Verschiedene Aspekte von IT-Sicherheit

ARES 2022

Wie ich feststellen musste, hatte ich in den letzten 12 Monaten keine Beiträge geschrieben. Das obwohl wir einige interessante Paper publiziert hatten und drei (?) Incidents bei LastPass passierten. Letzteres hat natürlich mit einem meiner Forschungsthemen, Identitätsmanagement, zu tun. Vielleicht schreibe ich demnächst noch einen Blogartikel dazu. Aber heute soll es zunächst um die Paper gehen.

ARES 2022

ARES 2022

Eine „Haus“-Konferenz für mich ist die ARES-Konferenz, die letztes Jahr in Wien stattfand. Hier hatten Nils Gruschka von der University of Oslo, Leonhard Ziegler, einer meiner Studenten, und ich ein Paper zu „Multi-Account-Dashboard for Authentication Dependency Analysis“ veröffentlicht. Es geht dabei um Benutzerkontennetzwerke, die beispielsweise durch Single-Sign On oder Fallback Authentifizierung (z.B. Rücksetzungslink per E-Mail) entstehen. Sicherheit ist nur so gut wie das schwächste Glied und das kann leicht eine schlecht gewählte Fallback Methode sein. In dem Paper stellen wir verschiedene Methoden vor, um genau das sowie die Möglichkeit des Aussperrens zu analysieren. Das ganze wurde von Leonhard Ziegler als Plugin für KeePass als Proof of Concept implementiert. Basierend darauf hatte er zudem eine kleine Nutzerstudie durchgeführt. Aktuell laufen schon ein paar Nachfolgearbeiten, auf die ich schon gespannt bin.

Zusätzlich haben Wolfgang Hommel und ich einen ersten Schritt Richtung Taxonomie zu Angriffen auf Identitäten und Identitätsmanagementsystemen auf einem ARES-Workshop veröffentlicht. Das Paper entstand aus der Notwendigkeit, diese Angriffe für eine Masterarbeit und eine Vorlesung zu strukturieren. Nachdem wir keine vergleichbare Literatur fanden, erstellten wir eine erste Taxonomie, die veröffentlicht wurde. Diese Taxonomie wird aktuell verbessert und die passenden Gegenmaßnahmen sollen anschließend folgen. Das Paper findet ihr neben ACM auch auf arxiv.

IEEE ACCESS und MDPI

Zwei etwas länglichere Werke zu Identitätsmanagement wurden bei IEEE Access und MDPI veröffentlicht. Bei IEEE Access findet ihr „Reference Service Model Framework for Identity Management„, ein Artikel zu Referenzmodellen für Identitätsmanagement basierend auf ArchiMate. Basierend auf einem ausführlich beschriebenen Metamodell haben Wolfgang Hommel und ich Modelle für unterschiedliche Protokolle, Implementierungen und Richtungen erstellt. Dies mündet in einem Gesamtmodell, welches nötige Schnittstellen und Kombinationsmöglichkeiten zeigt. Basierend darauf werden sinnvolle Tools identifiziert, die eingebaut werden können.

Im Artikel „Combining SABSA and Vis4Sec to the Process Framework IdMSecMan to Continuously Improve Identity Management Security in Heterogeneous ICT Infrastructures“ versuchen Sebastian Seeber, Wolfgang Hommel und ich, einen umfassenden Verbesserungsprozess für Identitätsmanagement, insbesondere Identifizierung, Authentifizierung und Autorisierung, zu entwickeln und anhand einer Case Study praktisch auszuführen.

ICISSP 2023

Letzte Woche fand die Konferenz ICISSP in Lissabon statt, auf der ich u.a. drei Paper und ein Poster vorstellen durfte. Allesamt sind Veröffentlichungen basierend auf studentischen Abschlussarbeiten, was mich umso mehr freut.

ICISSP Poster

Anastasia Dimaratos hat in ihrer Bachelorarbeit eine Vergleichsmetrik für Keystroke Dynamics entwickelt, wobei hier immer noch passende Datensätze und Templates abgehen, um die Ansätze sinnvoll zu vergleichen. Nichtsdestotrotz ein wichtiges Thema, zumal einzelne Firmen bereits mit Keystroke Dynamics experimentieren, um beispielsweise Betrugsanrufe indirekt zu identifizieren. Ich selbst sehe Keystroke Dynamics als eine Methode an, die für kontinuierliche Authentifizierung eingesetzt werden kann – wenn sie datenschutzkonform umgesetzt wird. Als primäre Authentifizierung würde ich sie nach aktuellem Stand nicht einsetzen und Angriffsvektoren müssen zudem noch genauer analysiert werden. Das war  jedoch explizit nicht Teil der Arbeit.

In der dem Paper zugrunde liegenden Masterarbeit und Seminararbeit von Marcus Walkow ging es um die systematische Suche nach identitätsbezogenen Daten im Internet. Im Paper haben wir zunächst die Informationen und Informationsquellen kategorisiert, bevor wir die Implementierung aus der Masterarbeit beschrieben haben. Die Suche wurde am Beispiel von Olaf Scholz veranschaulicht. Aber warum ist das wichtig? Jeder von uns hinterlässt Informationen im Internet. Diese Informationen können für Angriffe genutzt werden, beispielsweise um Phishing-Angriffe auf die jeweiligen Personen anzupassen oder schlecht erstellte Passwörter mit persönlichem Bezug zu erraten.

Amélie Dieterich hat in ihrer Bachelorarbeit, betreut von Matthias Schopp, Lars Stiemert und Christoph Steininger, Persistenzmethoden von Malware auf Windows Betriebssystemen anhand einer entwickelten Metrik in einer Testumgebung getestet und bewertet. Hierbei sind die einzelnen Methoden meist gleich gut mit zwei Ausnahmen aus dem Nutzerkontenbereich. Die Änderung eines Kontos fällt besonders schlecht aus, da dadurch der eigentliche Nutzer keinen Zugriff mehr erhält, während die Erstellung eines Adminkontos etwas besser als der Rest bewertet wurde. Auffallend ist jedoch der Unterschied zu ohne und mit eingebauten Gegenmaßnahmen. Windows Defender kann laut der Untersuchung nicht zwischen legitimen und illegitimen Nutzer unterscheiden.

Als letztes gibt es noch das oben gezeigte Poster, welches auf der Bachelorarbeit von Andreas Eipper beruht. Hier ging es darum, ein Blue Team Szenario für Anfänger am Beispiel eines Brute-Force-Angriffs auf eine Authentifizierungsseite zu erstellen. Auch wenn das Szenario simpel klingt, ist die Systematik dahinter (von Strukturierung über Lernziele bis hin zu einer einfachen Beschreibungssprache) für weitere Szenarien wiederverwendbar. Zudem ist es wichtig, Studierende früh an die Praxis heranzuführen und das ist damit gelungen.