<div dir="ltr"><p>At this week&#39;s busec seminar, Engin Kirda from Northeastern will talk about security vulnerabilities in graphical user interfaces. The following week, our seminar will be on Monday, with our own Omer Paneth explaining recent work on the first candidate construction of obfuscation for all circuits.  Also, next week on Tuesday, Ben Fuller will have his PhD Defense (on key derivation from noisy sources).</p><p>Lunch is provided at both seminars as usual, and abstracts are below.</p><p>See you there!<br>Sharon</p><p>BUsec Calendar:  <a href="http://www.bu.edu/cs/busec/">http://www.bu.edu/cs/busec/</a><br>BUsec Mailing list: <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec">http://cs-mailman.bu.edu/mailman/listinfo/busec</a></p><div>The busec seminar gratefully acknowledges the support of BU&#39;s Center for Reliable Information Systems and Cyber Security (RISCS).</div><div><br></div><div>****</div><p>Hidden GEMs: Automated Discovery of Access Control Vulnerabilities in Graphical User Interfaces<br>Engin Kirda, NEU.<br>Wed Nov 19, 2014, 10:00am – 11:30am<br>Hariri Seminar Room, MCS180</p><p>Abstract:</p><p>Graphical user interfaces (GUIs) are the predominant means by which users interact with modern programs.  GUIs contain a number of common visual elements or widgets such as labels, textfields, buttons, and lists, and GUIs typically provide the ability to set attributes on these widgets to control their visibility, enabled status, and whether they are writable.  While these attributes are extremely useful to provide visual cues to users to guide them through an application&#39;s GUI, they can also be misused for purposes they were not intended.  In particular, in the context of GUI-based applications that include multiple privilege levels within the application, GUI element attributes are often misused as a mechanism for enforcing access control policies.</p><p>In this talk, I will present  GEMs, or instances of GUI element misuse, as a novel class of access control vulnerabilities in GUI-based applications. I will present a classification of different GEMs that can arise through misuse of widget attributes, and describe a general algorithm for identifying and confirming the presence of GEMs in vulnerable applications.  I will then present GEM Miner, an implementation of our GEM analysis for the Windows platform. </p><p>****</p><p>Candidate Construction of Obfuscation for all Circuits<br>Omer Paneth, BU.<br>Monday November 24, 2014, 10:00am – 11:30am<br>Hariri Seminar Room, MCS180</p><p>Last year Garg, Gentry, Halevi, Raykova, Sahai and Waters [FOCS 2013] presented the first candidate construction of obfuscation for all circuits. I will describe a variant of this  construction and give a security proof in the generic graded encoding model based on [Garg et. al. EUROCRYPT 2014].</p><p>Links to papers:<br><a href="http://eprint.iacr.org/2013/451">http://eprint.iacr.org/2013/451</a><br><a href="http://eprint.iacr.org/2013/631">http://eprint.iacr.org/2013/631</a></p><p>****</p><p>PhD Defense: Strong Key Derivation from Noisy Sources<br>Ben Fuller, BU<br>Tuesday, November 25, 2014 at 2:30pm<br>MCS 180 – Hariri Institute</p><p>A shared cryptographic key enables strong authentication.  Candidate sources for creating such a shared key include biometrics and physically unclonable functions.  However, these sources come with a substantial problem: noise in repeated readings.</p><p>A fuzzy extractor produces a stable key from a noisy source.  For many sources of practical importance, traditional fuzzy extractors provide no meaningful security guarantee.  This dissertation improves fuzzy extractors.</p><p>First, we show how to incorporate structural information about the physical source to facilitate key derivation.  Second, most fuzzy extractors work by first recovering the initial reading from the noisy reading.  We improve key derivation by producing a consistent key without recovering the original reading.  Third, traditional fuzzy extractors provide information-theoretic security.  We build fuzzy extractors achieving new properties by only providing security against computational bounded adversaries.</p><p>Committee:<br>Leonid Reyzin (Advisor and First Reader)<br>Ran Canetti (Second Reader)<br>Daniel Wichs (NEU, Third Reader)<br>Sharon Goldberg<br>Steve Homer (Committee Chair) </p></div>