Personal tools
You are here: Home / News
Navigation
 

News

Site News

Malware and Threat Protection in OpenSecurity

Filed under:

OpenSecurity defines a process that allows users to communicate with non-institutional networks by means of cryptography and virtualised isolation, as well as malware and threat classification.

IKARUS Security Software GmbH is a member of the OpenSecurity team and is primarily responsible for classification of data. For this IKARUS employs its own proprietary key technology for malware and threat detection. In addition to classification technologies OpenSecurity also employs IKARUS server applications developed for the scalable and highly performant server area.

OpenSecurity is a system with very modular design, which convinces by isolation and encapsulation. In addition to these design aspects it is a project goal to use primarily Open Source products to reduce integration costs. While IKARUS cannot license their products with an open license, they do support the integration of IKARUS software products with Open Source environments.

IKARUS sustains OpenSecurity with their technologies and know-how gained in more than 25 years’ experience in the sector. Due to the defined communication process OpenSecurity is complementary to conventional IKARUS products and adds the existing portfolio. IKARUS sees following benefits for institutions employing OpenSecurity:

1.    Less effort due to centrally administrated scanning of devices;

2.    Safe interaction with the internet without fear of being infected;

3.    Minimal use of resources by client devices;

4.    Low integration costs due to the Open Source approach.

Document Actions

Schutz vor Malware und Threat in OpenSecurity

Filed under:

OpenSecurity selbst definiert einen Prozess, der den User mit Hilfe von Kryptografie, virtualisierter Isolierung sowie Malware- und Threat-Klassifikation mit dem nicht Institutions-Netzwerk kommunizieren lässt.

IKARUS Security Software GmbH ist Teil des OpenSecurity-Teams und ist primär für die Klassifikation der Daten verantwortlich. Dabei greift IKARUS auf selbst entwickelte proprietäre Kerntechnologien aus der Malware- und Threat-Erkennung zurück. In OpenSecurity werden neben reinen Klassifikationstechnologien auch IKARUS Serverapplikationen genutzt, die für den skalierbaren und hochperformanten Serverbereich entwickelt wurden.

OpenSecurity ist ein System mit sehr modularem Design, welches durch Isolation und Kapselung überzeugt. Neben diesen designtechnischen Aspekten ist es ein Anliegen primär Open Source Produkte zu nutzen, um die Integrationskosten zu reduzieren. IKARUS selbst kann seine Produkte nicht unter eine offene Lizenz stellen, unterstützt jedoch die Softwareintegrationen von IKARUS-Produkten in OpenSource Landschaften.

IKARUS unterstützt OpenSecurity mit seinen Technologien und Ihrem Know-how aus mehr als 25 Jahren Branchenerfahrung. Durch den definierten Kommunikationsprozess ist OpenSecurity komplementär zu herkömmlichen IKARUS Produkten und ergänzt daher das bestehende Portfolio. Für Institutionen ergeben sich mit dem Einsatz von OpenSecurity aus IKARUS Sicht folgende Vorteile:

1.    Weniger Arbeitsaufwand durch die zentrale Verwaltung der Überprüfung von Geräten;

2.    Sorglose Interaktion mit dem Internet ohne Infektionsängste;

3.    Wenig Ressourcenaufwand am Endgerät selbst;

4.    Geringe Integrationskosten aufgrund des Open Source Ansatzes.

Document Actions

OpenSecurity: Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen

Filed under:
Sicherheit durch Isolation für MS Windows

Das OpenSecurity Projekt wurde teilweise vom Qubes OS Ansatz zu Sicherheit durch Isolation inspiriert. Qubes OS erreicht ein maximaler Grad an Isolation zwischen Anwendungen, indem es diese als Virtual Machine Instanzen auf dem nativen XEN Hypervisor erstellt. Zusätzlich bietet Qubes OS sichere Kanäle für Filesharing, Austausch von zwischengespeicherten Daten und das User Interface.

