Seit 2001 findet die IDAACS-Konferenz alle zwei Jahre statt. Thema der Konferenz ist „Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications”. Seit 2007 ist die DECOIT GmbH regelmäßig mit Forschungsthemen vertreten. Dieses Jahr war sie sogar mit drei Beiträgen aus eigenen SIEM-Projekten dabei. Die Konferenz fand im Zeitraum 24.-26. September in Warschau an der dortigen Universität statt und enthielt viele interessante Themen, u.a. aus den Bereichen Cyber-Security, künstliche Intelligenz und Wireless.

Das Hauptziel der IDAACS-Veranstaltungen (http://idaacs.net/2015) ist die Bereitstellung eines Forums, das Berichte in hoher fachlicher Qualität in den Bereichen State-of-the-art-Theorien, Technologien und Applikationen liefert. So wurden in diesem Jahr nur 71 % der eingereichten Fachbeiträge akzeptiert und durften vorgestellt werden. Die Vorschläge der DECOIT GmbH wurden alle angenommen, so dass sie dieses Jahr sogar mit drei Fachbeiträgen beteiligt war!

Scanner zur automatisierten Überprüfung von Web-Anwendungen

Im Bereich Cyber-Security wurde auf die Smartphone-Sicherheit eingegangen, speziell auf Android-Betriebssysteme. Dies lag nicht an größeren Schwachstellen, im Vergleich zu anderen Mobilsystemen, sondern an der offeneren Plattform, bei der Fehler stärker kommuniziert werden. Web-Anwendungen, die, ähnlich wie Smartphone-Systeme, aus unserem Lebensalltag nicht mehr wegzudenken sind, bieten auch diverse Fallstricke durch Software-Fehler. Diese können nicht alle abgesichert werden. Eine manuelle Überprüfung der Quellcodes oder Apps ist im Grunde notwendig, aber leider nicht durchführbar. Daher wurde für Web-Anwendungen der Einsatz von Scannern untersucht, die eine automatisierte Überprüfung durchführen. Dies betrifft sog. Web Crawler (Bot, der systematisch durch das Internet geht), Web Scraper (extrahiert Infos von Webseiten) und Fuzzer (testet die Gültigkeit von Anwendungen). So wurden Skipfish und Zed Attack Proxy (ZAP) evaluiert mit unterschiedlichen Ergebnissen. Beide Systeme konnten Cross Site Scripting (CSS), SQL Injection (SQLi) oder File inclusion (Fi) nicht wirkungsvoll aufdecken. Allerdings entdeckte OWASP ZAP wesentlich mehr Schwachstellen als Skipfish und hatte keine False Positives. Eine absolut sichere Web-Anwendung ist daher heute nicht möglich.

Prototyp eines intelligenten Cyber-Defense-Systems von Kaspersky

Im Bereich der künstlichen Intelligenz (KI) stand ebenfalls das Android-OS im Vordergrund, da es inzwischen einen Anteil von 84 % am mobilen Markt besitzt (iOS kommt nur auf einen Anteil von 12 %). Speziell bei Hackern steht Android dadurch im Fokus. Verschiedene Schichten zur Abwehr sind heute bereits in das Android-System integriert, weshalb Google davon ausgeht, dass ausreichende Sicherheit vorhanden ist. Jedoch wird bei 70 % der freien Apps der Ort des Anwenders ermittelt und 31 % durchsuchen das Adressbuch. Zusätzlich nimmt die Maleware-Verbreitung für Mobilgeräte stetig zu (ca. 300.000 neue Malware-Applikationen alleine im Jahr 2014). Die Gegenmaßnahmen für Android-Geräte basieren auf einem Sandbox- und Berechtigungskonzept. Jede Applikation muss dabei eine Manifest-Datei besitzen. In einem Projekt mit dem Anti-Viren-Hersteller Kaspersky wurde ein intelligentes Cyber-Defense-System im Prototypenstatus entwickelt. Dieses erstellt aus der Manifest-Datei ein „Permission Vector“, der zusätzlichen Schutz ermöglichen soll. Das Projekt basiert auf Cloud Computing, welche Maleware Detection, Intrusion Detection, Mobile Device Detection und Personal Encryption bereitstellt. Künstliche Intelligenz wird an dieser Stelle angewandt, um noch unbekannte Maleware zu erkennen. Die Entwickler erhoffen sich dadurch größere Gesamtsicherung von Android-Geräten.

