-driving cars in the future.

In dieser Folge haben wir mit unserem leitenden Wissenschaftler Dr. Nico Döttling gesprochen. Er ist Kryptograph und erzählt uns, wie er seine Leidenschaft für die Informatik entdeckt hat, was homomorphe Verschlüsselung ist und wie es um die Zukunft von Quantencomputer bestellt ist. Das Gespräch wurde in deutscher Sprache geführt.

In the second episode of the CISPA podcast TL;DR, we talked to faculty Dr. Cristian-Alexandru Staicu about how modern software development works and what security risks are involved in the process. Have fun listening!

In der ersten Episode des neuen CISPA-Podcast haben wir mit PhD-Candidate Matthias Fassl gesprochen. Der gebürtige Wiener forscht in der Gruppe von Dr. Katharina Krombholz. Mit Matthias haben wir über Ende-zu-Ende Verschlüsselungen von Messengern wie WhatsApp gesprochen. Außerdem erklärt er, warum die Kommunikation darüber nur dann sicher ist, wenn man die Dienste richtig nutzt.