Abschlussarbeiten

Typ: Bachelorarbeit

Betreuer: Roßberger

Abstract

Cyberangriffe und Sicherheitslücken sind eine ständige Bedrohung für Unternehmen und Einzelpersonen. Penetration Testing und Vulnerability Assessment sind wesentliche Methoden, um die Sicherheit von IT-Systemen zu gewährleisten. Diese Techniken helfen dabei, Schwachstellen zu identifizieren und zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können. Eine systematische Literaturstudie zu diesem Thema kann dabei helfen, aktuellen Ansätze und Techniken zu verstehen und weiterzuentwickeln.

Die Aufgabe dieser Bachelorarbeit besteht darin, eine systematische Literaturrecherche durchzuführen, um die verschiedenen Vorgehensweisen, Techniken und Anwendungen im Bereich Penetration Testing und Vulnerability Assessment zu identifizieren. Dafür sollen relevante Quellen identifiziert, analysiert und die gewonnenen Erkenntnisse systematisch zusammengefasst werden, um einen Überblick über den aktuellen Stand des Themenfeldes zu ermöglichen.

Im Rahmen dieser Arbeit sollen dafür folgende Forschungsfragen beantwortet werden:

• Welche Methoden, Techniken und Anwendungen werden aktuell im Penetration Testing eingesetzt?

• Welche neuen Entwicklungen und Trends gibt es im Bereich der IT-Sicherheit, die für Penetration Testing und Vulnerability Assessment relevant sind?

• Welche Herausforderungen und Limitationen bestehen bei der Durchführung von Penetration Tests und Vulnerability Assessments?

Literatur

• [1] Shah, Sugandh, and Babu M. Mehtre. "An overview of vulnerability assessment and penetration testing techniques." Journal of Computer Virology and Hacking Techniques 11 (2015): 27-49.

• [2] Al Shebli, Hessa Mohammed Zaher, and Babak D. Beheshti. "A study on penetration testing process and tools." 2018 IEEE Long Island Systems, Applications and Technology Conference (LISAT). IEEE, 2018.

Typ: Masterarbeit

Betreuer: Roßberger

Abstract

In der heutigen digitalen Welt sind Instant-Messenger wie WhatsApp, Signal, Threema und Telegram zu einem unverzichtbaren Kommunikationsmittel geworden. Doch während diese Dienste inzwischen (fast) alle standardmäßig Ende-zu-Ende-Verschlüsselung verwenden und somit die Inhalte von Nachrichten vor Dritten verbergen, kann das Kommunikationsverhalten von Teilnehmern weiterhin Rückschlüsse über deren Persönlichkeiten und Kontakte geben.

In diesem Seminar soll untersucht werden, ob es möglich ist, anhand des Netzwerkverkehrs von Instant-Messenger Apps (Mobil oder PC) zu erkennen, ob und wann Nachrichten gesendet bzw. empfangen werden und ob diese genauer erkannt werden können, bspw. Differenzierung zwischen Text-Nachrichten und größeren Dateien.

Dafür muss zuerst der Netzwerkverkehr dieser Anwendungen identifiziert und gefiltert werden. Im nächsten Schritt soll getestet werden, ob das gezielte Senden/Empfangen von Nachrichten im anfallenden Netzwerkverkehr erkennbar ist (z.B. durch Größe, Anzahl oder Häufigkeit von Paketen). Basierend auf den Beobachtungen der Experimente kann abschließend beurteilt werden, ob und wie gut eine Erkennung des Nutzerverhaltens in Messenger-Apps nur durch Beobachtung von anfallenden Netzwerkverkehr möglich ist.

Beispiel-Literatur

• [1] Afzal, Asmara, et al. "Encrypted network traffic analysis of secure instant messaging application: A case study of signal messenger app." Applied Sciences 11.17 (2021): 7789.

Typ: Bachelorarbeit

Betreuer: Wittig

Abstract

Das Geschäftsmodell der verhaltensbasierten Werbung beruht darauf, so viele Informationen über die Nutzer wie möglich zu sammeln. Dazu werden in einem verschachtelten Ökosystem an Anbietern diverse Techniken eingesetzt, um den Nutzer webseitenübergreifend bzw. geräteübergreifend zu (re-)identifizieren und personenbezogene Daten auszutauschen. Am Ende des Prozesses soll der Werbeplatz in einer Echtzeitauktion an den Höchstbietenden verkauft werden. Dieser Markt stellt für die informationelle Selbstkontrolle des Nutzers und dessen Privacy eine Bedrohung dar, da diesem (1) aufgrund der fehlenden Transparenz des Markts das Bewusstsein für das Abfließen seiner personenbezogenen Daten fehlt sowie (2) dieser kaum bis keine Kontrolle über die Praktiken der Datensammlung und -verteilung ausüben kann.

