Privacy Preserving Threat Hunting in Smart Home Environments

The recent proliferation of smart home environments offers new and transformative circumstances for various domains with a commitment to enhancing the quality of life and experience. Most of these environments combine different gadgets offered by multiple stakeholders in a dynamic and decentralized manner, which in turn presents new challenges from the perspective of digital investigation. In addition, a plentiful amount of data records got generated because of the day to day interactions between these gadgets and homeowners, which poses difficulty in managing and analyzing such data. The analysts should endorse new digital investigation approaches to tackle the current limitations in traditional approaches when used in these environments. The digital evidence in such environments can be found inside the records of logfiles that store the historical events occurred inside the smart home. Threat hunting can leverage the collective nature of these gadgets to gain deeper insights into the best way for responding to new threats, which in turn can be valuable in reducing the impact of breaches. Nevertheless, this approach depends mainly on the readiness of smart homeowners to share their own personal usage logs that have been extracted from their smart home environments. However, they might disincline to employ such service due to the sensitive nature of the information logged by their personal gateways. In this paper, we presented an approach to enable smart homeowners to share their usage logs in a privacy preserving manner. A distributed threat hunting approach has been developed to permit the composition of diverse threat classes without revealing the logged records to other involved parties. Furthermore, a scenario was proposed to depict a proactive threat Intelligence sharing for the detection of potential threats in smart home environments with some experimental results.Comment: In Proc. the International Conference on Advances in Cyber Security, Penang, Malaysia, July 201

The Role of the Adversary Model in Applied Security Research

Adversary models have been integral to the design of provably-secure cryptographic schemes or protocols. However, their use in other computer science research disciplines is relatively limited, particularly in the case of applied security research (e.g., mobile app and vulnerability studies). In this study, we conduct a survey of prominent adversary models used in the seminal field of cryptography, and more recent mobile and Internet of Things (IoT) research. Motivated by the findings from the cryptography survey, we propose a classification scheme for common app-based adversaries used in mobile security research, and classify key papers using the proposed scheme. Finally, we discuss recent work involving adversary models in the contemporary research field of IoT. We contribute recommendations to aid researchers working in applied (IoT) security based upon our findings from the mobile and cryptography literature. The key recommendation is for authors to clearly define adversary goals, assumptions and capabilities

