Die Arbeit wird in Kooperation mit Daimler TSS durchgef眉hrt.

The field of research of protocol reverse-engineering has gained increasing popularity in the recent years. Several papers proposing automatic protocol reverse-engineering tools for inferring the message formats of unknown network protocols operating on captured network traces were published in the past years. While some of these tools rely on field distinguisher tokens for approximating field boundaries with sequences of tokens, which can be used for inferring the message formats, others have adopted natural language processing methods for the identification of protocol keywords, which can be used to group similar messages together and use a sequence alignment algorithm to retrieve the message formats. The major limitation of these existing approaches is their computational efficiency. Therefore this thesis proposes an implementation which combines the ideas of two existing approaches and introduces some additional functionality in order to address these performance issues.

Sicherheit in IT-Systemen vor allem im Bereich von verteilten Systemen wird immer wichtiger. Jedoch sind Softwarel枚sungen f眉r diesen Zweck nicht als Sicher einzustufen. Der relativ leichte Zugang zu der Hardware von solchen Systemen stellt dabei das gr枚脽te Problem dar, Damit kann die Software umgangen werden. Somit sind Sicherheitsl枚sungen 眉ber Hardwarekomponenten n枚tig. Eine solche Komponente stellt die Physical Unclonabel Functions(PUF) dar. In dieser Arbeit werden m枚gliche Anwendungsszenarien vorgestellt in denen diese zum Einsatz kommen k枚nnen. Die Einsatzgebiete sind die Bereiche Authentifizierung und Identifizierung, Verwaltung von geheimen Schl眉sseln und Kryptographische Primitive An Hand der vorgestellten Szenarien werden dann Kriterien aufgestellt mit denen beurteilt werden kann wann und ob eine PUF eingesetzt werden kann.

For every communication between two or more participants in distributed systems or networks, protocols are needed in order to agree upon the way the communication messages are interpreted. Unfortunately, many protocols are unknown to the public because of missing or unavailable specifications. To understand the functionality of these protocols and, eventually, their message content, these unknown protocols need to be reversed engineered. At present, network protocol reverse engineering is performed mostly manually with the expertise and intuition of the engineer, insofar as there are no completely automated methods yet. If analyzed by hand, the most difficulties are faced when comparing protocols with variable field lengths, since the protocol鈥檚 structure is blurred and patterns cannot be detected easily. Furthermore, complex state machines are hardly manageable without the support of automated tools. The value gained from protocol analyses research ranges from general understanding of the protocol to security issues, such as the creation of specific firewall rules or by helping intrusion detection systems to identify the behavior of malware. This bachelor thesis analyzes static protocol analyses and describes every stage passed from capturing unknown protocols to the deduction of protocol message formats and the state machine. It thereby presents currently existing automatic approaches for each stage and the benefits compared to a purely manual task. Finally, it evaluates the current processes, emphasizes limitations and proposes improvement suggestions for the future.

Die Arbeit wird in Kooperation mit Code White durchgef眉hrt.

The Secure Execution PUF-based Processor (SEPP), designed and implemented previously by Florian Unterstein, counters the problem of code injection attacks which are still a major threat for computer security. The ultimate goal of this thesis is to end up with an operating system running on the SEPP. Intermediate goals this thesis will address are solutions for compiler support, deployment scenarios, multi-threading of secure and insecure execution modes and even software dependend hardware optimizations.

Despite decades of research and development, code injection attacks still pose a significant threat to computer security. Also, cloud computing services move the physical hardware out of the user鈥檚 reach. Therefore, there is a dire need for a secure computing environment which can protect personal computers from malware as well as maintain the integrity and confidentiality of programs even if executed in cloud computing scenarios. One method that establishes such an environment is code encryption. Physical unclonable functions (PUFs) have recently emerged as promising cryptographic primitives. PUFs leverage device inherent randomness and can be used to generate cryptographic keys which are tied to the hardware. We propose the architecture for a secure processor which uses PUFs to create and execute encrypted programs. The unique properties of PUFs are used to create programs which are only executable on the device they were created on. Instruction level encryption is employed to keep code encrypted within the system memory and caches which are considered unsafe. A prototype was implemented which is able to execute encrypted standalone programs. Benchmark results indicate a performance penalty of between 23% and 49% when executing encrypted programs. We are optimistic that the performance can be considerably improved and believe, that this architecture is a viable approach towards secure computing.