In der Veröffentlichung "Online advertising: Analysis of privacy threats and protection approaches" wurden die Bedrohungen für die Privatsphäre des Nutzers, die in dem Markt für online Werbung existieren, modelliert und Schutzlösungen miteinander verglichen. Allerdings stammt diese Veröffentlichung aus dem Jahr 2017. Seitdem haben sich Technik und Marktstrukturen stark geändert, z. B. das Ende von Flash-Cookies und Third-Party Cookies, Einführung der Privacy Sandbox Initiative.

Im Mittelpunkt der Privacy steht der Grundsatz der informationellen Selbstbestimmung, der besagt, dass der Einzelne die Kontrolle über seine persönlichen Daten und deren Verwendung in der virtuellen Welt haben sollte. Weiterhin wird Privacy ein individueller sowie sozialer Wert beigemessen, dessen Schutz der gesamten Gesellschaft zugutekommt. Ein wichtiger Aspekt von Privacy Threat Modeling ist daher die Berücksichtigung von Machtasymmetrien (in Bezug auf Information) bei der Analyse bestehender oder geplanter Systeme. Darüber hinaus zielt sie darauf ab, Fehlentwicklungen bei der Gestaltung von Diensten aufzudecken und es dem Gegner zu erschweren, seine Kontroll- und Beeinflussungsabsichten zu realisieren.

Ziel dieser Bachelorarbeit ist es, Privacy Threats im online Werbemarkt zu modellieren. Als Basis soll die Veröffentlichung "Online advertising: Analysis of privacy threats and protection approaches" dienen, die aktualisiert und ggf. um eine soziale Dimension erweitert werden kann.

Grundlegende Forschungsfragen könnten sein:

1. Was versteht man unter Privacy Threat Modelling?
2. Was hat sich seit der Veröffentlichung sowohl in der Technik als auch am Markt verändert und welche Implikationen haben diese?
3. Wie kann das Privacy Threat modelliert werden? Existieren weiterführende Modellierungstechniken?

Literatur

• Estrada-Jiménez, J., Parra-Arnau, J., Rodríguez-Hoyos, A., & Forné, J. (2017). Online advertising: Analysis of privacy threats and protection approaches. Computer Communications, 100, 32–51. https://doi.org/10.1016/J.COMCOM.2016.12.016
• Kim Wuyts, Wouter Joosen, LINDDUN privacy threat modeling: a tutorial, CW Reports, CW Reports CW685, Department of Computer Science, KU Leuven, Leuven, Belgium, July, 2015.

Typ: Bachelorarbeit

Betreuer: Wittig

Abstract

Längst gehören Adblocker im Webbrowser zum Standardrepertoire jedes Nutzers. Diese blockieren unerwünschte Anfragen, u. a. Web-Tracking Anfragen, des Clients anhand von Filterlisten, welche allerdings zahlreiche Nachteile mit sich bringen. Einer der größten Nachteile betrifft die Robustheit der Regeln, da sie mit wenig Aufwand durch URL-Modifikationen kontinuierlich umgangen werden können. Anknüpfende Forschungsarbeiten konzentrieren sich daher auf die automatisierte Erstellung von Filterregeln mithilfe von Machine Learning. Jedoch setzen diese Verfahren Zugriff auf die Anwendungsschicht voraus. Dementsprechend handelt es sich bei diesen Ansätzen um clientseitige Tools, die nicht ohne weiteres auf die Netzebene ausgeweitet werden können, da sich der Trend zur verschlüsselten Datenübertragung verlagert. In dieser Abschlussarbeit soll das Potenzial tieferer Netzwerkprotokolle (insb. IP/TCP) zur Erkennung von Web-Tracking untersucht werden. Im weiteren Sinne geht es darum, den Zweck einer Kommunikationsbeziehung (hier Online-Werbung und Tracking) aus dem verschlüsselten Netzverkehr zu ziehen. Zu dieser Fragestellung gibt es in der Forschung zahlreiche Traffic Classification Probleme, die trotz Verschlüsselung Information durch Anwendung von Mustererkennung gewinnen können (siehe Literatur). Ziel dieser Arbeit soll es sein, ein realitätsnahes Klassifikationsmodell anzuwenden, um kurze Konversations-Schnipsel eines Webhosts als (i) tracking oder (ii) non-tracking einzuordnen.