Viele öffentliche Einrichtungen in Österreich verwenden seit jeher Windows als ihre End-User Umgebung. Aufgrund von Pfadabhängigkeit sind sie äußerst eingeschränkt, wenn es darum geht von diesem Standard abzuweichen. Die Konsequenz ist, dass das OpenSecurity Projekt die Bereitstellung der Software auf Microsoft Windows Clients unterstützen muss (spezifisch ist unsere Referenzarchitektur MS Windows 7 64-bit).

Es ist klar, dass diese Lösung was den Sicherheitsaspekt anbelangt suboptimal ist. Tatsächlich wurden die Mängel von Windows in diesem Zusammenhang bereits analysiert. In Anbetracht der Tatsache, dass Windows weit verbreitet ist, wird diese Lösung im öffentlichen Sektor jedoch potenziell größeren Erfolg haben. Obwohl die resultierende Implementierung von Sicherheit durch Isolation nicht absolute Sicherheit gewährleisten kann, wird sie dennoch erheblich höhere Sicherheit bieten, die darüber hinaus mit institutionellen IT Rollouts und Management Prozessen kompatibel ist.

In den folgenden Monaten werden unsere Services in einem limitierten Produktionsumfeld zweier Bedarfsträger aus der öffentlichen Verwaltung installiert werden. Diese User werden direkt über den OpenSecurity Dienst Feedback übermitteln können, und sie werden an einem Evaluation Workshop und einer Onlinebefragung teilnehmen. Dieses Feedback wird es uns ermöglichen den Service was Stabilität und Usability angeht weiterzuentwickeln.

Bildquelle: Wikipedia Lizenz: CC-BY-SA

Document Actions

OpenSecurity: Open Source Security Solutions Protecting Employees and Data in Public Institutions

Filed under:
Security by Isolation for MS Windows

The OpenSecurity project was inspired in part by the Qubes OS approach to Security by Isolation. Qubes OS achieves a maximum degree of isolation between applications by instantiating these as virtual machine instances on top of the XEN bare-metal hypervisor. In addition, Qubes OS provides secure channels for file sharing, clipboard data exchange, and the user interface.

However, many public bodies in Austria have historically chosen Windows as their end-user environment, and due to path dependence, are highly constrained against moving away from this standard. As a result, it is required that the OpenSecurity project support deployment to Microsoft Windows clients (specifically, MS Windows 7 64-bit is our reference architecture).

It is clear that this is a suboptimal solution in terms of security; indeed, the shortcomings of Windows in this respect have already been analysed. However, given the prevalence of Windows, this solution will have a bigger potential impact on the public sector. And while the resulting implementation of security by isolation will not be perfectly secure, it will nonetheless offer greatly enhanced security that is also compatible with institutional IT rollout and management processes.

During the coming months, our services will be installed in a limited production environment of two public administration stakeholders. These users will be able to provide feedback directly through the OpenSecurity service, and will also participate in an evaluation workshop and online survey. This feedback will allow us to further refine the service in terms of stability and usability.

Image source: Wikipedia License: CC-BY-SA

Document Actions

Research interests of BMLVS in the project

Filed under:

The Command Support Center (FüUZ) is a central service organisation of the Austrian Armed Forces (ÖBH). It provides the Federal Ministry of Defence and Sports (BMLVS) and the Austrian Armed Forces interoperable, safe, and innovative army command support and IT services, both for the use in Austria and abroad, as well as for administration activities.

One cannot imagine the daily office routine without a performant internet connection or communication via email. Avoiding unintentional transfer of classified information through these communication channels is a big concern.

The usage of external data storage and mobile devices (laptops, smartphones, etc.) implies the risk of bringing classified information into circulation in case of loss or theft of the devices. This risk can only be reduced by data loss prevention mechanisms (DLP), as well as by encoding the classified information. Next to DLP and in the context of using internet and email the implementation of efficient malware protection mechanisms is an essential component of safe IT systems and information.

The Command Support Center wants to contribute to the OpenSecurity project because DLP and protective measures against malware play an important role in the context of infrastructure. The security solutions developed in the project could be partially or wholly implemented in future IT systems.

