448 research outputs found

    Hybrid Fault-Tolerant Consensus in Asynchronous and Wireless Embedded Systems

    No full text
    Byzantine fault-tolerant (BFT) consensus in an asynchronous system can only tolerate up to floor[(n-1)/3] faulty processes in a group of n processes. This is quite a strict limit in certain application scenarios, for example a group consisting of only 3 processes. In order to break through this limit, we can leverage a hybrid fault model, in which a subset of the system is enhanced and cannot be arbitrarily faulty except for crashing. Based on this model, we propose a randomized binary consensus algorithm that executes in complete asynchrony, rather than in partial synchrony required by deterministic algorithms. It can tolerate up to floor[(n-1)/2] Byzantine faulty processes as long as the trusted subsystem in each process is not compromised, and terminates with a probability of one. The algorithm is resilient against a strong adversary, i. e. the adversary is able to inspect the state of the whole system, manipulate the delay of every message and process, and then adjust its faulty behaviour during execution. From a practical point of view, the algorithm is lightweight and has little dependency on lower level protocols or communication primitives. We evaluate the algorithm and the results show that it performs promisingly in a testbed consisting of up to 10 embedded devices connected via an ad hoc wireless network

    Security and Dependability for Federated Cloud Platforms (Dagstuhl Seminar 12281)

    No full text
    From July 8-13, 2012, the Dagstuhl Seminar "Security and Dependability for Federated Cloud Platforms" was held in Schloss Dagstuhl -- Leibniz Center for Informatics. During this seminar, participants presented their current research and discussed open problems in the fields of security and dependability of infrastructure clouds and their federation. The executive summary and abstracts of the talks given during the seminar are put together in this paper

    Untersuchung von ausbringungspezifischer Simulation zur Optimierung drahtloser Sensornetzwerke

    No full text
    This theses researches whether it is possible to map existing deployments to a simulator accurately enough to use simulation to optimize for this specific deployment. For this purpose DrySim was developed as an approach to achieve more realistic simulation of Wireless Sensor Networks (WSNs). DrySim has two components, RealSim and DryRun: RealSim traces the network connectivity of a deployed WSN and allows replaying it in a simulator, whereas DryRun supports exploring a configuration space by running simulations and extracting and preparing data for further analysis. Two different test beds located in office environments were used to evaluate and verify the approach. Measurements in the two test beds showed that they required different configuration options. This was reflected in simulation as well as trial results. The evaluation presents a solid data basis for three scenarios, with a total of 1320 test bed and 8800 simulation runs between 5 and 20 minutes. During the evaluation care was taken to avoid systematic or probe effects. Analysis of the test beds also revealed that the default settings of ContikiOS, a popular WSN operating system, are unsuitable for most WSN deployments. The theses also features an analysis of the impact of different components on a WSN node. Specifically it was evaluated how accurately they can and must be simulated to achieve realistic results. These studies revealed two important points: Firstly the micro controller must be emulated to achieve real time accuracy. Secondly the radio characteristics of a network cannot be predicted and thus must be measured in the final deployment. In previous work, only specific aspects of simulating WSNs were researched. The research done in the context of DrySim, however, shows that to achieve realistic WSN simulation the main components, which are software, micro controller and radio chip and the radio network, must not be treated separately. With DrySim a solution is presented that allows for realistic enough simulation to tune configuration parameters to a specific deployment, while keeping the effort of tweaking the simulation model at a minimum.Diese Arbeit untersucht, ob es möglich ist bestehendes Sensornetzwerk in einem Simulator abzubilden, so dass dieses auf im Simulator ausbringungspezifisch optimiert werden kann. Hierzu wurde DrySim entwickelt. Ein Ansatz um eine realistischere Simulation von drahtlosen Sensornetzwerken (WSN) zu erzielen. DrySim besteht aus zwei Komponenten, RealSim und DryRun: RealSim zeichnet die Netzwerkkonnektivität eines ausgebrachten WSN auf und kann diese im einem Simulator wiedergeben. DryRun hingeben kann durch die Ausführung von Simulationen einen Konfigurationsraum erkunden und die gewonnenen Daten aufbereiten. Der Ansatz wurde in zwei Testnetzwerke, die in Büroräumen ausgebracht waren evaluiert. Die Messungen in den beiden Netzwerken haben gezeigt, dass sie unterschiedliche Konfigurationen benötigen, was sich auch in den Simulationen widergespiegelt hat. Die Evaluation präsentiert eine solide Datenbasis für drei Szenarien, mit 1320 Versuchen auf den Testnetzwerken und 8800 Simulationen zwischen 5 und 20 Minuten. Es wurde darauf geachtet den Einfluss durch systematische Fehler und die Beobachtung zu vermeiden. Die Untersuchung hat auch gezeigt, dass die Standardeinstellungen von ContikiOS, eines verbreiteten WSN-Betriebssystems für die meisten Umgebungen ungeeignet sind. Die Arbeit analysiert auch den Einfluss der verschiedenen Komponenten auf einen WSN-Knoten. Insbesondere wurde untersucht, wie akkurat diese simuliert werden können und müssen um realistische Simulationsergebnisse zu erzielen. Hierbei wurden zwei wichtige Punkte herausgearbeitet: Erstens muss der Mikrocontroller emuliert werden, um Echtzeitgenauigkeit zu erreichen. Zweitens können die Funkcharakteristiken eines Netzwerks nicht vorhergesagt werden und müssen daher vermessen werden. Vorhergehenden Arbeiten haben sich meist auf spezifische Aspekte der Simulation von Sensornetzwerken konzentriert. Die in Kontext von DrySim betriebene Forschung zeigt jedoch, dass realistische Simulationsergebnisse nur erreicht werden können, wenn die Hauptkomponenten, Software, Mikrocontroller, Radio-Chip und Funknetzwerk nicht getrennt betrachtet werden. Mit DrySim wird eine Lösung präsentiert, die es erlaubt bestehende Netzwerke so akkurat zu simulieren, dass man die Konfigurationsparameter auf dieses spezifische Netzwerk anpassen kann. Dabei bleibt der Konfigurationsaufwand bei einem Minimum

