SNE master student projects 2008 - 2009

2004-2005
 2005-2006 2006-2007 2007-2008 2008-2009 2009-2010 2010-2011
RP1 and RP2 Process Projects Contacts TimeLine Presentations-rp1 Presentations-rp2 Links

Research Projects 1 and 2 (RP1 and RP2)

The course objective is to ensure that students become acquainted with problems from the field of practice through two short projects, which require the development of non-trivial methods, concepts and solutions. After this course, students should be able to:

Process

Projects

Here is a list of student projects for Jan 2009 and/or june 2009. In a futile lightweight way to prevent spamming I replaced "@" by "=>" below.

Color:
Find here this year's left over projects
#
 title
summary
 supervisor
students
 R
 P
 R
P
2

Online Banking: Attacks & Defences

Door de snelle opkomst van een nieuwe generatie trojans, die voortborduurt op het concept van de man-in-the-middle aanval die actief verkeer herschrijft in twee richtingen, moeten alle klassieke authenticatiemechanismen (password, TAN lijst, SMS TAN, (a)synchrone tokens, challenge/response tokens, signing tokens, PKI) als gebroken beschouwd worden voor situaties waarbij het het eindpunt niet fatsoenlijk onder controle is. Kortweg: malware op de PC van de eindgebruiker breekt iedere authenticatie.
De conclusie moet zijn dat een sterkte authenticatie anno 2008 niet meer is dan een onderdeel in de beveiliging van een on-line transactie; zoals een firewall alleen een netwerk niet veilig maakt, zo maakt een sterke authenticatie alleen een on-line transactie niet veilig. Om wel tot een acceptabel beveiligingsniveau te komen, zullen de we, zoals vaak in IT beveiliging, onze toevlucht moeten nemen tot diverse lagen van beveiliging. Hierbij valt te denken aan de volgende drie lagen:
  • Layer I: De PC van de eindgebruiker. Hier kunnen agents draaien die de integriteit van de PC in de gaten houden, rapporteren, of zelfs actief beïnvloeden. Een andere mogelijkheid is het radicaal inzetten van een gecontroleerde omgeving op de gecompromiteerde PC, b.v. via een live CD, or via een packaged virtual machine.
  • Layer II: Out-of-band versterke authenticatie. De bestaande "gebroken" authenthicatiemethoden kunnen versterkt worden door er out-of-band functionaliteit aan toe te voegen. Hierbij valt te denken aan terugmelding van een transactie aan een klant via een onafhankelijk kanaal (b.v. SMS, telefoon), eventueel in combinatie met biometrische methoden (b.v. spraak authenticatie).
  • Layer III: Back-office monitoring. Een eenmaal ingevoerde transactie kan door middel van heuristische en statistische methoden een "fraudekansscore" krijgen. Transacties met een score boven een een zekere drempelwaarde kunnen dan een speciale behandeling krijgen (vertraagd worden, door een menselijke analist bekeken worden, geblokkeerd worden). De effectiviteit van deze monitoring kan nog eens flink opgevoerd worden door in real-time hoog gescoorde transacties (bevestigde fraude) te delen met andere instellingen: de ervaring leert dat een trojan vaak b.v. tientallen banken tegelijk treft op een vergelijkbare manier.
Voor alle drie de hierboven beschreven layers bestaan meerdere commerciele producten, die alle gemeen hebben dat ze zeer innovatief, intrigerend, en vooral ook onbewezen zijn. Het lijkt duidelijk dat de oplossing niet kan komen uit één "silver bullet" product, maar uit een gebalanceerd samenspel van de drie verschillende lagen.

Onderzoeksopdracht:
  1. Breng in kaart welke methoden er bestaan binnen ieder van de drie noemde lagen, en vergelijk ze per laag onderling op punten als volwassenheid, potentie, en effectiviteit,
  2. Breng in kaart op hoe de verschillende methoden over de drie lagen heen met elkaar interacteren, en al dan niet een goede aanvulling vormen op elkaar,
  3. Kom tot een gebalanceerd voorstel voor een on-line transactie architectuur, waarbij in iedere laag een verstandige keuze is gemaakt voor één product, wat samen een gelaagd geheel vormt dat fatsoenlijk weerstand kan bieden aan de bedreiging van trojans voor on-line transacties.
  4. Maak een analyze van de effectiviteit van de voorgestelde architectuur tegen huidige trojans, en speculeer hoe toekomstige trojans zullen evolueren indien de malwareschrijvers geconfronteerd worden met een grootschalige uitrol van de deze architectuur.
De nadruk van het onderzoek ligt op de technische aspecten; kosten en gebruiksgemak zijn vanzelfsprekend ook van belang, maar omdat beide zeer moeilijk in te schatten zijn, kan er in dit vroege stadium nog niet effectief op gestuurd worden.		 Jan Joris Vereijken
Kino Verburg
Dominic van den Ende <Dominic.vandenEnde=>os3.nl>
Tom Hendrickx <tom.hendrickx=>os3.nl> 		R P 2
5

Verschillende toepassingen voor virtualisatie.