The manufacturers of IMDs guard the technical details of their devices very closely and hence, the onlyoption left at studying them is Reverse Engineering. Through reverse engineering IMD communication, weattempt to understand how the IMD and its programmer device communicate with each other, whattype of modulation is used, what kind of mapping of data with symbols is used and how the data isencoded.Once the details of IMD communication are established, grouping all the working modules into a singleentity should automate the whole process. Feasibility of automating the process of reverse engineering anunknown signal is also to be attempted considering the process does not require human intervention atany stage. If the process does require human intervention, then automation to the maximum possibleextent should make it convenient enough.

Die Arbeit wird in Kooperation mit Daimler TSS durchgef眉hrt.

Der Entwicklungszustand von Android-Malware ist in der heutigen Zeit sehr hoch und kommt dem von PC-Malware sehr nahe. Um b枚sartige Aktivit盲ten von hochentwickelter Android-Malware zu detektieren, identifizieren und zu rekonstruieren, ist eine kontinuierliche Weiterentwicklung von Tools zur forensischen Analyse unerl盲sslich. Ziel dieser Arbeit ist es, einen Ausschnitt der State of the Art Tools zur forensischen Analyse von Android-Malware zu untersuchen. Dabei wird ermittelt, welche Resultate diese bei der Analyse von hochentwickelter Android-Malware liefern und wie aussagekr盲ftig diese sind. Die Resultate werden anhand eines Kriterienkatalogs bewertet und miteinander verglichen. Dabei sollen vorhandene und fehlende Features der einzelnen Tools ermittelt, gegen眉bergestellt und ein Benutzerprofil f眉r jedes Tool beschrieben werden. Da das aktuelle Angebot an Tools zur forensischen Analyse von Android-Malware immens ist, werden zun盲chst Auswahlkriterien deklariert. In dieser Arbeit werden die drei webbasierten State of the Art Tools Mobile-Sandbox, Dexter und Andrubis genauer untersucht. F眉r die Toolanalysen werden die aktuell als hochentwickelt bekannten Android-Malware AnserverBot und Obad analysiert. Bei den Resultaten der Analysen stellt sich heraus, dass Andrubis durch die Kombination von statischer und dynamischer Analyse gr枚脽tenteils antiforensischen Ma脽nahmen entgegenwirkt und insgesamt aussagekr盲ftige Informationen 眉ber die Android-Malware liefert. Mobile-Sandbox listet bei Codeverschleierung und Codeverschl眉sselung keine und Dexter nur wenig aussagekr盲ftige Resultate auf. Alle in dieser Arbeit getesteten Tools sind in der Lage, ohne Fehlerprozesse, die zum Abbruch der Analyse f眉hren, hochentwickelte Android-Malware zu analysieren. Antiforensische Ma脽nahmen sind bei Android-Malware stark vertreten. Aufgrund dessen m眉ssen die forensischen F盲higkeiten der Tools auf statischer, als auch auf dynamischen Ebene stets weiterentwickelt werden. Dies ist bei der Implementierung von neuen Tools und bei der Verbesserung von aktuellen oder veralteten Tools von gro脽em Nutzen.

Die Arbeit wurde in Kooperation mit Daimler TSS durchgef眉hrt.