Event-Korrelation durch Anomalie-Erkennung zusätzlich zur Mustererkennung

Wie KI-Verfahren eingebunden werden können, wurde auch anhand des iMonitor-Projekts (www.imonitor-project.de) der DECOIT eindrucksvoll dargestellt. In diesem BMWi-Projekt wurde eine neue Form der Event-Korrelation entwickelt, die neue Attacken durch Anomalie-Erkennung identifiziert und nicht nur Mustererkennung nutzt, wie das bei vielen Herstellerlösungen der Fall ist. Die Architektur von iMonitor enthält Sensoren, die Daten sammeln, eine Zeitreihenanalyse, die nach Anomalien im Netzwerk-Traffic Ausschau hält, und eine Korrelationskomponente sowie eine zentrale grafische SIEM-Oberfläche. Über einen Knowledge Server können Regeln hoch- und runtergeladen werden. Die Wissensrepräsentation wird über eine Ontologie-Basis vorgenommen; dadurch kann das gesamte Netzwerk mit allen Komponenten aufgenommen werden. Neue Sensoren können ebenfalls eingebettet werden. Die Anomalie-Erkennung wurde anhand von Performance-Daten umgesetzt, so dass jede Abweichung von früheren Messungen analysiert wird. Aber erst bei einem Bündel von Anomalien wird ein Vorfall generiert. Die Skalierbarkeit eines solchen Systems hängt allerdings von der Anzahl der Events ab, die es zu bearbeiten hat. Dies kann durchaus zu einem Big-Data-Problem werden. iMonitor hat aber bewiesen, dass unbekannte Vorfälle automatisch erkannt werden können. Zudem lassen sich durch die Korrelation der Events Zusammenhänge besser deuten.

Sicherer Zugang zu IT-Systemen durch biometrische Verfahren

In einer Keynote wurde auf die Entwicklung der Biometrik eingegangen, um mittels biometrischer Verfahren einen sicheren Zugang zu IT-Systemen gewährleisten zu können. Heute wird meistens ein Passwort benötigt, selbst wenn ein Token oder Zertifikate verwendet werden. Biometrische Erkennung erfolgt normalerweise durch Finger oder Gesicht. Allerdings beinhaltet dies eine gewisse Kooperation der zu authentifizierenden Person. Um die Privatsphäre besser zu schützen, sollten eher Verhalten, Umrisse der Person etc. verwendet werden, da diese Methoden 99 % Genauigkeit erreichen. Ein neuer Ansatz kombiniert zwei Aspekte miteinander: konventionelle Sensorerkennung und KI-Verfahren. Fazit war, dass biometrische Systeme eine kritische Komponente für die IT-Sicherheit darstellen können, aber die Authentifizierung erleichtern. Bei hochwertigen Systemen kann durch Einbindung höhere Sicherheit im Vergleich zu herkömmlichen Passwort-basierten Varianten gewährleistet werden. Trotzdem werden biometrische Verfahren bisher selten eingesetzt; auch wenn der Trend durch Laptops und Smartphones zunimmt.

Erfassung von Emotionen während der Smartphone-Nutzung

Eine andere Variante KI-Verfahren einzusetzen wurde in dem Projekt „Happy Student“ vorgestellt. Hier wurden die Emotionen von Personen während der Smartphone-Nutzung erfasst und für bestimmte Anwendungen ausgewertet. Dies sollte so erfolgen, dass auch die Privatsphäre der Anwender weiter erhalten bleibt. Die Emotionen zu Erfassen macht deshalb Sinn, weil damit auf den Stresszustand der Person reagiert werden kann, um dann z.B. automatisch andere Musik anzubieten. Dadurch kann Wohlfühlatmosphäre verbreitet werden. Eine interessante Anwendung, die von vielen Studenten angenommen wurde.