Er zijn nogal wat virtualisatie oplossingen tegenwoordig beschikbaar, zoals bijvoorbeeld Xen, VMWare, KVM, Virtualbox, QEMU en Bochs. Virtualisatie kan voor vele doeleinden worden gebruikt, zoals bijvoorbeeld server consolidatie, separatie van client omgevingen, prototyping en virtual hosting. Welke voor- en nadelen zijn aan deze virtualisatietechnieken verbonden in combinatie met de diverse toepassingsgebieden, met name op het gebied van veiligheid en stabiliteit ? 		Fred Mobach <fred=>mobach.nl>
Dominic van den Ende <dominic.vandenende=>os3.nl>		 R P 1
6

Implementing OpenLISP with LISP + ALT.

The growth of the Internet, both in the number of connected hosts and the number of Internet Service Providers (ISPs), has resulted in scalability problems in routing traffic over the Internet infrastructure.  Routing tables are growing exponentially and stability is decreasing.  A solution to these problems is essential to guarantee future growth of the Internet in various dimensions, i.e, hosts, ISPs, bandwidth, responsiveness, ...
The Locator/ID Separation Protocol (LISP) is a proposed solution to reduce the routing table size, support mobility with survivability, and include traffic engineering capabilities.  In this project, an openLISP prototype implementation will be installed at NLnet Labs.  The deployed system will be tested and evaluated in a real-world setting. 		Benno Overeinder <benno=>NLnetLabs.nl>
Attilla De Groot <attilla.degroot=>os3.nl>		 R P 1
7

Browser Security

Vulnerabillities in browsers.
 Marc Smeets <Smeets.Marc=>kpmg.nl> Hans Ijkel <IJkel.Hans=>kpmg.nl>
Wouter van Dongen <Wouter.vanDongen=>os3.nl> 		R P 1
10

Stream Control Transport Protocol.

FreeBSD supports the SCTP protocol (RFC 4960) which provides connections with multiple streams between multiple interfaces. In this project the features of SCTP will be investigated. Simple SCTP client and server programs need to be written. With these programs various features of the protocol can be investigated. E.g., what happens when there are two paths between the server and the client that are both used by SCTP and one of the paths is interrupted. The FreeBSD implementation also supports dynamic addressing, where addresses can be added or deleted from existing stream associations. Investigate how this works and what can be done with it.
 Ronald van der Pol <Ronald.vanderPol=>rvdp.org>
Taarik Hassanmahomed <Taarik.Hassanmahomed=>os3.nl> 		R P 1
15

802.1ah in NetherLight; an application proposal.

NetherLight is the Optical Exchange Point in the Netherlands. Customers can interconnect their lightpaths via NetherLight. NetherLight consists of SDH/SONET equipment and Ethernet equipment. Lightpaths can be SDH/SONET circuits or Ethernet VLANs. The Ethernet switch of NetherLight is currently configured as a traditional switch with tagged and untagged ports and VLANs. The major drawback of this is that there is no separation between customer VLAN IDs and NetherLight VLAN IDs and therefore careful planning of VLAN IDs between NetherLight and all customers is needed. 802.1ah (aka mac-in-mac) is a new Ethernet technology that makes it possible to separate the VLAN IDs of NetherLight (backbone VLAN IDs) from the VLAN IDs from customers (customers VLAN IDs).

This assignment consists of several parts:
  • Make a proposal of how 802.1ah can be used on NetherLight to support several connection models:
    • Transparent point-to-point lightpath equivalent supporting multiple customer VLAN IDs.
    • Tagged ingress port where the customer choses an egress port based on customer VLAN ID.
  • Investigate how this can be used in a multi-domain environment consisting of other Optical Exchange Points, networks and customer LANs with a mix of SDH/SONET and Ethernet links.
 Ronald van der Pol <Ronald.vanderPol=>rvdp.org>
Mark Meijerink <mark.meijerink=>sara.nl>
Sevickson Kwidama <Sevickson.Kwidama=>os3.nl> 		R P 2
16

Ad-hoc trust associations with Trust Anchor Repositories.

This project will look closely at originally global trust model initially developed in DNSSEC and compare it with the recently proposed and actively discussed by RIPE and ICANN ISSAC community the island based trust model. The global trust model assumes that the root server will
sign keys of all top level zones and all trust model is based on the trust to the root signer. But when it closer comes to implementing DNSSEC by national TLD registries, the issue of trust is becoming more and more critical as some governments will be not happy to depend on their TLD root signing by external bodies. Recently proposed idea of creating Trust Anchor Repository (TAR) allows maintaining islands of trust hierarchies like national DNSSEC implementations. To facilitate DNSSEC implementation, ICANN agreed to run Interim TAR (ITAR) to zone/registries that have already implemented or will implement soon DNSSEC soon.

The project will look closely at both global and island based DNSSEC trust models and compare them and next evaluate some possible scenarios for further development of the DNSSEC with either models. Another goal of this project maybe to discuss using future DNSSEC infrastructure for creating dynamic security association in on-demand network services provisioning.