In unserem heutigen Zeitalter spielen Informationen und Technik f眉r viele Menschen eine wichtige Rolle. Die Machtposition und der Einfluss zahlreicher Unternehmen begr眉ndet sich in vielen F盲llen allein auf dem Informationsvorsprung gegen眉ber der Konkurrenz. So nehmen Themen wie Datensammlung und Informationsbeschaffung einen immer wichtiger werdenden Stellenwert in unserem Leben ein. Auch l盲sst sich der Fortschritt der Technik in allen Bereichen unseres Lebens wiederfinden. Mittlerweile gibt es kaum noch ein mobiles Endger盲t, welches nicht mit einem WLAN-Adapter ausgestattet ist. Es ist daher eine praxisrelevante Fragestellung, ob es m枚glich ist, personenbezogene Informationen durch die Sammlung von WLAN-Paketen zu erhalten.Um dieser Fragestellung nachzukommen, wird in dieser Bachelorarbeit eine Methodik vorgestellt, mit welcher sich ein WLAN-Ger盲t anhand seiner versendeten Probe Requests klassi- fizieren l盲sst. Das entwickelte Verfahren untersucht dabei sowohl das Sendeverhalten der Probe Requests als auch ger盲tespezifische Eigenschaften, welche in den Probe Requests enthalten sind. Es generiert Merkmalsvektoren aus den zeitlichen Abst盲nden der einzelnen Probe Requests und berechnet f眉r jeden generierten Merkmalsvektor den n盲chsten Nachbar aller bereits bekannten Ger盲te, welche 眉ber die gleichen ger盲tespezifischen Eigenschaften verf眉gen. Anschlie脽end wird f眉r jeden gefundenen Nachbarn eine prozentuale Wahrscheinlichkeit f眉r eine 眉bereinstimmung angegeben.Die Evaluation des Verfahrens ergab, dass WLAN-Ger盲te unter Ber眉cksichtigung ihrer ger盲tespezifischen Eigenschaften in kurzer Zeit mit einer hohen Wahrscheinlichkeit erfolgreich klassifiziert werden konnten.

The high demand and growing market for Implantable Medical Devices shows a widespread need for invisible and unobtrusive medical treatment of medical conditions like e.g. diabetes or cardiac arrythmia. The advancements of technology in this field make devices increasingly inter-connected, allowing them to communicate wirelessly with sensors, medical telemetry systems or device programmers. However, the increased complexity and the fact that many medical devices nowadays can be programmed and controlled via wireless links, brings with it a plethora of vulnerabilities. Adversaries capable of imitating authorized device programmers could gain control over IMDs, leading to serious injury or even death of their users. Other attacks could target a patient鈥檚 private medical data. This thesis strives to give an overview over the current state of research and recent developments in the field of IMD-security and privacy. It will discuss known vulnerabilities and possible defensive measures and evaluate the current risks involved with using a modern IMD. Based on these discussions, design concerns for IMD manufacturers are then summarized.

Diese Arbeit besch盲ftigt sich mit der Informationsspeicherung in Smartphones. Dabei geht es um pers枚nliche Informationen des Nutzers, die gespeichert werden. Genauer wird festgestellt, in wie weit man ein Benutzerprofil aus den Daten, die auf dem iPhone gespeichert werden, erstellen kann. Um dieses Ziel zu erreichen wird zuerst 眉berpr眉ft, welche benutzerspezifischen Daten ein iPhone speichert. Diese werden interpretiert, um daraus m枚glichst viele Informationen 眉ber den Nutzer zu erhalten. Es wird gezeigt, wie manuell aus diesen Daten ein Benutzerprofil erstellt werden kann. Dabei zeigte sich, dass auch ein Laie ein Benutzerprofil erstellen kann, dieses ist allerdings sehr oberfl盲chlich. Bei einem Experten der sich im Themengebiet auskennt, f盲llt das Benutzerprofil wesentlich detaillierter aus. Im iPhone sind viele Informationen 眉ber den Nutzer vorhanden, diese sollten entsprechend gesch眉tzt werden. Auf Grundlage dieser Erkenntnisse wird exemplarisch aufgezeigt, wie eine Benutzerprofilerstellung automatisiert ablaufen kann.