Abschlussarbeiten

Typ: Bachelorarbeit

Betreuer: Ro?berger

Abstract

Cyberangriffe und Sicherheitslücken sind eine st?ndige Bedrohung für Unternehmen und Einzelpersonen. Penetration Testing und Vulnerability Assessment sind wesentliche Methoden, um die Sicherheit von IT-Systemen zu gew?hrleisten. 百利宫_百利宫娱乐平台￥官网e Techniken helfen dabei, Schwachstellen zu identifizieren und zu beheben, bevor sie von b?swilligen Akteuren ausgenutzt werden k?nnen. Eine systematische Literaturstudie zu diesem Thema kann dabei helfen, aktuellen Ans?tze und Techniken zu verstehen und weiterzuentwickeln.

Die Aufgabe dieser Bachelorarbeit besteht darin, eine systematische Literaturrecherche durchzuführen, um die verschiedenen Vorgehensweisen, Techniken und Anwendungen im Bereich Penetration Testing und Vulnerability Assessment zu identifizieren. Dafür sollen relevante Quellen identifiziert, analysiert und die gewonnenen Erkenntnisse systematisch zusammengefasst werden, um einen ?berblick über den aktuellen Stand des Themenfeldes zu erm?glichen.

Im Rahmen dieser Arbeit sollen dafür folgende Forschungsfragen beantwortet werden:

• Welche Methoden, Techniken und Anwendungen werden aktuell im Penetration Testing eingesetzt?

• Welche neuen Entwicklungen und Trends gibt es im Bereich der IT-Sicherheit, die für Penetration Testing und Vulnerability Assessment relevant sind?

• Welche Herausforderungen und Limitationen bestehen bei der Durchführung von Penetration Tests und Vulnerability Assessments?

Literatur

• [1] Shah, Sugandh, and Babu M. Mehtre. "An overview of vulnerability assessment and penetration testing techniques." Journal of Computer Virology and Hacking Techniques 11 (2015): 27-49.

• [2] Al Shebli, Hessa Mohammed Zaher, and Babak D. Beheshti. "A study on penetration testing process and tools." 2018 IEEE Long Island Systems, Applications and Technology Conference (LISAT). IEEE, 2018.

Typ: Masterarbeit

Betreuer: Ro?berger

Abstract

In der heutigen digitalen Welt sind Instant-Messenger wie WhatsApp, Signal, Threema und Telegram zu einem unverzichtbaren Kommunikationsmittel geworden. Doch w?hrend diese Dienste inzwischen (fast) alle standardm??ig Ende-zu-Ende-Verschlüsselung verwenden und somit die Inhalte von Nachrichten vor Dritten verbergen, kann das Kommunikationsverhalten von Teilnehmern weiterhin Rückschlüsse über deren Pers?nlichkeiten und Kontakte geben.

In diesem Seminar soll untersucht werden, ob es m?glich ist, anhand des Netzwerkverkehrs von Instant-Messenger Apps (Mobil oder PC) zu erkennen, ob und wann Nachrichten gesendet bzw. empfangen werden und ob diese genauer erkannt werden k?nnen, bspw. Differenzierung zwischen Text-Nachrichten und gr??eren Dateien.

Dafür muss zuerst der Netzwerkverkehr dieser Anwendungen identifiziert und gefiltert werden. Im n?chsten Schritt soll getestet werden, ob das gezielte Senden/Empfangen von Nachrichten im anfallenden Netzwerkverkehr erkennbar ist (z.B. durch Gr??e, Anzahl oder H?ufigkeit von Paketen). Basierend auf den Beobachtungen der Experimente kann abschlie?end beurteilt werden, ob und wie gut eine Erkennung des Nutzerverhaltens in Messenger-Apps nur durch Beobachtung von anfallenden Netzwerkverkehr m?glich ist.

Beispiel-Literatur

• [1] Afzal, Asmara, et al. "Encrypted network traffic analysis of secure instant messaging application: A case study of signal messenger app." Applied Sciences 11.17 (2021): 7789.

Typ: Bachelorarbeit

Betreuer: Wittig

Abstract

Das Gesch?ftsmodell der verhaltensbasierten Werbung beruht darauf, so viele Informationen über die Nutzer wie m?glich zu sammeln. Dazu werden in einem verschachtelten ?kosystem an Anbietern diverse Techniken eingesetzt, um den Nutzer webseitenübergreifend bzw. ger?teübergreifend zu (re-)identifizieren und personenbezogene Daten auszutauschen. Am Ende des Prozesses soll der Werbeplatz in einer Echtzeitauktion an den H?chstbietenden verkauft werden. 百利宫_百利宫娱乐平台￥官网er Markt stellt für die informationelle Selbstkontrolle des Nutzers und dessen Privacy eine Bedrohung dar, da diesem (1) aufgrund der fehlenden Transparenz des Markts das Bewusstsein für das Abflie?en seiner personenbezogenen Daten fehlt sowie (2) dieser kaum bis keine Kontrolle über die Praktiken der Datensammlung und -verteilung ausüben kann.