Information: RFCs, IETF DNSEXT WG drafts, ICANN Security and Stability Advisory Committee (SSAC) reports.
 Yuri Demchenko <Y.Demschenko=>uva.nl>
Stefan Roelofs <Stefan.Roelofs=>os3.nl> 		R P 2
18

Troubleshooting Grid authentication from the client side.

Het probleem : men probeert gebruik te maken van een grid service, maar tijdens de poging gaat er "iets" mis met authz/authn.  Meestal is het niet makkelijk om achter te komen wat het probleem is.  Je hebt :
  • invalid proxy
  • invalid host or service cert
  • key pair mismatches
  • unsupported cert authority
  • expired stuff
  • clocks not synchronized
  • etc etc
Het idee is een tool te bouwen waarmee je dat kunt bepalen. 		Jan Just Keijser <janjust=>nikhef.nl>
David Groep <davidg=>nikhef.nl>
Adriaan van der Zee <adriaan.vanderzee=>os3.nl> 		R P 1
20

Xen Hypervisor security in VM isolation.

Is it possible to breach the XEN hypervisor security in VM isolation and what are the risks and implications if this happens. Xen is a virtual machine monitor for IA-32, x86, x86-64, IA-64 and PowerPC 970 architectures. Modified versions of Linux, NetBSD and Solaris can be used as the dom0. Unmodified versions of Microsoft Windows and other proprietary operating systems can also be used as guests if the CPU supports Intel VT or AMD V technologies. Both technologies have different security and both need to be researched.
 Fred Mobach <fred=>mobach.nl>
Yanick de Jong <Yanick.deJong=>os3.nl>		 R P 1
21

Implementation difference between DNScurve and DNSsec.

DNSCurve uses high-speed high-security elliptic curve cryptography to add link-layer security on top of standard DNS, in a way that's simple to implement and administer and scales well. What are the benifits and disadvantages of dnssec and dnscurve implementations in short and long terms. 		Fred Mobach <fred=>mobach.nl>
Cornel de Jong <Cornel.deJong=>os3.nl>		 R P 2
22

XEN VGA passthrough.

Is it possible to run a virtualmachine (domU) on a xen hypervisor which uses the original VGA card in the system? With Intel VT-D it's possible to give a domU direct access to a PCI(e) device in a way that it can use native drivers to make use of the  device. Is this also possible with the VGA card in a way that you can  run windows as a virtual machine with the advantages that VGA cards offer these days on top of a Linux / Unix based dom0? 		Mendel Mobach <mendel=>mobach.nl>
Yuri Schaeffer <Yuri.Schaeffer=>os3.nl>		 R P 1
23

IPv4 ARP/IPv6 ND "Sponge" Daemon.

IP network nodes use ARP (IPv4) or ND (IPv6) protocol messages to discover the hardware address (MAC) to map an IP address to. These messages are by definition multicast to all connected nodes. On large shared media where many nodes communicate with each other, such as the Ethernet platform at AMS-IX, the (temporary) unavailability of a connected node (BGP peer) may result in a storm of these ARP and ND messages.
To reduce these storms, we developed an "ARP sponge" that runs as a Linux/UNIX daemon and spoofs ARP replies when the rate of queries exceeds a threshold. The current implementation has a number of limitations (such as being single-threaded and working for IPv4 only). We are looking at setting up a project to re-implement this software, extending it to IPv6 ND and adding some other features.
 Steven Bakker <steven.bakker=>ams-ix.net>
Niels Sijm <niels.sijm=>os3.nl>
Marco Wessel <Marco.Wessel=>os3.nl> 		R P 2
24

Using XEN Technology for Green.IT.

The UvA participates in the GreenNGI effort (see http://www.greenngi.com/). From the website; The GreenNGI experimental platform provides a virtual infrastructure using infrastructure services to provide an application oriented network needed to run multiple experiments and evaluate the impact of different technologies on Green House Gas(GHG) Emissions.
In that infrastructure one of the ways to play with energy use is to use virtualisation of applications and operating system environments and to migrate processes and virtual systems to those places where the energy can be obtained in the most green way. This RP is to make an implementation using XEN on Ubuntu work on a network of MacMini's connected to a transatlantic dedicated 1 gig lightpath to the Canadian partners and evaluate its potential advantages and pittfalls in using the state of the art XEN/Ubuntu for the greenIT project.
 Ralph Koning <r.koning=>uva.nl>
Cees de Laat <delaat=>uva.nl>
Arthur van Kleef <arthur.vankleef=>os3.nl> 		R P 1
25

Feasibility study Network Access Control (NAC).