Literatur

• Akbari, I. et. al. (2022) „Traffic Classification in an Increasingly Encrypted Web“, Communications of the ACM, 65(10), S. 75–83.
• Iqbal, U. et. al. (2020) „AdGraph: A Graph-Based Approach to Ad and Tracker Blocking“, in 2020 IEEE Symposium on Security and Privacy, S. 763–776.
• Siby, S. et. al. (2020) „Encrypted DNS ⇒ Privacy? A Traffic Analysis Perspective“, in Network and Distributed System Security Symposium.

Typ: Masterarbeit

Betreuer: Roßberger

Abstract

Moderne Kryptographie ermöglicht es, vertrauliche Informationen sicher mit anderen Personen über das Internet zu teilen. Doch bei dieser Kommunikation bleibt weiterhin sichtbar wer mit wem kommuniziert. So können Anbieter von E-Mails und Instant-Messengern sehen, wer mit wem schreibt, sowie ISPs beobachten, welche Webseiten besucht werden. Als Lösung für diese Gefährdung der Anonymität wurden Mix-Netzwerke entwickelt. Zuerst von Chaum [1] vorgeschlagen und aktuell bspw. in Loopix [2] implementiert.

Doch auch diese Netzwerke können angegriffen werden und passive Beobachter können durch das Beobachten von Sendern und Empfängern über mehrere Runden hinweg immer besser abschätzen, wer mit wem kommuniziert. Dafür kann der Statistical Disclosure Angriff (SDA [3]) genutzt werden. Dieser Angriff wurde bereits mit verschiedenen Ansätzen in der Literatur erweitert (bspw. [4], [5], [6]), bietet jedoch weiterhin das Potenzial, verbessert zu werden. Dabei kann nicht nur die Effektivität des Angriffes selbst gesteigert werden, sondern auch der Einfluss von verschiedenem Nutzerverhalten und System-Konfigurationen untersucht werden.

Vorwissen über Mix-Netzwerke ist nicht notwendig. Da der Angriff implementiert, erweitert und evaluiert werden soll, sind Programmierkenntnisse erforderlich. Bestehende Implementierungen existieren in Java und Python.

Literatur

• [1] Chaum, David L. "Untraceable electronic mail, return addresses, and digital pseudonyms." Communications of the ACM 24.2 (1981): 84-90.

  [2] Piotrowska, Ania M., et al. "The loopix anonymity system." 26th {USENIX} Security Symposium ({USENIX} Security 17). 2017.

  [3] Danezis, George. "Statistical disclosure attacks: Traffic confirmation in open environments." Security and Privacy in the Age of Uncertainty: IFIP TC11 18 th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003.

  [4] Danezis, George, Claudia Diaz, and Carmela Troncoso. "Two-sided statistical disclosure attack." Privacy Enhancing Technologies: 7th International Symposium, PET 2007 Ottawa, Canada, June 20-22, 2007 Revised Selected Papers 7. Springer Berlin Heidelberg, 2007.

  [5] Troncoso, Carmela, et al. "Perfect matching disclosure attacks." Privacy Enhancing Technologies: 8th International Symposium, PETS 2008 Leuven, Belgium, July 23-25, 2008 Proceedings 8. Springer Berlin Heidelberg, 2008.

  [6] Emamdoost, Navid, Mohammad Sadeq Dousti, and Rasool Jalili. "Statistical Disclosure: Improved, Extended, and Resisted." arXiv preprint arXiv:1710.00101 (2017).

   

Typ: Bachelorarbeit

Betreuer: Roßberger

Abstract

Moderne Kryptographie ermöglicht es, vertrauliche Informationen sicher mit anderen Personen über das Internet zu teilen. Doch bei dieser Kommunikation bleibt weiterhin sichtbar wer mit wem kommuniziert. So können Anbieter von E-Mails und Instant-Messengern sehen, wer mit wem schreibt, sowie ISPs beobachten, welche Webseiten besucht werden. Als Lösung für diese Gefährdung der Anonymität wurden Mix-Netzwerke entwickelt. Zuerst von Chaum [1] vorgeschlagen und aktuell bspw. in Loopix [2] implementiert.

Doch auch diese Netzwerke können angegriffen werden und passive Beobachter können durch das Beobachten von Sendern und Empfängern über mehrere Runden hinweg immer besser abschätzen, wer mit wem kommuniziert. Dafür kann der Statistical Disclosure Angriff (SDA [3]) genutzt werden. Dieser Angriff wurde bereits mit verschiedenen Ansätzen in der Literatur erweitert (bspw. [4], [5], [6]), bietet jedoch weiterhin das Potenzial, verbessert zu werden.