Schutz der Privatsphäre in kontext- und ortsbezogenen Diensten

Mit der immensen Verbreitung von Smartphones als leistungsstarke, mobile Endgeräte nimmt auch die Nutzung kontext- und insbesondere ortsbezogener Dienste stetig zu. Derartige Anwendungen vereinfachen die Interaktion mit dem eigenen Endgerät oder externen Systemen, ermöglichen neuartige Nutzungserlebnisse und innovative Dienste, die auf den aktuellen Nutzungskontext zugeschnitten sind. Bei einem Großteil der hierfür an Dritte kommunizierten Informationen handelt es sich jedoch um persönliche Daten, deren unkontrollierte Herausgabe aus Sicht der Privatsphäre problematisch erscheint. In der vorliegenden Arbeit werden drei unterschiedliche Möglichkeiten zum Datenschutz von Kontextinformationen vorgestellt. Allen Verfahren ist gemein, dass sie im Gegensatz zu vielen bestehenden Systemen ohne die Existenz einer als vertrauenswürdig deklarierten dritten Partei auskommen. Stattdessen wird jeweils eine rein clientseitige Durchsetzung von Privatsphärepräferenzen angestrebt, wodurch eine personalisierte Dienstnutzung ermöglicht und die Gefahr eines zentralen Datenlecks vermieden wird. Der erste Ansatz beschäftigt sich damit, dem Benutzer ein effektives, allgemeingültiges Werkzeug zur feingranularen, situations- und rezipientenabhängigen Verwaltung von Kontextinformationen zur Verfügung zu stellen. Es wird ein Ontologie-basiertes Kontextmodell entwickelt, auf dessen Grundlage die Definition und konsistente Durchsetzung situationsabhängiger Freigaberegeln möglich ist. Zudem wird eine vollständige Systemarchitektur zur Kontextverwaltung sowie deren Integration in ein mobiles Betriebssystem beschrieben. Der zweite Ansatz ermöglicht die privatsphäreschonende Umsetzung der verkehrsadaptiven Online-Routenplanung. Unter Verwendung standardmäßig zur Verfügung stehender Dienstschnittstellen wird dafür gesorgt, dass keine externe Komponente den exakten Start- und Zielpunkt einer Routenanfrage in Erfahrung bringen kann. Anhand einer umfangreichen Evaluation werden der Trade-Off zwischen Privatsphäre, Kommunikationsaufwand und Dienstqualität untersucht und verschiedene Optimierungsmöglichkeiten aufgezeigt. Als drittes wird ein umfassendes Konzept zur Herstellung von Standortanonymität vorgestellt, das sich generisch für die privatsphärekonforme Positionsfreigabe in unterschiedlichen Ausprägungen ortsbezogener Dienste eignet. Hierfür werden die topologiebasierte Erstellung k-anonymer Verschleierungszonen sowie verschiedene Freigabestrategien entwickelt, die auch die zeitliche Korrelation aufeinanderfolgender Ortsangaben berücksichtigen. Dies ermöglicht den effektiven Schutz persönlicher Daten selbst bei kontinuierlichen Positionsupdates gegenüber einem Angreifer mit umfangreichem Kartenwissen.With the widespread prevalence of smartphones as powerful ultra-mobile devices, also the usage of context-aware applications and location-based services continually grows. Such applications improve the way a user interacts with his own device and external systems. Furthermore, they enable previously unknown user experiences and offer innovative services tailored to the user's current situation. The majority of context information that has to be communicated to external parties in order to use such services, however, is considered personal data. From a privacy oriented perspective, the release of this kind of information hence has to be controlled and leakage must be prevented. This work presents three different means for protecting a user's context information. In contrast to many existing approaches, each of the proposed systems has been designed to operate without the existence of an omniscient, trusted third party acting as an anonymizer. Instead, enforcement of a user's privacy preferences is executed locally on the user's device, which allows for personalized services and avoids the perils of a central privacy bottleneck. The first approach proposes an effective and generally applicable tool allowing the user to manage his context information in a fine-grained, context-aware and recipient-dependent way. To this end, a new ontology-based context model will be developed, which forms the foundation for the definition and assertion of situation-dependent access control rules set up by the user. Additionally, the overall system architecture as well as its integration into a modern mobile operating system will be described. The second approach presents a client-side implementation for using traffic-adaptive online route planning services in a privacy-preserving manner. Only using the unmodified standard query interfaces of existing services, the system assures that no external party is able to learn the exact endpoints of the user's route request. By means of empirical evaluation on the actual road network, the trade off between privacy, communication overhead, and quality of service will be analyzed. Also, different optimizations will be discusssed. Thirdly, a holistic concept for continuously protecting a user's location privacy will be presented, which is generally applicable to the release of location information and all different kinds of location-based services. A topology-aware creation of k-anonymous cloaking regions will be developed as well as different strategies for the release of location information, which also take into account the spatiotemporal correlation of successive location updates. These allow for an effective protection of a user's location privacy even for continuous location updates and in face of a strong attacker with extensive map knowledge

