This page lists thesis topics which Stephan Kleber offers to take or has supervised in the past.

Current Thesis Offers

“Test-Case-Generation Strategies for Network-Protocol-Model Refinements,” Bachelor's or Master's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Institut of Distributed Systems, Ulm University, 2019 – Open.
Security assessments of networked systems require knowledge about the utilized communication protocol. For proprietary protocols without known specification and with only limited access to the end-points, the only source of information is the communication itself. To correctly conclude from the captured byte stream to message-formats, -types, and finally a protocol model, structure, message- and field-boundaries, data-type, and semantics need to be inferred. After an initial inference procedure, it is desirable to refine the existing protocol model. Actively probing an entity for the validity of message syntaxes allows to targetedly enhance the knowledge about the protocol. To do this efficiently a smart method of automatically generating test-cases depending on the current protocol model needs to be developed.

Ongoing Theses

Supervised Theses

S. Schmidt, “Automatic and Architecture-Agnostic Message Format Extraction,” Master's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2018 – Completed.
A. Hess, “Feature Extraction by Natural Language Processing for Type-based Alignment,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2017 – Completed.
The field of research of protocol reverse-engineering has gained increasing popularity in the recent years. Several papers proposing automatic protocol reverse-engineering tools for inferring the message formats of unknown network protocols operating on captured network traces were published in the past years. While some of these tools rely on field distinguisher tokens for approximating field boundaries with sequences of tokens, which can be used for inferring the message formats, others have adopted natural language processing methods for the identification of protocol keywords, which can be used to group similar messages together and use a sequence alignment algorithm to retrieve the message formats. The major limitation of these existing approaches is their computational efficiency. Therefore this thesis proposes an implementation which combines the ideas of two existing approaches and introduces some additional functionality in order to address these performance issues.
M. Gassner, “Recording and analysing attacks on Industrial Control Systems,” Bachelor's thesis, S. Kleber and R. van der Heijden (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2017 – Completed.
Die Arbeit wird in Kooperation mit Daimler TSS durchgeführt.
H. F. Nölscher, “Automatisiertes PCB Reverse Engineering,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2016 – Completed.
Die Arbeit wird in Kooperation mit Code White durchgeführt.
L. Maile, “Processes for Network Protocol Analyses,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2016 – Completed.
For every communication between two or more participants in distributed systems or networks, protocols are needed in order to agree upon the way the communication messages are interpreted. Unfortunately, many protocols are unknown to the public because of missing or unavailable specifications. To understand the functionality of these protocols and, eventually, their message content, these unknown protocols need to be reversed engineered. At present, network protocol reverse engineering is performed mostly manually with the expertise and intuition of the engineer, insofar as there are no completely automated methods yet. If analyzed by hand, the most difficulties are faced when comparing protocols with variable field lengths, since the protocol’s structure is blurred and patterns cannot be detected easily. Furthermore, complex state machines are hardly manageable without the support of automated tools. The value gained from protocol analyses research ranges from general understanding of the protocol to security issues, such as the creation of specific firewall rules or by helping intrusion detection systems to identify the behavior of malware. This bachelor thesis analyzes static protocol analyses and describes every stage passed from capturing unknown protocols to the deduction of protocol message formats and the state machine. It thereby presents currently existing automatic approaches for each stage and the benefits compared to a purely manual task. Finally, it evaluates the current processes, emphasizes limitations and proposes improvement suggestions for the future.
M. Moll, “Survey von Physically-Unclonable-Functions- (PUF) Anwendungsszenarien,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2016 – Completed.
Sicherheit in IT-Systemen vor allem im Bereich von verteilten Systemen wird immer wichtiger. Jedoch sind Softwarelösungen für diesen Zweck nicht als Sicher einzustufen. Der relativ leichte Zugang zu der Hardware von solchen Systemen stellt dabei das größte Problem dar, Damit kann die Software umgangen werden. Somit sind Sicherheitslösungen über Hardwarekomponenten nötig. Eine solche Komponente stellt die Physical Unclonabel Functions(PUF) dar. In dieser Arbeit werden mögliche Anwendungsszenarien vorgestellt in denen diese zum Einsatz kommen können. Die Einsatzgebiete sind die Bereiche Authentifizierung und Identifizierung, Verwaltung von geheimen Schlüsseln und Kryptographische Primitive An Hand der vorgestellten Szenarien werden dann Kriterien aufgestellt mit denen beurteilt werden kann wann und ob eine PUF eingesetzt werden kann.