    Réplica à Antonio Hohlfeldt

    No full text
    In this review, the author responds to criticisms made by Antonio Hohlfeldt about the book by Francisco Rüdiger.Nesta resenha, o autor responde às críticas realizadas por Antonio Hohlfeldt a cerca do livro de Francisco Rüdiger

    Policy-driven customization of cross-organizational features in distributed service systems

    No full text
    In a cross-organizational context, software services are provided and consumed by different organizations. Ensuring that the non-functional requirements of all the involved organizations are satisfied is hard to achieve in such a distributed and heterogeneous environment: the implementation of features, for example security, is scattered across the services of multiple organizations. In this paper we present a coordination architecture for flexible and policy-driven composition of cross-organizational features in distributed service systems. The underlying approach of this architecture is to specify the features and their composition at a higher level that abstracts the internal implementation mechanisms of the organizations involved. By means of feature composition policies the organizations specify at a fine-grained level which features are required and when they have to apply. Driven by these policies our coordination middleware dynamically integrates the appropriate features throughout the cross-organizational service composition in a consistent and efficient way. We have validated our architecture in a proof of concept showing limited performance overhead.sponsorship: We thank the anonymous reviewers for their helpful comments to improve this paper. This research is partially funded by the Research Foundation-Flanders (FWO) in the context of the RECOCO project. (Research Foundation-Flanders (FWO))status: Publishe

    Réplica à Antonio Hohlfeldt

    No full text
    In this review, the author responds to criticisms made by Antonio Hohlfeldt about the book by Francisco Rüdiger.Nesta resenha, o autor responde às críticas realizadas por Antonio Hohlfeldt a cerca do livro de Francisco Rüdiger

