Publieke samenvattingen SBIR oproepen Automated Vulnerability Research en Cryptocommunicatie
Er zijn 7 projecten geselecteerd voor het toetsen van de haalbaarheid (fase 1) voor de 2 verschillende SBIR oproepen: Automated Vulnerability Research (AVR) en Cryptocommunicatie. AVR richt zich op het automatisch vinden en repareren van kwetsbaarheden in software. Met een extra focus op kwetsbaarheden die nog niet eerder gevonden en/of gepubliceerd zijn. Cryptocommunicatie is de toegepaste vorm van cryptografie in alle vormen van digitale communicatie binnen verschillende domeinen. Cryptocommunicatie maakt het mogelijk data veilig te versturen, op te slaan en te verwerken.
Dit zijn de publieke samenvattingen van de 7 geselecteerde projecten.
Kwetsbaarheden opsporen in aan Internet aangesloten apparaten - Tjaldur Software Governance Solutions
Er zijn in Nederland vele apparaten op internet aangesloten, met daarin mogelijk of zelfs waarschijnlijk beveiligingsfouten. Deze apparaten vormen een gevaar, niet alleen voor de eigenaren (onderscheppen van data/identiteitsfraude), maar ook voor anderen zoals zombies in botnetwerken. Deze apparaten worden maar mondjesmaat onderzocht en veel fouten blijven onopgemerkt, terwijl deze fouten mogelijk wel misbruikt worden. Dit project analyseert proactief firmware van apparaten en combineert deze analyse met onderzoek van broncode. Deze broncode is mogelijk gebruikt en heeft al bestaande foutrapportages van gelijkende apparaten. Dit maakt het mogelijk om gerichter naar bekende en onbekende fouten in (consumenten)elektronica te zoeken, om zo de lekken te dichten.
Fuzzing toepasbaar maken - Riscure B.V.
Onze samenleving wordt in toenemende mate afhankelijk van elektronische apparatuur. Het is belangrijk dat de steeds groeiende software goed getest wordt. Fuzzing is een relatief jonge testmethode die grote softwarepakketten automatisch op kwetsbaarheden onderzoekt. Ondanks de beschikbaarheid van uitstekende open source fuzzers, blijft de toepassing grotendeels beperkt tot academische kringen. Het aansluiten (configuratie) van een fuzzer op de software die wordt getest is namelijk tijdrovend. Ook het analyseren van de resultaten is erg kennisintensief. Dit project heeft als doel om de configuratie en analyse te automatiseren en daarmee de methode bruikbaar te maken voor een grotere groep gebruikers.
Intelligente beslissingsondersteuning van expert code review - Software Improvement Group B.V.
In dit project is het doel van Software Improvement Group (SIG) om fundamenteel nieuwe intelligente en zelflerende AVRreview-module te ontwikkelen die security reviewers stap voor stap ondersteunt. Ook stuurt het reviewers bij het verwerken van gevonden zwakheden en helpt het hen bij onderzoek van broncode en beoordeling van gebruikte (open source-) bibliotheken. Dit zorgt voor het effectiever en efficiënter vinden van zwakheden. Ook maakt het dit werk schaalbaar en niet langer beperkt tot een zeer kleine groep specialisten.
EYE en APTA - Eye Control B.V.
Dit voorstel gaat over een haalbaarheidsonderzoek naar de ontwikkeling van een nieuwe dienst op het gebied van IT-security. De dienst automatiseert de analyse van hostlogfiles en maakt afwijkend gedrag inzichtelijk voor de IT-securityspecialist. Deze kan vervolgens sneller actie ondernemen bij incidenten. Zo beschermt het organisaties beter tegen (onbekende) kwetsbaarheden en softwarefouten. Het project is een initiatief van EYE security (EYE) die daarvoor samenwerkt met APTA Technologies (APTA), een spin-off van de TU Delft.
Linksight: (her)haalbaar MPC platform voor de overheid - Linksight
De overheid worstelt met het delen van gevoelige gegevens tussen overheidspartijen. Ondanks strenge wetgeving zijn er nog veel datalekken. Het blijkt daardoor lastig voor de overheid om datagedreven beleid uit te voeren. Burgers krijgen zo niet waar zij recht op hebben. Linksight ontwikkelt een platform waarmee organisaties gevoelige data van meerdere partijen en bronnen analyseren, zonder deze data zelf te delen of te ontvangen. Dit maakt het Linksight-platform mogelijk door secure multi-party computation (mpc) en blockchaintechnologie te combineren. In dit project onderzoekt Linksight de haalbaarheid van het ontwikkelen van dit platform voor privacyvriendelijke data-analyses tussen overheidspartijen.
Microchip ontwerp nieuwe generatie cryptocommunicatie - Fox Crypto B.V.
Software supply chain-aanvallen zoals op het bedrijf SolarWinds, hebben grote negatieve gevolgen gehad voor de informatiebeveiliging bij duizenden bedrijven en overheidsinstanties. De toenemende dreiging vanuit statelijke actoren voor de nationale veiligheid voorzien dat naast deze software supply chain-aanvallen óók hardware supply chain-aanvallen toenemen. Dit project onderzoekt en ontwikkelt Nederlandse microchips voor een nieuwe generatie veilige en evalueerbare beveiligingsproducten voor cryptocommunicatie. De uitdagingen in de integriteit van de supply chain en in de evalueerbaarheid van beveiligingsproducten zijn urgent. Dit project verhoogt de veiligheid en evalueerbaarheid van een nieuwe generatie beveiligingsproducten voor gerubriceerde informatie met Nederlandse microchips.
Grootschalige haalbaarheid diabetische voetzorg met MPC - Groepspraktijk Ed Wender B.V.
Om diabetische voetzorg op een houdbare manier te organiseren, is er de behoefte vanuit zorgverleners en overheid aan onderbouwing van de zorgeffectiviteit. Alleen is het complex om een zorgstudie uit te voeren met meerdere zorgpartijen. Zorgaanbieders zijn bang voor het delen van gevoelige (praktijk)data. Dit staat opschaling in de weg. Roseman Labs ontwikkelde een oplossing op basis van multi-party computation die deze obstakels adresseert. De oplossing verwerkt data op een veilige en decentrale manier, waarbij deelnemers controle houden over hun data. Met deze studie toetst Voetencentrum Wender en Roseman de haalbaarheid van dit project op grote schaal.
- Ministerie van Economische Zaken