Document Actions

Forschungsinteresse des BMLVS im Projekt

Filed under:

Das Führungsunterstützungszentrum (FüUZ) stellt dem Bundesministerium für Landesverteidigung und Sport (BMLVS) und dem Österreichischen Bundesheer (ÖBH) als zentrale Dienstleistungsorganisation interoperable, sichere und innovative Führungsunterstützungsleistungen und IKT-Services für den Einsatz im In- und Ausland sowie für den Verwaltungsbetrieb bereit.

Eine performante Internetanbindung und die Kommunikation mittels E-Mail sind im täglichen Geschäftsalltag nicht mehr wegzudenken. Die Vermeidung von ungewollter Weitergabe klassifizierter Informationen über diese Kommunikationswege ist ein großes Anliegen.

Durch die Verwendung von externen Datenträgern und mobilen Endgeräten (Laptops, Smartphones, etc.) besteht bei Verlust oder Diebstahl die Möglichkeit, dass klassifizierte Informationen ungewollt in Umlauf gebracht werden. Dieses Risiko ist nur durch Mechanismen der Data Loss Prevention (DLP) und durch Verschlüsselung von klassifizierten Informationen zu reduzieren.

Neben DLP ist bei der Nutzung von Internet und E-Mail die Implementierung effizienter Mechanismen zum Schutz vor Schadsoftware ein wesentlicher Bestandteil der Sicherheit von IKT-Systemen und Informationen.

Das FüUZ möchte am Forschungsprojekt OpenSecurity mitwirken, da im Infrastrukturbereich DLP und Schutzmaßnahmen gegen Schadsoftware eine bedeutende Rolle einnehmen und die entwickelten Sicherheitslösungen teilweise oder zur Gänze in zukünftigen IKT-Systemen implementiert werden könnten.

Document Actions

Technical aspects of the OpenSecurity Project

Filed under:

After collecting and evaluating different techniques and approaches to Security by Isolation, the OpenSecurity team focused on designing a concrete solution for two different user scenarios that were prioritised by the project stakeholders: the transfer of data to and from mass storage devices and secure Internet browsing.

The work so far has resulted in a set of isolated core components interacting together to orchestrate dedicated virtual machines. The OpenSecurity components created in this process share well-defined open interfaces: RESTful API, CIFS and SSH. These protocols cleanly separate the different components of the OpenSecurity solution space, thus allowing the upgrade or even the complete exchange of these components without disrupting the concept and benefit of the whole system.

The central component of the OpenSecurity design is the OpenSecurity Management daemon, which starts and stops disposable virtual machines. These machines are instantiated templates which are created from the dedicated OpenSecurity Linux distribution derived from Debian 7.2. Other components take care of user interaction, device driver overlays, and embedding access from and to the virtual machines with respect to the current user session.

The team presented a live proof-of-concept in December, which demonstrated independent Virtual Box machines handling USB mass storage device actions like virus scanning and/or encryption, as well as a tight integration of an Internet Browsing application run inside a virtual machine but shown natively on a Windows 7 user session.

The on-going implementation work is now directed towards making the system stable, performant and flexible. Though the software components written in this context are rather small and the interfaces are all widely known and understood, the complexity stems from the fact that messages often do cross operating system boundaries with impact at very low level system functionalities. This situation plus the special characteristics and divergences of partly closed-source operating systems behaviours - even if coined "standard" - makes this a demanding and sophisticated endeavour.

Finally installation challenges must also be addressed in order to support both simple single-user one-click download setup-files as well as a full blown rollout on to thousands machines directed by a central IT department. As the OpenSecurity integration also relies on a range of well-developed and open source third-party software, version management is yet another complex task of its own to be tackled next.

Document Actions

Technische Aspekte des OpenSecurity Projekts

Filed under:

Nach der Sammlung und Evaluierung verschiedener Techniken und Ansätzen zu Sicherheit durch Isolierung, designte das OpenSecurity Team eine konkrete Lösung für zwei verschiedene User-Szenarien, die zuvor von den Projekt Stakeholdern priorisiert wurden: Datentransfer von und zu Massenspeichermedien sowie sicheres Internetbrowsing.