    Kernel-Selbstschutz durch Quantifizierte Angriffsflächenreduzierung

    No full text
    An operating system kernel orchestrates the use of the hardware by programs. Much of the overall security of a system depends on the kernel, yet commodity OS kernels count millions of lines of code. Inevitably, some of this code contains vulnerabilities that can be exploited by attackers. However, attackers need more than finding a single vulnerability in the source code. They need to realize the conditions under which the vulnerability is triggered. The amount of the kernel code that is reachable to an attacker, regardless of it being exploitable is defined here as the "attack surface". This thesis provides an in-depth analysis of what the kernel attack surface is and how it can be measured, how it can be reduced, and an evaluation of the advantages and disadvantages of doing so. The quantification is based on a reachability analysis over the kernel call graph, taking into account assumptions on the attacker's privileges. For example, precise measurements show that, out of the 10 million lines of code in the kernel sources, only about 2.5 million lines are reachable to a local unprivileged attacker on a popular Linux distribution. The attack surface reduction techniques are twofold. The first makes use of the Linux kernel's configurability to generate a workload-tailored Linux kernel, at compile time. The second achieves finer granularity by instrumenting individual kernel functions at run time, without requiring any kernel recompilation. Using the quantification techniques of this thesis, I show the effectiveness of both approaches. They can both reduce drastically (more than four-fold) the kernel attack surface. I conclude that attack surface reduction, or the principle of "economy of mechanism", has been rather neglected on commodity OS kernels, and that the security benefits that would be achieved outweigh their drawbacks in many practical use cases.Ein Betriebssystemkern (Kernel) verwaltet den Zugriff von Anwendungen auf die Hardware. Ein Großteil der gesamten Systemsicherheit hängt vom Kernel ab, jedoch bestehen gewöhnliche Betriebssystemkerne aus Millionen von Zeilen an Programm-Code. Unausweichlich enthalten Teile dieses Codes Schwachstellen, die ein Angreifer ausnutzen kann. Dennoch müssen Angreifer mehr als eine einzelne Schwachstelle im Programm-Code finden. Sie müssen die nötigen Voraussetzungen identifizieren, unter welchen die Schwachstelle ausgenutzt werden kann. Der Umfang an Kernel-Code, welcher für einen Angreifer erreichbar ist und unabhängig davon ob dieser vom Angreifer ausgenutzt wird, ist hier als "Angriffsfläche" definiert. Diese Dissertation liefert eine tiefgehende Analyse darüber, was die Angriffsfläche beim Kernel ist und wie man diese messen kann. Außerdem zeit sie, wie sich die Angriffsfläche reduzieren lässt und evaluiert die Vor- und Nachteile verschiedener Ansätze. Die Quantifizierung basiert auf einer Erreichbarkeitsanalyse des Kernel-Codes unter Berücksichtigung von Annahmen über die Zugriffsrechte des Angreifers. Zum Beispiel haben präzise Analysen des Kernels einer populären Linux Distribution gezeigt, dass von 10 Millionen Zeilen im Kernel Code nur 2,5 Millionen Zeilen von einem lokalen Angreifer mit eingeschränkten Zugriffsrechten erreichbar sind. Die zwei Techniken zur Reduzierung der Angriffsfläche sind folgende. Die erste nutzt die Konfigurierbarkeit des Linux-Kernels und generiert einen an die Anwendung angepassten Kernel zur Übersetzungszeit. Die zweite Technik erreicht eine feinere Granularität durch das Instrumentieren von individuellen Kernel-Funktionen zur Laufzeit, ohne dass der Kernel neu kompiliert werden muss. Mittels der Quantifizierungstechniken dieser Dissertation wird die Effektivität der beiden Ansätze gezeigt. Beide können die Angriffsfläche des Kernels drastisch reduzieren (um mehr als das Vierfache). Ich schließe daraus, dass die Reduzierung der Angriffsfläche, oder das Prinzip der "economy of mechanism", in gewöhnlichen Betriebssystemkernen vernachlässigt wurde. Die Sicherheitsvorteile, welche erzielt würden, überwiegen in vielen praktischen Anwendungsfällen dessen Nachteile

