Ueberschrift

Forschungsthemen

Der Lehrstuhl für Systemsicherheit beschäftigt sich mit verschiedenen Themen aus dem Gebiet der systemnahen IT-Sicherheitsforschung. Dieses Gebiet zeichnet sich dadurch aus, dass dort immer die Sicherheit konkreter Systeme und die Sicherheitsauswirkungen realer Phänomene im Mittelpunkt des Interesses stehen. Forschungsschwerpunkte des Lehrstuhls sind:


Honeynet Projekt

honey

Als elektronische Köder (honeypots) bezeichnet man Netzwerkressourcen, deren Wert darin besteht, angegriffen und kompromittiert zu werden. Oft sind dies Computer, die keine spezielle Aufgabe im Netzwerk besitzen, aber ansonsten nicht von regulären Rechnern zu unterscheiden sind. Netzwerke von Honeypots, so genannte Honeynets, bieten verschiedene Arten von elektronischen Ködern an und können so verschiedene Arten von Angreifern anlocken. Honeypots sind mit spezieller Software ausgestattet, die die Forensik einer eingetretenen Schutzzielverletzung erleichtert. Durch die Vielfalt

an mitgeschnittenen Daten kann man deutlich mehr über das Verhalten von Angreifern in Netzwerken lernen als mit herkömmlichen forensischen Methoden und man kann schneller und genauer die Angriffswege, Motive und Methoden von Angreifern erforschen und verstehen. In den letzten Jahren haben wir verschiedene Honeypot-Lösungen entwickelt und in zahlreichen empirischen Untersuchungen dazu benutzt, mehr über aktuelle Angriffe im Internet zu lernen. Darüber hinaus haben wir analysiert, wie Angreifer Honeypots entdecken und umgehen könnten.


Ausgewählte Publikationen






Botnetze

Botnet

Botnetze (engl. Botnets) sind Netzwerke von kompromittierten Maschinen, die unter der Kontrolle eines Angreifers stehen: Der Angreifer (auch Botmaster genannt) kann Befehle zu den einzelnen Bots senden, und diese führen diese Kommandos dann aus, zum Beispiel um Spam-Meldungen zu versenden, Informationen zu stehlen oder DDoS-Angriffe zu starten. Ein Botmaster installiert die Bot-Software durch Ausnutzung einer beliebige Schwachstelle auf dem Computer eines Opfers und erlangt somit Kontrolle über diesen Computer. Typischerweise kommunizieren Botmaster über einen so genannten Command und Control Server (C&C) mit kompromittierten Maschinen: Die Bots verbinden sich mit dem C&C-Server, von dem sie die Kommandos des Angreifers empfangen. Neben Botnetstrukturen mit einem zentralen C&C-Server existieren auch Botnetze die eine Peer-to-Peer Kommunikationsinfrastktur nutzen. Da Botnetze einer der Hauptfaktoren derzeitiger Missbräuche im Internet

sind werden effektive und effiziente Ansätze benötigt, um Botnetze in einem automatisierten Prozess stoppen zu können. Ein Schwerpunkt der Forschung lag auf so genannten Fast-Flux Service Networks (FFSNs), einer von Botnetzen genutzten Technik, mit der der wahre Standort eines Servers verschleiert werden kann. Die Grundidee hinter Fast-Flux Netzen ist es, die kompromittierten Maschinen als Proxies zu benutzen und mittels DNS den Netzverkehr über diese Maschinen zu leiten und dabei häufig die Weiterleitung zu ändern. Darüber hinaus lag ein weiterer Schwerpunkt auf der Analyse von Spam-Botnetzen, da Spam-Nachrichten typischerweise durch Bots verschickt werden. Im Rahmen der Projekte Moderne Botnetzerkennung (MoBE), innovative Anomaly- and Intrusion-Detection (iAID) und Safe and Secure European Routing (SaSER) entwickeln wir Techniken und Tools, um Botnetze effizient entdecken und beobachten zu können.

Ausgewählte Publikationen






Analyse von Schadsoftware

Malware





Mit Hilfe von Honeypots und anderen Techniken können automatisiert Kopien von Schadsoftware (engl. Malicious Software, kurz Malware) gesammelt werden. Um mehr über diese Schadsoftware zu lernen ist eine ausführliche Analyse der gesammelten Dateien nötig und deshalb haben wir in den vergangenen Jahren verschiedene Tools und Techniken zur automatisierten Analyse von Schadsoftware entwickelt: Typischerweise benutzen wir die Technik der dynamischen Analyse, wir studieren also das Verhalten einer gegebenen Datei und beobachten sie zur Laufzeit.

Als Resultat der Forschung existieren die beiden Tools Anubis und CWSandbox, die für eine gegebene Binärdatei einen Verhaltensreport erzeugen können. Die erstellten Analysereports können dann beispielsweise mit Hilfe von Techniken aus dem Bereich des maschinellen Lernens analysiert und klassifiziert werden. Darüber hinaus wurden einige weitere Tools zur Analyse von Schadsoftware entwickelt. Im Rahmen des Projekts Innovative Trustworthy Endpoint Security (iTES) entwickeln wir Techniken, um mit Hilfe von virtuellen Maschinen eine effiziente Analyse von Schadsoftware zu ermöglichen.


Ausgewählte Publikationen






Mobile Geräte

Smartphone

Moderne Smartphones verfügen über immer mehr Arbeitsspeicher und CPU-Leistung und sind vom Design her ähnlich zu klassischen Computern. Smartphones verfügen über viele Informationen, die auch für einen Angreifer interessant sind (bspw. SMS-Nachrichten, Passwörter oder andere private Informationen). Einige Tausend verschiedene Varianten von Schadsoftware für diese Geräte wurden bereits gesichtet und es kann erwartet werden, dass diese Gefahr in den nächsten Jahren zunimmt, da immer mehr private Informationen mit mobilen Endgeräten verarbeitet werden und dies schafft zusätzliche Anreize für einen Angreifer. Zudem kann ein Angreifer durch den Versand von Premium-SMS

sehr einfach und nur schwer erkennbar seinen Angriff monetarisieren. Im Rahmen des Projekts Mobile Malware: Prognosen und Strategien (MobWorm) entwickeln wir Techniken, um Angriffe auf Smartphones zu erkennen und proaktiv die Schutzmaßnahmen für Smartphone-Betriebssysteme zu verbessern. Darüber hinaus entwickeln wir Tools, um Schadsoftware für Smartphones effizient analysieren zu können und wir untersuchen, wie Smartphones als Schutzmechanismus eingesetzt werden können. Als weiteres Projekt haben wir die Sicherheitsaspekte von Satellitentelefonen untersucht und konnten zeigen, wie ein Angreifer diese Kommunikation belauschen kann.

Ausgewählte Publikationen




Soziale Netze

social

Soziale Netze wie Facebook, Xing, Twitter oder LinkedIn gehören zu den populärsten Seiten im Internet und haben viele Millionen Nutzer, wodurch sie ein für Angreifer lohnenswertes Ziel werden. Im Rahmen der Forschungsaktivitäten haben wir Sicherheitsaspekte verschiedener Sozialer Netze untersucht, insbesondere das Thema Privatsphäre

und mögliche Angriffe darauf wurden untersucht. Wir konnten beispielsweise zeigen, wie ein Angreifer automatisiert Netzbenutzer aufgrund ihrer Mitgliedschaft in sozialen Netzen deanonymisieren kann. Darüber hinaus haben wir studiert, wie ein Angreifer durch die Ausnutzung von Features Sozialer Netze automatisiert Nutzer-Profile erzeugen kann.

Ausgewählte Publikationen