Konzepte für Datensicherheit und Datenschutz in mobilen Anwendungen

Smart Devices und insbesondere Smartphones nehmen eine immer wichtigere Rolle in unserem Leben ein. Aufgrund einer kontinuierlich anwachsenden Akkulaufzeit können diese Geräte nahezu ununterbrochen mitgeführt und genutzt werden. Zusätzlich sorgen stetig günstiger werdende Mobilfunktarife und ansteigende Datenraten dafür, dass den Nutzern mit diesen Geräten eine immerwährende Verbindung zum Internet zur Verfügung steht. Smart Devices sind dadurch nicht mehr reine Kommunikationsmittel sondern ebenfalls Informationsquellen. Darüber hinaus gibt es eine Vielzahl an Anwendungen von Drittanbietern für diese Geräte. Dank der darin verbauten Sensoren, können darauf beispielsweise ortsbasierte Anwendungen, Gesundheitsanwendungen oder Anwendungen für die Industrie 4.0 ausgeführt werden, um nur einige zu nennen. Solche Anwendungen stellen allerdings nicht nur ein großes Nutzen-, sondern zu gleich ein immenses Gefahrenpotential dar. Über die Sensoren können die unterschiedlichsten Kontextdaten erfasst und relativ präzise Rückschlüsse auf den Nutzer gezogen werden. Daher sollte bei diesen Geräten ein besonderes Augenmerk auf die Datensicherheit und insbesondere auf den Datenschutz gelegt werden. Betrachtet man allerdings die bestehenden Datensicherheits- und Datenschutzkomponenten in den aktuell vorherrschenden mobilen Plattformen, so fällt auf, dass keine der Plattformen die speziellen Anforderungen an ein mobiles Datensicherheits- und Datenschutzsystem zufriedenstellend erfüllt. Aus diesem Grund steht im Zentrum der vorliegende Arbeit die Konzeption und Umsetzung neuartiger Datensicherheits- und Datenschutzkonzepte für mobile Anwendungen. Hierfür werden die folgenden fünf Forschungsbeiträge erbracht: [FB1] Bestehende Datensicherheits- und Datenschutzkonzepte werden analysiert, um deren Schwachstellen zu identifizieren. [FB2] Ein kontextsensitives Berechtigungsmodell wird erstellt. [FB3] Das Berechtigungsmodell wird in einem flexiblen Datenschutzsystem konzeptionell eingebettet und anschließend implementiert. [FB4] Das Datenschutzsystem wird zu einem holistischen Sicherheitssystem erweitert. [FB5] Das daraus entstandene holistische Sicherheitssystem wird evaluiert. Um die Forschungsziele zu erreichen, wird mit dem Privacy Policy Model (PPM) ein gänzlich neues Modell zur Formulierung von feingranularen Berechtigungsregeln eingeführt, die es dem Nutzer ermöglichen, je nach Bedarf, einzelne Funktionseinheiten einer Anwendung zu deaktivieren, um dadurch die Zugriffsrechte der Anwendung einzuschränken. Zusätzlich kann der Nutzer auch die Genauigkeit der Daten, die der Anwendung zur Verfügung gestellt werden, reduzieren. Das PPM wird in der Privacy Policy Platform (PMP) implementiert. Die PMP ist ein Berechtigungssystem, das nicht nur für die Einhaltung der Datenschutzrichtlinien sorgt, sondern auch einige der Schutzziele der Datensicherheit erfüllt. Für die PMP werden mehrere Implementierungsstrategien diskutiert und deren Vor- und Nachteile gegeneinander abgewogen. Um neben den Datenschutz auch die Datensicherheit gewährleisten zu können, wird die PMP um den Secure Data Container (SDC) erweitert. Mit dem SDC können sensible Daten sicher gespeichert und zwischen Anwendungen ausgetauscht werden. Die Anwendbarkeit der PMP und des SDCs wird an Praxisbeispielen aus vier unterschiedlichen Domänen (ortsbasierte Anwendungen, Gesundheitsanwendungen, Anwendungen in der Industrie 4.0 und Anwendungen für das Internet der Dinge) demonstriert. Bei dieser Analyse zeigt sich, dass die Kombination aus PMP und SDC nicht nur sämtliche Schutzziele, die im Rahmen der vorliegenden Arbeit relevant sind und sich am ISO-Standard ISO/IEC 27000:2009 orientieren, erfüllt, sondern darüber hinaus sehr performant ist. Durch die Verwendung der PMP und des SDCs kann der Akkuverbrauch von Anwendungen halbiert werden