This company in the technical automation branch for material handling systems would like to see a feasibility study for the introduction of NAC on their internal network. Research questions are:
  • Risk and problem analyses to introduce port security in this environment
  • Problems that may arise on a collapsed core network without (current) segmentation and high portability of static IP devices.
  • Non-standard hardware and software such as PLC‚s, FSC‚s, real-time Operating Systems such as QNX and other guest (hardware) systems
Concepts of NAC which should be addressed:
  • Pre-admission or post-admission control
  • Agent versus agent-less end systems
  • Use of captive portals or quarantine nets.
Research will be done for Vanderlande Industries. 		Marcel Verbruggen <Marcel.Verbruggen=>vanderlande.com>
Stefan Roelofs <Stefan.Roelofs=>os3.nl> 		R P 1
26

Universal Plug and Play Eventing vulnerabilities.

Over the past few years I have been digging into Universal Plug and Play vulnerabilities. My research has mostly been about vulnerabilities in code that processes UPnP SOAP requests and has been documented on http://www.upnp-hacks.org/.  One part of the UPnP protocol, eventing, has not been properly investigated yet, due to lack of time.

The eventing part of the protocol offers a new angle of attacks. The UPnP eventing system is based on HTTP, GENA and XML. It works by registering a callback URL with a device which events should be sent to. Event changes are sent to the callback URL in XML format.

The scope of research would be:
  • what stacks are in use and how do they implement eventing
  • what would be possible attack vectors, possibly including third parties exist
  • example exploit code (if any)
Research would be based upon testing of devices and investigation of code archives of devices.
 Armijn Hemel <armijn=>uulug.nl>
Joeri Blokhuis <joeri.blokhuis=>os3.nl> 		R P 1
27

Top40 cache compared to LRU and LFU.

Door middel van een in-house ontwikkeld Cache Replacement Script (gebaseerd op least-frequently-used algoritme) word de distributie over de storage bepaald (zowel disks als geheugen). Graag zouden we een onderzoek laten doen naar de effectiviteit en efficientie van het algoritme en indien nodig een voorstel naar verbeteringen van het script door optimalisatie of andere algoritmes (Het huidige script is geschreven in Perl).
Dick Snippe <dick.snippe=>tech.omroep.nl>
Alain van Hoof <alain.vanhoof=>os3.nl> 		R P 1
28

Research on OpenID and its integration within the GravityZoo framework.

Wat is OpenID? (http://openid.net): OpenID eliminates the need for multiple usernames across different websites, simplifying your online experience. You get to choose the OpenID Provider that best meets your needs and most importantly that you trust. At the same time, your OpenID can stay with you, no matter which Provider you move to. And best of all, the OpenID technology is not proprietary and is completely free. For businesses, this means a lower cost of password and account management, while drawing new web traffic. OpenID lowers user frustration by letting users have control of their login.

For geeks, OpenID is an open, decentralized, free framework for user-centric digital identity. OpenID takes advantage of already existing internet technology (URI, HTTP, SSL, Diffie-Hellman) and realizes that people are already creating identities for themselves whether it be at their blog, photostream, profile page, etc. With OpenID you can easily transform one of these existing URIs into an account which can be used at sites which support OpenID logins.

Onderzoeksvragen die hierbij aan bod komen:
  • Hoe kan OpenID het beste geïmplementeerd worden binnen GravityZoo?
  • Wat zijn de haken en ogen aan OpenID en de implementatie hiervan?
  • OpenID authenticatie op smart phones via GravityZoo. Hoe, Wat, Wie?
See also http://www.gravityzoo.com/
 Marcel van Birgelen <marcel.b=>gravityzoo.com>
Jarno van de Moosdijk <Jarno.vandeMoosdijk=>os3.nl> 		R P 1
29

Desktop sharing with SIP.

Applicaties zitten vaak 'gevangen' in schermen op de desktop van de gebruiker. Als je iemand een demonstratie wilt geven van een bepaalde applicatie, moet hij die in de praktijk zelf (laten) installeren en vervolgens de applicatie lokaal draaien - met alle vertraging, rechtenkwesties en foutgevoeligheden die dat oplevert van dien. Bovendien is het nogal omslachtig, je moet iemand een bestand mailen in een mogelijk voor hem of haar exotisch formaat waarna men het aan de
andere zijde moet openen. Dan is nog steeds niet zeker of wat de ene partij ziet hetzelfde is als wat de andere partij ziet. In het geval van verschillende besturingssystemen (bv. Apple OS X, Linux en Microsoft Windows) of bij gebruik van proprietary omgevingen tussen partners is het delen van applicaties zelfs bijzonder lastig. De omslachtige manier
van werken (het sturen van uitnodigingen van remote desktopsessies via mail) maakt het te moeizaam voor gebruik door leken.
Voor het opzetten van een sessie zijn internetstandaarden beschikbaar. Met name het SIP-protocol - dat momenteel hoofdzakelijk (en in steeds sterkere mate) gebruikt wordt voor internettelefonie - is feitelijk een generieke brug tussen mensen die het mogelijk maakt om gebruiker X en Y, waar ze ook ter wereld zitten, te localiseren en met ze te communiceren via een sessie naar keus. Je 'belt' simpelweg iemands contactgegevens en wanneer zij jou als gesprekspartner accepteren kun je een sessie met ze opzetten. In combinatie met een aantal bestaande (in open source-toepassingen ruim beschikbare) protocollen als FreeNX,VNC, X11 is het goed mogelijk om via SIP schermen vrijelijk met anderen in een virtueel team uit te wisselen. SIP lost het klassieke bereikbaarheidsprobleem aan beide kanten van de communicatielijn op. Dit doet het al zeer succesvol voor VoIP-telefonie, maar het kan met hetzelfde gemak (via een laagdrempelige, zeer eindgebruikersvriendelijke adressering, nl. iemands mailadres) worden gebruikt voor willekeurige toepassingen. Ieder venster op je desktop wordt op deze manier een realtime brug naar een andere monitor (of Cave of projector) van een andere gebruiker, waar desgewenst de betreffende persoon kan meekijken met wat jij doet of juist het werk doet terwijl de initiator van de sessie toeziet. Natuurlijk kunnen er meerdere verbindingen parallel en instantaan worden opgezet, zodat het delen van applicaties tussen virtuele teams tijdens bijvoorbeeld teleconferences triviaal wordt (en dus losgekoppeld wordt van software die alleen lokaal draait). Ondertussen is er eventueel een spraak en/of video-verbinding die meteen mee kan worden opgezet, waardoor men een en ander toe kan lichten om samen het probleem op te lossen. Daarmee is het de laatste missing link om toepassingen met een grafische schil vrij over het internet te laten stromen tussen desktops en mobiele devices van gebruikers: ofwel de global desktop.