Problem abgefangener Top-Level-Domains (TLD)

Das Problem abgefangener Top-Level-Domains (TLD) wurde ebenfalls behandelt, da nicht korrekt weitergeleitete Kommunikation im Internet heute ein großes Problem darstellt. Dabei gestaltet es sich schon schwer eigene Domains permanent zu verteidigen. Es werden ca. 1.000 neue TLD pro Jahr beantragt. Diese beinhalten alle Catch-all E-Mail-Adressen, die u.a. bei ähnlichen Domains falsch adressiert werden können. Auch die Funktion Autovervollständigung ist oftmals auf Anwenderseite ein Problem, da dann falsche Domains/Mails leicht zustande kommen können. Länderdomains bestehen nur aus zwei Zeichen und können ebenfalls leicht verwechselt werden, wenn sie sich nur in einem Zeichen unterscheiden („.cn“ für China und „.ca“ für Kanada). Zusätzlich existieren überlappende Domains, wie z. B. „.in“ für Indien und „.info“ für allgemeine Informationsseiten, die als Alternative für „.net“ und „.com“ eingeführt wurde. Die Empfehlungen der IANA sollten bei der Beantragung neuer Domains unbedingt beachtet werden, um Verwechslungen zu vermeiden. Laut Statistik haben ca. 67 % der TLD heute ein Problem mit der korrekten Ansteuerung.

Sichere Authentifizierung durch logische Zugriffskontrollmethode

Sichere Authentifizierung wurde in einem anderen Vortrag behandelt. Dabei wurde ausgeführt, dass die übliche Authentifizierung heute auf einem zentralen Einwahlserver basiert, der von einem Security Administrator überwacht wird. Wenn die User Credentials abhandenkommen, ist die Sicherheit akut gefährdet. Daher wird eine logische Zugriffskontrollmethode vorgeschlagen, bei der mehrere Benutzer-Attribute eingegeben und evaluiert werden, um einen sicheren Zugriff zu gewährleisten. Auch die Eingabe von Access Control Policys wird ermöglicht und der Zugriff kann zeitlich begrenzt werden. Besonders gut ist die Lösung geeignet, wenn Teilnehmer schnell gewechselt werden müssen. Aber wenn ähnliche Attribute für verschiedene Personen gelten, können Konflikte entstehen. Eine Umsetzung kann durch SAML (online) oder X.509-Zertifikate (offline) erfolgen. Diese Lösung könnte eines der größten Probleme des digitalen Zeitalters, die Einhaltung der Privatsphäre, lösen.

Authentifizierung durch IF-MAP-basierte Android App

Im zweiten Vortrag der DECOIT GmbH wurden die Arbeiten an der App „DECOmap for Android“ vorgestellt. Die App ist sowohl mit dem SIMU-Projekt (www.simu-project.de), als auch mit dem iMonitor-Projekt (www.imonitor-project.de) verknüpft. Motivation der Entwicklungsarbeiten war, die wachsende Verbreitung von Android im Unternehmensumfeld – speziell oder auch gerade durch BYOD-Szenarien. Aktuell findet allerdings nur eine Benutzer-Authentifizierung statt. Der Status des Endgeräts, z. B. Firmware-Status oder Patch-Zustand, sowie dessen Integrität wird nicht einbezogen. Aus diesem Grund wurde in einem früheren Forschungsprojekt der DECOIT eine IF-MAP-basierte Android App entwickelt, die entsprechende Metadaten (Build Number, Firmware Version, CPU Load etc.) ausliest und an einen zentralen Server schickt. Der Ansatz basiert auf der TNC-Spezifikation der Trusted Computing Group (TCG). Allerdings besitzen nicht alle SIEM-Systeme eine IF-MAP-Schnittstelle, weshalb die Android App um NSCA für Icinga (Nagios) erweitert wurde. „DECOmap for Android“ ist Open Source und kann über die Projektwebseiten oder Github kostenlos genutzt werden.

