005.8 Internetkriminalität, Computersicherheit, Datensicherung, Computerforensik, Identitätsverwaltung
Refine
Document Type
- Bachelor Thesis (92)
- Master's Thesis (14)
- Diploma Thesis (3)
Keywords
- Computerforensik (49)
- Computersicherheit (37)
- Datensicherung (18)
- Android <Systemplattform> (3)
- Digitalisierung (3)
- Mobiles Endgerät (3)
- Rekonstruktion (3)
- Active Directory (2)
- Computerkriminalität (2)
- Firewall (2)
Institute
Vor dem Hintergrund der stetigen Digitalisierung gewinnen ebenfalls der Schutz von Daten und die Privatsphäre im digitalen Raum an Bedeutung. Insbesondere das Management digitaler Identitäten befindet sich im Umbruch. Zentralisierte Identitätsprovider haben begonnen, mit dem Konzept der Passkey-Technologien ein neues Authentifizierungsverfahren in ihre Systeme zu implementieren, welches künftig das Passwort ablösen soll. Das Konzept Self-Sovereign Identity (SSI) bietet ein dezentralisiertes System zur eigenständigen Identitätsverwaltung. Die Arbeit befasst sich mit der prototypischen Entwicklung einer erweiterbaren Schnittstelle zur Validierung digitaler Nachweise in einem SSI-Ökosystem in Form eines Plugins für das Content-Management-System WordPress. Dieses Plug-in soll eine alternative Authentifizierungsmethode zu Passkey-Technologien von Identitätsprovidern darstellen.
Diese Arbeit präsentiert ein Protokoll für vertrauliche Transaktionen auf Ethereum, das auf einer kontenbasierten Struktur und Paillier-Verschlüsselung basiert. Die Integration von Non-Interactive Zero-Knowledge Range Proofs (NIZKRP) verbessert die Sicherheit. Die Implementierung und Tests auf Ethereum zeigen vergleichbare Transaktionskosten (Sicherheitsparameter 40) im Vergleich zu Protokollen mit Bulletproofs. Bei einem Sicherheitsparameter von 128 (NIZKRP-Empfehlung) ist das Protokoll jedoch nicht anwendbar. Die Arbeit betont die Effizienz und Wettbewerbsfähigkeit, hebt jedoch die Herausforderung bei höheren Sicherheitsparametern hervor. Das Protokoll bildet eine solide Grundlage, erfordert jedoch weitere Optimierungen für breitere Anwendbarkeit.
Die vorliegende Arbeit beschäftigt sich mit der Fragestellung ob und warum die Anzahl von IT-Sicherheitslücken exponentiell steigt. In Zuge dessen wird der Zusammenhang zwischen der Entwicklung von Sicherheitslücken und der Entwicklung der Code-Länge über die Zeit untersucht. Um die Forschungsfrage zu beantworten, wurden CVE-Daten ausgewertet. Dabei wird nicht nur die allgemeine CVE-Entwicklung, sondern auch ausgewählte Software-Systeme im Speziellen betrachtet. Um die Code-Länge zu untersuchen, wurden die LOC der einzelnen Software-Systeme analysiert. Die Untersuchung ergab, dass die Entwicklung der CVE gesamt einen exponentiellen Trend verfolgt. Die CVE-Entwicklung der einzelnen Software-Systeme verfolgt im Gegensatz dazu in der Mehrheit einen linearen Trend. Auch die LOC-Entwicklung der Software-Systeme passt sich diesem Trend an. Somit zeigt sich, dass die drastische Entwicklung der Sicherheitslücken nicht ausschließlich durch eine drastische LOC-Entwicklung beeinflusst wird, sondern von verschiedenen Faktoren abhängt, die sich untereinander verstärken.
Die Auswertung von Kurznachrichten, die auf mobilen Endgeräten gespeichert sind, nimmt bei strafrechtlichen Ermittlungen immer mehr an Bedeutung zu. Häufig sind Ermittler hierbei mit umfassenden Nachrichtenmengen konfrontiert. Um einen Überblick zu erhalten, wäre eine kompakte Zusammenfassung der zahlreichen Nachrichten hilfreich. Eine Möglichkeit diese automatisiert zu erhalten, stellt die Themenmodellierung dar. Diese ist allerdings bei forensischen Kommunikationsdaten mit besonderen Herausforderungen verbunden. Zu diesen zählt die Tatsache, dass der Ermittler oft eine Erwartungshaltung an die Themen hat, wobei die für ihn interessanten Themen häufig nur zu einem geringen Anteil in den Daten vertreten sind. Um ihn bei dem Finden von Beweisen zu diesen Themen zu unterstützen, wurden zwei Methoden der halbüberwachten Themenmodellierung und Erweiterungen basierend auf Word Embeddings und paradigmatischen Relationen miteinander verglichen. Insbesondere für umgangssprachliche Kurznachrichten ist die Evaluierung der Themenmodellierung als schwierig anzusehen, da bisherige Studien gezeigt haben, dass gängige quantitative Evaluierungsmaße bei diesen nicht unbedingt die tatsächliche Interpretierbarkeit der Themen widerspiegeln. Daher bestand ein weiteres Ziel der Arbeit darin zu untersuchen, inwieweit die Ergebnisse einer regelmäßig angewendeten automatischen Evaluierungsmethode durch eine Nutzerstudie wiedergegeben werden. Insgesamt konnte festgestellt werden, dass nach der quantitativen Evaluierung die halbüberwachte Themenmodellierung unter Einbeziehung von paradigmatischen Relationen als besonders erfolgversprechend angesehen werden kann, während nach der Nutzerstudie vor allem die Word Embeddings die Ergebnisse der halbüberwachten Themenmodellierung verbessern konnten. Des Weiteren zeigte sich, dass keine Korrelation zwischen den Resultaten der automatischen Evaluierung und der Nutzerstudie vorlag.
Die vorliegende Arbeit beschäftigt sich mit der Umsetzung einer Viewer X-Tension für die Darstellung von ESE Datenbanken in X-Ways Forensics. Dazu wird vor allem der konkrete Aufbau und die Struktur einer ESE Datenbank analysiert und vorgestellt. Weiterhin werden die technischen Grundlagen der Software X-Ways Forensics und der X-Tensions-API zur Erstellung einer Erweiterung gelegt. Zudem werden die Schritte der Umsetzung aufgezeigt und die konkrete Programmimplementierung an Code-Beispielen erläutert.
Im Reverse Engineering und in der Malware-Analyse wurden bereits verschiedene Ansätze zur Visualisierung von Binärdaten entwickelt. Mit diesen lässt sich schnell ein Überblick über Dateien gewinnen, sodass beispielsweise verschiedene Regionen einer Datei identifiziert oder eine bösartige Datei einer Malware-Familie zugeordnet werden kann. In der vorliegenden Masterarbeit wird versucht, diese Ansätze auch sektorweise auf einen Datenstream anzuwenden. Dafür wird ein Demonstrator erstellt, mit dem Sektoren automatisiert nach Dateitypen klassifiziert werden können. Ziel ist es, einen Ansatz zur Verbesserung der aktuellen, signaturbasierten IT-forensischen Methoden zur Wiederherstellung von fragmentierten oder gelöschten Daten zu finden.
Das Ziel in der vorliegenden Arbeit ist es zu beantworten, ob die Programme Magnet AXIOM und Kipo Analyzer sich für die Klassifikation von Kinderpornographie eignen. Dazu wird folgende Forschungsfrage gestellt: Erkennen die Programme Magnet AXIOM und Kipo Analyzer ausreichend kinderpornographisches Material von gesicherten Asservaten, um die Anforderungen zur Entlastung von Ermittlern zu erfüllen? Zur Beantwortung dieser Frage wurde ein selbst zusammengestellter Datensatz mit den Programmen getestet. Hierbei erzielte das Programm Magnet AXIOM einen Recall von 70,13 % und eine Spezifität von 60,42 %. Im Vergleich erzielte der Kipo Analyzer einen Recall von 42,56 % und eine Spezifität von 97,5 %. Die Präzision und der F1-Score fiel bei beiden Programmen schlecht aus durch den unausgeglichenen Datensatz. Abschließend kann keine endgültige Aussage über die Eignung der Programme hinsichtlich der Klassifikation von Kinderpornographie gemacht werden. Die Programme müssten mit unterschiedlichen Datensätzen und Zusammensetzungen getestet werden.
Die folgende Arbeit befasst sich mit dem forensischen Informationspotential von Smart Home Security Geräten, in diesem Fall dem Starter-Kit der Firma Ring. Hierfür wurde die Funktionsweise des Systems genauer untersucht und es wurden Manipulationsversuche und Datensicherungen durchgeführt. Diese Manipulationen bezogen sich hier genauer auf die zwei internetfähigen Geräte, die Basisstation und die Kamera. Die Datensicherungen fokussierten sich insbesondere auf den allgemein gesicherten Daten und Hinweisen zu den Manipulationen.
Ziel der Arbeit ist es, innerhalb einer forensischen Analyse die Ablagestruktur der Chatanwendung Viber unter dem Betriebssystem iOS zu analysieren. Darüber hinaus sollen Dateien analysiert werden, um relevante Informationen zu Chats zu extrahieren und auswertbar zu machen. Bei der Recherche zum aktuellen Forschungsstand wurden kaum Arbeiten gefunden, welche eine tiefgehende forensische Analyse von Viber auf iOS-Geräten zum Gegenstand haben. Für die Auswertung wurden Testdaten in Form von Einzel- und Gruppenchats auf iOS-Geräten erstellt und die Geräte anschließend IT-forensisch ausgelesen. Durch die Verwendung des Auslesegerätes UFED Touch2 konnte die Ablagestruktur mittels des UFED-Readers analysiert und dokumentiert werden. Die Analyse der Dateien brachte Informationen aus den zwei Hauptdatenbanken 'Settings.data' und 'Contacts.data' hervor. Hierbei wurden alle Tabellen analysiert und Informationen zu den relevanten Spalten dokumentiert. Abschließend wurden für einen Leitfaden zur Rekonstruktion von Chats SQL-Befehle erstellt, welche zum einen eine Zusammenfassung von Informationen zu Konversationen und zum anderen eine Wiederherstellung von Chatverläufen der einzelnen Konversationen möglich machen sollen.
Die vorliegende Arbeit untersucht, wie eine Ontologie mobile Kommunikation für forensische Auswertungen abbilden kann und welche Chancen sich aus dieser Art von Repräsentation ergeben. Prinzipiell stellen Ontologien einen Lösungsansatz für die wachsenden Herausforderungen im Bereich der digitalen Forensik dar. Vor allem die Heterogenität und stark zunehmende Menge der auszuwertenden Daten stellt die Strafverfolgungsbehörden vor Probleme. Forensische Tools unterstützen bei der Extraktion und Analyse von Daten. Allerdings weisen sie in bestimmten Aspekten ihre individuellen Grenzen auf. Ontologien ermöglichen dabei die Interoperabilität zwischen forensischen Tools und somit die Kombination der jeweiligen Vorteile von diesen Tools. Somit können insbesondere (Teil-)Automatisierungen im Ermittlungsprozess realisiert werden, was zur Ersparnis von Zeit und Ressourcen führt. Darüber hinaus lassen sich anhand von Ontologien logische Schlussfolgerungen herleiten und weitere Methoden aus dem Bereich der künstlichen Intelligenz anwenden. Diese Arbeit verwendet die CASE-Ontologie als Grundlage zur Entwicklung einer Ontologie, welche mobile Kommunikation im Kontext forensischer Untersuchungen repräsentiert. Darüber hinaus wird im experimentellen Teil der Arbeit das Datenmodell einer forensischen Plattform zur Auswertung mobiler Kommunikation auf die entworfene Ontologie abgebildet. Zusätzlich wird ein semantischer Webserver prototypisch aufgesetzt, um einen Anwendungstest der Ontologie durchführen zu können.