Wat moet er gebeuren?
  • Analyse van benodigde protocollen en beschikbare softwarecomponenten, met name bestaande cross-platform open source tools
  • Ontwikkeling van een client die de meest geschikte componenten in elkaar smeedt tot een samenwerkend geheel (proof of concept) waarin SIP en FreeNX/X11/VNC samenwerken. Optionele integratie in een windowmanager (KDE, Gnome, XFCE) waarmee het verzenden van een scherm net zo gemakkelijk wordt als een scherm inklappen of uitklappen
 Michiel Leenaars <michiel=>nlnet.nl>
Willem Toorop <willem.toorop@os3.nl>		 R P 1
32

DNSCurve Analysis

Please see DNSCurve-analysis.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
Michiel Timmers <michiel.timmers=>os3.nl>		 R P 1
37

Design and development of a SAN Alarm system.

The operations department of KLM Information Services is responsible for the process of acquisition, implementation and upgrade of the technology infrastructure supporting Air France – KLM business applications. An important part of the technology infrastructure comprises of a Storage Area Network (SAN), that is used by a variety of platforms (Unix (AIX), Linux (RedHat), MS Windows and z/OS (Mainframe). In the past, applications that rely on the SAN infrastructure, experienced serious downtime related to severe SAN performance degradation. Applications experienced disk errors and the SAN fabric switches showed buffer discards. Although several problem symptoms are visible at individual platform levels, it took operations a significant amount of time to discover the nature of the phenomena in order to react accordingly. The aim of this project is to reduce the time to react on such a phenomena (or even help prevent such situation) by introducing a SAN Alerting System (SAS). This system should reliably detect performance degradation of the SAN fabric caused by certain traffic patterns and summarize the state of the SAN into a simple to interpret gauge, capable of acting as a signal to initiate corrective measures. The result should be a concept, augmented by a prototype solution.
 "Gommans, LHM - SPLXM" <Leon.Gommans=>klm.com>
Adriaan van der Zee <adriaan.vanderzee=>os3.nl>
Yanick de Jong <yanick.dejong@os3.nl> 		R P 2
38

Cloud Computing.

The promise of cloud storage and cloud computing is the "infinite" scalability and high reliability the model offers, usually using cheap hardware.  Storage and compute resources for "normal" IT become available as an infrastructural service, for which a pay-as-you-go financial model is not uncommon. The Amazon webservices (S3/EC2) are a prime example of implementing this model.  Google implements a similar model in its backend, and various storage software and hardware vendors are following suit.

In the context of the constituency of an NREN, the national higher education and research community, the cloud model allows thinking about campuses without physical hardware which would offer interesting benefits: economy of scale, storage/computing as an infrastructural service for outsourcing physical iron headaches.

The cloud model poses many questions.  How does one build a cloud?  How to deal with reliability, scalability, billing?  What economic models could be used?  What are the economic assumptions behind the cloud?  How is quality of service assured, both from a technical and an organisational/policy/economical point of view?  What are the limitations of the cloud model?  How is the cloud model different from the grid and utility computing models?  How can/do clouds interconnect?  What differences, if any, show up when the cloud model is applied to various contexts: research, educational data centers, commercial environments. Can data and compute resources flow across borders without problems?

