Microsoft Identity-Projektförderung

Die Identitätsdienste von Microsoft umfassen alle benutzerorientierten und kommerziellen Identitätsentitäten, die in Beziehung zu allen Aspekten von Benutzern, Geräten, Anwendungen und Diensten stehen. Zu diesem Zweck ist die Erforschung von Sicherheitsrisiken, Verbesserungen, Datenschutz, Sicherheit, Funktionen, Betrug und Missbrauch essenziell für den Schutz unserer Kunden, die diese Dienste für die Authentifizierung und den Zugriff auf ihre Ressourcen nutzen. Das Programm zur Förderung von Sicherheitsprojekten von Microsoft lädt Experten auf der ganzen Welt dazu ein, Sicherheitsaspekte gemäß der fortlaufenden Mission von Microsoft zu untersuchen, allen Personen und Organisationen die Möglichkeit zu bieten, auf sichere Weise mehr zu erreichen.

EMPFÄNGER DER FÖRDERGELDER

Forschungsprojekte	Projektgliederung	Forscherbiografie
Identifizieren neuartiger Angriffe auf Single Sign-On-Methoden durch Erweiterung von Cross-Site-Request-Forgery-Angriffen auf Desktop-Anwendungen und mobile Anwendungen	SSO-Protokolle (Single Sign-On, einmaliges Anmelden) sind mittlerweile ein wesentlicher Bestandteil des modernen Webs. Bisherige Untersuchungen haben gezeigt, dass fehlerhafte Entwürfe und Implementierungen von SSO-Protokollen schwerwiegende Folgen für die Sicherheit und den Datenschutz von Webbenutzern haben können. CSRF-Angriffe (Cross-Site-Request-Forgery, websiteübergreifende Anforderungsfälschung) sind eine ernsthafte Bedrohung für Webanwendungen. CSRF-Angriffe auf SSO können ernsthafte Folgen wie die komplette Übernahme eines Kontos nach sich ziehen. Bei bisherigen Maßnahmen gegen CSRF-Angriffe stand das Kommunikationsmodell zwischen Browser und Website im Mittelpunkt. In diesem Projekt wird hingegen die Möglichkeit untersucht, Kommunikationsmodelle zwischen Browser und App sowie zwischen App und App für CSRF-Angriffen ähnelnde Angriffe auf die SSO-Szenarios in mobilen Anwendungen und Desktopanwendungen zu nutzen.	Avinash Sudhodanan stammt aus Kerala, Indien. Er spezialisiert sich auf das Entwerfen von Tools und Verfahren zum automatischen Testen der Sicherheit von Webanwendungen und Webbrowsern. Derzeit ist er Sicherheitsforscher bei White Ops Inc. Zuvor arbeitete er als Postdoktorand beim IMDEA-Softwareinstitut in Spanien. Er promovierte in Informations- und Kommunikationstechnologie an der Universität Trient in Italien. Während seiner Promotion arbeitete er bei der Organisation Fondazione Bruno Kessler in Italien und verbrachte außerdem 18 Monate bei SAP Labs in Frankreich. Avinash trat bei renommierten akademischen und Fachkonferenzen als Sprecher auf, dazu gehören unter anderem OWASP AppSec EU, NDSS und IEEE Euro S&P.
Entwicklung von Identitätsdiensten mit Post-Quanten-Sicherheit	Identitätsdienste sind ein wichtiger Bestandteil der heutigen Internetinfrastruktur, da sich die Benutzerauthentifizierung bei Onlinediensten und Anwendungen vom klassischen Ansatz mit einem Benutzernamen und Kennwort pro Website zu einheitlicheren Ansätzen entwickelt. Die Sicherheit moderner Identitätslösungen setzt stark auf die Kryptografie mit öffentlichen Schlüsseln. Leider wird das unvermeidliche Aufkommen von skalierbarem Quantencomputing genau diese weitverbreiteten Bausteine unsicher machen. In Erwartung der üblicherweise lang andauernden Übergangsdauer zu neuen Algorithmen und Protokollversionen wird eine frühzeitige Analyse der weitverbreiteten Identitätsdienstprotokolle unter Beachtung ihrer Post-Quanten-Sicherheit durchgeführt. Im nächsten Schritt werden nachweislich sichere Hybridlösungen entworfen, die einen nahtlosen Übergang in die Post-Quanten-Welt ermöglichen und gleichzeitig Effizienz, Abwärtskompatibilität und Standardisierungsanforderungen sichern.	Jacqueline Brendel arbeitet als Postdoktorandin mit Prof. Dr. Cas Cremers beim CISPA – Helmholtz-Zentrum für Informationssicherheit in Saarbrücken. Ihr Forschungsschwerpunkt liegt auf der kryptografischen Analyse von reellen Protokollen und Primitiven mit speziellem Fokus auf Post-Quanten-Sicherheit. 2019 verteidigte Sie Ihre Dissertation mit dem Titel „Future-proofing Key Exchange Protocols“ (Gewährleisten der Zukunftsfähigkeit von Schlüsselaustauschprotokollen) mit Prof. Dr. Marc Fischlin an der Technischen Universität Darmstadt.