Die vorliegende Arbeit beschäftigt sich mit der Erforschung des Datenvorkommens im Hinblick auf die Ermittlung flüchtiger Daten an ausgewählten Wireless Local Area Network (WLAN)-Routern. Diese werden im Hinblick auf strafrechtlich relevante Fragestellungen untersucht. Es werden die Möglichkeiten der methodisch und systematischen Datensicherung eruiert und wie diese gewonnen und ausgewertet werden können.
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher der Webclients des Instant-Messenger-Dienstes Threema und des Social-Media-Dienstes Instagram aus forensischer Sicht betrachtet. Hierfür werden die Funktionsweisen der Anwendungen und die auf dem Gerät im RAM enthaltenen Artefakte forensisch analysiert und diskutiert. Anhand der aus dieser Arbeit gezogenen Erkenntnisse sollen zukünftige forensische Untersuchungen, die in Verbindung mit einer oder beiden dieser Anwendungen stehen, unterstützt werden, gefundene Artefakte zu identifizieren und interpretieren.
Diese Arbeit untersucht, die Herausforderungen bei der teilautomatischen Erstellung von Testdaten für die digitale Forensik. Insbesondere handelt es sich um Bildmetadaten im EXIF-Format, aus der Fotogalerie eines Smartphones, die mit GPS-Daten und zugehörigen Zeitstempeln für eine feste Route angereichert werden. Dazu wird auf Metadaten, Geokoordinaten und Zeitstempel eingegangen sowie der aktuelle Stand zu EXIF aufgezeigt. Mit diesem Wissen entsteht ein Programm, das die Testdaten erzeugt.
In einer Welt, in welcher die Anzahl der mit digitalen Geräten ausgeübten Straf-taten die zuständigen Behörden zu überrollen scheint, ist es an der digitalen Forensik, neue Wege der Verbrechensbekämpfung zu beschreiten. Um eine Viel-zahl an digitalen Spuren auszuwerten, benötigt es außerdem spezialisierter Werkzeuge und Methodiken. Das in Korrelation mit dieser Arbeit entwickelte Programm verfolgt das Ziel, einen bisher manuellen Ablauf in der forensischen Software „X-Ways Forensics“ zu automatisieren und somit Aufwand und Komplexität zu reduzieren. Genauer versucht die sogenannte „X-Tension“, eine Datei vom Dateityp „.vmdk“ innerhalb eines Falles ausfindig zu machen, um diese anschließend als neues für sich stehendes Asservat auswerten zu können. Die Arbeit zeigt dabei die Arbeitsweise des Programmes sowie Chancen für die Zukunft auf.
In dieser Arbeit soll sich mit der Möglichkeit beschäftigt werden, den Prozess zur Freischaltung von Firewallregeln zu vereinfachen. Dafür soll ein Programm entwickelt werden, welches diesen Prozess automatisiert und dadurch den schwierigen Prozess vereinfachen soll. Des Weiteren wurde recherchiert, welche Richtlinien zum Schutz des Netzwerkes erforderlich sind und mit Firewalls umgesetzt werden können. Die Implementierung der Richtlinien soll hier als Code erfolgen und es einfach machen, diese Richtlinien automatisch durchzusetzen. Mithilfe dieser als Code implementierten Richtlinien sollen Anträge zur Freischaltung von Firewallregeln geprüft und validiert werden. Wurde der Antrag zur Freischaltung einer Firewallregel erfolgreich validiert, soll die Firewallregel automatisch implementiert werden. Durch diese und weitere Automatisierungen soll die menschliche Interaktion möglichst reduziert werden. Dadurch soll Zeit gespart werden und der Prozess zur Freischaltung einer Firewallregel effizienter durchgeführt werden können. Dafür wurde ein Programm implementiert, welches als Studie dienen und ein Machbarkeitsbeweis darstellen soll.
Diese Arbeit beschäftigt sich mit der Erstellung eines Leitfadens für die Prüfung der Daten- und Cybersicherheitsrisiken für Medizinprodukte. Es werden die rechtlichen Grundlagen der Bewertung und die zugehörigen Empfehlungen dargestellt. Hierzu werden Empfehlungen aus Deutschland, der EU und der USA betrachtet und vergleichen. Die Umsetzung der Prüfung der Daten- und Cybersicherheitsrisiken wird mit Hilfe eines Beispiels erläutert und in der Folge daraus der zur Konformitätsprüfung wünschenswerte Umfang einer Dokumentation ermittelt. Für die Prüfung der technischen Angaben zur Risikobehandlung für Medizinprodukte, entsprechend der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik, wurde zudem eine Einteilung in Schwierigkeitsgrade der Beurteilung vorgenommen.
Phishing Bedrohungen in Unternehmen : eine Untersuchung von Angriffstrends und Schutzmaßnahmen
(2023)
Diese Bachelorarbeit befasst sich mit Phishing Bedrohungen für Unternehmen, sowohl Angriffstrends als auch Schutzmaßnahmen.
Ziel der vorliegenden Arbeit ist es, bisher getroffene Schutzmaßnahmen zu analysieren und ihre Wirksamkeit anhand von zwei ausgewählten Fallbeispiele zu untersuchen. Dafür werden die Phishing Angriffe auf die amerikanischen Unternehmen „Twitter“ und „Uber“ genauer betrachtet und warum diese erfolgreich waren. Es soll beurteilt werden, ob die vorgestellten Leitfäden und Schutzmaßnahmen diese beiden Phishing Angriffe hätten verhindern können. Die Untersuchung zeigte, dass die gängigen Schutzmaßnahmen und das Einhalten von Leitfäden nicht ausgereicht haben, um die Unternehmen vor einem erfolgreichen Phishing Angriff zu schützen. Außerdem kommt dem Mensch bei der Bekämpfung von Phishing eine viel zu große Bedeutung zu und vernachlässigt das Handeln auf Managementebene.
In dieser Bachelorarbeit steht die Untersuchung eines IoT-Gerätes im Fokus. Das Smart Home Security Kit der Firma D-Link wird in allen Bestandteilen auf deren Funktionsweise getestet und analysiert. Das Vierkomponentensystem verfügt über eine Überwachungskamera, einen Fenster-/ Türsensor, einer Sirene
und einem Hub. Im Vordergrund der steht die Datensicherheit und die Zuverlässigkeit der Verwahrung von sensiblen Nutzerinformationen. Es findet die Untersuchung der Hard- und Software sowie der Cloud, App und Website statt. Übertragungsprotokolle und genutzte Sicherheitsstandards werden kritisch beleuchtet. Am Ende findet die Überprüfung der Hardware auf mögliche Manipulationen statt. Es soll ein Überblick über mögliche Vorangehensweisen und Tools gegeben werden, welche auf andere Systeme angewendet werden könnten.
Die vorliegende Arbeit beschäftigt sich mit den Fragen, welche Indikatoren für einer Kompromittierung (IoC) in Active Directory gefunden werden können, wo sich diese befinden und mit welchen Werkzeugen sie offline erfasst werden können. Das Ziel ist, diese Fragen mittels einer Übersicht über die Indikatoren einer Kompromittierung und einer Übersicht über relevante Dateien für eine forensische Untersuchung zu beantworten.
Für die Erstellung der Übersichten wurden Angriffsmethoden auf Active Directory nach relevanten Ereignissen analysiert. Diese Ereignisse wurden in einer Testumgebung nachgestellt und anschließend offline mit den recherchierten Werkzeugen analysiert.
Durch die Ergebnisse der Arbeit konnte gezeigt werden, welche IoCs in Active Directory grundsätzlich existieren können, wo sich diese befinden und mit welchen Werkzeugen die Indikatoren offline erhoben werden. Es wird ebenfalls ersichtlich, welche Indikatoren nicht erhoben werden können und warum dies so ist.
Der Grund für die eingeschränkte Offline-Erhebung von gewissen IoCs ist das Fehlen von Werkzeugen, die bestimmte Informationen aus der Datenbank offline extrahieren können.
Diese Arbeit beschreibt eine Anwendung zur Extraktion und Verarbeitung von Ereignisprotokollen unter Microsoft Windows. Sie erfasst hierfür die Konzeption, den Aufbau sowie deren Funktionsweise und geht dabei auch auf die entwickelten Werkzeuge der Anwendung ein. Zielsetzung war die Bereitstellung wenig verbreiteter Werkzeuge für die Ereignisprotokollanalyse, wobei besonderes Augenmerk auf eine Nutzung im Kontext von Incident-Response-Fällen gelegt wurde.
Die vorliegende Bachelorarbeit beschäftigt sich mit der Erstellung eines Audiodatensatzes zur sequentiellen Lokalisierung von Manipulationen. Die Motivation sich mit diesem Thema zu beschäftigen, resultiert aus der geringen Menge an öffentlichen Datensätzen im Hinblick der Multimediamanipulation und der Wichtigkeit von Audio in der Forensik (Khan et al., 2018; Luge, 2017). Dabei werden zunächst die Grundlagen aus den Themenbereichen Audio, Datensatz sowie Manipulation dargestellt. Für die Erstellung des Datensatzes, wurde zunächst eine Vielzahl an Daten bereitgestellt, indem mittels einem Pythonskript, Videos, von YouTube heruntergeladen sowie die Audiospur getrennt und im mp4-Format gespeichert wurden. Weiterhin erfolgte auf der Datenmenge, der Prozess der Datenbereinigung sowie das Umbenennen der Audiodateien. Anschließend ereignet sich die Darlegung des Konzeptes und die theoretische Beschreibung der Manipulierung sowie die exemplarische Durchführung der Manipulation. Daraufhin erfolgt die theoretische Darlegung der Aufteilung des Datensatzes in Test- und Trainingsdaten. Die Ergebnisse spiegeln wider, dass das geschriebene Pythonskript funktioniert und nahezu keine Fehler während des Downloads entsteht. Weiterhin zeigen sie auf, dass die exemplarische Durchführung funktioniert. Allerdings benötigt es zum einen noch die Umsetzung des in der Theorie dargelegten Manipulationsschrittes und zum anderen, darauf aufbauend, etwaige Evaluierungsschritte.
Das Ziel dieser Arbeit ist es, einen Anforderungskatalog für Anbieter eines Cloudbackup- Servers unter Zero Trust Bedingungen zu erstellen. Dabei werden nicht nur die technischen Voraussetzungen beschrieben, sondern auch ein kur-zer Einblick in rechtlichen und organisatorischen Anforderungen gegeben, wobei das Hauptaugenmerk auf den Bestimmungen liegt, die in Deutschland und der EU gelten. Für die Erarbeitung werden dabei bereits existierende Anforderungs-kataloge und staatliche Veröffentlichungen verglichen und zusammengeführt. So wurde ein Anforderungskatalog erstellt, der alle Anforderungen enthält, die ein Cloudbackup- Server unter Zero Trust erfüllen muss. Der Katalog kann genutzt werden, um ein solches System umzusetzen.
