Forschungsprojekte

Einblicke in die Internet-Kernprotokolle zu erhalten, ist entscheidend für das Verständnis von Fehlkonfigurationen und Schwachstellen sowie für den Entwurf und die Einführung neuer Mechanismen und Tech­no­logien. Obwohl viel Aufwand betrieben wird, um das Internet zu verstehen, fehlen noch viele Tools. Bestehende Tools unterstützen oftmals nicht wichtige Eigenschaften wie die Wiederholbarkeit von Versuchen oder die langfristige Auswertung. Des Weiteren sind die vor­handenen Tools nicht einfach zu bedienen, da sie keine benutzerfreundliche Oberfläche haben und keine einfache Erstellung von Statistiken und Analyse der gesammelten Daten bieten. Tools zur Durchführung dedizierter Messungen, die auf spezielle Aufgaben wie Zensur zugeschnitten sind, erfordern entweder zusätzliche Infrastruktur oder interne Zusam­men­arbeit innerhalb des gemessenen Netzwerks.

Das Hauptziel dieses Projekts ist die Entwicklung von Tools für die automatisierte, wiederholende Datenerfassung und -analyse, ohne Notwendigkeit der Mitarbeit des getesteten Zielnetzwerks. Unser Ziel ist es, Einblicke in die Internet-Infrastruktur zu geben: wie die Systeme konfiguriert sind, wie krypto­grafisches Material wie Schlüssel und Signaturen erzeugt wird, was die Fehlkonfigurationen und Schwachstellen sind, wie Angriffe gestartet werden (z. B. wie Zensur über verschiedene Länder und Kontinente hinweg durchgesetzt wird) und auch welche Hindernisse für den Einsatz von Verteidigungsmaßnahmen und neuen Tech­no­logien vorhanden sind. Wir wollen diese Fragen im Hinblick auf die Kernprotokolle des Internets untersuchen. Unsere Erfahrung zeigt, dass der „Faktor Mensch“ die Hauptursache für Fehlkonfigurationen und Fehler bei der Nutzung von Tools oder dem Einsatz von Tech­no­logien und Abwehrmaßnahmen ist. Daher müssen die im Rahmen dieses Projekts entwickelten Tools so weit wie möglich automatisiert sein. Ihre Benutzeroberflächen werden in Zusam­men­arbeit mit Projekt 3 entwickelt, um eine benutzerfreundliche Oberfläche und einen einfachen Aufruf zu gewährleisten. Mit Hilfe unserer Tools werden Daten von zentralen Internet-Infrastrukturen gesammelt, periodisch analysiert und die Ergebnisse in Form von Grafiken und Diagrammen dargestellt. Die neuen Tools sollen protokollspezifisch sein, z. B. Tools zur Messung von Fehlkonfigurationen in DNS oder BGP sowie in ihren jeweiligen Abwehrmechanismen, und aufgabenspezifisch, wie z. B. die Erkennung von Zensur, DNS-Cache-Poisoning oder BGP-Präfix-Hijacking. Im Rahmen des Projekts werden auch Tools zur Erkennung von BGP-Präfix-Hijacking und DNS-Cache-Poisoning-Angriffen entwickelt: (1) Offline-Tools, die historische Daten analysieren, wie z. B. CAIDA und andere Repositories zur Erfassung von Datenverkehr sowie (2) Online-Tools, die eine Live-Überwachung zur Erkennung von Angriffen durchführen. Für letztere zielt Projekt 1 auf die Entwicklung von Tools ab, die Dienste in ganzen Netzwerken überwachen, z. B. für Internet Service Operators (ISPs), sowie auf Endhost-basierte Tools, z. B. für Browser. Die daraus resultierenden Tools ermöglichen die Erfassung von Informationen, die für das Verständnis praktischer Angriffe und Methoden, die von den Internet-Angreifern verwendet werden, erforderlich sind. Das Arbeitsergebnis wird eine Plattform sein, die ein umfassendes Toolset zur Erfassung von Informationen über die Kernprotokolle im Internet und über die Angriffe bietet.

Die Internet-Infrastruktur ist extrem anfällig für Angriffe. Basierend auf den Er­kennt­nissen aus Projekt 1 soll dieses Projekt neue Sicherheitsmechanismen entwerfen und möglicherweise bestehende Angebote erweitern, um die Lücken in den aktuellen Standards und Implementierungen zu schließen. Unsere Untersuchungen in diesem Projekt konzentrieren sich hauptsächlich auf drei Kernprotokolle des Internets: BGP, DNS und NTP. Genauer gesagt untersucht das Projekt Folgendes: (1) Angriffe auf Internet-Kernprotokolle sowie deren Missbrauch für Angriffe auf andere Systeme und (2) Einsatz von Abwehrmaßnahmen.