The cloud is rather foggy at the moment.  The purpose of this RP1 project is to shed some light on it, and to carefully consider how the concept can be used in the context of the higher education and research community in general and of a NREN in particular.
Logistics
Supervisor/contact: Jan Meijer, UNINETT, Trondheim (Norway)

Physical materialisation of student
  week 1: at home/SNE lab
  week 2: in Trondheim, Norway
  week 3: in Trondheim, Norway
  week 4: at home/SNE lab

Meetings between supervisor and student in week 1 and week 4 will be held using phone/skype/video meetings, as the circumstances allow and demand. The presentation will be observed through a video link.  It would be good to make a reservation for one of the high quality SURFnet VC units.  Or to stream it over 4K video  ;)
Jan Meijer <Jan.Meijer=>uninett.no>
Tom Hendrickx <tom.hendrickx=>os3.nl> 		R P 1
41

The DFRWS 2009 Challenge

The DFRWS 2009 Challenge focuses on the development of tools and techniques for analyzing Playstation 3’s (PS3s). The Playstation 3 is a powerful, Cell processor-based system that can run both its native OS (which has significant DRM features that also thwart forensic investigation) and modern versions of Linux. This challenge focuses on the Linux and network aspects of PS3s, and does not touch the DRM protected data. The challenge scenario requires analysis of a physical memory dump, filesystem images, and network traces involving 2 PS3’s and a Playstation Portable (PSP).

http://www.dfrws.org/2009/challenge/index.shtml
 Ruud van Baar <ruud=>holmes.nl>
Wouter van Dongen <Wouter.vanDongen=>os3.nl>
Alain van Hoof <alain.vanhoof=>os3.nl> 		R P 2
42

Car authentication

Een moderne auto open je met een remote keyless entry (RKE) device. Er zijn diverse systemen in gebruik, diverse RF gebaseerde systemen (de traditionele autosleutel+afstandsbediening met een knopje), maar ook smartcards waarbij aanwezigheid in de buurt van je auto voldoende is voor het ontgrendelen van portieren. Onlangs toonden autofabrikanten zelfs conceptcars met bluetooth als RKE systeem, dit maakt het mogelijk je auto te ontgrendelen met bijvoorbeeld je telefoon.

Voer een onderzoek uit naar RKE systemen. Beantwoord in je onderzoek de volgende vragen:
  • Aan welke security eisen moet een RKE systeem voldoen?
  • Welke systemen worden in de praktijk gebruikt?
  • hoe werken ze?
  • voldoen ze aan de gestelde eisen?
 Hans Ijkel <IJkel.Hans=>kpmg.nl>
Pieter Ceelen <Ceelen.Pieter=>kpmg.nl>
Stan Hegt <Hegt.Stan=>kpmg.nl>
Jarno van de Moosdijk <jarno.vandemoosdijk=>os3.nl>
Dick Visser <dick.visser=>os3.nl>		 R P
 2
44

IP multicast routing on AMS-IX

IP multicast is a method of forwarding IP datagrams to a group of interested receivers. Its typical use lies in applications with one sender and many receivers, such as one-way audio or video streaming. IP multicast can be deployed inside a network, or between multiple networks. For routing of multicast traffic between multiple networks Provider-Independent Multicast (PIM) is used.

The switches on the current AMS-IX platform have no knowledge about which connected routers are part of a multicast group. Because of this, multicast traffic on the platform is currently treated the same as broadcast traffic, and forwarded out on every port in a VLAN (except for the port on which the traffic arrived). In order to limit the amount of unwanted flooding of multicast traffic, members that wish to exchange multicast traffic are configured in a separate VLAN for this purpose.

Currently the amount of multicast traffic exchanged on the AMS-IX platform is very low. New developments in the field of on-demand video may cause an uptake in this. In order to facilitate this, the AMS-IX switches will need to be aware of multicast traffic patterns, and only forward multicast streams to interested recipients, instead of all devices in a VLAN. A technology called PIM Traffic Snooping was designed for this purpose.

Goal of this research project is to investigate how inter-domain IP multicast works, and to test the possibility of using of PIM Traffic Snooping on the AMS-IX platform. All tests will need to take into account both the current AMS-IX Layer-2 platform, as well as the future platform based on MPLS/VPLS, which will be deployed later this year.
 Steven Bakker <steven.bakker=>ams-ix.net>
Attilla De Groot <attilla=>attilla.nl>
Yuri Schaeffer <yuri.schaeffer=>os3.nl> 		R P 2
46