Die bisherige Arbeit resultierte in einem Set von miteinander interagierenden und isolierten Kernkomponenten zur Orchestrierung von dedizierten Virtual Machines. Die OpenSecurity Komponenten, die in diesem Prozess entwickelt wurden, basieren auf klar definierten offenen Interfaces: RESTful API, CIFS und SSH. Diese Protokolle trennen sauber die unterschiedlichen Komponenten des OpenSecurity Lösungsraumes, was ein Upgrade oder gar einen kompletten Austausch derselben Komponenten ermöglicht ohne das Konzept und Nutzen des gesamten Systems zu beeinträchtigen.

Die zentrale Komponente des OpenSecurity Designs ist der OpenSecurity Management Daemon, welcher Virtual Machines für den einmaligen Gebrauch startet und stoppt. Diese Maschinen fußen auf Templates, welche von der eigens von Debian 7.2 abgeleiteten OpenSecurity Linux Distribution erstellt werden. Andere Komponenten sind für User-Interaktion, Gerätetreiber-Overlays und Einbettung des Zugangs von und zu den Virtual Machines im Bezug zur aktuellen Benutzer-Session zuständig.

Das Team präsentierte im Dezember ein live Proof of Concept, das zum einen demonstrierte wie  unabhängige Virtual Box Machines USB Massenspeichermedien Aktionen wie Virenscan und/oder Verschlüsselung handhaben. Zum anderen demonstrierte es die feste Integration einer in einer Virtual Machine ausgeführten Internet Browsing Applikation, die jedoch nativ in einer Windows 7 User Session angezeigt wird.

Die derzeitige Implementierungsarbeit zielt darauf ab das System stabil, leistungsfähig und flexibel zu machen. Die Softwarekomponenten, die in diesem Kontext geschrieben wurden, sind zwar eher klein und die Interfaces alle weitgehend bekannt. Dennoch ergibt sich aufgrund der Tatsache, dass Mitteilungen oft Betriebssystemgrenzen überschreiten und sich dies auf niedrigster Ebene auf Systemfunktionalitäten auswirkt, eine hohe Komplexität. Sowohl diese Situation als auch die speziellen Charakteristiken und Divergenzen im Verhalten von teilweise Closed-Source Betriebssystemen – selbst dann wenn die angesprochenen Methoden und Funktionen auf einen allgemeinen Standard zurückzuführen sind – machen dies zu einem anspruchsvollen und aufwendigen Vorhaben.

Schlussendlich müssen auch Anforderungen an die Installierung umgesetzt werden. Sowohl einfache Einzeluser Ein-Klick Download Setup Dateien als auch ein von einem zentralen IT-Department auszuführendes Komplettrollout auf bis zu tausenden Maschinen müssen unterstützt werden. Da die OpenSecurity Integrierung auch auf einer Reihe gut entwickelter Open Source Software Dritter basiert, ist Version Management eine weitere komplexe Aufgabe, die demnächst angegangen werden wird.

Document Actions

OpenSecurity: Open Source Security Solutions Protecting Employees and Data in Public Institutions

Filed under:

Every organization must protect their cyber-infrastructure from threats – external or internal. In particular, public agencies that administer private citizen data (e.g. criminal and medical records or residency registers), or who manage national security information have a duty to protect this sensitive information. Whether arising from mistakes, external attacks, social engineering, or malicious intent, human beings will always be a weak link in the IT security chain. There is often an insufficient level of awareness of security risks, which leads to users being targeted by a variety of external threats. A second prevalent problem is that of lost devices (smartphones, tablet-PCs, USB-sticks, laptops etc.).

OpenSecurity should prevent the loss and (un)intentional misuse of sensitive, citizen-related data held by public bodies. The aim of our research is to achieve a higher level of data security and availability, while reducing effort in deployment management and maintenance. To this end, the feasibility and possible implementation of a centralized security layer will be examined based on the principles of security by isolation, virus detection, and encryption. This layer will control, verify, and encrypt any and all communication that takes place on client devices. OpenSecurity will be provided under a license that allows both public verification and customization within heterogeneous ICT-system landscapes.

