Tools

ROSE@Smart Validator

A framework to differentiate erroneous ROAs from prefix hijacks. It enables network operators to avoid blocking legitimate traffic and keep preventing prefix hijacking attacks. More here: https://rose.smart-validator.net/ 


Dependency Detective

The Dependency Detective visualises the requests of any website. It is especially designed to check a website for third party dependencies. Privacy is a privilege. Third party dependencies can be used to track the behaviour of users. With the Dependency Detective you can check websites of your choice by your own. Additionally, there are statistics about the usage of third party dependencies over all so far crawled websites available. Dependency Detective has crawled initially the homepages of the top 100.000 websites of the Majestic Million list to ensure meaningful statistics. More here: https://dependency-detective.cad.sit.fraunhofer.de/ 


DNS X-Ray

DNS X-Ray ist ein neues Tool zur Messung von DNS-Auflösungsplattformen. Unser Tool identifiziert die verschiedenen Komponenten in DNS-Auflösungsplattformen, insbesondere die IP-Adressen, die für das Nachschlagen von Datensätzen in Nameservern und den Caches verwendet werden. Wir leiten daraus die Anzahl der verwendeten Caches sowie die DNS-Software der Caches ab. Unser Tool nutzt das Caching-Verhalten und das Standardverhalten des DNS-Protokolls zur Erfassung der Daten und deren Analyse. Mehr Details hier.


DNSSEC Dashboard

DNSSEC Dashboard überwacht den DNSSEC-Einsatz und typische Fehlkonfigurationen bei Top-Level-Domains und beliebten Domains. Mehr Details hier.


Am I Censored

A framework aiming to help users check if their ISP are censoring / blocking some webpages, along with some interesting statistics and great visualzations. More here: https://amicensored.com/ 


SSL-Checker

Dies prüft, ob eine Website anfällig für bekannte SSL-Angriffe ist. Mehr Details hier.


Transputation

Transputation ist ein Transport-Framework für sichere Berechnungen. Das Tool ermöglicht es Entwicklern, reale Auswertungen durchzuführen und sofortige Ergebnisse zu erhalten, ohne dass sie irgendwelche Tools zur Trafficüberwachung installieren oder verwenden müssen. Die Transputation kann hier aufgerufen werden.
Die Quellcode-Implementierung der Transputation ist hier verfügbar.


NTP Security

Demonstriert, wie ein Angreifer aus dem Off die Zeit auf einem angegriffenen System, das die Zeitsynchronisation mittels NTP verwendet, verschieben kann, indem er die DNS-Lookups des NTP-Clients angreift. Dazu gehört eine praktische Angriffsdemonstration gegen verschiedene NTP-Implementierungen und sogar ein theoretisches Angriffsszenario gegen einen sicherheitsoptimierten NTP-Client. Mehr Details hier.


SMap

Basierend auf einer Arbeit, in der wir neuartige Methoden vorstellen, um zu testen, ob ein Netzwerk Eindringungsfilterung ermöglicht, d. h. ob es anfällig für IP-Spoofing-Angriffe ist. Statistiken und Domain-Problemlösungen sind online verfügbar. (Diese Arbeit ist noch nicht abgeschlossen.)


Randomness

Pseudozufallsgeneratoren (PRGs) spielen eine wichtige Rolle bei der Sicherheit von Systemen und kryptographischen Mechanismen. Dennoch gibt es eine lange Geschichte von Schwachstellen in praktischen PRGs. In der theoretischen und praktischen Forschung werden erhebliche Anstrengungen unternommen, um die Sicherheit von PRGs zu verbessern, Fehler in Entropiequellen zu identifizieren und Schwachstellen zu erkennen, die Angriffe auf die PRGs ermöglichen. In dieser Arbeit wird ein alternativer Ansatz für das Problem der Pseudo-Zufallsgenerierung gewählt. Wir entwerfen und implementieren den Network Pseudo-Randomness Collector (NPC), der pseudozufällige Zeichenfolgen von Servern im Internet sammelt. NPC erfordert weder eine Zusam­men­arbeit noch eine Synchronisation dieser Server. NPC ist einfach zu bedienen und in die bestehenden Systeme zu integrieren. Wir analysieren die NPC-Sicherheit und zeigen, wie es die Hauptfaktoren für die Schwachstellen in aktuellen PRGs angeht. Mehr Details hier.


In-The-Wild DNS Vulnerability Dashboard

In dieser Studie testen wir in der Praxis die Verwundbarkeit von DNS-Resolvern im Internet gegen eine neu entdeckte Art von Cache-Poisoning-Angriffen, die auf der Fehlinterpretation der Sonderzeichen \000 und \. beruhen, die entgegen der landläufigen Meinung vieler Entwickler tatsächlich innerhalb von DNS-Bezeichnungen gemäß RFC6895 erlaubt sind. Wir liefern selektive Statistiken über verschiedene Eigenschaften der von uns getesteten Resolver, wie Autonomes System (AS), Land, ob der Resolver als Forwarder oder rekursiver Resolver erkannt wird. Mehr Details hier.


