Wissenschaftler des Fraunhofer FKIE gewinnt renommierten AFCEA-Studienpreis

Für seine Masterarbeit »File system fuzzing applied to the BSD operating system family« wurde Christopher Krah, Absolvent des Fachbereichs »Informatik« an der Rheinischen Friedrich-Wilhelms-Universität Bonn und seit Anfang Juli Wissenschaftler in der Forschungsgruppe »Applied System Analysis« am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, mit dem mit 5.000 Euro dotierten ersten Platz des AFCEA-Studienpreises 2019 ausgezeichnet.

»Dateisysteme sind tief in einem Betriebssystem verankert und trotz jahrelanger Entwicklung und täglicher Dauertests durch Benutzer durch verschiedenste Schwachstellen ausnutzbar«, erläutert Preisträger Krah die Motivation, sich im Rahmen seiner Masterarbeit mit diesem Thema bei BSD-Betriebssystemen intensiv auseinanderzusetzen. Für den Nutzer spiegeln sich diese Schwachstellen in unterschiedlichen Szenarien wider: Zum einen könnte der Computer sofort abstürzen wenn dieser zum Verarbeiten eines absichtlich manipulierten Dateisystems aufgefordert wird. Zum anderen können schwerwiegendere Folgen, wie einen „Information Leak“, oder das Überschreiben sensitiver Daten erfolgen. Dies wäre einem normalen User in der Regel nicht sofort ersichtlich, kann dafür aber erheblichen Schaden anrichten. Zu finden sind diese Schwachstellen in den gängigsten Dateisystemen, also zum Beispiel auch in denen, die sich auf USB-Sticks wiederfinden. »Das ist neben einem hohen Infektionsrisiko durch getarnte Schadsoftware einer der Gründe, weshalb man keine fremden bzw. ungeprüften USB-Sticks verwenden sollte«, empfiehlt Krah.

 

Mithilfe seiner Analyse hat der 27-Jährige allerdings nicht nur aufgezeigt, ob man Schwachstellen in Dateisystemen als Kernkomponente der Betriebssysteme erkennen kann, sondern auch welche vorliegen und wo diese zu finden sind. Insgesamt über 50 unterschiedliche Schwachstellen konnte Krah während des Zeitraums seiner Masterarbeit offenlegen – etwa 40 Prozent davon wurden auf Grundlage von Krahs Analyse bereits behoben.

 

Betreut wurde seine Masterarbeit von Professor Peter Martini, Leiter des Instituts für Informatik 4 an der Bonner Uni und gleichzeitig Institutsleiter des Fraunhofer FKIE. Zu dem Forschungsinstitut hat der talentierte Nachwuchsinformatiker trotz seiner noch jungen Karriere eine sehr intensive Verbindung. Bereits seine Bachelorarbeit wurde von einem Fraunhofer FKIE-Wissenschaftler betreut, der ihn auch direkt als Studentische Hilfskraft an das Institut holte. Im Anschluss an die Masterarbeit folgte dann die Anstellung als wissenschaftlicher Mitarbeiter in der Abteilung »Cyber Analysis and Defense« (CA&D). Aus diesem Grund haben es sich Professor Martini und Abteilungsleiter Dr. Elmar Padilla auch nicht nehmen lassen, an der Preisverleihung im Rahmen der Koblenzer IT-Tagung teilzunehmen.

 

Der AFCEA-Studienpreis wird seit 2008 jährlich verliehen: 20.000 Euro werden insgesamt an die Preisträger ausgeschüttet. Der Verein fördert damit die akademische Qualifikation junger Wissenschaftler, die sich durch herausragende Abschlussarbeiten auf den Gebieten Angewandter Informatik, Nachrichten- oder Automatisierungstechnik hervorgetan haben. Ausschlaggebend für die Prämierung sind neben der fachlichen Qualität der Arbeit besonders die Neuigkeit und die Praktikabilität bei der Lösung der zugrundeliegenden Fragestellung.

 

Gelohnt hat sich die intensive Beschäftigung mit den Schwachstellen in Dateisystemen für Krah allemal. Nicht nur wegen des AFCEA-Studienpreises, den er sichtlich stolz entgegengenommen hat. »Bislang hat es noch keine sehr intensiven Forschungen zur Schwachstellenanalyse in  Dateisystemen und insbesondere im Kontext von BSD basierten Betriebssystemen gegeben«, so Krah. Und von den Erfahrungen und Ergebnissen profitiert er auch weiterhin. »Bei der Analyse sind wir auf ganz spezifische Problemstellungen aufmerksam geworden. Das im Rahmen der Masterarbeit aufgebaute Wissen, sowie die ausgearbeiteten dynamischen Analysetechniken können problemlos in Zukunft weiter entwickelt und auf ähnliche Problemstellungen adaptiert werden.»