In der Ver?ffentlichung "Online advertising: Analysis of privacy threats and protection approaches" wurden die Bedrohungen für die Privatsph?re des Nutzers, die in dem Markt für online Werbung existieren, modelliert und Schutzl?sungen miteinander verglichen. Allerdings stammt diese Ver?ffentlichung aus dem Jahr 2017. Seitdem haben sich Technik und Marktstrukturen stark ge?ndert, z.?B. das Ende von Flash-Cookies und Third-Party Cookies, Einführung der Privacy Sandbox Initiative.

Im Mittelpunkt der Privacy steht der Grundsatz der informationellen Selbstbestimmung, der besagt, dass der Einzelne die Kontrolle über seine pers?nlichen Daten und deren Verwendung in der virtuellen Welt haben sollte. Weiterhin wird Privacy ein individueller sowie sozialer Wert beigemessen, dessen Schutz der gesamten Gesellschaft zugutekommt.?Ein wichtiger Aspekt von Privacy Threat Modeling ist daher die Berücksichtigung von Machtasymmetrien (in Bezug auf Information) bei der Analyse bestehender oder geplanter Systeme. Darüber hinaus zielt sie darauf ab, Fehlentwicklungen bei der Gestaltung von Diensten aufzudecken und es dem Gegner zu erschweren, seine Kontroll- und Beeinflussungsabsichten zu realisieren.

Ziel dieser Bachelorarbeit ist es, Privacy Threats im online Werbemarkt zu modellieren. Als Basis soll die Ver?ffentlichung "Online advertising: Analysis of privacy threats and protection approaches" dienen, die aktualisiert und ggf. um eine soziale Dimension erweitert werden kann.

Grundlegende Forschungsfragen k?nnten sein:

1. Was versteht man unter Privacy Threat Modelling?
2. Was hat sich seit der Ver?ffentlichung sowohl in der Technik als auch am Markt ver?ndert und welche Implikationen haben diese?
3. Wie kann das Privacy Threat modelliert werden? Existieren weiterführende Modellierungstechniken?

Literatur

• Estrada-Jiménez, J., Parra-Arnau, J., Rodríguez-Hoyos, A., & Forné, J. (2017). Online advertising: Analysis of privacy threats and protection approaches. Computer Communications, 100, 32–51. https://doi.org/10.1016/J.COMCOM.2016.12.016
• Kim Wuyts, Wouter Joosen,?LINDDUN privacy threat modeling: a tutorial, CW Reports, CW Reports CW685, Department of Computer Science, KU Leuven, Leuven, Belgium, July, 2015.

Typ: Bachelorarbeit

Betreuer: Wittig

Abstract

L?ngst geh?ren Adblocker im Webbrowser zum Standardrepertoire jedes Nutzers. 百利宫_百利宫娱乐平台￥官网e blockieren unerwünschte Anfragen, u.?a. Web-Tracking Anfragen, des Clients anhand von Filterlisten, welche allerdings zahlreiche Nachteile mit sich bringen. Einer der gr??ten Nachteile betrifft die Robustheit der Regeln, da sie mit wenig Aufwand durch URL-Modifikationen kontinuierlich umgangen werden k?nnen. Anknüpfende Forschungsarbeiten konzentrieren sich daher auf die automatisierte Erstellung von Filterregeln mithilfe von Machine Learning. Jedoch setzen diese Verfahren Zugriff auf die Anwendungsschicht voraus. Dementsprechend handelt es sich bei diesen Ans?tzen um clientseitige Tools, die nicht ohne weiteres auf die Netzebene ausgeweitet werden k?nnen, da sich der Trend zur verschlüsselten Datenübertragung verlagert.?In dieser Abschlussarbeit soll das Potenzial tieferer Netzwerkprotokolle (insb. IP/TCP) zur Erkennung von Web-Tracking untersucht werden. Im weiteren Sinne geht es darum, den Zweck einer Kommunikationsbeziehung (hier Online-Werbung und Tracking) aus dem verschlüsselten Netzverkehr zu ziehen. Zu dieser Fragestellung gibt es in der Forschung zahlreiche Traffic Classification Probleme, die trotz Verschlüsselung Information durch Anwendung von Mustererkennung gewinnen k?nnen (siehe Literatur). Ziel dieser Arbeit soll es sein, ein realit?tsnahes Klassifikationsmodell anzuwenden, um kurze Konversations-Schnipsel eines Webhosts als (i) tracking oder (ii) non-tracking einzuordnen.

