Forschungsprojekte

Projekt 1 „Forschungsplattform Internetsicherheit“

Einblicke in die Internet-Kernprotokolle zu erhalten, ist entscheidend für das Verständnis von Fehlkonfigurationen und Schwachstellen sowie für den Entwurf und die Einführung neuer Mechanismen und Technologien. Obwohl viel Aufwand betrieben wird, um das Internet zu verstehen, fehlen noch viele Tools. Bestehende Tools unterstützen oftmals nicht wichtige Eigenschaften wie die Wiederholbarkeit von Versuchen oder die langfristige Auswertung. Des Weiteren sind die vorhandenen Tools nicht einfach zu bedienen, da sie keine benutzerfreundliche Oberfläche haben und keine einfache Erstellung von Statistiken und Analyse der gesammelten Daten bieten. Tools zur Durchführung dedizierter Messungen, die auf spezielle Aufgaben wie Zensur zugeschnitten sind, erfordern entweder zusätzliche Infrastruktur oder interne Zusammenarbeit innerhalb des gemessenen Netzwerks.

Das Hauptziel dieses Projekts ist die Entwicklung von Tools für die automatisierte, wiederholende Datenerfassung und -analyse, ohne Notwendigkeit der Mitarbeit des getesteten Zielnetzwerks. Unser Ziel ist es, Einblicke in die Internet-Infrastruktur zu geben: wie die Systeme konfiguriert sind, wie kryptografisches Material wie Schlüssel und Signaturen erzeugt wird, was die Fehlkonfigurationen und Schwachstellen sind, wie Angriffe gestartet werden (z. B. wie Zensur über verschiedene Länder und Kontinente hinweg durchgesetzt wird) und auch welche Hindernisse für den Einsatz von Verteidigungsmaßnahmen und neuen Technologien vorhanden sind. Wir wollen diese Fragen im Hinblick auf die Kernprotokolle des Internets untersuchen. Unsere Erfahrung zeigt, dass der „Faktor Mensch“ die Hauptursache für Fehlkonfigurationen und Fehler bei der Nutzung von Tools oder dem Einsatz von Technologien und Abwehrmaßnahmen ist. Daher müssen die im Rahmen dieses Projekts entwickelten Tools so weit wie möglich automatisiert sein. Ihre Benutzeroberflächen werden in Zusammenarbeit mit Projekt 3 entwickelt, um eine benutzerfreundliche Oberfläche und einen einfachen Aufruf zu gewährleisten. Mit Hilfe unserer Tools werden Daten von zentralen Internet-Infrastrukturen gesammelt, periodisch analysiert und die Ergebnisse in Form von Grafiken und Diagrammen dargestellt. Die neuen Tools sollen protokollspezifisch sein, z. B. Tools zur Messung von Fehlkonfigurationen in DNS oder BGP sowie in ihren jeweiligen Abwehrmechanismen, und aufgabenspezifisch, wie z. B. die Erkennung von Zensur, DNS-Cache-Poisoning oder BGP-Präfix-Hijacking. Im Rahmen des Projekts werden auch Tools zur Erkennung von BGP-Präfix-Hijacking und DNS-Cache-Poisoning-Angriffen entwickelt: (1) Offline-Tools, die historische Daten analysieren, wie z. B. CAIDA und andere Repositories zur Erfassung von Datenverkehr sowie (2) Online-Tools, die eine Live-Überwachung zur Erkennung von Angriffen durchführen. Für letztere zielt Projekt 1 auf die Entwicklung von Tools ab, die Dienste in ganzen Netzwerken überwachen, z. B. für Internet Service Operators (ISPs), sowie auf Endhost-basierte Tools, z. B. für Browser. Die daraus resultierenden Tools ermöglichen die Erfassung von Informationen, die für das Verständnis praktischer Angriffe und Methoden, die von den Internet-Angreifern verwendet werden, erforderlich sind. Das Arbeitsergebnis wird eine Plattform sein, die ein umfassendes Toolset zur Erfassung von Informationen über die Kernprotokolle im Internet und über die Angriffe bietet.

Projekt 2 „Routing-Sicherheit“

Die Internet-Infrastruktur ist extrem anfällig für Angriffe. Basierend auf den Erkenntnissen aus Projekt 1 soll dieses Projekt neue Sicherheitsmechanismen entwerfen und möglicherweise bestehende Angebote erweitern, um die Lücken in den aktuellen Standards und Implementierungen zu schließen. Unsere Untersuchungen in diesem Projekt konzentrieren sich hauptsächlich auf drei Kernprotokolle des Internets: BGP, DNS und NTP. Genauer gesagt untersucht das Projekt Folgendes: (1) Angriffe auf Internet-Kernprotokolle sowie deren Missbrauch für Angriffe auf andere Systeme und (2) Einsatz von Abwehrmaßnahmen.

Untersuchen von Angriffen auf zentrale Internet-Protokolle und deren Missbräuche. Das Projekt entwickelt praktische Angriffe und testet deren Missbrauch für die Entwicklung anspruchsvoller Angriffe gegen Sicherheitsmechanismen, Anwendungen und Systeme. Wir führen DNS-Cache-Poisoning-Angriffe durch und bewerten damit Angriffe auf zahlreiche Systeme im Internet. Im ersten Schritt werden wir unter Verwendung unseres Testbeds aus Projekt 1 neuartige Angriffe entwickeln und evaluieren. Im zweiten Schritt werden wir eine Live-Evaluierung der im Internet vorhandenen Angriffe vornehmen und umfassende Messungen durchführen, um den Umfang der Schwachstellen und den Anteil der gefährdeten Netzwerke und Systeme abzuschätzen.