Aufgrund der steigenden Anzahl an Angriffen durch neue Malware Varianten ist es wichtig eine effektive Methode zu nutzen, um sich gegen diese Flut zu schützen. Diese von den Angreifern genutzte Malware muss identifiziert und analysiert werden, um die Systeme vor aktuelle und kommenden Angriffen schützen zu können. Für die Informationsextraktion stehen zwei grundlegende Ansätze zur Verfügung. Statische Analyse und die dynamische Analyse. Das Hauptaugenmerk liegt in dieser Arbeit auf der dynamischen Analyse. Diese wird genutzt um das Verhalten einer potentiell bösartigen Datei zu beobachten und anschließend auszuwerten, ob es sich um Malware handelt. Eine dafür häufig eingesetzte Methode ist die Sandbox. Bei dieser handelt es sich um eine isolierte Umgebung, in der eine Malware ausgeführt werden kann, ohne ein Risiko für das eigene System darzustellen. Bei der Nutzung eines Sandbox Systems wird ebenfalls von dem Begriff der automatisierten Malware Analyse gesprochen. Damit ist es möglich auch große Mengen von Malware Samples zu analysieren. Nach der Analyse wird neben der Bösartigkeit einer zu untersuchenden Datei, ebenfalls die gesammelte Daten über diese ausgegeben. Diese Arbeit vergleicht drei verschiedene Sandbox Systeme, um anschließend festhalten zu können, welches dieser Systeme die meisten Vorteile mit sich bringt. Bei diesen ausgewählten Sandbox Systemen handelt es sich um Cuckoo, Any.Run und Hybrid Analysis. Um eine Gegenüberstellung der Sanbox Systeme zu ermöglichen, wurden diverse Metriken verwendet. Zu diesen Metriken zählen unter anderem genutzte Anti-Evasion Techniken und die Möglichkeit einer URL Analyse. Nach umfassender Nutzung aller drei Sandbox Systeme, wurde eine Vergleichmatrix mit den bereits erwähnten Metriken erstellt. Anhand dieser konnten die Vor- und Nachteile der Sandbox Systeme gegeneinander abgewogen werden.
Diese Diplomarbeit zeigt zu Beginn die Risiken, die moderne Angriffe auf ein Produktionsnetzwerk darstellen, in mehreren Facetten auf. Um diesen möglichen Schaden für Unternehmen abzuwenden, wird eine mögliche Lösung vorgestellt, die diese Angriffe, die trotz bereits vorhandener Sicherheitsmaßnahmen erfolgreich sein können, erkennen kann. Diese Lösung wird planmäßig durch die Einbindung in die Infrastruktur eines Produktionsnetzwerkes umgesetzt. Um die volle Funktionalität sicherstellen zu können, wird die Lösung auch in einem separatem Testnetzwerk durch Powershell-Scripte und Pentesting-Tools, die in Kali Linux gebündelt sind, überprüft. Dies soll dem Schutz der vorhandenen, teils überholten Infrastruktur in der Produktion dienen, die durch ihr teilweise hohes Alter durch dieses Pentesting ausfallen könnten. Abschließend werden die ermittelten Ergebnisse bewertet. Ein Fazit über die Möglichkeiten der Optimierung sowie ein Ausblick in eine mögliche Zukunft runden diese Diplomarbeit ab.
Die vorliegende Arbeit befasst sich mit der Entwicklung einer Testumgebung für das Fuzzing eines HTTP-Relay einer Firewall. Das Hauptziel ist aber die Entwicklung der sich in der Testumgebung befindenden Testcases, welche die Firewall durch Fuzzing prüfen. Dieser Vorgang soll als Black-box Testing Ansatz konzipiert werden und das Fuzzing der Firewall über das Netzwerk berücksichtigen. Dafür soll ein bereits existierender Fuzzer verwendet werden, welcher als Framework von den Testcases verwendet und instrumentiert wird. Zusätzlich soll während der Durchführung Logfiles verfasst und anschließend ausgewertet werden, um Aufschluss über die Ergebnisse zu erhalten.
Ziel dieser Arbeit ist die Entwicklung eines Modells, das über einen mehrstufigen Angriffsprozess das Passwort eines spezifischen Benutzers unabhängig von der Stärke des Passworts rekonstruiert. Der Fokus des Modells liegt auf dem benutzerspezifischen Angriff und dessen Präprozessor. Dieser soll unter Berücksichtigung der bisherigen Design- und Konstruktionsprinzipien des Benutzers sowie unter Einbeziehung seiner persönlichen Informationen die wahrscheinlichsten Passwort-Kandidaten generieren.
Die vorliegende Bachelorarbeit vergleicht die zwei Honeypotsysteme T-Pot und Modern Honey Network miteinander. Hierfür zeigen Angriffsszenarien gegen die Honeypotsysteme, wie Angreifer diese wahrnehmen würden und wie die Honeypots die Angriffe protokollieren. Die ersten Kapitel dienen als Einführung in die Thematik der Honeypots und erläutern die Problemstellung und Vorgehensweise. Kapitel 4 und 5 beleuchten den Entwurf und die Durchführung der Angriffsszenarien. In Kapitel 7 wird der Vergleich anhand selbst aufgestellter Kriterien durchgeführt. Das Honeypotsystem T-Pot hat in diesem Vergleich knapp besser abgeschnitten. Jedoch lässt sich Schlussfolgern, das je nach individuellen Zielen und Einsatzzwecken beide Honeypotsysteme mit ihren Stärken überzeugen können.
In der vorliegenden Bachelorarbeit wird anhand von den Vorgaben und veröffentlichen Dokumentationen des BSI eine Schablone für universitäre Einrichtungen erarbeitet, die als Musterlösung für die Implementierung des IT-Grundschutzes an einer Universität dienen soll. Als Beispiel wird dabei die Hochschule Mittweida und ihre infrastrukturellen und organisatorischen Gegebenheiten herangezogen. Diese konkreten Gegebenheiten sollen und müssen bei der Umsetzung des IT-Grundschutz-Profils an die Rahmenbedingungen der jeweiligen umsetzenden Institution angepasst werden. Es werden die einzelnen Schritte der Standard-Absicherung nach IT-Grundschutz durchgeführt und erläutert. Damit soll ein Schutzniveau gewährleistet werden, das dem normalen Schutzbedarf entspricht. Für Zielobjekte mit erhöhtem Schutzbedarf wird zusätzlich eine Risikoanalyse benötigt, die in der vorliegenden Arbeit ebenfalls beispielhaft dargestellt wird.
Tauglichkeitsanalyse der Unity-internen Physik-Engine für forensische Tathergangs Simulationen
(2021)
In dieser Arbeit soll die Tauglichkeit der Unity internen Physik-Engine in Hinblick auf die Simulation forensischer Tathergänge. Nach dem Erörtern der theoretischen Grundlagen, wird dafür eine experimentelle Szene in Unity erstellt. Dabei handelt es sich um die Nachstellung einer Kollision zwischen Menschen und Fahrzeug. Erhaltene Ergebnisse werden anschließend analysiert und mittels
dieser ein Fazit zur These aufgestellt.
Wirksame Sicherheitsmaßnahmen zu entwickeln und auch zu implementieren, bedeutet im Umkehrschluss, dass zuerst einmal die zugrundeliegenden Gefahren, Schwachstellen und Sicherheitslücken bekannt sein und verstanden werden müssen. Das beste System hat wenig Nutzen, wenn der Mensch, der es bedient, es nicht zu nutzen weiß. Aus diesem Grund soll mit der vorliegenden Arbeit ein grundlegendes Verständnis zu möglichen Angriffen auf das Session Management beziehungsweise in diesem Fall auch die Verschlüsselung gelegt werden. Im Anschluss daran werden mögliche Schutzmaßnahmen dargelegt, welche als eine Art Leitfaden dienen sollen.
Diese Arbeit bildet einen Einstig in die Grundlagen der IT-Forensik und befasst sich mit der Evaluation der beiden Programme „X-Ways Forensics“ und „Magnet AXIOM“. Dabei werden die Stärken und Schwächen der beiden Tools aufgezeigt und Empfehlungen geben, für wen und für welchen Einsatz, welches Programm geeignet ist.
The objective of this Bachelor Project is the creation of a tool that should support forensic investigators during IT forensic interventions. It uses Kismet as the base program and adds functionalities to it via the plugin interface. The installation of the plugin shall be explained, how the plugin works, and a recommendation on how to use it. To understand the underlying basics, an introduction about WLAN and Bluetooth is given. The tests that were performed with the new plugin are described as well as their results. It is therefore briefly discussed why the tool is applicable for locating Wi-Fi devices, especially access points, but not Bluetooth devices. Using all this a few ideas on how to improve the tool and what can be researched in this area are provided.
In der vorliegenden Arbeit wird ein Konzept für eine Test- und Evaluationsumgebung von Forschungsergebnissen im Bereich der Cybersicherheit gebildet. Das dabei entstehende Rahmenwerk ist modular aufgebaut und zeigt, im Vergleich zu bisherigen Test- und Evaluationsumgebungen, einige Besonderheiten auf. Als Basis für die entstehende Konzeptumgebung werden vier Module vorgestellt, mit denen zukünftige Technologien der Cybersicherheit getestet und bewertet werden können.
In meiner vorherigen Arbeit wurden mit Hilfe von Ansätzen in der Deterministik und Probabilistik nach den Regelwerken [DIN12010] und [DIN22010] Gegenmaßnamen aufgezeigt, was beim heutigen Komponentenausfall in Kraftwerken dazu führt, diese schnellstmöglich zu beheben. Wie dort beschrieben, hat seit den siebziger Jahren die exponierte Computertechnologie sowie der anzuwendenden Wechselwirkung mit der Prozessleittechnik und deren Simulation wie in meiner Projektarbeit diskutiert wird, eingesetzt. In dieser Arbeit wird das Regelwerk [DIN32010] erörtert. Es wird eine partielle Softwareentwicklung im eingebetteten System in den Programmiersprachen ‘C‘ bzw. ‘C++‘ gestellt, welche anhand der ‘Funktionalen Sicherheit‘ über die Bussysteme in der Sicherheitstechnik darstellt werden. Die einzelnen Kapitel werden in Anforderungen von Werkzeugen, Anforderung an die Softwaresicherheit, Anforderung aus der Hardware, Planung der Validation, Planung der Softwarearchitektur, Planung der Softwarekapselung, Planung von Systemdesign, Planung von Moduldesign, Planung von Hardware zu Software, Softwareintegration, Softwarevalidation und Softwaremodifikation diskutiert.
