Art der Arbeit: Masterarbeit

Fachlicher Hintergrund:

Operational Technology (OT) umfasst die Hardware und Software, die durch direkte Überwachung und Steuerung von physischen Geräten, Prozessen und Ereignissen in industriellen Umgebungen Veränderungen erkennt oder verursacht. Mit der zunehmenden Digitalisierung und Vernetzung industrieller Abläufe ist die Sicherung von OT-Systemen von größter Bedeutung. Cyber-Bedrohungen, die auf OT-Systeme abzielen, können die Produktion stören, die Sicherheit gefährden und zu erheblichen finanziellen Verlusten führen. In den vergangenen Jahren ist die OT immer stärker in den Fokus von Angreifern geraten. OT ist für die Aufrechterhaltung alltäglicher Prozesse lebensnotwendig. So wurden beispielsweise einige Angriffe auf Wasserversorger publik.

In der OT werden häufig Microcontroller eingesetzt. Diese werden in der Regel von einer direkt auf Hardware aufsetzenden Firmware "angetrieben". Bei deren Entwicklung werden dabei regerlmäßig und häufig Libraries verwendet. Für einige davon werden im Laufe der Zeit Sicherheitslücken gefunden und sie "landen" früher oder später auf der CVE Liste. Ein vernünftiges Update-Management ist sehr selten anzutreffen. In dieser Situation hilft es, wenn man vorhandene Geräte betrachtet und deren interne Funktion versteht. Dazu wird die Firmware zunächst extrahiert und anschließend Reverse-Engineering betrieben.

Aufgabenbeschreibung:

Diese Firmware-Images sollen im Rahmen der Arbeit auf die Verwendung bekannter und anfälliger Libraries geprüft werden. Dazu können z.B. Techniken aus Virenscannern verwendet werden.

Es sollen einige der folgenden Fragestellungen beantwortet werden:

• Wie gut können Libraries in den Firmware-Files identifiziert werden? Sind beispielsweise verschiedene Versionsstände zu unterscheiden?
• Wie sind moderne Firmware-Images aufgebaut? Welche Tools verwenden die Entwickler?
• Unterscheidet sich das Vorgehen für häufig anzutreffende Hardware-Plattformen? (STM32, ESP32 usw.)
• Wie gut funktioniert die Beschaffung von Referenzmaterial für die Suche? (CVE --> Library --> Suche in Firmware)

Mögliche Arbeitsschritte:

• Betrachtung der Arbeitsweise von Compilern bzw. des Build-Prozess für Firmware
• Betrachtung von Tools zum Reverse Engineering von Firmware
• Betrachtung von (Open Source) Virenscannern und Prüfung der Anwendbarkeit zur Erkennung von Libraries
  • Ermittlung von Signaturen
  • Erkennung von Libraries anhand der Signaturen
• Betrachtung alternativer Verfahren zu Identifikation von Libraries
• Entwicklung eines Prototypen
• Experimente mit verschiedenen Firmware-Images und Ermittlung der Qualitätsparameter der Lösung

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete.

Literatur und Ressourcen:

• Vasiliadis, Giorgos, and Sotiris Ioannidis. "Gravity: a massively parallel antivirus engine." International Workshop on Recent Advances in Intrusion Detection. Berlin, Heidelberg: Springer Berlin Heidelberg, 2010.

•  

Betreuer: Thomas Mundt (thomas.mundt@uni-rostock.de)

Voraussetzungen: ...