Entwicklung und Einrichtung von Abwehrmaßnahmen. Wir werden an der Entwicklung von Abwehrmaßnahmen für die wichtigsten Internet-Protokolle arbeiten und dabei auf die Erkenntnisse aus Projekt 1 zurückgreifen. Wir werden versuchen, wenn möglich auf den bestehenden Abwehrmaßnahmen aufzubauen und gegebenenfalls Erweiterungen zu entwickeln, um Probleme zu lösen, die eine breite Akzeptanz der Sicherheit verhindern, z. B. durch zusätzliche Anreize oder die Beseitigung von Barrieren. Unser erstes und wichtigstes Ziel ist es, den Einsatz von RPKI und DNSSEC voranzutreiben. Bei ihrem Einsatz verhindern diese Abwehrmechanismen die meisten Traffic-Hijack-Angriffe (sei es aufgrund von BGP-Präfix-Hijacking oder als Folge von DNS-Cache-Poisoning).

Projekt 3 „Visuelle Sicherheitsanalyse“

Das ABC-Projekt Visuelle Sicherheitsanalyse konzentriert sich auf die Visualisierung von großen Sicherheitsdaten-Repositories. Das Internet ist ein riesiges Netzwerk, mit dem unzählige Geräte verbunden sind. In diesem Projekt arbeiten wir an Visualisierungen zur Analyse des globalen Internet-Routings sowie des lokalen Netzwerkverkehrs. Unser visuelles Analysetool für das globale Routing bietet neue Einblicke in die Verbindungen zwischen autonomen Systemen und schafft eine neuartige geografische Annäherung, wie der Traffic um die Welt gerouted wird. Der zweite Fokus liegt auf der Visualisierung des lokalen Netzwerktraffics. Da die Anzahl der Geräte in Firmen- oder Heimnetzwerken zunimmt und immer mehr unentdeckte Cyberangriffe stattfinden, arbeiten wir an einem neuen progressiven, visuellen Analysetool, um die großen Netzwerktraffic-Protokolldateien zu analysieren. Wir stellen einen Online-Prototyp unter https://netcapvis.igd.fraunhofer.de/ zur Verfügung, der bereits entwickelt wird. Im Rahmen dieser ATHENE-Mission arbeiten wir auch in Zusammenarbeit mit der TU Darmstadt an einer umfassenden Visualisierung von Computer-Botnetzen, um Crawler-Informationen zu analysieren, die von derzeit aktiven Botnetzen im Internet gesammelt werden.

Projekt 4 „Kollaborative Botnetz-Datenanalyse und Angriffserkennung“

Botnetze stellen eine besondere Gefahr im Internet dar. Sie können eingesetzt werden, um einzelne Ziele wie ein Unternehmen oder eine Regierungsbehörde verteilt durch massiven Datenverkehr auf die für die Angriffe verwendeten Knoten anzugreifen. Um potenzielle Opfer zu schützen, ist es somit notwendig, Botnetze so früh wie möglich zu erkennen und ihre Angriffe zu vereiteln, bevor sie ihre volle Angriffskraft entfalten können. Die heutigen zentralisierten Angriffserkennungssysteme im Internet reichen jedoch nicht aus, um Botnetze so früh wie nötig zu erkennen und zu bekämpfen. Ziel des Projekts ist es, ein neues System zu entwickeln, das dezentral gesammelte Daten durch kooperative Datenanalyse aggregiert und analysiert. Dies wird durch die lokale Datenverarbeitung dezentraler Instanzen und den Austausch der lokalen Angriffserkennungsergebnisse untereinander erreicht, um Bedrohungen in einem größeren Maßstab zu erkennen.

Verwandte Projekte

Projekt 6: „SecArch – Architecture and Processes for Effective Cybersecurity and Privacy Protection in Smart Cities (Architektur und Prozesse für effektive Cybersicherheit und Datenschutz in Smart Cities)“

Dieses Projekt ist Teil der ATHENE-Mission „Secure Urban Infrastructure (Sichere städtische Infrastruktur – SecUrban)“. Webseite

SFB 1119 CROSSING: „Privacy-Preserving Access and Verifiable Utilization (Privatsphärenschonender Zugriff und überprüfbare Nutzung)“

Ziel des Projekts sind die Sicherung der Internet-Infrastruktur und die Entwicklung von Techniken für den sicheren und datenschutzkonformen Zugriff auf Internetdienste und -Plattformen und deren Nutzung. Das Projekt untersucht den Kryptographie-Einsatz im Internet und identifiziert die damit verbundenen Herausforderungen und Hindernisse. Das Projekt entwickelt Mechanismen zur Kryptographie-Integration in die Internet-Infrastruktur und zur Automatisierung von Kryptographie-Nutzung und Betrieb. Die entwickelten Ergebnisse werden dann im Internet ausführlich evaluiert und mit Simulationen analysiert. Webseite

Schulungsgruppe RTG 2050: „Datenschutz und Vertrauen für mobile Nutzer“

Das Doktorandenkolleg „Datenschutz und Vertrauen für mobile Nutzer“ bietet eine hochgradig interdisziplinäre Zusammenarbeit zwischen der Informatik und den Bereichen Recht, Soziologie, Wirtschaftsinformatik und Usability, die als Graduiertenkolleg von der Deutschen Forschungsgemeinschaft (DFG) gefördert wird. Unser Ziel ist es, die Position mobiler Nutzer – denken Sie an Smartphone-Nutzer – gegenüber internetbasierten Diensten, sozialen Netzwerken und sensorgestützten Umgebungen (zusammengefasst als „Netzwerke“) zu verbessern. Webseite

5G Cybersicherheit und Datenschutz im bzw. für das 5G-Kernnetz und SDN/NFV