Literatur

• Akbari, I. et. al. (2022) ?Traffic Classification in an Increasingly Encrypted Web“, Communications of the ACM, 65(10), S. 75–83.
• Iqbal, U. et. al. (2020) ?AdGraph: A Graph-Based Approach to Ad and Tracker Blocking“, in 2020 IEEE Symposium on Security and Privacy, S. 763–776.
• Siby, S. et. al. (2020) ?Encrypted DNS ??Privacy? A Traffic Analysis Perspective“, in Network and Distributed System Security Symposium.

Typ: Masterarbeit

Betreuer: Ro?berger

Abstract

Moderne Kryptographie erm?glicht es, vertrauliche Informationen sicher mit anderen Personen über das Internet zu teilen. Doch bei dieser Kommunikation bleibt weiterhin sichtbar wer mit wem kommuniziert. So k?nnen Anbieter von E-Mails und Instant-Messengern sehen, wer mit wem schreibt, sowie ISPs beobachten, welche Webseiten besucht werden. Als L?sung für diese Gef?hrdung der Anonymit?t wurden Mix-Netzwerke entwickelt. Zuerst von Chaum [1] vorgeschlagen und aktuell bspw. in Loopix [2] implementiert.

Doch auch diese Netzwerke k?nnen angegriffen werden und passive Beobachter k?nnen durch das Beobachten von Sendern und Empf?ngern über mehrere Runden hinweg immer besser absch?tzen, wer mit wem kommuniziert. Dafür kann der Statistical Disclosure Angriff (SDA [3]) genutzt werden. 百利宫_百利宫娱乐平台￥官网er Angriff wurde bereits mit verschiedenen Ans?tzen in der Literatur erweitert (bspw. [4], [5], [6]), bietet jedoch weiterhin das Potenzial, verbessert zu werden. Dabei kann nicht nur die Effektivit?t des Angriffes selbst gesteigert werden, sondern auch der Einfluss von verschiedenem Nutzerverhalten und System-Konfigurationen untersucht werden.

Vorwissen über Mix-Netzwerke ist nicht notwendig. Da der Angriff implementiert, erweitert und evaluiert werden soll, sind Programmierkenntnisse erforderlich. Bestehende Implementierungen existieren in Java und Python.

Literatur

• [1] Chaum, David L. "Untraceable electronic mail, return addresses, and digital pseudonyms." Communications of the ACM 24.2 (1981): 84-90.

  [2] Piotrowska, Ania M., et al. "The loopix anonymity system." 26th {USENIX} Security Symposium ({USENIX} Security 17). 2017.

  [3] Danezis, George. "Statistical disclosure attacks: Traffic confirmation in open environments." Security and Privacy in the Age of Uncertainty: IFIP TC11 18 th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003.

  [4] Danezis, George, Claudia Diaz, and Carmela Troncoso. "Two-sided statistical disclosure attack." Privacy Enhancing Technologies: 7th International Symposium, PET 2007 Ottawa, Canada, June 20-22, 2007 Revised Selected Papers 7. Springer Berlin Heidelberg, 2007.

  [5] Troncoso, Carmela, et al. "Perfect matching disclosure attacks." Privacy Enhancing Technologies: 8th International Symposium, PETS 2008 Leuven, Belgium, July 23-25, 2008 Proceedings 8. Springer Berlin Heidelberg, 2008.

  [6] Emamdoost, Navid, Mohammad Sadeq Dousti, and Rasool Jalili. "Statistical Disclosure: Improved, Extended, and Resisted." arXiv preprint arXiv:1710.00101 (2017).

  ?

Typ: Bachelorarbeit

Betreuer: Ro?berger

Abstract

Moderne Kryptographie erm?glicht es, vertrauliche Informationen sicher mit anderen Personen über das Internet zu teilen. Doch bei dieser Kommunikation bleibt weiterhin sichtbar wer mit wem kommuniziert. So k?nnen Anbieter von E-Mails und Instant-Messengern sehen, wer mit wem schreibt, sowie ISPs beobachten, welche Webseiten besucht werden. Als L?sung für diese Gef?hrdung der Anonymit?t wurden Mix-Netzwerke entwickelt. Zuerst von Chaum [1] vorgeschlagen und aktuell bspw. in Loopix [2] implementiert.

Doch auch diese Netzwerke k?nnen angegriffen werden und passive Beobachter k?nnen durch das Beobachten von Sendern und Empf?ngern über mehrere Runden hinweg immer besser absch?tzen, wer mit wem kommuniziert. Dafür kann der Statistical Disclosure Angriff (SDA [3]) genutzt werden. 百利宫_百利宫娱乐平台￥官网er Angriff wurde bereits mit verschiedenen Ans?tzen in der Literatur erweitert (bspw. [4], [5], [6]), bietet jedoch weiterhin das Potenzial, verbessert zu werden.