OpenSecurity is a two-year project, running until October 2014, funded by the Austrian FFG KIRAS security program. The primary stakeholders in the project are the Austrian Ministry of Defence (BMLVS) and the IKT Linz. These stakeholders have provided use cases and requirements for the project and will test and validate the project results. The AIT Austrian Institute of Technology GmbH is the primary research partner, supporting the industrial partners X-NET Services GmbH and IKARUS Security Software GmbH. Under the technical coordination of X-NET, this team is carrying out the technical implementation of the OpenSecurity solutions. The Linz Institute for Qualitative Analysis (LIquA) rounds off the consortium by providing an analysis of the impact of OpenSecurity in the context of employee data protection and privacy.

Document Actions

OpenSecurity: Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen

Filed under:

Jede Organisation muss ihre Cyber-Infrastruktur vor (externen wie internen) Gefahren schützen. Insbesondere öffentliche Einrichtungen, die private Bürgerdaten (z. B. Straf- und Melderegister oder Patientenakten) verwalten oder denen Informationen der nationalen Sicherheit anvertraut werden, haben die Verpflichtung diese sensiblen Daten zu schützen. Ob Nutzerfehler oder böswillige Absicht, externe Angriffe oder Social Engineering, der Mensch ist und bleibt eine Schwachstelle in der IT-Sicherheit. Oft fehlt ausreichendes Bewusstsein über Sicherheitsrisiken. Dadurch werden NutzerInnen zum Ziel verschiedener externer Bedrohungen gemacht. Der Verlust von Endgeräten (Smartphones, Tablet-PCs, USB-Sticks, Laptops, usw.) ist ein weiteres häufiges Problem.

OpenSecurity soll den Verlust und (un-)gewollten Missbrauch von sensiblen, bürgerbezogenen Daten bei öffentlichen Einrichtungen verhindern. Ziel dieser Forschung ist die Sicherheit und Verfügbarkeit der Daten zu erhöhen, sowie den Aufwand für Deployment Management und Instandhaltung zu reduzieren. Hierzu wird die Machbarkeit und mögliche Umsetzung eines zentralen Security-Layers auf Basis unserer Erfahrung mit Intensive Computing, Anti-Virus und Verschlüsselung geprüft. Dieser Layer kontrolliert, verifiziert und verschlüsselt jegliche Kommunikation, die auf Endgeräten (Smartphones, Tablet-PCs, USB-Sticks, Laptops, etc.) stattfindet. OpenSecurity wird unter eine Lizenz gestellt, welche die öffentliche Verifikation und die individuelle Anpassung an heterogene IKT-Systemlandschaften  ermöglicht.

OpenSecurity ist ein zwei-Jahres Projekt, das bis Oktober 2014 laufen und vom Österreichischen FFG KIRAS Security Programm gefördert wird. Die primären Bedarfsträger im Projekt sind das Österreichische Bundesministerium für Landesverteidigung (BMLVS) und das IKT Linz. Die Bedarfsträger haben für das Projekt Use Cases und Voraussetzungen bereitgestellt und werden die Projektergebnisse testen und validieren. Das AIT Austrian Institute of Technology GmbH ist der primäre Forschungspartner, der die industriellen Partner X-NET Services GmbH und IKARUS unterstützt. Unter der technischen Koordination von X-NET setzt das Team die technische Implementierung von OpenSecurity Lösungen um. Das Linzer Institut für Qualitative Analysen (LIquA) rundet das Konsortium durch seinen Beitrag einer Analyse der Auswirkung von OpenSecurity im Kontext von Mitarbeiterdatenschutz und Privatsphäre ab.

Document Actions

Welcome on www.opensecurity.at

The aim of this website is to present the project Open Security and to inform about our research.

The project started in November 2012. As first steps, the requirements on an open source security solution protecting employees and data in public institutions were defined. Additionally, we analyzed the demand of the public institutions concerning such a solution. The catalog of specifications provides a basis for the further development.

Document Actions

Document Actions

August 2020 »
August
MoTuWeThFrSaSu
12
3456789
10111213141516
17181920212223
24252627282930
31
 

Open Security

Imprint