In der vorliegenden Bachelorarbeit wurde ein Prototyp einer Software konzipiert und implementiert, die es ermöglicht, eine Active Directory Domain nach potenziellen Schwachstellen zu durchsuchen und deren Ausnutzbarkeit zu testen. Dabei simuliert die Software das Vorgehen eines Penetrationstesters, um zu erörtern, ob ein solches Tool diesen ersetzen kann. Die Arbeit beschreibt das Vorgehen des Autors während der Programmierung dieser Software sowie die Funktionsweise des Programms. Durch die Entwicklung und Reflektion dieses Tools konnte gezeigt werden, dass menschliche Penetrationstester deutliche Vorteile gegenüber automatisierten Programmen aufweisen und solche Tools aufgrund einiger Faktoren nur unterstützend, aber nicht ersetzend, verwendet werden können.
Diese Arbeit befasst sich mit der Erstellung einer Schutzbedarfsanalyse am Universitäts Klinikum Carl Gustav Carus Dresden. Dabei wird die Vorgehensweise für die Standard Absicherung nach dem BSI-Standard 200-2 IT-Grundschutz Methodik, welche vom BSI empfohlen wird, der neu entwickelten Methode gegenüber gestellt.
Die Aufgabe von Penetrationstestern ist es, Sicherheitslücken in IT-Systemen zu finden. Dieser Prozess kann innerhalb eines Pentest-Labors geübt werden. Das Ziel der Arbeit war es, ein Konzept zu erstellen, das ein solches Labor auf Basis von Cloud-Computing erstellt. Die Erstellung fand dabei nach einem fünfstufigen Vorgehen statt. Anforderungsanalyse, Evaluation eines Cloud-Providers und eines Automatisierungstools, Grundlagen der gewählten Lösungen, Konzeptionierung und Implementation. Ziel der Analyse war es, Anforderungen zu sammeln, das die Umgebung erfüllen soll. Hauptziel war es demnach einfach und mit minimalem Zeitaufwand verschiedene Infrastruktur-Szenarien zu erstellen. Ein solches Szenario war beispielsweise ein unsicheres Office Netzwerk. Auf diesen Forderungen aufbauend wurden verschiedene Cloud-Provider sowie Anbieter von Automatisierungstools verglichen und es wurde eine Entscheidung für je einen getroffen. Die Wahl fiel auf OpenStack als On-Premise Cloud-Lösung und Terraform als Tool, das automatisiert die Infrastrukturen erzeugen soll. Jene wurden in dem darauffolgenden Kapitel genauer vorgestellt und deren Funktion sowie Betrieb erläutert. Nachdem das Fundament für das Konzept gelegt war, erfolgte das Planen, was für verschiedenen Systeme für das Szenario des Office Netzwerk nötig waren. Dabei handelte es sich um Windows Server und Client, Linux Client und eine Metasploitable Maschine. Daraufhin folgte die Evaluation, wie diese Systeme bereitgestellt und bei Instanziierung konfiguriert werden sollen. Entschieden wurde sich für manuell erstellte Systemabbilder und zur Konfiguration das Tool Cloud-Init.
Abschließend wurde das Konzept an einem Prototyp, mit dem Ziel der Prüfung auf Fehlerfreiheit, umgesetzt. Die Implementation erfolgte ohne Probleme und das Labor stand mit dem geforderten Szenario, das innerhalb von 10 Minuten mit einem Befehl erstellt werden konnte, zur Verfügung. Zukünftige Arbeiten könnten das Konzept in einer Langzeitstudie auf eventuell auftretende Fehler hin prüfen. Zudem können weitere Szenarien und weitere Autmatisierungstools implementiert werden.
Einhaltung regulatorischer Anforderungen an Kreditinstitute durch den Einsatz eines SIEM-Systems
(2022)
Die vorliegende Arbeit thematisiert die Einhaltung neuer aufsichtsrechtlicher Anforderungen an die IT-Sicherheit von Kreditinstituten durch den Einsatz eines SIEM-Systems. In diesem Kontext werden zuerst die zum Zeitpunkt der Veröffentlichung dieser Thesis geltenden Anforderungen detailliert vorgestellt und erklärt. Anschließend wird der Aufbau und die Funktionsweise eines SIEM-Systems differenziert beleuchtet und die Eignung dessen zur Einhaltung der Rahmenbedingungen geprüft. Darüber hinaus wird ein Leitfaden zur anforderungskonformen Implementation eines SIEM-Systems am Beispiel der Softwarelösung Splunk Enterprise präsentiert.
Ransomware-Angriffe konnten in den letzten Jahren einen starken Anstieg zu verzeichnen. Unternehmen müssen dieser Bedrohung gewappnet sein. Eine Möglichkeit, um Angriffe in einer IT-Infrastruktur frühzeitig zu erkennen, ist der Einsatz von SIEM-Tools. Diese sind mittlerweile ein wichtiger Bestandteil in einem SOC. In dieser Masterarbeit wird die Ransomware-Detektion mittels SIEM-Tools ausgetestet. Hierbei wurde mit dem kommerziellen SIEM-Tool Splunk und dem Open-Source-SIEM-Tool Wazuh gearbeitet. Es wurde ein Regelkatalog erstellt, der es ermöglichen soll, Ransomware zu erkennen. Insgesamt wurden 30 Ransomware-Proben auf einem überwachten Windows-System ausgeführt. Bei jeder Ransomware-Ausführung wurde die ungefähre Verschlüsselungsdauer erfasst. Anschließend wurde ein Vergleich zwischen den beiden SIEM-Tools anhand eines zuvor erstellten Kriterienkatalogs gezogen. Dabei wurde erkannt, dass es bezüglich der Ransomware-Erkennung keine großen Unterschiede zwischen den beiden Tools gab. Splunk weist zwar eine deutlich bessere Performance auf, doch Wazuh stellt eine gute kostenlose Alternative für den Einsatz in kleineren Unternehmen dar. Allerdings ist neuere Ransomware darauf ausgelegt, den Verschlüsselungsprozess zu beschleunigen und die Weiterleitung der Logdaten an das SIEM zu unterbinden, um eine Detektion zu umgehen. Dies zeigt, dass SIEM-Systeme alleinig nicht ausreichend sind, um Ransomware effektiv zu erkennen.
Immer häufiger greifen technikbegeisterte Personen zu Smart-Home Geräten für ihre eigenen vier Wänden. Durch diese Geräte, kann der Weg zur Tür abgenommen oder die Bestellung über eine Onlineplattform erleichtert werden. Der Nutzen dieser meist kleinen aber durchdachten komplexen Maschinen ist enorm. Um der Schnelllebigkeit entgegen zu wirken, werden immer kreativere Wege gesucht. IoT-Geräte ermöglichen das Ersetzen der lokalen Einstellung am Gerät selbst. Bspw. kann so die Heizungssteuerung auf dem Heimweg vorgenommen werden. Dadurch spielt eine klare Sicherheitsdefinition für den Umgang mit persönlichen Daten eine größer werdende Rolle. Hierbei stellt sich die Frage, wie anfällig solche Anlagen sind. Das Kernstück dieser Arbeit wird sich mit der Feststellung von möglichen Schwachstellen in Innogy Smart-Home-Geräten beschäftigen. Insbesondere werden Endgeräte untersucht, welche bereits Einzug in den Alltag gefunden haben. Ansätze der Informationssicherheit und der digitalen Forensik werden in realitätsnahen Szenarien aufgezeigt und analysiert. Es werden Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik und gesetzliche Vorgaben berücksichtigt. Teile des Sicherheitskonzeptes werden transparent dargestellt.
Die vorliegende Arbeit betrachtet die Möglichkeiten zur Sicherung von Foto- und Videobeiträgen aus sozialen Netzwerken, um diese im Rahmen der Strafverfolgung als Beweismittel nutzbar zu machen. Vier ausgewählte Sicherungsmethoden werden in einem Sicherungsversuch angewendet und im Anschluss miteinander verglichen. Schließlich wird aus den so ermittelten positiven Eigenschaften der Methoden eine hypothetische optimale Methode formuliert, welche für eine zukünftige Anwendung implementiert werden könnte.
Diese Bachelorarbeit befasst sich mit der Prozessautomatisierung während einer Vorfallsreaktion (Incident Response) in der digitalen Forensik. Die Idee dafür kam während der Tätigkeit bei der intersoft consulting services AG auf.
Das Ziel der vorliegenden Arbeit ist es, zu beantworten ob die Automatisierung eines Incident Response-Prozess mit dem Tool KAPE schneller und effektiver gestaltet werden kann, ohne die forensischen Prinzipien außer Acht zu lassen. Dafür wurden eigene Konfigurationsdateien erstellt, welche auf die interne Arbeitsumgebung angepasst sind und anschließend geprüft, ob das Tool die Anforderungen hinsichtlich der forensischen Prinzipien erfüllt. Weiterhin wurde die Verwendung des Tools hinsichtlich seiner Geschwindigkeit mit dem bisherigen Vorgehen verglichen.
Die Untersuchung zeigte, dass das individualisierte Tool mit den eigens erstellten Konfigurationen eine enorme Zeitreduktion gegenüber dem bisherigen Vorgehen erreichen konnte und dies auch unter der Einhaltung der forensischen Prinzipien möglich ist.
Zusammenfassend lässt sich sagen, dass das Tool KAPE für die Prozessautomatisierung eines Incident Response eine merkliche Rolle spielen kann, insbesondere wenn es auf die interne Unternehmensumgebung angepasst ist und einer ständigen Weiterentwicklung folgt.
Erstellung eines Autopsy-Moduls zum Erkennen und Carven von Dateien von Kryptowährungs Wallets
(2022)
Zum Erkennen und Carven von Dateien von Kryptowährungs-Wallets wird ein Autopsy-Modul erstellt und evaluiert. Dieses soll bei Electrum, Exodus, Firefly, Wasabi, Monero, Ledger Live, Guarda und den Browser-Erweiterungen Coinbase, Binance und MetaMask auf Untersuchungsdatenträgers nach relevanten Dateien suchen, auch wenn diese gelöscht sind oder das Dateisystem defekt ist. Dazu wird das in Autopsy verwendete PhotoRec um Signaturen erweitert.
Die vorliegende Arbeit befasst sich mit einem Vergleich zwischen nationalen und internationalen Verwendungsmöglichkeiten des Werkzeugs eDiscovery in der M365 Cloud. Dabei werden verschiedene technische Einschränkungen vorgestellt, welche die Datenschutzrechtlich konforme Nutzung dieses Werkzeuges ermöglich sollen.
Die vorliegende Arbeit untersucht eine Datenbank mit der Bezeichnung UsageReportsBuffer, die der Webbrowser Chrome auf Android-Geräten anlegt, sowie mögliche Implikationen für die digitalforensische Auswertung. Von besonderem Interesse sind die Fragen, welche Informationen nach welchen Regeln in der Datenbank abgelegt werden, welchem Zweck die Datenbank dient und ob der Nutzer des Gerätes Einfluss auf den Datenbestand nehmen kann. Die Untersuchung ergibt, dass die circa 100 zuletzt aufgerufenen URLs, sowie dazugehörige Zeitstempel gespeichert werden. Der Nutzer kann dieser Datenerhebung nicht widersprechen oder die Datenbank löschen. Die Aufzeichnung kann lediglich durch Verwendung der Inkognito-Funktion unterbunden werden. Jedoch wird die Datenbank von aktuellen Versionen der Chrome-Anwendung nicht mehr angelegt.