Untersuchen von Angriffen auf zentrale Internet-Protokolle und deren Missbräuche. Das Projekt entwickelt praktische Angriffe und testet deren Missbrauch für die Entwicklung anspruchsvoller Angriffe gegen Sicherheitsmechanismen, Anwendungen und Systeme. Wir führen DNS-Cache-Poisoning-Angriffe durch und bewerten damit Angriffe auf zahlreiche Systeme im Internet. Im ersten Schritt werden wir unter Verwendung unseres Testbeds aus Projekt 1 neuartige Angriffe entwickeln und evaluieren. Im zweiten Schritt werden wir eine Live-Evaluierung der im Internet vor­handenen Angriffe vornehmen und umfassende Messungen durchführen, um den Umfang der Schwachstellen und den Anteil der gefährdeten Netzwerke und Systeme abzuschätzen.

Entwicklung und Einrichtung von Abwehrmaßnahmen. Wir werden an der Entwicklung von Abwehrmaßnahmen für die wichtigsten Internet-Protokolle arbeiten und dabei auf die Erkenntnisse aus Projekt 1 zurückgreifen. Wir werden versuchen, wenn möglich auf den bestehenden Abwehrmaßnahmen aufzubauen und gegebenenfalls Erweiterungen zu entwickeln, um Probleme zu lösen, die eine breite Akzeptanz der Sicherheit verhindern, z. B. durch zusätzliche Anreize oder die Beseitigung von Barrieren. Unser erstes und wichtigstes Ziel ist es, den Einsatz von RPKI und DNSSEC voranzutreiben. Bei ihrem Einsatz verhindern diese Abwehrmechanismen die meisten Traffic-Hijack-Angriffe (sei es aufgrund von BGP-Präfix-Hijacking oder als Folge von DNS-Cache-Poisoning).

Das ABC-Projekt Visuelle Sicherheitsanalyse konzentriert sich auf die Visualisierung von großen Sicherheitsdaten-Repositories. Das Internet ist ein riesiges Netzwerk, mit dem unzählige Geräte verbunden sind. In diesem Projekt arbeiten wir an Visualisierungen zur Analyse des globalen Internet-Routings sowie des lokalen Netzwerkverkehrs. Unser visuelles Analysetool für das globale Routing bietet neue Einblicke in die Verbindungen zwischen autonomen Systemen und schafft eine neuartige geografische Annäherung, wie der Traffic um die Welt gerouted wird. Der zweite Fokus liegt auf der Visualisierung des lokalen Netzwerktraffics. Da die Anzahl der Geräte in Firmen- oder Heimnetzwerken zunimmt und immer mehr unentdeckte Cyberangriffe stattfinden, arbeiten wir an einem neuen progressiven, visuellen Analysetool, um die großen Netzwerktraffic-Protokolldateien zu analysieren. Wir stellen einen Online-Prototyp unter netcapvis.igd.fraunhofer.de zur Verfügung, der bereits entwickelt wird. Im Rahmen dieser ATHENE-Mission arbeiten wir auch in Zusam­men­arbeit mit der TU Darmstadt an einer umfassenden Visualisierung von Computer-Botnetzen, um Crawler-Informationen zu analysieren, die von derzeit aktiven Botnetzen im Internet gesammelt werden.

Die zunehmenden Cyberangriffe auf Internet-Infrastrukturen, -Plattformen, -Dienste und -Nutzer führen nicht nur zu enormen finanziellen Verlusten und Datenschutzverletzungen sowie zur Verletzung der Privatsphäre, sondern beeinträchtigen auch die Stabilität moderner Gesellschaften und sogar das Leben der Menschen. Neueste Angriffe zeigen, dass alles und jeder ein Ziel ist und angegriffen werden kann, von kritischen Infrastrukturen über den Finanzsektor bis hin zu Politiker*innen und Regierungen. Cyberspionage und Cyberkriminalität werden zunehmend zu Bedrohungen für unsere moderne Demokratie. Täglich werden Angriffe auf Netzwerke gemeldet.

Ungepatchte und veraltete Systeme sind Haupteinfallstore in die Netzwerke. Obwohl die Bedeutung der Behebung von Schwachstellen und des Patchens der Systeme bekannt ist, zeigt die Forschung, dass die meisten der aktiv bei Angriffen ausgenutzten Schwachstellen bekannt sind und ein großer Teil der Netzwerke aufgrund ungepatchter Systeme anfällig ist. Hauptursache dafür ist ein Mangel an automatisierten Tools, die es Netzwerken ermöglichen, kontinuierliche und regelmäßige Sicherheitsmessungen ihrer digitalen Assets durchzuführen.