Entwicklung von Services mit 6LoWPAN-Protokoll

Ein Vortrag zum Thema Wireless behandelte das 6LoWPAN-Protokoll. Dieses basiert u.a. auf IPv6, das aufgrund der Adressknappheit in industriellen Systemen immer häufiger eingeführt wird. 6LoWPAN ist daher immer verbreiteter, auch um das „Internet der Dinge“ besser unterstützen zu können. Home Automation wird ebenfalls immer wichtiger und erobert immer mehr Marktanteile. Das Application Framework von ETSI M2M ermöglicht es nun Services zu entwickeln, ohne das darunterliegende Netzwerk zu beachten. Da http als Kommunikationsprotokoll für Wireless-Umgebungen zu Overhead-lastig ist, wurden zusätzlich Alternativen, wie SenML, CBOR, oBIX und ZigBee, untersucht. Man blieb letztendlich aber dem ETSI M2M Framework treu, da es sich gut für RESTful-Architekturen eignet.

Intelligente Auswertung des Stromverbrauchs im Haushalt

Ein anderes Projekt stellte das Messgerät Energy Meter für die Auswertung des Verbrauchs im Haushalt vor. Das Messgerät erkennt Datensätze, bzw. Muster, wodurch es in der Lage ist alle Geräte im Haushalt zu erkennen, auch wenn sie ausgeschaltet sind. Allerdings muss der verwendete intelligente Algorithmus relativ lange trainiert werden. Das Problem ist, dass heute zu viele Stromverbraucher genutzt werden, die große Stromreserven benötigen. Trotzdem können durch diesen Ansatz Stromfresser erkannt und eliminiert werden, was sich positiv auf die Energiebilanz eines Haushalts auswirken wird.

Computer Automated Measurement and Control

Am dritten Tag empfing ein Key-Note-Sprecher aus Kalifornien die Zuhörer im Auditorium mit Händedruck. Er behandelte das Thema CAMAC, welches für „Computer Automated Measurement and Control“ steht. Zur Datenermittlung und -kontrolle basiert CAMAC dabei immer auf einem Bussystem. Dabei wurden die Systeme durch die Entwicklung des Internets quasi überrollt. Häufig wird nicht zwischen Safety und Security unterschieden und dafür nur auf Verfügbarkeit geachtet. Inzwischen sind überall CAMAC-Systeme verbaut, auch in Autos oder Flugzeugen. Um auch zukünftig die Sicherheit von CAMAC-Systemen zu gewährleisten, müssen sie sich im Bereich Performance sowie Safety und Security dringend weiterentwickeln. Die Thematik wird zukünftig durch Wearable Computing an Prägnanz gewinnen.

Wearable Computing in Smart-Home-Umgebungen

Wie Wearable Computing in Smart-Home-Umgebungen eingesetzt werden kann, legten die Wireless-Sessions dar. Hier wurde die Technik als Gesundheitsüberwachung und zur Lokalisierung von sensorlosen Personen im Haus eingesetzt. Verhalten kann anhand von Mustern untersucht und überwacht werden. Das ist besonders bei älteren Teilnehmern wichtig, da sich der Gesundheitszustand relativ schnell verändern kann. Record-Knoten arbeiten hier mit Xbee- und WiFi-Technik und speichern die Daten auf einer SD-Karte ab. Die Ultra-Wideband-Technik wurde in den Wireless-Knoten für die Lokalisierung verwendet. Dadurch lassen sich intelligente Häuser bauen, die automatisch Alarm schlagen, wenn sich der Gesundheitszustand der Bewohner verschlechtert.

Bei der Abschluss-Session der IDAACS wurde auf die nächste Konferenz in zwei Jahren hingewiesen, die in Bukarest stattfinden wird. Als Fazit stellten die Organisatoren fest, dass die IDAACS Ost und West zusammenbringt, unabhängig von der politischen Ausrichtung. Auch eine weitere IDAACS Wireless wird es geben, die wieder in Offenburg stattfinden wird. Die Veranstaltung war insgesamt sehr interessant und informativ, so dass wir sicherlich in den kommenden Jahren wieder eigene innovative Beiträge leisten werden. Unsere diesjährigen Beiträge können, wie gewohnt, im Download Center herunterladen geladen werden.