Hass und Hetze im Netz haben in den letzten Jahren stetig zugenommen. Vor allem in den sozialen Medien sind Anfeindungen, Hass und Hetze immer dominanter geworden. Dies stellt auch die Strafverfolgungsbehörden vor neue Aufgaben. Um Verfasser von Hasskommentaren über soziale Netzwerke effektiver identifizieren zu können, nehmen Polizei und Justiz seit einiger Zeit die OSINT-Recherche (Open Source Intelligence) zu Hilfe. Hierfür durchsuchen die Ermittler digital das Profil oder die Profile der Verfasser von Hasskommentaren und sichern Informationen, welche zur Identifizierung der Personen führen können. Diese Arbeit soll aufzeigen, wie die OSINT-Recherche im Vergleich zu den Standardermittlungen einzuordnen ist. Außerdem soll untersucht werden, wie Hasskommentare im Netz klassifiziert werden können und welche Art von Informationen die Nutzer freiwillig im digitalen Raum veröffentlichen.
Korrelation von Zeitstempeln und Pfadangaben von Ausführungsartefakten eines Windows 1x Systems
(2022)
Die Sicherheitslage in Deutschland wird für das Berichtsjahr 2021 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als angespannt bis kritisch beschrieben. Ein Grund für diese Einschätzung ist, die Zunahme von Ransomware-Angriffen und die daraus resultierenden Schäden. Derartige Angriffe müssen im Rahmen eines Incident Response und Digital Forensic (kurz DFIR) Prozess aufgeklärt, eingedämmt und weitgehend rückgängig gemacht werden. Die immer größer werdenden Mengen an heterogenen Daten und die immer kürzeren Zeitabschnitte, die für eine Analyse zur Verfügung stehen, sind Herausforderungen, mit denen die Incident Responder und die Digitalen Forensiker konfrontiert sind.
Diese Arbeit verfolgt das Ziel, den Aufwand einer forensischen Untersuchung zu verringern, in dem Ausführungsartefakte von Windows 1x Systemen anhand der in ihnen enthaltenen Pfadangaben und Zeitstempel miteinander korreliert werden. Die praktische Anwendbarkeit der in dieser Arbeit gewonnen Erkenntnisse wurde in einem Proof-of-Concept demonstriert. Dessen Umsetzung erfolgte mithilfe von Angular, Flask und Neo4j.
Die vorliegende Bachelorarbeit befasst sich mit der Sicherung und qualitativen Bewertung von ermittlungsrelevanten Daten, die auf Fitnesstrackern/Fitness-Smartwatches ausgewählter Hersteller abgelegt sind. Das Ziel dieser Arbeit besteht darin, zu untersuchen, unter welcher Konstellation die abgelegten Daten forensisch gesichert werden können, wenn keine Zugriffsmöglichkeit zum ursprünglich gekoppelten Smartphone besteht. Die Untersuchung erstreckt sich dabei auf die Simulation von Verbindungsumgebungen zwischen Fitnesstrackern/Fitness-Smartwatch und Android-Gerät sowie dem Auslesen und Interpretieren vorhandener Speicherchips.
Untersuchung potenzieller Angriffsvektoren auf Container-Infrastrukturen unter Nutzung von Docker
(2021)
Die Digitalisierung ist eine der größten Herausforderungen der Wirtschaft. Eine Containervirtualisierung kann dabei vielversprechende Lösungen bieten, unterliegt jedoch ebenso Angriffen. Diese Arbeit zeigt am Beispiel von Docker auf, mit welchen Angriffsvektoren auf eine Container-Infrastruktur gewirkt und mit welchen Schutzmaßnahmen diese gehärtet werden kann. Die Untersuchungen stellen dar, wie schützenswerte Daten erbeutet, exogen Einfluss auf die in Containern verarbeiteten Daten genommen und mit
Schadsoftware auf gesamte Infrastruktur gewirkt werden kann. Dabei werden Host, Container und weitere Komponenten gleichermaßen berücksichtigt. Die Abhängigkeiten innerhalb von Containern werden zwar voneinander isoliert, jedoch teilen sich Host und Container einen gemeinsamen Kernel. Aus diesem Grund rücken Containerausbrüche und Kernelangriffe in den Fokus. Für den sicheren Einsatz von Containern können korrekte Konfigurationen bezüglich der Systemaufrufe, Capabilities, Kontrollgruppen, Namensräume
oder des Rootless Mode von entscheidender Bedeutung sein.
Die einzelnen Phasen der Angriffe auf Computernetzwerke werden heute zunehmend mit speziell dafür konzipierter Software durchgeführt. Für die Aufrechterhaltung der Verbindung zum kompromittierten Netzwerk sind sogenannte Command & Control Frameworks ein gängiges Mittel. Ein Vertreter dieser Frameworks ist PowerShell Empire, welches hauptsächlich auf der Skriptsprache PowerShell von Microsoft basiert, die Angriffsziele jedoch nicht auf Windowssysteme beschränkt sind. In dieser Arbeit wird dieses Framework vorgestellt und Szenarien für den Einsatz aufgezeigt. Durch Untersuchung von Netzwerkmitschnitten, sollen zudem Erkennungsmerkmale zur Identifikation der Aktivität von Empire herausgearbeitet werden.
DID-Methoden, Wallets, Agents und Verifiable-Credentials sind grundlegende Begriffe im Kontext von Self-Sovereign-Identity (SSI) und stellvertretend für neuartige Methoden der Identitätsverwaltung im Internet. Es werden gegenwärtig Entwürfe von Standards und Spezifikationen unterschiedlicher Gruppen und Gremien forciert, die dem Paradigma von SSI gerecht werden wollen. Aus der Vielzahl technologischer Ansätze, die bereits entstanden sind, werden einige wichtige näher betrachtet und hinsichtlich ihrer Interoperabilität untersucht. Ausganspunkt ist dabei der Trust-over-IP-Stack, wie er von gleichnamiger Organisation (Trust-over-IP-Foundation) vorangetrieben wird. Dabei spielen weitere Normungsgremien eine Rolle, wie z. B. die Decentralized-Identity-Foundation (DIF) oder das World-Wide-Web-Consortium (W3C). Gegenstand der Untersuchung ist der aktuelle Stand der Technik und dessen Implikationen hinsichtlich ihrer Interoperabilität, Portabilität sowie dem angestrebten Ziel der Dezentralisierung. Dabei stehen insbesondere die beiden Entwürfe zu den Standards der Decentralized-Identifiers und des Verifiable-Credentials-Data-Models im Mittelpunkt. Es werden aber auch weitere Spezifikationen betrachtet, die diese ergänzen und für derartige Identitätsverwaltungssysteme von Bedeutung sind.
Die Digitalisierung überschreitet jedes Jahr neue Grenzen, besonders in Zeiten von Covid-19. Dadurch werden vermehrt Privatcomputer für die Arbeit genutzt und vice versa. Durch die Vermischung von Privat- und Unternehmensdaten gewinnen immer mehr Cyberkriminelle Zugang zu sensiblen Daten mit welchen sie Unternehmen und Privatpersonen angreifen könnten. Zusätzlich professionalisieren sich die Täter und verwenden sich stetig verbessernde Schadsoftwaren. Um mögliche Angriffsvektoren zu simulieren wird eine Testumgebung erstellt, zum Testen solcher Attacken. Diese Arbeit wird zur Erschaffung einer möglichst sicheren Arbeitsumgebung erstellt. Schlussendlich sollen mit dem Wissen von Angriffsvektoren Leser, Studierende und Fachpersonal weitergebildet werden.
Die Biometrie ist eine Methode für die Zugriffssicherung auf sensible Daten, welche sich seit dem letzten Jahrzehnt immer mehr durchgesetzt hat. Sie wird vor allem in dem Bereich mobiler Endgeräte verbreitet eingesetzt, da die Implementierung kostengünstig ist. Außerdem muss sich der Benutzer keine Zugangsdaten merken, um Zugriff zu erlangen. Mit dem zunehmenden Nutzen werden jedoch auch Ansätze evaluiert, um diese Sicherheitsbeschränkungen von biometrischen Systemen zu umgehen.
In dieser Arbeit werden Ansätze evaluiert, um Zugang zu gesicherten Daten für forensische Zwecke zu erhalten. Bei Straftaten ist es entscheidend, in kurzer Zeit an die benötigten Daten zu kommen. Mit einem Brute-Force-Angriff kann es jedoch mehrere Jahre dauern, Passwörter zu knacken. Daher kann die Biometrie eine schnellere Lösung sein, um mobile Geräte zu entsperren. Hier liegt der Fokus auf der Erstellung von Fingerabdruck-Artefakten, um sich Zugang zu verschaffen.
Um diese These zu überprüfen, werden Experimente mit verschiedenen Ansätzen durchgeführt, um gängige Typen von Fingerabdrucksensoren zu umgehen. Zu Beginn wurden 2D-Ansätze evaluiert. Hierbei werden Fingerabdrücke mit einem Laserdrucker auf verschiedenste Materialien gedruckt. Als nächstes werden 3D-Ansätze getestet, wozu ein SLA Drucker verwendet wird. Darüber hinaus sind Hilfsmittel evaluiert worden, um die Eigenschaften der Fingerabdruckartefakte zu verbessern, damit sie sich mehr wie ein menschlicher Finger verhalten.
Die Experimente zeigen, dass es möglich ist, Fingerabdrucksensoren mit Artefakten zu umgehen, um an gesicherte Daten zu gelangen. Optische Sensoren akzeptieren 2D gedruckte Fingerabdrücke. Im Gegensatz dazu benötigen kapazitive und ultraschallbasierte Sensoren andere Artefakte. Wir konnten die Sicherheitssperre mit 3D Fingerabdrücken überwinden. Darüber hinaus sind Hilfsmittel nützlich, wenn eine Lebenderkennung integriert ist.
Die vorliegende Arbeit befasst sich im Rahmen der Aufgabenstellung damit, ein Systemkonzept eines möglichen Systems für die automatisierte Suche und Verwaltung von Bedrohungsinformationen zu entwickeln und daran beteiligte Prozessschritte näher zu betrachten. Dieses System ist erforderlich, um OSCTI-Informationen aus verschiedenen Quellen zu sammeln, Wissen über Bedrohungsverhalten zu extrahieren und diese zu korrelieren, um ein möglichst vollständiges Bild über eine Bedrohung zu erhalten und diese Informationen unter anderem im Rahmen für des Threat Huntings nutzbar zu machen.
Eine Vielzahl der heutigen Cyber Angriffe auf Unternehmen haben das Ziel sich in deren Netzwerk auszubreiten, um so an kritische Informationen zu gelangen oder das Unternehmen anderweitig zu schädigen. Eine Betrachtung dieses als Lateral Movement bezeichnete Vorgehen ist Thema der vorliegenden Bachelorarbeit. Hauptaugenmerk wird auf die forensische Analyse wahrscheinlich auftretender Methoden und den dabei anfallenden Spuren gelegt. Bei den Spuren wurde sich größtenteils auf Ereignisse in Protokolldateien, sowie auf Registry- und Programmausührungs-Artefakte bezogen. Als Ergebnis wurde eine tabellarische Übersicht der zu priorisierenden Spuren erstellt, die Ermittlern zu einer effektiveren forensischen Analyse solcher IT Vorfälle verhelfen soll.