    Hybrider fehlertoleranter Konsens in drahtlosen eingebetteten Systemen

    No full text
    Consensus is a fundamental problem in distributed system. Nowadays cooperative autonomous systems gain increasing popularity, in which different participants can work in a coordinated way to achieve a common goal. Most of these systems demand for high fault-resilience, otherwise a single faulty node could render the whole system useless. This essentially calls for a Byzantine fault-tolerant consensus. However, typically only (n−1)/3 faulty nodes can be tolerated in a group of n nodes if the system is partially synchronous. This fault-tolerance rate is much lower than (n−1)/3 in crash fault-tolerance. Even worse, systems with only 3 nodes are too small to even tolerate a single Byzantine node. Since the Byzantine fault model where nodes can be arbitrarily faulty is too pessimistic, a more realistic hybrid fault model is considered in this thesis. In such a hybrid fault model, every node is equipped with a small trusted subsystem that can only be faulty by crashing, while the remaining part of the system can still be Byzantine. By exploiting the trusted subsystem, two consensus algorithms are proposed: TRUSTED BEN-OR is a binary consensus algorithm that can work in an asynchronous system, and RATCHETA is a multi-value consensus algorithm designed for partially synchronous systems. Both algorithms utilize the trusted monotonic counter(s) and improve the maximum tolerable faults to (n−1)/2 in their system models. Moreover, both algorithms are tailored for wireless embedded systems. They have low message complexity and use multicast to reduce the communication overhead, and they rely on neither low-level reliable transmission protocols, e.g. TCP, nor other complex primitives such as reliable broadcasting. Several application scenarios in the field of robotics and vehicular communication are investigated. For example, a use case of life-searching robots is introduced when explaining multi-value consensus and RATCHETA. In the end, a more complicated application in vehicular ad-hoc network named Maneuver Coordination service is introduced. A coordination protocol based on consensus is designed for Maneuver Coordination service, allowing a group of vehicles to reach agreement on their driving trajectories, which can improve traffic efficiency while keeping safety.Der Konsens ist ein grundlegendes Problem in verteilten Systemen. Heutzutage gibt es immer mehr kooperative und autonome Systeme, in denen verschiedene Teilnehmer koordinieren und zusammenarbeiten, um ein gemeinsames Ziel zu erreichen. Die meisten dieser Systeme erfordern eine hohe Fehlerresistenz – andernfalls könnte ein einzelner fehlerhafter Knoten das gesamte System unbrauchbar machen. Dies erfordert im Wesentlichen einen byzantinisch fehlertoleranten Konsens. Typischerweise können jedoch nur (n−1)/3 fehlerhafte Knoten in einer Gruppe von n Knoten toleriert werden, wenn das System partiell synchron ist. Diese Fehlertoleranzrate ist viel niedriger als in Absturz-Fehlertoleranz, wobei (n−1)/2 fehlerhafte Knoten toleriert werden können. Noch schlimmer, Systeme mit nur drei Knoten sind zu klein, um überhaupt einen einzelnen byzantinischen Knoten zu tolerieren. Da das byzantinische Fehlermodell, in dem Knoten beliebig fehlerhaft sein können, zu pessimistisch ist, wird in dieser Arbeit ein hybrides Fehlermodell betrachtet. In einem solchen Fehlermodell ist jeder Knoten mit einem kleinen vertrauenswürdigen Subsystem ausgestattet, das nur Crash-Fehler haben kann, während der Rest des Systems weiterhin byzantinisch sein kann. Durch die Nutzung des vertrauenswürdigen Subsystems werden zwei Konsens-Algorithmen entworfen: TRUSTED BEN-OR ist ein randomisierter Algorithmus, der den binären Konsens löst, und RATCHETA ist ein deterministischer mehrwertiger Konsensalgorithmus. Beide Algorithmen verwenden vertrauenswürdige monotone Zähler und verbessern die maximal tolerierbaren Fehler auf (n−1)/2 im asynchronen oder partiell synchronen System. Darüber hinaus sind beide Algorithmen auf drahtlose eingebettete Systeme zugeschnitten. Sie haben eine kleine Nachrichtenkomplexität und verwenden Multicast, um den Kommunikationsaufwand zu verringern. Sie verlassen sich weder auf zuverlässige Netzwerkprotokolle, z.B. TCP, noch andere Kommunikationsprimitive wie Reliable-Broadcast. Es werden verschiedene Anwendungsszenarien im Bereich Robotik und Fahrzeugkommunikation untersucht. Beispielsweise wird ein Anwendungsfall von Lebenssuchrobotern vorgestellt, wenn der mehrwertige Konsens und RATCHETA vorgestellt werden. Am Ende wird eine kompliziertere Anwendung im Fahrzeug-Ad-hoc-Netzwerk mit dem Namen Maneuver Coordination Service in Betracht gezogen. Koordinierungsprotokoll für den Maneuver Coordination Service wird entwickelt. Mit diesem Protokoll kann eine Gruppe von Fahrzeugen eine Einigung über ihre Fahrbahnen erzielen, wodurch die Verkehrseffizienz verbessert und gleichzeitig die Sicherheit gewährleistet werden kann