M. Reuter, “Passwordless Authentication via Hardware Tokens,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2015 – Completed.
M. Matousek, “Software Support for the Secure Execution PUF-based Processor,” Master's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2015 – Completed.
The Secure Execution PUF-based Processor (SEPP), designed and implemented previously by Florian Unterstein, counters the problem of code injection attacks which are still a major threat for computer security. The ultimate goal of this thesis is to end up with an operating system running on the SEPP. Intermediate goals this thesis will address are solutions for compiler support, deployment scenarios, multi-threading of secure and insecure execution modes and even software dependend hardware optimizations.
A. Kuntschick, “Automatisierte Post Exploitation in Windows Netzwerken,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2014 – Completed.
Die Arbeit wird in Kooperation mit Daimler TSS durchgeführt.
D. Kumar, “Framework to Reverse Engineer Unknown Signal Communication Aiming Towards Understanding Implantable Device Communication,” Bachelor's thesis, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2014 – Completed.
The manufacturers of IMDs guard the technical details of their devices very closely and hence, the onlyoption left at studying them is Reverse Engineering. Through reverse engineering IMD communication, weattempt to understand how the IMD and its programmer device communicate with each other, whattype of modulation is used, what kind of mapping of data with symbols is used and how the data isencoded.Once the details of IMD communication are established, grouping all the working modules into a singleentity should automate the whole process. Feasibility of automating the process of reverse engineering anunknown signal is also to be attempted considering the process does not require human intervention atany stage. If the process does require human intervention, then automation to the maximum possibleextent should make it convenient enough.
F. Unterstein, “Using PUFs to Secure Computer Systems against Code Injection,” Master's thesis, S. Kleber and R. van der Heijden (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2014 – Completed.
Despite decades of research and development, code injection attacks still pose a significant threat to computer security. Also, cloud computing services move the physical hardware out of the user’s reach. Therefore, there is a dire need for a secure computing environment which can protect personal computers from malware as well as maintain the integrity and confidentiality of programs even if executed in cloud computing scenarios. One method that establishes such an environment is code encryption. Physical unclonable functions (PUFs) have recently emerged as promising cryptographic primitives. PUFs leverage device inherent randomness and can be used to generate cryptographic keys which are tied to the hardware. We propose the architecture for a secure processor which uses PUFs to create and execute encrypted programs. The unique properties of PUFs are used to create programs which are only executable on the device they were created on. Instruction level encryption is employed to keep code encrypted within the system memory and caches which are considered unsafe. A prototype was implemented which is able to execute encrypted standalone programs. Benchmark results indicate a performance penalty of between 23% and 49% when executing encrypted programs. We are optimistic that the performance can be considerably improved and believe, that this architecture is a viable approach towards secure computing.
S. Herrdum, “Identifizierung von WLAN-Geräten durch Probe Requests,” Bachelor's thesis VS-B03-2013, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2013 – Completed.
In unserem heutigen Zeitalter spielen Informationen und Technik für viele Menschen eine wichtige Rolle. Die Machtposition und der Einfluss zahlreicher Unternehmen begründet sich in vielen Fällen allein auf dem Informationsvorsprung gegenüber der Konkurrenz. So nehmen Themen wie Datensammlung und Informationsbeschaffung einen immer wichtiger werdenden Stellenwert in unserem Leben ein. Auch lässt sich der Fortschritt der Technik in allen Bereichen unseres Lebens wiederfinden. Mittlerweile gibt es kaum noch ein mobiles Endgerät, welches nicht mit einem WLAN-Adapter ausgestattet ist. Es ist daher eine praxisrelevante Fragestellung, ob es möglich ist, personenbezogene Informationen durch die Sammlung von WLAN-Paketen zu erhalten.Um dieser Fragestellung nachzukommen, wird in dieser Bachelorarbeit eine Methodik vorgestellt, mit welcher sich ein WLAN-Gerät anhand seiner versendeten Probe Requests klassi- fizieren lässt. Das entwickelte Verfahren untersucht dabei sowohl das Sendeverhalten der Probe Requests als auch gerätespezifische Eigenschaften, welche in den Probe Requests enthalten sind. Es generiert Merkmalsvektoren aus den zeitlichen Abständen der einzelnen Probe Requests und berechnet für jeden generierten Merkmalsvektor den nächsten Nachbar aller bereits bekannten Geräte, welche über die gleichen gerätespezifischen Eigenschaften verfügen. Anschließend wird für jeden gefundenen Nachbarn eine prozentuale Wahrscheinlichkeit für eine übereinstimmung angegeben.Die Evaluation des Verfahrens ergab, dass WLAN-Geräte unter Berücksichtigung ihrer gerätespezifischen Eigenschaften in kurzer Zeit mit einer hohen Wahrscheinlichkeit erfolgreich klassifiziert werden konnten.