Forschungsprojekte

Projektgliederung

Forscherbiografie

Identifizieren neuartiger Angriffe auf Single Sign-On-Methoden durch Erweiterung von Cross-Site-Request-Forgery-Angriffen auf Desktop-Anwendungen und mobile Anwendungen

SSO-Protokolle (Single Sign-On, einmaliges Anmelden) sind mittlerweile ein wesentlicher Bestandteil des modernen Webs. Bisherige Untersuchungen haben gezeigt, dass fehlerhafte Entwürfe und Implementierungen von SSO-Protokollen schwerwiegende Folgen für die Sicherheit und den Datenschutz von Webbenutzern haben können.

CSRF-Angriffe (Cross-Site-Request-Forgery, websiteübergreifende Anforderungsfälschung) sind eine ernsthafte Bedrohung für Webanwendungen. CSRF-Angriffe auf SSO können ernsthafte Folgen wie die komplette Übernahme eines Kontos nach sich ziehen. Bei bisherigen Maßnahmen gegen CSRF-Angriffe stand das Kommunikationsmodell zwischen Browser und Website im Mittelpunkt. In diesem Projekt wird hingegen die Möglichkeit untersucht, Kommunikationsmodelle zwischen Browser und App sowie zwischen App und App für CSRF-Angriffen ähnelnde Angriffe auf die SSO-Szenarios in mobilen Anwendungen und Desktopanwendungen zu nutzen.

Avinash Sudhodanan stammt aus Kerala, Indien. Er spezialisiert sich auf das Entwerfen von Tools und Verfahren zum automatischen Testen der Sicherheit von Webanwendungen und Webbrowsern.

Derzeit ist er Sicherheitsforscher bei White Ops Inc. Zuvor arbeitete er als Postdoktorand beim IMDEA-Softwareinstitut in Spanien. Er promovierte in Informations- und Kommunikationstechnologie an der Universität Trient in Italien.

Während seiner Promotion arbeitete er bei der Organisation Fondazione Bruno Kessler in Italien und verbrachte außerdem 18 Monate bei SAP Labs in Frankreich.

Avinash trat bei renommierten akademischen und Fachkonferenzen als Sprecher auf, dazu gehören unter anderem OWASP AppSec EU, NDSS und IEEE Euro S&P.

Entwicklung von Identitätsdiensten mit Post-Quanten-Sicherheit

Identitätsdienste sind ein wichtiger Bestandteil der heutigen Internetinfrastruktur, da sich die Benutzerauthentifizierung bei Onlinediensten und Anwendungen vom klassischen Ansatz mit einem Benutzernamen und Kennwort pro Website zu einheitlicheren Ansätzen entwickelt. Die Sicherheit moderner Identitätslösungen setzt stark auf die Kryptografie mit öffentlichen Schlüsseln. Leider wird das unvermeidliche Aufkommen von skalierbarem Quantencomputing genau diese weitverbreiteten Bausteine unsicher machen.

In Erwartung der üblicherweise lang andauernden Übergangsdauer zu neuen Algorithmen und Protokollversionen wird eine frühzeitige Analyse der weitverbreiteten Identitätsdienstprotokolle unter Beachtung ihrer Post-Quanten-Sicherheit durchgeführt. Im nächsten Schritt werden nachweislich sichere Hybridlösungen entworfen, die einen nahtlosen Übergang in die Post-Quanten-Welt ermöglichen und gleichzeitig Effizienz, Abwärtskompatibilität und Standardisierungsanforderungen sichern.

Jacqueline Brendel arbeitet als Postdoktorandin mit Prof. Dr. Cas Cremers beim CISPA – Helmholtz-Zentrum für Informationssicherheit in Saarbrücken.

Ihr Forschungsschwerpunkt liegt auf der kryptografischen Analyse von reellen Protokollen und Primitiven mit speziellem Fokus auf Post-Quanten-Sicherheit.

2019 verteidigte Sie Ihre Dissertation mit dem Titel „Future-proofing Key Exchange Protocols“ (Gewährleisten der Zukunftsfähigkeit von Schlüsselaustauschprotokollen) mit Prof. Dr. Marc Fischlin an der Technischen Universität Darmstadt.

ANTRÄGE SIND NUN GESCHLOSSEN

Das Microsoft Security Response Center (MSRC) lädt Experten dazu ein, Forschungsanträge für die Untersuchung neuer Sicherheitsaspekte für die Identitätslösungen für Benutzer (Microsoft-Konten) und Unternehmen (Azure Active Directory) einzureichen.