In der vorliegenden Bachelorarbeit wird auf den Nutzen sowie aktuelle Möglichkeiten bei der IT-forensischen Analyse des Arbeitsspeichers aktueller Computersysteme mit DDR4- Speichermodulen eingegangen. Es wird sich dabei sowohl auf generelle, als auch im Zuge der DDR4-Technik eingeführte, Funktionalitäten des physischen Arbeitsspeichers bezogen. Die Auswertbarkeit des Arbeitsspeichers wird aus IT-forensischer Sicht betrachtet und damit auftretende Problematiken für die IT-Forensik evaluiert. In der vorliegenden Arbeit wird vorrangig auf Methodiken der Analyse verschiedener Windows Hibernation Files, sowie den Cold Boot Ansatz eingegangen. Bei letzterem liegt der Schwerpunkt auf der Analyse verschleierter (gescrambelter) Arbeitsspeicherinhalte, sowie einem möglichen Ansatz effektiv Scrambler-Schlüssel aus diesen zu ermitteln.
Diese Arbeit befasst sich mit der forensischen Untersuchung von Systemen mit dem Trusted Plattform Module (TPM) von Apple, dem T2 Chip. Mittelpunkt ist die
physische Datensicherung über das Forensik Analysewerkzeug MacQuisition von BlackBag Technologies. Die Sicherheitsrichtlinien von den Apple Geräten mit verbautem TPM verhindern solche Sicherungen und schützen die Daten auf dem System. MacQuisition ist die erste Lösung für die Forensik, um dennoch ein physisches und gleichzeitig entschlüsseltes Abbild zu erzeugen. Dafür schafft es MacQuisition auf den Direct Memory Access (DMA) fähigen Enhanced Serial Peripheral Interface (eSPI) Bus zu gelangen und die Sicherheitsvorkehrungen zu umgehen.
Das Ziel der vorliegenden Bachelorarbeit besteht darin, die technischen und rechtlichen Aspekte von Cloudsicherungen für Strafverfolgungsbehörden zu beleuchten,um die aktuellen Gegebenheiten und somit eventuelle Defizite auf zu zeigen. Daher werden zu Beginn grundlegende Fakten benannt. Im Anschluss erfolgen praktische Untersuchungen bezüglich forensischer Sicherungsmethoden an PC und Mobiltelefon. Das Hauptaugenmerk liegt auf dem Zusammenschluss von Recht und Technik. Das Ergebnis bildet die Erarbeitung einer Handlungsempfehlung, bestehend aus Checkliste und Fragenkatalog.
Aufgrund der Vielzahl an angebotenen Dienste die auf unterschiedliche Systemen betrieben und miteinander verbunden sind, sowie sensible Informationen enthalten, ist die IT-Sicherheit enorm wichtig geworden. Heterogene IT-Infrastrukturen und interagierende Softwaresysteme verkomplizieren die Administration solcher Umgebungen. In diesem Zusammenhang wird „Automatisierung“ häufig als ein Lösungsansatz propagiert. In dieser Arbeit wird ein Automatisierungs-Referenzrahmen in Verbindung mit einer Konfigurationsverwaltungslösung eingeführt um eine abstrakte Sichtweise auf das Thema zu geben. Der BISS Automatisierungs-Referenzrahmen teilt einzelne Bestandteile, wie Entwicklung, Erweiterungsdienste,
Konfigurationsverwaltungslösung und IT-Infrastruktur in verschiedene Domänen ein. Die Kommunikation zwischen den Domänen ist reguliert und begrenzt um die Sicherheit der Umgebung zu gewährleisten. Eine praktische Anwendung des entworfenen Referenzrahmens und seinen Domänen wird mit Ansible als Konfigurationsverwaltungslösung in einer Software-Defined Netzwerkinfrastruktur von Cisco aufgezeigt. Mit der Einbindung von Sicherheitskomponenten, wie Check Point Firewalls und F5 Big-Ips, werden exemplarische Fallbeispiele einer Automatisierung heterogener Umgebungen demonstriert.
Identity-Wallets für Android : Datensicherheit und Entwicklung eines Flutter-basierten Prototypen
(2022)
Das Modell der Selbst-Souveränen digitalen Identität (SSI) ist ein seit 2015 diskutiertes und entwickeltes Konzept zum Identitätsmanagement, das dem Nutzer die volle Kontrolle über seine digitale Identität verspricht. Um dies gewährleisten zu können, müssen u.a. Anwendungen, zumeist Apps für mobile Betriebssysteme entwickelt werden, die dem Nutzer dies ermöglichen. Diese Arbeit untersucht mit esatus Wallet, Lissi Wallet, ID-Wallet, Connect.Me und Jolocom SmartWallet fünf bereits bestehende Wallet-Anwendungen für das Betriebssystem Android hinsichtlich ihrer Datensicherheit. Als Grundlage für die Sicherheitsbewertung dient der Mobile Application Security Verification Standard (MASVS) des gemeinnützigen Open Web Application Projects (OWASP). Dabei wurden bei allen Apps, vor allem Connect.Me, Mängel festgestellt. Diese beziehen sich vornehmlich auf die zum Teil fehlende Verschlüsselung von Daten aber auch auf den Umgang mit zur Verschlüsselung verwendeten Passwörtern. Weiterhin wird gezeigt wie mittels dem Framework Flutter eine nach Stand der Technik sichere Wallet-Anwendung entwickelt werden kann.
Diese Arbeit befasst sich mit dem Vergleich der forensischen Analyse von mobilen Endgeräten zwischen der Software Cellebrite Physical Analyzer, der Software Autopsy Digital Forensics und den Skripten aLEAPP und iLEAPP. Hierzu wurden zwei mobile Endgeräte mit den Betriebssystemen Android und iOS mit unterschiedlichen Anwendungen und Testdatensätzen versehen. Im Anschluss wurden die forensischen Datensicherungen durch die Softwareprodukte automatisiert aufbereitet. Die Ergebnisse der automatisierten Datenaufbereitungen wurden miteinander und mit den zu erwartenden Informationen verglichen. Hierbei konnte festgestellt werden, dass die Software Autopsy Digital Forensics und die Skripte aLEAPP und iLEAPP im Bereich der Aufbereitung mobiler Endgeräte, zum jetzigen Zeitpunkt, nicht die Ergebnisse der kommerziellen Software Cellebrite Physical Analyzer liefert.
In dieser Bachelorarbeit wird die theoretische Planung einer digitalen Windows-Laborumgebung beschrieben, welche zur Untersuchung von Schadsoftware genutzt werden soll. Mithilfe von virtuellen Maschinen wird ein Modell eines Firmennetzwerkes konzipiert. Es wird sich unter anderem mit den Themen Virtualisierung, Microsoft Active Directory, Microsoft Exchange Server und Malwareanalyse befasst.
Diese Arbeit präsentiert einen forensischen Leitfaden zu Spezialverfahren der Datenrettung von Festplatten unter Nutzung des PC-3000 Express Systems. Die Grundlage bilden essentielle Informationen rund um eine Festplatte und die Bedienung des PC-3000 Express Systems. Anschließend wird ein in drei Teile gegliederter forensischer Leitfaden vorgestellt, der dem Leser mit jeder Unterteilung eine Konkretisierung auf das Thema Spezialverfahren der Datenrettung von Festplatten präsentieren soll. Auf der Grundlage des forensischen Leitfadens werden im Anschluss zwei Festplatten untersucht und mit Hilfe des PC-3000 Express Systems und kompatiblen Ersatzteilspendern erfolgreich gesichert. Ziel der Arbeit ist es, einen zukünftigen Benutzer in die Arbeit mit dem PC-3000 Express System einzuführen. Dabei soll der Arbeitsablauf bei der Untersuchung einer Festplatte fest an den Ablauf einer forensischen Untersuchung gebunden sein. So kann unabhängig vom forensischen Tätigkeitsfeld sichergestellt werden, dass ein Benutzer zukünftig auftretende Probleme von Festplatten effektiv und lösungsorientiert handhaben kann.
Diese Arbeit beschreibt das methodische Vorgehen bei einem Penetrationstest. Am praktischen Beispiel einer Unified Communication Infrastruktur, mit Komponenten des Herstellers innovaphone und Linphone, wird eine Sicherheitsanalyse demonstriert. Dabei wird die Konzeption und Durchführung, sowie der Umgang mit identifizierten Schwachstellen betrachtet. Insbesondere werden Techniken zum Ausnutzen von Voice-over-IP Schwachstellen gezeigt, der technische Hintergrund erläutert und Gegenmaßnahmen vorgestellt. Abschließend folgt eine Diskussion über eine mögliche Gestaltung einer sicheren Unified Communications Infrastruktur.
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher unter den Betriebssystemen Microsoft Windows und Linux der Web Clients der Instant-Messengerdienste WhatsApp und Telegram aus forensischer Perspektive beleuchtet. Hierfür werden die technischen Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät im Internetcache enthaltene Artefakte digital forensisch analysiert und diskutiert. Die gewonnenen Erkenntnisse sollen zukünftige forensische Untersuchungen, bei denen Instant-Messengerdienste wie WhatsApp oder Telegram eine Rolle spielen, vereinfachen und die Interpretation der gefundenen Artefakte unterstützen.
Die vorliegende Arbeit setzt sich mit der Windows 10 Timeline auseinander. Da diese erst vor kurzem entwickelt und von Microsoft veröffentlich wurde, gibt es wenige forensische Analysen. Ziel ist es, die Windows 10 Timeline und ihre Datenbank genauer zu betrachten. Es soll unter anderem herausgefunden werden, welche Daten die Datenbank überhaupt speichert, wie diese Daten in die Tabellen gespeichert werden und wie die Tabellen in den Datenbanken miteinander arbeiten. Weiterhin soll der forensische Wert der Windows 10 Timeline erforscht werden. Demnach ist ein weiteres Ziel, die Relevanz der Windows 10 Timeline in digital forensischen Ermittlungen zu untersuchen.
Entwicklung einer Methode zur Empfehlung von Suchbegriffen
und -phrasen im forensischen Kontext
(2021)
Diese Arbeit befasst sich mit der Entwicklung einer Methode zur Empfehlung von Suchbegriffen und -phrasen im forensischen Kontext. In der forensischen Fallarbeit stellen Kurznachrichten auf mobilen Endgeräten eine zentrale Beweisquelle dar. Häufig sind Ermittler hierbei mit umfangreichen Chatverläufen konfrontiert. Das Ziel besteht darin, den Ermittler bestmöglich bei der Arbeit mit der enormen Datenmenge zu unterstützen, indem ihm die relevantesten Begriffe des Datensatzes vorgeschlagen werden. Hierfür wurden unter anderem Algorithmen der Keyword Extraction, der explorativen Datenanalyse sowie des Word Association Minings untersucht. Als erfolgversprechendste Ansätze erwiesen sich das Topic Modeling mit einer Term-Kookkurrenzmatrix als Eingabe, die Vorhersage von thematisch ähnlichen Begriffen mittels der Latent Dirichlet Allocation sowie die Analyse von paradigmatischen Relationen.