P. Hochscheidt, “Penetration Test von automotiven IT Systemen,” Master's thesis VS-M04-2013, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2013 – Completed.
Die Arbeit wurde in Kooperation mit Daimler TSS durchgeführt.
ömer Sahin, “Untersuchung von Tools zur forensischen Analyse von Android Malware,” Bachelor's thesis VS-B11-2013, S. Kleber (Supervisor), F. Kargl (Examiner), Inst. of Distr. Sys., Ulm Univ., 2013 – Completed.
Der Entwicklungszustand von Android-Malware ist in der heutigen Zeit sehr hoch und kommt dem von PC-Malware sehr nahe. Um bösartige Aktivitäten von hochentwickelter Android-Malware zu detektieren, identifizieren und zu rekonstruieren, ist eine kontinuierliche Weiterentwicklung von Tools zur forensischen Analyse unerlässlich. Ziel dieser Arbeit ist es, einen Ausschnitt der State of the Art Tools zur forensischen Analyse von Android-Malware zu untersuchen. Dabei wird ermittelt, welche Resultate diese bei der Analyse von hochentwickelter Android-Malware liefern und wie aussagekräftig diese sind. Die Resultate werden anhand eines Kriterienkatalogs bewertet und miteinander verglichen. Dabei sollen vorhandene und fehlende Features der einzelnen Tools ermittelt, gegenübergestellt und ein Benutzerprofil für jedes Tool beschrieben werden. Da das aktuelle Angebot an Tools zur forensischen Analyse von Android-Malware immens ist, werden zunächst Auswahlkriterien deklariert. In dieser Arbeit werden die drei webbasierten State of the Art Tools Mobile-Sandbox, Dexter und Andrubis genauer untersucht. Für die Toolanalysen werden die aktuell als hochentwickelt bekannten Android-Malware AnserverBot und Obad analysiert. Bei den Resultaten der Analysen stellt sich heraus, dass Andrubis durch die Kombination von statischer und dynamischer Analyse größtenteils antiforensischen Maßnahmen entgegenwirkt und insgesamt aussagekräftige Informationen über die Android-Malware liefert. Mobile-Sandbox listet bei Codeverschleierung und Codeverschlüsselung keine und Dexter nur wenig aussagekräftige Resultate auf. Alle in dieser Arbeit getesteten Tools sind in der Lage, ohne Fehlerprozesse, die zum Abbruch der Analyse führen, hochentwickelte Android-Malware zu analysieren. Antiforensische Maßnahmen sind bei Android-Malware stark vertreten. Aufgrund dessen müssen die forensischen Fähigkeiten der Tools auf statischer, als auch auf dynamischen Ebene stets weiterentwickelt werden. Dies ist bei der Implementierung von neuen Tools und bei der Verbesserung von aktuellen oder veralteten Tools von großem Nutzen.
T. Sieber, “Benutzerprofilerstellung anhand der gespeicherten Daten auf einem iPhone,” Bachelor's thesis, S. Kleber (Supervisor), M. Weber (Examiner), Institut für Medieninformatik, Universität Ulm, 2012 – Completed.
Diese Arbeit beschäftigt sich mit der Informationsspeicherung in Smartphones. Dabei geht es um persönliche Informationen des Nutzers, die gespeichert werden. Genauer wird festgestellt, in wie weit man ein Benutzerprofil aus den Daten, die auf dem iPhone gespeichert werden, erstellen kann. Um dieses Ziel zu erreichen wird zuerst überprüft, welche benutzerspezifischen Daten ein iPhone speichert. Diese werden interpretiert, um daraus möglichst viele Informationen über den Nutzer zu erhalten. Es wird gezeigt, wie manuell aus diesen Daten ein Benutzerprofil erstellt werden kann. Dabei zeigte sich, dass auch ein Laie ein Benutzerprofil erstellen kann, dieses ist allerdings sehr oberflächlich. Bei einem Experten der sich im Themengebiet auskennt, fällt das Benutzerprofil wesentlich detaillierter aus. Im iPhone sind viele Informationen über den Nutzer vorhanden, diese sollten entsprechend geschützt werden. Auf Grundlage dieser Erkenntnisse wird exemplarisch aufgezeigt, wie eine Benutzerprofilerstellung automatisiert ablaufen kann.
G. Habiger, “Security and Privacy of Implantable Medical Devices,” Bachelor's thesis, S. Kleber (Supervisor), M. Weber (Examiner), Institut für Medieninformatik, Universität Ulm, 2012 – Completed.
The high demand and growing market for Implantable Medical Devices shows a widespread need for invisible and unobtrusive medical treatment of medical conditions like e.g. diabetes or cardiac arrythmia. The advancements of technology in this field make devices increasingly inter-connected, allowing them to communicate wirelessly with sensors, medical telemetry systems or device programmers. However, the increased complexity and the fact that many medical devices nowadays can be programmed and controlled via wireless links, brings with it a plethora of vulnerabilities. Adversaries capable of imitating authorized device programmers could gain control over IMDs, leading to serious injury or even death of their users. Other attacks could target a patient’s private medical data. This thesis strives to give an overview over the current state of research and recent developments in the field of IMD-security and privacy. It will discuss known vulnerabilities and possible defensive measures and evaluate the current risks involved with using a modern IMD. Based on these discussions, design concerns for IMD manufacturers are then summarized.

Stephan Kleber, M. Sc.

Stephan Kleber, M. Sc.
Stephan Kleber, M. Sc.

Mercedes-Benz Tech Innovation

External Ph.D. Student
Institut für Verteilte Systeme
Universität Ulm
Albert-Einstein-Allee 11
89081 Ulm

Please make an appointment by email.