    Systemunterstützung für moderne Speichertechnologien

    No full text
    Trust and scalability are the two significant factors which impede the dissemination of clouds. The possibility of privileged access to customer data by a cloud provider limits the usage of clouds for processing security-sensitive data. Low latency cloud services rely on in-memory computations, and thus, are limited by several characteristics of Dynamic RAM (DRAM) such as capacity, density, energy consumption, for example. Two technological areas address these factors. Mainstream server platforms, such as Intel Software Guard eXtensions (SGX) und AMD Secure Encrypted Virtualisation (SEV) offer extensions for trusted execution in untrusted environments. Various technologies of Non-Volatile RAM (NV-RAM) have better capacity and density compared to DRAM and thus can be considered as DRAM alternatives in the future. However, these technologies and extensions require new programming approaches and system support since they add features to the system architecture: new system components (Intel SGX) and data persistence (NV-RAM). This thesis is devoted to the programming and architectural aspects of persistent and trusted systems. For trusted systems, an in-depth analysis of new architectural extensions was performed. A novel framework named EActors and a database engine named STANlite were developed to effectively use the capabilities of trusted~execution. For persistent systems, an in-depth analysis of prospective memory technologies, their features and the possible impact on system architecture was performed. A new persistence model, called the hypervisor-based model of persistence, was developed and evaluated by the NV-Hypervisor. This offers transparent persistence for legacy and proprietary software, and supports virtualisation of persistent memory.Vertrauenswürdigkeit und Skalierbarkeit sind die beiden maßgeblichen Faktoren, die die Verbreitung von Clouds behindern. Die Möglichkeit privilegierter Zugriffe auf Kundendaten durch einen Cloudanbieter schränkt die Nutzung von Clouds bei der Verarbeitung von sicherheitskritischen und vertraulichen Informationen ein. Clouddienste mit niedriger Latenz erfordern die Durchführungen von Berechnungen im Hauptspeicher und sind daher an Charakteristika von Dynamic RAM (DRAM) wie Kapazität, Dichte, Energieverbrauch und andere Aspekte gebunden. Zwei technologische Bereiche befassen sich mit diesen Faktoren: Etablierte Server Plattformen wie Intel Software Guard eXtensions (SGX) und AMD Secure Encrypted Virtualisation (SEV) stellen Erweiterungen für vertrauenswürdige Ausführung in nicht vertrauenswürdigen Umgebungen bereit. Verschiedene Technologien von nicht flüchtigem Speicher bieten bessere Kapazität und Speicherdichte verglichen mit DRAM, und können daher in Zukunft als Alternative zu DRAM herangezogen werden. Jedoch benötigen diese Technologien und Erweiterungen neuartige Ansätze und Systemunterstützung bei der Programmierung, da diese der Systemarchitektur neue Funktionalität hinzufügen: Systemkomponenten (Intel SGX) und Persistenz (nicht-flüchtiger Speicher). Diese Dissertation widmet sich der Programmierung und den Architekturaspekten von persistenten und vertrauenswürdigen Systemen. Für vertrauenswürdige Systeme wurde eine detaillierte Analyse der neuen Architekturerweiterungen durchgeführt. Außerdem wurden das neuartige EActors Framework und die STANlite Datenbank entwickelt, um die neuen Möglichkeiten von vertrauenswürdiger Ausführung effektiv zu nutzen. Darüber hinaus wurde für persistente Systeme eine detaillierte Analyse zukünftiger Speichertechnologien, deren Merkmale und mögliche Auswirkungen auf die Systemarchitektur durchgeführt. Ferner wurde das neue Hypervisor-basierte Persistenzmodell entwickelt und mittels NV-Hypervisor ausgewertet, welches transparente Persistenz für alte und proprietäre Software, sowie Virtualisierung von persistentem Speicher ermöglicht
    corecore