Busting the ghost on the web: real time detection of drive-by-infections

Drive-by-infecties zijn geautomatiseerde malware infecties die zonder tussenkomst van de gebruiker verspreid worden via in principe bonafide, maar gecompromitteerde websites. Deze malware maakt gebruik van beveiligingslekken in de browser of plugins zoals ActiveX of Flash componenten om zo het systeem van de gebruiker ongemerkt te infecteren.
IDS systemen die gebruik maken van signature gebaseerde detectie in netwerkdata zijn vanwege hun statische karakter minder geschikt voor het herkennen van deze snel variërende en vaak nog onbekende dreigingen.
Onderzoek de mogelijkheden voor het detecteren van drive-by infecties door het analyseren van afwijkingen in metadata van HTTP request en response headers, en plotselinge wijzigingen van dergelijke data gedurende een sessie. Welke verschillen zijn er in deze metadata te vinden tussen normale legitieme sessies en sessies waarin een drive-by infectie plaatsvindt? Dit zonder gebruik te maken van (full) content inspectie.
Doelstellingen
  • Een analyse maken van http verkeerspatronen die zichtbaar zijn wanneer een drive-by-infection plaatsvindt.
  • Patronen destileren waarmee het mogelijk moet worden om een onbekende drive-by-infection met een lage kans op false positives in real time te detecteren. Eventueel kan hier nog een proof of concept van worden gemaakt.
Scope
Onderzoeken of het mogelijk is om aan de hand van http request/response metadata te zien of er op dat moment een drive-by-infection plaatsvindt. Metadata bevat, maar is niet beperkt tot timing van requests/responses, geografische locatie van de opgevraagde resource, bestandsnamen etc. Het onderzoek zal zich niet richten op de inhoud van de http responses, maar uitsluitend op de metadata.
 Bart Roos <roos=>fox-it.com>
Sander Peters <peters=>fox-it.com>
Michael van Kleij <michael.vankleij=>os3.nl>
Thijs Kinkhorst <thijs.kinkhorst=>os3.nl>

 R P 2
47

In depth abuse statistics

Internet abuse and threats are usually presented by given the total amount of issues a organization like Spamhaus receives, which result in a worst top N list. These statistics don't take the network size, type and architecture into consideration which could give a inaccurate impression of the real problem. Smaller networks for example won't make it to this list although there percentage of abuse in correlation with there network size could be far higher. Internet criminals could hide behind these smaller networks because they are not flagged to be a threat.

Research question:
Show how network size, type and architecture effect the amount of abuse reports and security threats that are available.

Task:
By using CBL (composite blocking list) and other DNSBL related databases you can get a total amount of abuse that is out there. Use this information to generate statistics for the amount of abuse in correlation with network size (Regional Internet Registry for continent specific/ ISP for country specific) Network architecture (NAT) and network type (Broadband / slow dial-up connections). For determining the real network size its not trustworthy to look at what CIDR/AS a specific IP address belongs to because one IP address can be used by multiple host using NAT solutions. By determining what the network architecture is of a reported IP addresses you should get a more realistic view about the abuse of a specific reported network. One possible approach is to analyze end connectivity of a particular network by sending n ICMP messages randomly across that network block. Nessus and similar tools that use a fingerprint databases can be used to determine if a IP address is used as an end node or by a NAT appliance and intercepting proxy servers.
 Carel van Straten <carel=>spamhaus.org>
JP Velders <Jan-Philip.Velders=>os3.nl>
Michiel Timmers <michiel.timmers=>os3.nl>
Arthur van Kleef <arthur.vankleef=>os3.nl 		R P 1

Contacts

Cees de Laat & Arie Taal

TimeLine

RP1:
RP2:

Presentations-rp1

Wednesday feb 4th in room z009 at Kruislaan 413, NL-1098 SJ Amsterdam. Program:
09h55 Cees de Laat Welcome, introduction. #
10h00 Dominic van den Ende Verschillende toepassingen voor virtualisatie. 5
10h20
 Attilla De Groot Implementing OpenLISP with LISP + ALT. 6
10h40
 Wouter van Dongen Browser Security
 7
11h00
 Taarik Hassanmahomed Stream Control Transport Protocol 10
11h20
*
 Pauze
11h40
 Sevickson Kwidama 802.1ah in NetherLight; an application proposal. 15
12h00
 Adriaan van der Zee Troubleshooting Grid Authentication from the client side. 18
12h20
 Yanick de Jong Xen hypervisor security in VM isolation. 20
12h40
 Willem Toorop Desktop sharing with SIP.
 29
13h00
*
 Lunch
13h40
 Michiel Timmers DNSCurve Analysis 32
14h00
 Stefan Roelofs Feasibility study Network Access Control (NAC). 
25
14h20
 Joeri Blokhuis Universal Plug and Play Eventing vulnerabilities. 26
14h40 Alain van Hoof Top40 cache compared to LRU and LFU. 27
15h00
*
 Pauze
15h20 Jarno van de Moosdijk Research on OpenID and its integration within the GravityZoo framework. 28
15h40
 Yuri Schaeffer XEN VGA passthrough. 22
16h00 Arthur van Kleef Using XEN Technology for Green.IT. 24
16h20
 Tom Hendrickx Cloud computing. 38
16h40
 Cees de Laat & OS3 team
 Evaluatie, afsluiting.
16h55
*
 End

Presentations-rp2

I hereby would like to invite you to the annual RP2- presentations, where the SNE students will be presenting their research. Considering the wide variety of presentations the day promises to be very interesting, and we hope you will join us. There will be arrangements made for lunch, and at the end of the day there will be time for drinks and discussion.

Please register at <mailto:salin@uva.nl>a.d.salin@uva.nl, and let me know with how many people you will be attending.