In der letzten Dekade hat sich die Verwendung von Cloud-Computing für das verlässliche und kostengünstige Betreiben von IT-Ressourcen und Applikationen weitgehend etabliert. Für Anwendungsszenarien mit hochsensitiven Daten können jedoch inakzeptable Restrisiken in Bezug auf deren Vertraulichkeit und Integrität – insbesondere während der eigentlichen Datenverarbeitung – verbleiben. Mit Hilfe von Intel SGX ist die Entwicklung dahingehend abgesicherter Anwendungen möglich, eine Nutzung dessen Funktionalität durch bereits bestehende Applikationen dagegen nicht ohne Weiteres. Um diese vor Angriffen auf die Vertraulichkeit oder Integrität mittels SGX zu schützen, wurden in der Forschung verschiedene Ansätze zur Migration entwickelt. Insbesondere serviceorientierte, aus mehreren Einzeldiensten bestehende, Anwendungen bedürfen dafür jedoch einer ausführlichen Planung und strukturierten Vorgehens. Die vorliegende Masterarbeit hat das Ziel, ein grundlegendes Verständnis für SGX zu vermitteln und die Migration solcher Anwendungen zu vereinfachen. Dafür wird eine generische Methodik vorgestellt sowie anhand des Beispiels einer populären Webanwendung hinsichtlich ihrer Funktionalität, Sicherheit und Performanz evaluiert. Zusätzlich erfolgt die Diskussion der Migration von Container-Anwendungen sowie deren Besonderheiten und Möglichkeiten zur Orchestrierung.
Ziel dieser Masterarbeit ist eine Analyse des Voice-over-LTE-Netzwerkes auf Sicherheitsschwachstellen. Zuerst findet dafür eine theoretische Untersuchung des VoLTE-Protokolls mit einer Fokussierung auf seine sicherheitsrelevanten Merkmale statt. Anschließend wird das Session-Initiation-Protokoll (SIP) als Element für die praktische Untersuchung ausgewählt. Praktisch wird zuerst gezeigt, dass VoLTE-SIP-Pakete sensitive Daten enthalten, die auf den Endgeräten mitgelesen werden können. Anschließend werden manipulierte SIP-Pakete in das Netzwerk gesendet, die das Abfragen von Informationen und den Datenaustausch mit anderen VoLTE-Nutzern ermöglichen. Durch einen Vergleich der Arbeit mit anderen Veröffentlichungen wird gezeigt, dass es bereits ähnliche Ansätze gibt, die in dieser Arbeit verwendeten SIP-Pakete aber noch nicht für ein Auslösen unautorisierter Prozesse verwendet wurden. Zum Schluss wird dargestellt, in welchen Bereichen auf Basis dieser Arbeit weiter geforscht werden kann und welche Konsequenzen die gefundenen Ergebnisse für die VoLTE-Nutzer haben.
Die vorliegende Arbeit beschäftigt sich mit der Analyse und dem Nachweis von unberechtigten RDP Zugriffen in Windows Netzwerkumgebungen. Dafür werden alle technischen Grundlagen zum Verständnis des RDP geklärt und mögliche
Angriffsszenarien sowie das Vorgehen von Angreifern aufgezeigt. Anschließend werden Indikatoren für unberechtigte Zugriffe erläutert und präventive Maßnahmen zum Schutz dargelegt.
Die vorliegende Bachelorarbeit befasst sich mit dem modernen Fahrzeug, das sich im Wandel der Digitalisierung zu einem datenverarbeitenden und stark mit der Umwelt vernetzten System entwickelt hat. Besonders durch die Auswertung von Literatur wird aufgezeigt, welche Risiken mit der zunehmenden Digitalisierung eines Fahrzeugs einhergehen
Vor der Etablierung neuer Versionen in D-LIMS, müssen diese erst auf ihre Funktionstüchtigkeit geprüft werden. In der Arbeit wird das D-LIMS im Sachbereich DNA-Analyse des Kriminaltechnischen Instituts des Landeskriminalamts Brandenburg und eine Versionskontrolle für die Software D-LIMS vorgestellt.
In der vorliegenden Arbeit wird eine Methodik entwickelt, mit der ausgewählte forensische Software-Tools miteinander verglichen werden können. Dieser Ver-gleich basiert auf einem erstellten Image, welches diverse Artefakte beinhaltet. Auf Grundlage dieser Artefakte wird eine Bewertungsmatrix erzeugt, welche für den Vergleich der ausgewählten Forensik-Tools X-Ways, Axiom und Autopsy genutzt wird. Anhand der Ergebnisse, die durch die Matrix generiert wurden, lässt sich Axiom als bestes der drei getesteten Tools herausstellen. Hierbei muss allerdings berücksichtigt werden, dass die Beurteilung nach subjektiven Kriterien geschehen ist und keine eindeutige Aussage getroffen werden kann, ob ein forensisches Tool eine erfolgreiche Auswertung liefert
Ziel dieser Arbeit ist die Einführung und Implementierung eines Konzeptes, das diese hochsensiblen Daten trennt und unabhängig voneinander verwaltet. Auf diese Weise soll verhindert werden, dass ein Angreifer, bei unautorisiertem Zugriff auf eine Datenbank, keinen Zugang zu allen Sensor- und Identitätsdaten hat. Zu diesem Zweck wird ein Service vorgestellt, der die aufgezeichneten Daten in mehrere Komponenten aufteilt und unabhängig voneinander speichert. Damit die Anwendung keine Kenntnis über den Datenspeicherort besitzen muss, soll außerdem sichergestellt werden, dass die Anwendung und die Datenquellen nicht selbst miteinander kommunizieren müssen.
Im Rahmen der vorliegenden Bachelorarbeit sollte ein Add-On zur semi-automatischen Phantombilderstellung in Blender erstellt werden. Hierfür wurden bereits bestehende Add-Ons von Einzelprozessen der Gesichtsweichteilrekonstruktion miteinander verbunden und einem einheitlichen Bild angepasst. Zudem wurden Anpassungen und Erweiterungen an den Add-Ons vorgenommen, um die Anwenderfreundlichkeit zu erhöhen. Abschließend wurde das Ergebnis mit anderen Computergestützten Rekonstruktionsmethoden verglichen.
Die vorliegende Arbeit befasst sich umfangreich mit der Thematik der »Security Incident and Event Management« (SIEM) Systeme und ihrer Installation, Organisation und Anwendung in kleinen und mittleren Unternehmen (KMU). Am Anfang wird dem Leser die Funktionsweise eines solchen SIEM Systems erklärt, um im Anschluss am Beispiel der miteinander interagierenden Softwares Elasticsearch, Logstash, Beats und Kibana schrittweise in einer IT-Infrastruktur zu implementieren. Außerdem wird die Eignung eines solchen Systems für kleine und mittlere Unternehmen in gesetzlicher und organisatorischer Hinsicht auf Basis zweier Studien untersucht, welche den aktuellen Zustand der Thematik IT-Sicherheit in KMU widerspiegeln. Das Ziel der Arbeit ist es festzustellen, in welchem Rahmen ein SIEM System in KMU nötig ist und helfen kann, um die IT-Sicherheit des Unternehmens zu fördern. Dabei wird sowohl auf die Installation, als auch auf die Nutzung eins SIEM Systems unter den in KMU vorherrschenden Bedingungen betrachtet.
Messengerdaten auf Mobiltelefonen sind häufig für Ermittlungs- und Strafverfahren relevant. Eine händische Untersuchung dieser ist für einen digitalen Forensiker jedoch sehr arbeits- und zeitintensiv. Aus diesem Grund wird in dieser Bachelorarbeit ein möglichst effektives Verfahren
zur Auswertung und Aufbereitung von Messengerdaten auf Mobiltelefonen vorgestellt, welches digitalen Forensikern als Leitfaden dienen soll. Das vorgestellte Verfahren kann für jeden Messenger verwendet werden und basiert auf der Methode des Reverse Engineerings. Um dessen Anwendung zu demonstrieren und seine Funktionalität unter Beweis zu stellen, werden die Daten des Messengers TamTam, insbesondere die Datenbanken, exemplarisch ausgewertet und aufbereitet.
Diese Arbeit widmet sich dem Vergleich forensischer Software in der mobilen Forensik. Das Ziel der Arbeit besteht darin, forensische Images mit mehreren Tools zu analysieren und die Ergebnisse gegenüberzustellen. Dabei wird insbe-sondere auf die Qualität der Ergebnisse und der auf die Analyse verwendete Zeitaufwand berücksichtigt. Der Vergleich schließt die Tools XRY von MSAB, Oxygen Forensic Detective von Oxygen Forensics und das Open-Source Tool Autopsy ein.
Die vorliegende Arbeit befasst sich mit der Analyse von ShellBags in Windows-Betriebssystemen. Die Untersuchungen beziehen sich auf Windows XP, 7 und 10, welche als virtuelle Maschinen in VMware Workstation Pro integriert wurden. Da die ShellBag-Registrierungsschlüssel neben Ansichtseinstellungen im Datei-Explorer auch Einträge zu Aktivitäten in und mit verschiedenen Ordnern, in Netzlaufwerken sowie mit externen Speichermedien enthalten, liefern sie für forensische Analysen wertvolle Hinweise. Darüber hinaus können auch die darin befindlichen Zeitstempel zur Auswertung herangezogen werden. Hierfür wurden verschiedene Testreihen durchgeführt. Der Vergleich von ShellBag-Zuständen vor und nach einer Aktivität basiert auf dem Tool Compare It!, welches die Gegenüberstellung zweier .reg-Dateien erlaubt. Die Ergebnisse bestätigen,
dass auch heute noch eine Weiterentwicklung der ShellBags erfolgt, da stets Änderungen vorgenommen und neue Informationen hinzugefügt werden. Dennoch hat sich zum großen Teil eine einheitliche Ablage der Informationen herausgebildet.
Das Thema IT-Sicherheit wird durch zunehmende Vernetzung, neue Anforderungen an Systeme und Industrie 4.0 auch für industrielle Netzwerke wie SCADA und ICS immer wichtiger.
Finanzielle Schäden durch Angriffe steigen von Jahr zu Jahr. Deswegen ist es wichtig, diese Netzwerke zu schützen und Angriffe frühzeitig zu erkennen, um zeitnah auf diese reagieren zu können und größere Schäden zu vermeiden. Da klassische Methoden ICS Systeme zum Teil behindern können und um einen zusätzlichen Schutz zu den normalen Intrusion Detection Systemen und Firewalls zu bieten, ist das Ziel dieser Arbeit, die Entwicklung einer Plattform, zur
verhaltensbasierten Detektion von Angriffen in solchen Netzwerken. Dafür werden Honeypots im Netzwerk verteilt, welche dazu dienen, Angriffe, die das normale IDS oder Firewalls umgangen haben, oder gar von Internen durchgeführt werden, zu erkennen. Die Honeypots sind in der Lage, Zugriffe auf die von ihnen verwendeten Protokolle zu erkennen und senden in diesem Fall Meldungen an einen zentralen Server, welcher diese in einer Datenbank speichert und in einem Dashboard visualisiert. Das in dieser Arbeit beschriebene Konzept und seine detailliert beschriebene Umsetzung sollen den Einstieg für Unternehmen in dieses Thema erleichtern und zu weiterer Forschung auf diesem Gebiet anregen.