In diesem Projekt wollen wir folgende Fragen beantworten: Wie sicher ist mein Netzwerk? Welche Geräte habe ich in meinen Netzwerken? Ist alles gepatcht? Dies scheinen einfache Fragen zu sein, die jedoch in der Praxis mit den vor­handenen Instrumenten schwer zu beantworten sind. Fehlkonfigurationen und Schwachstellen in Netzwerken und Diensten werden als Haupteinfallstore verwendet, um in Netzwerke einzudringen. Die Angriffe nehmen stetig zu, bekannte Schwachstellen und Exploits werden zunehmend als erste Schritte genutzt, um in einen fremden Rechner einzudringen. Das Verständnis der Sicherheitslandschaft im Allgemeinen sowie der Schwachstellen in bestimmten Organisationen und Netzwerken im Besonderen kann es den Betreibern ermöglichen, ihre Netzwerke zu patchen, bevor sie von Kriminellen entdeckt und miss­braucht werden.

Zwar gibt es einige Tools, wie z. B. Zmap, doch um diese konfigurieren und betreiben zu können ist  diese Fachwissen erforderlich. Auch für Laien sind sie nicht leicht zu verstehen. Infolgedessen führen die Netzwerke keine regelmäßigen Sicherheitsscans durch. Auch Sicherheitstests werden leider nur selten durchgeführt, und wenn, dann typischerweise durch einen Anbieter, der Pentestdienste anbietet. Unsere Tools ermöglichen es jedem Netzwerkbetreiber, regelmäßige Sicherheitstests durchzuführen und einen aktuellen Stand über seine digitalen Assets, sein digitaler Präsenz und seinen Sicherheitsstatus zu haben. Unternehmen werden damit in der Lage sein, Schwachstellen zeitnah zu patchen, wodurch Angriffe verhindert werden können.

Die Bereitstellung von Kryptographie im Internet ist eine Herausforderung. Trotz jahrzehntelanger Forschung mit mehreren Vorschlägen sind die meisten Dienste und Netzwerke im Internet nicht kryptographisch geschützt. Die bestehenden Mechanismen sind manuell, was zu hohen Kosten, Overhead und Fehlkonfigurationen führt. Hinzu kommt das klassische Henne-Ei-Problem: um effektiv zu sein, müssen alle Beteiligten zwar den kryptographischen Mechanismus einsetzen, doch ist eine einseitige Bereitstellung weitgehend wirkungslos, wenn der andere nicht weit verbreitet ist. Dies stellt ein erhebliches Hindernis für einen breiten Einsatz dar, da die frühzeitige Anwendung zum einen keinen Sicherheitsvorteil bietet. Zum anderen können potenzielle Fehlkonfigurationen zu Angriffen und Verbindungsproblemen führen.

Diese Probleme gelten für eine Vielzahl von Systemen auf der Kontrollebene des Internets, wie RPKI [RFC6480], DNSSEC [RFC4033-RFC4035], die vor mehr als zwei Jahrzehnten vorgeschlagen wurden, aber noch nicht weit verbreitet sind, krypto­grafischer Schutz für NTP, wie beispielsweise Chronos, sowie Mechanismen, die zum Bootstrap der Kryptographie verwendet werden, wie beispielsweise die Domänenvalidierung.

Unser Ziel ist es, Hindernisse und Herausforderungen beim Einsatz krypto­grafischer Abwehrmaßnahmen im Internet zu beseitigen, Kosten und Aufwand für die Einführung zu reduzieren sowie Fehlkonfigurationen zu verhindern. Wir haben die folgenden Ziele definiert, die wir erreichen wollen, um die bestehenden Sicherheits- und Leistungsprobleme zu beheben:

• Automatisierung. Um den Einsatz kryptographischer Mechanismen im Internet zu erleichtern und gleichzeitig Fehler und Fehlkonfigurationen zu reduzieren, werden wir die Zertifizierung und Registrierung der digitalen Ressourcen wie IP-Präfixblöcke, AS-Nummern und Domänen automatisieren. Dadurch werden die aktuellen manuellen Zertifizierungs- und Eigentumsvalidierungsprozesse in ihrer bisherigen Form nicht mehr geben. Wir werden Mechanismen entwickeln, um die Einrichtung und Konfiguration der Zertifizierung und Registrierung sowie die Eigentumsvalidierung digitaler Ressourcen zu automatisieren.
• Vorteile bei frühzeitiger Anwendung. Unser Ziel ist es, die bestehenden Mechanismen zu erweitern, um es dem Anwender frühzeitig zu ermöglichen, Sicherheitsvorteile zu genießen, ohne darauf zu warten, dass der Rest des Internets auch den neuen Mechanismus einsetzt. Ziehen Sie beispielsweise in Betracht, eine neue Verschlüsselung in DNSSEC zu übernehmen, wie den Post-Quantum-Secure-Algorithmus FALCON, der ein NIST-Finalist der dritten Runde des digitalen Signaturverfahrens ist, kann es zu Problemen kommen. Da die DNS-Resolver diesen Algorithmus nicht unterstützen, hat eine DNSSEC-signierte Domäne, die ihn verwendet, keine Sicherheitsvorteile, aber stattdessen werden DNS-Antworten von dieser Domäne zusätzlichen Overhead und sogar mögliche Konnektivitätsprobleme aufgrund der Zunahme ihrer Größe erfahren. Wir werden Lösungen entwickeln, die diese Probleme lösen und die Sicherheitsvorteile auch bei einseitigen Einsätzen zum Tragen bringen, wenn beispielsweise nur eine Seite die neuen Mechanismen unterstützt. Wir beteiligen uns auch aktiv an der NIST-Standardisierung und organisierten einen Workshop im Rahmen der NIST-Standardisierungskonferenz zu Herausforderungen und Hindernissen beim Einsatz von PQC-Chiffren in der Internet-Infrastruktur.
• Experimentelle Forschungsplattformen. Unser Ziel ist es, Plattformen zu entwickeln, die es ermöglichen, verschiedene Mechanismen und ihre Si­cher­heits­lö­sun­gen zu testen sowie darauf Angriffe in einer Umgebung zu fahren, die dem realen Internet ähnelt, ohne dabei Leistungs-, Konnektivitäts- oder Sicherheitsrisiken für die Internetdienste oder Benutzer zu verursachen. Dazu entwickeln wir zwei Forschungsplattformen: ein programmierbares Netzwerk-Testbed und eine Plattform für aktive BGP-Experimente im Internet.

Cyber-Angriffe nehmen rasant an Zahl und Komplexität zu. Der Erstzugriff auf die Netzwerke der Opfer erfolgt zunehmend über das Malware-as-a-Service-Geschäftsmodell angeboten, bei dem die Erstinfektion mit einer Information-Stealer-Malware (Infostealer) durchgeführt wird. Infostealer zielen darauf ab, auf dem infizierten Zielsystem nach sensiblen und privaten Informationen wie Passwörtern und Cookies, Browserverlauf und zwischengespeicherten Daten zu suchen. Sie stellen Sicherheits- und Datenschutzrisiken dar und verursachen auch erhebliche wirtschaftliche Verluste. Sicherheitsforschende nutzen vielfältige Ansätze, um verdächtige Software zu erkennen und auf das Vorhandensein von Schadsoftware zu analysieren. Zu den Standardtechniken zur Malware-Erkennung gehört die Suche nach sogenannten Fingerabdrücken, d. h. syntaktischen Mustern bekannter Malware-Codes. Es ist auch üblich, vermutete Malware in einer Sandbox auszuführen und deren Verhalten zu beobachten, beispielsweise Versuche, auf bestimmte APIs von Netzwerkdiensten, Benutzerdaten usw. zuzugreifen.

Im Rahmen dieses Projekts entwickeln wir einen neuen Ansatz heißt Control-Flow-Fingerprinting (CF-Fingerprinting), der auf dem Laufzeitverhalten von Programmen Dieser berechnet den Fingerabdruck eines bestimmten Programms nicht auf der Grundlage syntaktischer Muster, sondern anhand des beobachteten Laufzeitverhaltens, das in einem Ausführungs-Trace protokolliert wird. Die Idee dahinter ist, dass infizierte Software ihr Verhalten ändert, spätestens dann, wenn vor­handene Schadsoftware aktiviert wird.

Unser Ziel ist es, eine Fingerprinting-Technik zu entwickeln, die auf die Control-Flow-Traces von Programmen basiert und geeignet ist, Malware mit hoher Genauigkeit zu erkennen. Diese Technik soll eine hohe Erkennungsrate für Malware bieten, die auch auf unbekannte Varianten anwendbar ist, und dabei eine niedrige Fehlalarmrate hat. Die Kernidee besteht darin, Spuren von Programmläufen zu generieren, um Einblicke in die Kontrollflussentscheidungen und Programmzustand zu erhalten. Diese Methode wird in eine Online-Plattform integriert, die hochgeladene Software in Echtzeit auf Schadsoftware überprüft. Ein wichtiger Bestandteil wird ein Crawler-Bundle sein, das in regelmäßigen Abständen beliebte Software im Internet sammelt und auf mögliche Manipulationen und Infektionen analysiert.