Wednesday july 1th, 2009 in room z011 at Kruislaan 413, NL-1098 SJ Amsterdam. Program:
10h00 Cees de Laat Welcome, introduction. #
10h10 Attilla De Groot, Yuri Schaeffer IP multicast routing on AMS-IX.
 44
10h40
 Michael van Kleij , Thijs Kinkhorst Busting the ghost on the web: real time detection of drive-by-infections.
 46
11h10
*
 Pauze
11h30
 Adriaan van der Zee, Yanick de Jong Design and development of a SAN Alarm system.
 37
12h00
 Niels Sijm, Marco Wessel IPv4 ARP/IPv6 ND "Sponge" Daemon.
 23
12h30
*
 Lunch
13h30
 Jarno van de Moosdijk, Dick Visser Car Authentication.
 42
14h00
 Dominic van den Ende, Tom Hendrickx Online Banking: Attacks & Defences.
 2
14h30
 Cornel de Jong Implementation difference between DNScurve and DNSsec. 21
14h50
*
 Pauze
15h20
 Stefan Roelofs Ad-hoc trust associations with Trust Anchor Repositories.
 16
15h40
 Michiel Timmers, Arthur van Kleef In-depth Abuse Statistics. (*) 47
16h10
 Wouter van Dongen, Alain van Hoof The DFRWS 2009 Challenge.
 41
16h40
 Cees de Laat
 Afsluiting
17h00
*
 Borrel
(*) = RP1 research presentation
(**) = see end of page for the verifyable random ordering.

Links

Info on last years projects:
  1. When applying for a bachelor or master certificate the student must submit an approved copy (with a mark 6 or higher) of the student’s bachelor or master thesis. Students are requested to submit their thesis for two reasons:
    •    De Faculty is obliged to register all theses in order to be - amongst others -  accountable for the standard and assessment of its theses to the visiting Quality Assessment Committees of the disciplines.
    •    The theses can be a source of information to students and teachers.
  2. These rules and regulations are applicable to all bachelor- and master theses submitted to the archives of the Faculty of Science. The student hands in the thesis at the Education Office when applying for a certificate.
  3. The supervisor of the bachelor- or master final research project (and/or the Board of Examiners) may demand that the student hands over one or more hard copies of the thesis. This will be agreed on at the start of the final research project.
  4. When applying for the certificate the student submits a digital copy of the thesis of the final research project. The student has to take care that this copy is either in PDF or Word (and not a mix of both for e.g. separate parts of the thesis, cover, index, appendices).
  5. The supervisor of the final research project must take care of two things:
    •    The supervisor has to indicate whether the copy that is submitted is the true version that has been concluded with a satisfactory result
    •    The supervisor has to indicate (in agreement with the student) whether the thesis contains confidential information, and therefore must not be submitted to the - public – catalogue of the library. These theses will only be registered confidentially.
  6. The Education Office only provides diplomas to students who have submitted a Thesis. Please note the role of the supervisor.
  7. The Education Office sees to it that the approved document will be filed by the library of the Faculty of Science. The thesis will be stored on the faculty’s server, which also takes care of a back-up.
  8. The library transfers the thesis to the on-line catalogue (UvA-DARE), unless the supervisor has indicated that there are strong objections against it because of its confidential character.
  9. A student may decide not to actively contribute to publication on the internet. For that reason the student may request the Education Office not to publish the thesis, and the thesis will only be registered in the Faculty’s archives.
  10. This procedure will be published on the programme website (<http://www.student.uva.nl>).
  11. You will find the procedure attached (PDF).
(**) Random ordering: See RFC2777:, the seed is the seat number plus flight number on my trip to Malaga for TNC2009.

~/f77/nomcom> nomcom
Type size of pool:
warning: this program uses gets(), which is unsafe.
(or 'exit' to exit) 11
Type number of items to be selected:
(or 'exit' to exit) 10
Approximately 3.6 bits of entropy needed.

Type #1 randomness or 'end' followed by new line.
Up to 16 integers or the word 'float' followed by up
to 16 x.y format reals.
22,6115
22
Type #2 randomness or 'end' followed by new line.
Up to 16 integers or the word 'float' followed by up
to 16 x.y format reals.
end
Key is:
 22./
index        hex value of MD5        div  selected
 1  3A4CB9F962F2C6911B425EE2C0DE7FB3  11  ->  1 <-
 2  5ECC3C8E69C519510DBC46D892DA96AC  10  ->  8 <-
 3  E250F70303543DC132283AADAE2B2630   9  ->  9 <-
 4  FC40F869BEEA2F8FEC927DCA16FEB2EB   8  ->  5 <-
 5  C2BCC164BDAA151F7FAB8669FDD1736C   7  ->  4 <-
 6  BC20FDF40AFB8B60EF6B4F694FE9AED5   6  ->  7 <-
 7  1FAACC0F14B6D9968D48E161E2906A47   5  ->  3 <-
 8  284FDB3E264FC106F73F4EB8B88E4A0A   4  -> 10 <-
 9  DDD3A23DACF9265A530EC2481A5C5FB9   3  ->  2 <-
10  02817E12809907FAA7CF0E570BFB275E   2  ->  6 <-

Done, type any character to exit.