So haben verschiedene Ans?tze versucht, aus den sichtbaren Beobachtungen mehr und mehr Informationen zu gewinnen, indem von symmetrischen Kommunikationsverhalten ausgegangen wird, Antwort-Wahrscheinlichkeiten und Kommunikationsbeziehungen berechnet werden. Doch all diese Ans?tze verlangen stets eine neue Idee, welche manuell implementiert werden muss. Eventuell sind aus den Beobachtungen noch weitere Rückschlüsse m?glich, welche bisher nicht erkannt wurden. So soll in dieser Arbeit versucht werden, mithilfe von Machine Learning Techniken Kommunikationsbeziehungen aufzudecken. 百利宫_百利宫娱乐平台￥官网e Ergebnisse k?nnen abh?ngig von verschiedenen Modellen und Szenarien evaluiert und mit bestehenden L?sungsans?tzen verglichen werden.

Programmierkenntnisse sind erforderlich und Grundkenntnisse in Machine-Learning hilfreich.

Literatur

• [1] Chaum, David L. "Untraceable electronic mail, return addresses, and digital pseudonyms." Communications of the ACM 24.2 (1981): 84-90.

  [2] Piotrowska, Ania M., et al. "The loopix anonymity system." 26th {USENIX} Security Symposium ({USENIX} Security 17). 2017.

  [3] Danezis, George. "Statistical disclosure attacks: Traffic confirmation in open environments." Security and Privacy in the Age of Uncertainty: IFIP TC11 18 th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003.

  [4] Danezis, George, Claudia Diaz, and Carmela Troncoso. "Two-sided statistical disclosure attack." Privacy Enhancing Technologies: 7th International Symposium, PET 2007 Ottawa, Canada, June 20-22, 2007 Revised Selected Papers 7. Springer Berlin Heidelberg, 2007.

  [5] Troncoso, Carmela, et al. "Perfect matching disclosure attacks." Privacy Enhancing Technologies: 8th International Symposium, PETS 2008 Leuven, Belgium, July 23-25, 2008 Proceedings 8. Springer Berlin Heidelberg, 2008.

  [6] Emamdoost, Navid, Mohammad Sadeq Dousti, and Rasool Jalili. "Statistical Disclosure: Improved, Extended, and Resisted." arXiv preprint arXiv:1710.00101 (2017).

  ?

Typ: Masterarbeit

Betreuer: Wittig

Abstract

Moderne Online-Werbung basiert auf hochkomplexen Informations- und Kommunikationssystemen, die eine pr?zise Auslieferung und korrekte Abrechnung von Werbeanzeigen erm?glichen. Aufgrund mangelnder Transparenz im Werbemarkt sind Nutzer jedoch zunehmend eingeschr?nkt in ihrer F?higkeit, ihr Recht auf informationelle Selbstbestimmung auszuüben. Insbesondere bleibt unklar, in welchem Umfang ihr Verhalten für zielgerichtete Werbung (Targeted Advertising) genutzt wird.

Die Studie "What Factors Affect Targeting and Bids in Online Advertising?: A Field Measurement Study" untersucht Bietstrategien von Werbetreibenden, indem sie die Relevanz verschiedener Datenquellen für Online-Werbung analysiert. Dabei werden Gebotsprozesse durch das weit verbreitete Header-Bidding-Verfahren mittels der JavaScript-Bibliothek Prebid.js?im Browser untersucht. Der methodische Ansatz dieser Studie weist jedoch Schw?chen auf: (1) Der Datensatz wurde manuell erstellt und umfasst lediglich zehn untersuchte Webseiten. (2) Die Analyse basiert auf realen Nutzerprofilen, wodurch Streueffekte und Unsch?rfen in den Daten entstehen k?nnen.

Um diese Einschr?nkungen zu adressieren, wird die vorliegende Arbeit die Untersuchung mit einem erweiterten und automatisierten Ansatz replizieren. Dazu werden künstlich erzeugte Personas verwendet, die auf einer initialen Webhistorie basieren. Anschlie?end werden mithilfe von OpenWPM?automatisierte Besuche auf tausenden Webseiten durchgeführt, um die Bietstrategien der Werbetreibenden systematisch zu analysieren. Im Zentrum der Untersuchung steht die Frage, inwiefern durch Web-Tracking erfasste Nutzerdaten für Targeted Advertising verwendet werden.

Literatur

• Zeng, E., McAmis, R., Kohno, T., & Roesner, F. (2022). What factors affect targeting and bids in online advertising? a field measurement study. Proceedings of the 22nd ACM Internet Measurement Conference, 210–229. doi.org/10.1145/3517745.3561460
• Englehardt, S., & Narayanan, A. (2016). Online Tracking: A 1-Million-Site Measurement and Analysis. Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 1388–1401. doi.org/10.1145/2976749.2978313