Die Anträge sollten den fortlaufenden Interessengebieten entsprechen, dazu gehören unter anderem folgende:

Projektkategorie	Ideen für Identitätsforschungsprojekte
Protokollentwurf & Implementierung	Identifizieren Sie Sicherheitsrisiken, und/oder schlagen Sie Lösungen zur Verbesserung der Entwürfe von Protokollen und Standards (proprietär oder Open Source) vor, die von Microsoft-Identitätsdiensten verwendet werden (z. B. OAuth 2.0). Identifizieren Sie Sicherheitsrisiken, und/oder schlagen Sie Lösungen zur Verbesserung der Implementierung von Protokollen und Standards vor, die von Microsoft-Identitätsdiensten verwendet werden.
Sicherheit und Benutzerwahrnehmung	Identifizieren und/oder überbrücken Sie potenzielle Lücken zwischen den von den Microsoft-Identitätsdiensten angebotenen Sicherheitsgarantien und dem Verständnis dieser Dienste durch die Benutzer, insbesondere, wenn dies Auswirkungen auf die Sicherheit haben kann.
Anwendungssicherheit	Suchen Sie nach neuen Sicherheitsrisiken und Schutzmaßnahmen in individuellen Softwareangeboten, Features und Identitätsangeboten von Microsoft.
Veröffentlichung von personenbezogenen Informationen und vertraulichen Daten	Untersuchen Sie häufig verwendete Anwendungen von Erst- und Drittanbietern, die ihre Funktionalität möglicherweise ungewollt oder bewusst falsch darstellen, was dazu führen kann, dass personenbezogene Informationen veröffentlicht oder gestohlen werden.
Bedrohungsakteure, Architekturen und Trends	Untersuchen Sie Akteure, Architekturen und Trends unter böswilligen oder schädlichen Akteuren und Anwendungen, die spezifisch auf Identitäten und Dienste abzielen, die auf Microsoft-Diensten basieren.

Projektinformationen:

Anträge können von Einzelpersonen und kleinen kollaborativen Teams gestellt werden.
Projekte dürfen nicht länger als 12 Monate andauern. Kürzere Zeiträume werden bevorzugt.
Für Anträge dürfen je nach vorliegenden Anforderungen Finanzierungen von bis zu 75.000 US-Dollar angefordert werden.
Erfolgreiche Antragsteller werden auf der MSRC-Website aufgeführt und dürfen die Ergebnisse und Erkenntnisse ihrer Arbeit veröffentlichen. Wir bestehen jedoch auf eine koordinierte Offenlegung, wenn die Ergebnisse Sicherheitsrisiken offenbaren würden, die nicht behoben wurden.

So stellen Sie einen Antrag:

Antragsteller sollten ein 2- bis 3-seitigen Antrag einreichen, der Folgendes enthält:

Eine Forschungsfrage und eine eindeutige Leistungsbeschreibung
Eine Zusammenfassung des Projekts (1 bis 2 Seiten), in der der Schwerpunktbereich, eine Beschreibung des Projekts, relevante Vorarbeiten und eine Zeitskala mit Meilensteinen für Resultate und erwartete Ergebnisse.
Einen Budgetentwurf (maximal 1 Seite), einschließlich der ungefähren Kosten der Förderung und einer Erklärung der geplanten Ausgaben
Die Namen der am vorgeschlagenen Projekt beteiligten Mitarbeiter mitsamt Links zu entsprechenden Lebensläufen
Angaben zu bisherigen oder aktuellen Verbindungen bzw. Zusammenarbeiten mit Microsoft, Microsoft Research und/oder MSRC-Berichten zu Sicherheitsrisiken

Zeiträume und Datumsangaben:

Es werden nun keine Anträge mehr angenommen.Die Empfänger der Forschungsförderung für die Ausschreibungen von 9. Januar 2020 bis zum 6. März 2020 wurden ausgewählt.
Wenn Sie Fragen haben, kontaktieren Sie uns unter MSRCResearcherGrant@microsoft.com.

Berechtigung:

Antragssteller dürfen einen Antrag pro Ausschreibung stellen.
Der Antrag muss vom primären Forscher der resultierenden Förderung gestellt werden.
Forscher müssen laut dem Unterabschnitt „BERECHTIGUNG ZUR TEILNAHME AM PROGRAMM“ der allgemeinen Geschäftsbedingungen für die MSRC-Bug-Bounty-Programme zur Teilnahme berechtigt sein.

Geschäftsbedingungen:

Berücksichtigte Sicherheitsrisiken, die während einer aktiven Forschung ermittelt werden, sollten hier gemeldet werden.
An Microsoft übermittelte Förderanträge werden nicht zurückgesendet. Microsoft übernimmt keine Verantwortung für die Geheimhaltung von Informationen in eingereichten Förderanträgen. Aus diesem Grund sollten Anträge keine geheimen, eingeschränkten oder vertraulichen Informationen enthalten.
Unvollständige Förderanträge werden nicht berücksichtigt.
Aufgrund der hohen Menge von Einsendungen kann das MSRC kein Feedback an Einzelpersonen geben, die einen Antrag stellen, aber keine Förderung erhalten.
Die gesamte Forschung muss dem MSRC-Verhaltenskodex entsprechen.

REVISIONSVERLAUF

9. Januar 2020: Start des Programms
6. März 2020: Schließung der Ausschreibung
9. April 2020: Ankündigung der Empfänger der Förderung