So haben verschiedene Ansätze versucht, aus den sichtbaren Beobachtungen mehr und mehr Informationen zu gewinnen, indem von symmetrischen Kommunikationsverhalten ausgegangen wird, Antwort-Wahrscheinlichkeiten und Kommunikationsbeziehungen berechnet werden. Doch all diese Ansätze verlangen stets eine neue Idee, welche manuell implementiert werden muss. Eventuell sind aus den Beobachtungen noch weitere Rückschlüsse möglich, welche bisher nicht erkannt wurden. So soll in dieser Arbeit versucht werden, mithilfe von Machine Learning Techniken Kommunikationsbeziehungen aufzudecken. Diese Ergebnisse können abhängig von verschiedenen Modellen und Szenarien evaluiert und mit bestehenden Lösungsansätzen verglichen werden.

Programmierkenntnisse sind erforderlich und Grundkenntnisse in Machine-Learning hilfreich.

Literatur

• [1] Chaum, David L. "Untraceable electronic mail, return addresses, and digital pseudonyms." Communications of the ACM 24.2 (1981): 84-90.

  [2] Piotrowska, Ania M., et al. "The loopix anonymity system." 26th {USENIX} Security Symposium ({USENIX} Security 17). 2017.

  [3] Danezis, George. "Statistical disclosure attacks: Traffic confirmation in open environments." Security and Privacy in the Age of Uncertainty: IFIP TC11 18 th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003.

  [4] Danezis, George, Claudia Diaz, and Carmela Troncoso. "Two-sided statistical disclosure attack." Privacy Enhancing Technologies: 7th International Symposium, PET 2007 Ottawa, Canada, June 20-22, 2007 Revised Selected Papers 7. Springer Berlin Heidelberg, 2007.

  [5] Troncoso, Carmela, et al. "Perfect matching disclosure attacks." Privacy Enhancing Technologies: 8th International Symposium, PETS 2008 Leuven, Belgium, July 23-25, 2008 Proceedings 8. Springer Berlin Heidelberg, 2008.

  [6] Emamdoost, Navid, Mohammad Sadeq Dousti, and Rasool Jalili. "Statistical Disclosure: Improved, Extended, and Resisted." arXiv preprint arXiv:1710.00101 (2017).

   

Typ: Masterarbeit

Betreuer: Wittig

Abstract

Moderne Online-Werbung basiert auf hochkomplexen Informations- und Kommunikationssystemen, die eine präzise Auslieferung und korrekte Abrechnung von Werbeanzeigen ermöglichen. Aufgrund mangelnder Transparenz im Werbemarkt sind Nutzer jedoch zunehmend eingeschränkt in ihrer Fähigkeit, ihr Recht auf informationelle Selbstbestimmung auszuüben. Insbesondere bleibt unklar, in welchem Umfang ihr Verhalten für zielgerichtete Werbung (Targeted Advertising) genutzt wird.

Die Studie "What Factors Affect Targeting and Bids in Online Advertising?: A Field Measurement Study" untersucht Bietstrategien von Werbetreibenden, indem sie die Relevanz verschiedener Datenquellen für Online-Werbung analysiert. Dabei werden Gebotsprozesse durch das weit verbreitete Header-Bidding-Verfahren mittels der JavaScript-Bibliothek Prebid.js im Browser untersucht. Der methodische Ansatz dieser Studie weist jedoch Schwächen auf: (1) Der Datensatz wurde manuell erstellt und umfasst lediglich zehn untersuchte Webseiten. (2) Die Analyse basiert auf realen Nutzerprofilen, wodurch Streueffekte und Unschärfen in den Daten entstehen können.

Um diese Einschränkungen zu adressieren, wird die vorliegende Arbeit die Untersuchung mit einem erweiterten und automatisierten Ansatz replizieren. Dazu werden künstlich erzeugte Personas verwendet, die auf einer initialen Webhistorie basieren. Anschließend werden mithilfe von OpenWPM automatisierte Besuche auf tausenden Webseiten durchgeführt, um die Bietstrategien der Werbetreibenden systematisch zu analysieren. Im Zentrum der Untersuchung steht die Frage, inwiefern durch Web-Tracking erfasste Nutzerdaten für Targeted Advertising verwendet werden.

Literatur

• Zeng, E., McAmis, R., Kohno, T., & Roesner, F. (2022). What factors affect targeting and bids in online advertising? a field measurement study. Proceedings of the 22nd ACM Internet Measurement Conference, 210–229. doi.org/10.1145/3517745.3561460
• Englehardt, S., & Narayanan, A. (2016). Online Tracking: A 1-Million-Site Measurement and Analysis. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 1388–1401. doi.org/10.1145/2976749.2978313