ParaSite

Wir identifizieren und erforschen eine neue Art von bösartigen Skript-Angriffen: den persistenten Parasiten-Angriff. Persistente Parasiten sind getarnte Skripte, die für eine lange Zeit im Cache des Browsers verbleiben. Wir zeigen, wie man die Parasiten nutzt, um ein Botnetz aufzubauen, das komplett im Browser läuft und von einem entfernten Angreifer gesteuert wird. Für unseren Angriff muss das Opfer keine Software auf seinem Rechner installieren. Wir implementieren einen prototypischen Angreifer, der Parasiten über TCP in die Caches der Opfer-Clients einschleust (wenn der Angreifer mit demselben WLAN-Netzwerk verbunden ist wie das Opfer) sowie aus der Ferne, indem er den Datenverkehr per DNS-Cache-Poisoning auf seine Hosts umleitet. Sobald der Cache infiziert ist, verbreiten sich die Parasiten auf andere beliebte Websites auf dem Opfer-Client. Wir zeigen, wie man die Parasiten so gestaltet, dass sie unter der Kontrolle des Angreifers lange Zeit im Cache des Opfers bleiben und nicht auf die Dauer des Besuchs des Benutzers auf der Website beschränkt sind. Im Anschluss demonstrieren wir, wie man die Parasiten nutzen kann, um ausgeklügelte Angriffe gegen eine Reihe von Anwendungen durchzuführen. Wir entwickeln verdeckte Kanäle für die Kommunikation zwischen dem Angreifer und den Parasiten, die es dem Angreifer ermöglichen, zu kontrollieren, welche Skripte wann ausgeführt werden, und private Informationen wie Cookies und Kennwörter an den Angreifer zu exfiltrieren. Abschließend geben wir Empfehlungen für Gegenmaßnahmen. Mehr Details hier .


Evaluwaf

Dies ist eine Forschungsanwendung für die automatische und periodische Sicherheitsbewertung von Web Application Firewalls (WAFs).

EvaluWAF kann die Fähigkeiten von WAFs zum Schutz von Webanwendungen testen

1. einmalig, damit Anwender qualifizierte Vergleiche zwischen verschiedenen WAFs durchführen können

2. in regelmäßigen Abständen dafür zu sorgen, dass WAFs ihre Webanwendungen kontinuierlich schützen, auch nach Systemänderungen und Updates.

Es testet einzelne oder kombinierte WAF-Konfigurationen, führt vordefinierte oder eigene Angriffe gegen einen verwundbaren Webserver durch und analysiert, ob die WAF(s) die Angriffe verhindert haben. Außerdem generiert es Berichte mit den relevanten Daten, einschließlich Rohanforderungen und Leistungsinformationen. Es unterstützt auch zufallsabhängige Langzeitauswertungen, die ausweichende Angriffsmuster permutieren, um subtile Angriffslücken zu erkennen. Zusätzlich unterstützt es verschiedene Kombinationsmodi, um die Sicherheit von kombinierten (verschiedenen) WAFs zu untersuchen.

Dieses Projekt wird derzeit aktiv vom Fraunhofer-Institut für Sichere Informations­technologie entwickelt und ist noch nicht öffentlich verfügbar. Wenn Sie Interesse oder weitere Fragen haben, wenden Sie sich bitte an EvaluWAF. Mehr Details hier.


Combiwaf

CombiWAF ist eine Forschungsanwendung für die robuste Kombinierung von Web Application Firewalls (WAFs). Die Hauptidee ist, dass jede WAF Schwachstellen in verschiedenen Bereichen hat und wir durch die Kombination dieser Schwächen die Sicherheit des geschützten Webservers erhöhen können. Das System besteht aus zwei Teilen:

  • Der Verteiler empfängt eingehende HTTP(S)-Anfragen von externen Clients und leitet sie parallel an mehrere WAFs weiter. Die erste Antwort von einer WAF wird dann an den externen Client zurückgesendet.
  • Der Combiner empfängt Anfragen von den WAFs, die sie freigegeben haben, um den geschützten Webserver zu erreichen. Abhängig von der Konfiguration entscheidet der Combiner, ob eine freigegebene Anfrage an den Webserver weitergeleitet werden soll. Wenn ja, leitet er sie weiter, nimmt die Antwort des Webservers entgegen und schickt sie durch eine WAF zurück.

Die Referenzimplementierung ist in Go geschrieben und läuft auf Linux/Unix- und macOS-Systemen. Mehr Details hier.