FNR Awards 2024: Hilfreiche Tools zum Aufspüren schädlicher Programme

Wie kann man Schadprogramme aufspüren?

Jordan Samhi hat Tools entwickelt, mit denen sich schädliche ruhende Programme in Android-Anwendungen automatisch aufspüren und analysieren lassen. Im Bereich der Cybersicherheit ist ein ruhendes Schadprogramm eine Malware, die versteckt und inaktiv bleibt, bis sie von einem Angreifer aktiviert wird oder eine bestimmte Bedingung in der Ausführungsumgebung erkennt. Diese Programme können schwer zu erkennen sein, da sie keine Anzeichen von Aktivität zeigen, solange sie nicht aktiviert sind.

Es gibt zwei Analysetechniken: Zunächst führt man die Software aus und beobachtet, was passiert; das ist die dynamische Code-Analyse. Allerdings verwenden bösartige Entwickler subtile Techniken, um die dynamische Analyse zu umgehen. Logische Bomben, ein Typ von Schadprogrammen, sind Beispiele, bei denen der Code nur unter bestimmten Nutzungsbedingungen ausgelöst wird. Logische Bomben werden z. B. an einem bestimmten Datum oder bei einer Benutzeraktion aktiviert. Sie können verschiedene Schäden verursachen, z. B. Dateien löschen, Daten beschädigen oder ein System verlangsamen. Die Erkennung von logischen Bomben ist aufgrund ihrer unauffälligen Natur kompliziert.

Die zweite Möglichkeit, Schadprogramme zu erkennen, besteht darin, den Code zu analysieren, ohne ihn auszuführen: Diese Methode wendet Jordan Samhi an. Dazu muss er ein Modell der Software erstellen, was schwierig ist, da Hacker immer versuchen, ihren bösartigen Code zu verstecken. Er entwickelt die automatisierten Tools, die eine gründliche Analyse ermöglichen.

Warum hat sich die Jury für diesen Kandidaten entschieden?

Als Doktorand entwickelte Jordan Samhi den Prototyp eines Tools, mit dem er acht bösartige Apps im Google Play Store fand, die ihre Ingenieure nicht aufgespürt hatten.

Seine Forschung hat dazu beigetragen, Millionen von Nutzern vor diesen bösartigen „Logikbomben“ zu schützen.

"Der Autor hat eine Reihe hervorragender Forschungsarbeiten im Bereich der Analyse von Android-Apps durchgeführt, die wesentlich dazu beitragen, den Stand der Technik im Bereich der mobilen Software- und Systemsicherheit voranzutreiben", sagt ein Gutachter von Jordan Samhi's Bewerbung.

Über den Preisträger

Jordan Samhi absolvierte ein Bachelor in Computer Science und einen Master in Computer and Information Systems Security an der Université de Lorraine, die er jeweils mit "summa cum laude" als Klassenbester abschloss. Danach promovierte er in der Forschungsgruppe "TruX" an der Universität Luxemburg unter der Betreuung von Prof. Jacques Klein und Prof. Tegawendé Bissyandé. Für seine Doktorarbeit erhielt er auch von der Universität Luxemburg im Jahr 2023 einen "Excellent Thesis Award". Er ging dann für ein Jahr als Post-Doc nach Deutschland ans CISPA - Helmholz Center for Information Security. Seit November 2024 arbeitet er aber wieder ans SnT an der Universität Luxemburg, diesmal als Research Scientist.

Shortlist

• Gabriel Tedgue Beltrão vom SnT (Universität Luxemburg). In seiner Dissertation schlägt er innovative Lösungen zur Signalverarbeitung vor, um die berührungslose Überwachung von Vitalzeichen in praktischen Szenarien zu ermöglichen.
• Kim Greis von der Freien Universität Berlin und dem Fritz-Haber-Institut der Max-Planck-Gesellschaft. Im Rahmen ihres Promotionsprojekts schuf sie eine Methode, um die Struktur bestimmter Kohlenhydratmoleküle mithilfe eines Massenspektrometers zu untersuchen. Ihre Arbeit könnte zu effizienteren Methoden zur Herstellung von Medikamenten aus Kohlenhydraten führen.
• Mara Lucchetti vom LCSB (Universität Luxemburg). Sie interessiert sich dafür, wie Medikamente mit den Mikroorganismen in unserem Darm interagieren. Dazu stellte sie die Darmumgebung im Labor nach, indem sie ein neues Darm-Leber-Modell auf einem Chip entwickelte, das die Bedingungen im Inneren unseres Magen-Darm-Trakts nachahmt. Dieses neue Modell reduziert die Notwendigkeit von Tierversuchen bei der Entwicklung von Medikamenten.

Autorin: Diane Bertel
Editorin: Michèle Weber (FNR)