In der heutigen Gesellschaft finden zunehmend Fitnesstracker Anwendung. Viele Menschen sind daran interessiert ihre körperlichen Aktivitäten über den Alltag hinweg aufzuzeichnen, um einen Überblick über ihre Gesundheit oder Fitness zu erhalten. Aufgezeichnete körperliche Aktivitäten sollen in dieser Arbeit speziell mit GPS-Positionen, die auf einem separaten Gerät von derselben Person generiert wurden, in Verbindung gesetzt werden. Konkret wird eine Datenkopplung innerhalb eines Aggregationsalgorithmus für Geo-Positionen integriert. Die Aktivitätsdaten werden ausgewertet und über eine Java-Applikation dem Anwender zur Verfügung gestellt. Als Anwender kommen z.B. IT-Forensiker infrage. Um die Tauglichkeit zu testen, wurden über einen Zeitraum von zwei Wochen Testdatensätze mit einem Garmin vívosmart 4 und einem Android-Smartphone erho-ben. Das Ergebnis der in dieser Arbeit durchgeführten Implementierung ermöglicht eine Zusammenführung und Analyse dieser Daten auf Anwendungsebene.
Diese Arbeit beschäftigt sich mit der Untersuchung von Bild- und Videomaterial auf Anzeichen von Manipulationen. Erst werden Methoden vorgestellt, die bei regulären Manipulationen zu Erfolgen führen können. Anschließend werden mit den gleichen Methoden Deep-Fake Videos untersucht, um zu prüfen, ob diese einfachen Methoden auch bei Deep-Fakes funktionieren können.
Ziel der vorliegenden Arbeit ist es, Nutzer aus dem Heimbereich zur kritischen Beurteilung der Sicherheit von Netzwerkgeräten anzuregen.
Dazu wird zunächst aufgezeigt, warum Netzwerkgeräte ein lohnenswertes Ziel darstellen können. Zusätzlich werden bekannte Beispiele für gehackte beziehungsweise veränderte Netzwerkgeräte vorgestellt. Außerdem werden dem Leser Methoden zur Untersuchung dargestellt, welche an den konkreten Beispielen exemplarisch durchgeführt werden. Um eine sinnvolle Reihenfolge der Untersuchungen zu gewährleisten wird ein allgemeines Vorgehensmodell vorgestellt, welches entsprechend an die konkreten Untersuchungsanforderungen angepasst werden kann. Insbesondere werden die Recherche von Informationen, die optische Untersuchung, die Einstellungsüberprüfung und die Verifikation der Firmware besprochen und am konkreten Beispiel gezeigt. Auch die Übertragbarkeit auf andere Geräte wird überprüft und es wird versucht einen Ausblick auf eventuelle zukünftige Entwicklungen im Bereich der Sicherheit von Netzwerkgeräten zu geben. Limitierende Faktoren werden im Diskussionsteil der Arbeit ebenfalls betrachtet und näher erläutert.
This thesis deals with the development of a methodology / concept to analyse targeted attacks against IIoT / IoT devices. Building on the established background knowledge about honeypots, fileless malware and injection techniques a methodology is created that leads to a concept of a honeypot analyzation system. The system is created to analyse and detect novel threats like fileless attacks which are often utilized by Advanced Persistent Threats. That system is partially implemented and later evaluated by performing a simulated attack utilizing fileless attacks. The effectiveness is discussed and rated based on the results.
IT-Forensische Analyse moderner Android Betriebssysteme : Sicherheitsbericht zu Android Trojanern
(2020)
In der vorliegenden Bachelorarbeit soll ein Überblick über die Anfälligkeit moderner Android Betriebssysteme auf Trojaner gegeben werden. Dieser Trojaner, welcher während der Bachelorarbeit erstellt wurde, soll eine Backdoor enthalten, wodurch dieser eine HTTPS-Verbindung zum Ziel-System aufbaut. Über diese Verbindung soll an-schließend eine Meterpreter Session auf dem Ziel-System etabliert werden, um Zu-gang zu dem infizierten System zu erlangen.
Die forensische Software ist das wichtigste Werkzeug für einen digitalen Forensiker in der Post-Mortem-Analyse. Daher beschäftigt sich die Arbeit mit dem Vergleich von drei forensischen Softwarelösungen. Darunter sind X-Ways als verbreitetste Software in deutschsprachigen Raum, Magnet Axiom als sehr verbreitete Software im Nordamerikanischen Raum und Autopsy als Open-Source-Lösung.
Für den Vergleich wurde ein Testszenario auf einer Festplatte sowie auf einem SSD-Datenträger, welches mittels der vorgenannten forensischen Software ausgewertet wurden. Die Ergebnisse wurden hinsichtlich der Parameter Geschwindigkeit, Genauigkeit, Vollständigkeit, Wiederholbarkeit und Nachvollziehbarkeit verglichen.
Die vorliegende Bachelorarbeit soll Erkenntnisse über die sicherheitsrelevanten Schwachstellen einer Android Applikation liefern. Hierbei werden theoretische sowie praktische Analysen aus der digitalen Forensik durchgeführt. Die dabei verwendeten Methoden sind in der forensischen Informatik etabliert und gewähren einen fundierten und strukturierten Ablauf.
Die aus jenen Vorgaben entstandenen Ergebnisse, weisen ein moderates, kritisches Sicherheitsmanagement der zu analysierenden Anwendung auf. Diese Bachelorarbeit richtet sich sowohl an Studierende mit Interesse für Sicherheitsüberprüfungen spezieller Anwendungen und forensische Strukturen und Richtlinien als auch an Fachleute im Bereich der Informationstechnik.
Im Rahmen der vorliegenden Bachelorarbeit sollte eine Zusammenfassung der derzeitigen state-of-the-art-Methoden für die Rekonstruktion der einzelnen Gesichtsmerkmale bei einer Gesichtsweichteilrekonstruktion erstellt werden. Zudem wurde eine plastische GWR durchgeführt und evaluiert, um diese theoretischen Richtlinien anzuwenden und zu testen
In dieser Bachelorarbeit wird ein Workflow zur standardisierten Frisurenerstellung im Rahmen der computergestützten Gesichtsweichteilrekonstruktion beschrieben. Dafür wurde die kostenfreie Open-Source Software Blender mit der Versionsnummer 2.8 verwendet. Der Workflow wurde mithilfe des blenderinternen Partikelsystems erstellt.
In der Arbeit werden zwei weit verbreitete Computer-Forensik-Tools verglichen und bewertet. X-Ways Forensic und Autopsy wurden als beispielhafte Vertreter der Kategorien "proprietäre Tools" sowie "freie Tools" gewählt. Es werden anhand eines Kriterienkatalogs und verschiedener Test-Szenarien die einzelnen Funktionen systematisch evaluiert.
Das Ziel dieser Forschungsarbeit ist es herauszufinden, ob IoT-Devices automatisiert auf Sicherheitsschwachstellen getestet werden können. Da IoT-Devices über das Internet permant verfügbar sind, ist ihre Sicherheit von großer Bedeutung. Ein Angriff kann von überall auf der Welt durchgeführt werden. Die Sicherheit der IoT-Devices zu überprüfen ist nicht einfach, da nicht jeder Internetprotokolle analysieren kann. Daher wäre es von Vorteil diese Überprüfung zu automatisieren und für jeden zugänglich zu machen. Um die Forschungsfrage zu beantworten, wurde die Kommunikation einer nicht gepatcheten IoT-Kamera analysiert. Die Daten der IoT-Kamera wurden erst mitgeschnitten, dann analysiert und zum Schluss die Analyse mittels eines Scripts zu automatisieren. Die Ergebnisse der Analyses zeigen, dass die getestete IoT-Kamera sehr bedenklich bezüglich ihrer Sicherheit ist. Die Analyse der IoT-Kamera lies sich automatisieren und anhand einer weiter IoT-Kamera evaluieren. Angriffe jedoch müssen für jede IoT-Kamera individuell generiert werden. Diese Ergebnisse zeigen, dass es noch Bedarf im Berich Sicherheit existiert, vonseiten des Herstellers und des Kunden. Die Sicherheit der IoT-Devices kommt nicht mit dem schnellen technische Fortschritt mit. Somit gibt es viele Sicherheitslücken.
In der vorliegenden Bachelorarbeit geht es um den Einfluss personenbezogener Informationen auf die Wahl bei Passwörtern. Viele Nutzer verwenden oft persönliche Angaben in ihren Passwörtern, um sich diese leichter merken zu können. Im Rahmen dieser Arbeit soll analysiert werden, um welche Daten es sich dabei konkret handelt und in welchem Umfang diese vorkommen. Weiterhin soll untersucht werden mit welchen Verfahren, basierend auf grundlegenden Informationen zu einer Person, weiterer Kontext zu eben dieser Person ermittelt werden kann. Das entwickelte Programm zur Umsetzung der Verfahren soll Sicherheitsbehörden dabei unterstützen die richtigen Passwörter von Beweismitteln, die von hoher Relevanz für Ermittlungen sind, zeitnah zu bestimmen. Der zielgerichtete Angriff wird unter Verwendung eines personenbezogenen Wörterbuchs durchgeführt, das durch das in dieser Arbeit entwickelte Tool generiert wird.
Die vorliegende Arbeit befasst sich mit der Umsetzung eines Parsers für Apple Konfigurationsdateien für die Forensic Software X-Ways Forensics. Dabei werden speziell der Aufbau und die Funktionsweise der Binary Property List Dateien erklärt und ein Programm entwickelt, das in X-Ways Forensics als X-Tension funktionsfähig eingebunden wird. Des Weiteren werden der Aufbau der API und die Schritte erläutert, die notwendig sind, um eine solche X-Tension zu erstellen.
Prototypischer Aufbau einer sicheren ICS Umgebung für klein- und mittelständische Unternehmen
(2018)
Die vorliegende Arbeit befasst sich mit einem Prototypischen Aufbau einer ICS Umgebung für klein und mittelständische Unternehmen. Ziel ist es, einen Server einzurichten, von dem aus die Clients Zentral konfiguriert und überwacht werden können. Soweit es möglich ist, soll für das Projekt nur Open Source Software eingesetzt werden, um für die Unternehmen keine hohen Kosten zu verursachen.
Bei der Aufbereitung von digitalen Daten kann in der Forensik zwischen verschiedenen Tools gewählt werden. Diese müssen immer größer werdenden Datenmengen entgegenstehen und möglichst schnell und effizient Daten aufbereiten. Das Ziel dieser Arbeit ist es, forensische Tools zu Vergleichen und einen Überblick über die Funktionen zu geben. Dazu wird folgende Forschungsfrage gestellt: Welche Software ist für welches forensische Problem am besten geeignet? Um diese Frage zu beantworten, wurden Softwaretests durchgeführt. Hierfür wurden im ersten Schritt Images von einem Windows und Linux System und von einem Android Smartphone erstellt. Daraufhin wurden X-Ways Forensics, Axiom, Autopsy und Nuix auf diesen Images getestet und die Ergebnisse dokumentiert. Betrachtet wurden dabei Laufzeiten und die verschiedenen Aufbereitungs- und Suchergebnisse. Die Ergebnisse haben gezeigt, dass es deutliche Unterschiede in der Aufbereitung gibt. Axiom konnte besonders in der Aufbereitung des Windows und Android Images überzeugen. Bei der Aufbereitung des Linux Images konnten keine so klaren Ergebnisse erzielt werden.