SNE master student projects 2007 - 2008 (LeftOver)

#
title + summary
supervisor/contact
3

Beveiligingsanalyse daemon managementtool.

WireITup ontwikkeling een daemon managementtool. Deze tool maakt het bijvoorbeeld mogelijk om op universele wijze via een webservice een BIND en Microsoft DNS server implementatie te beheren. De tool is ontwikkeld in C++ en maakt gebruiken van een eigen protocol op basis van TCP/IP sockets. Omdat de tool gebruikt gaat worden voor kritieke systemen als DNS servers is het noodzakelijk dat het protocol en bijbehorende beveiligingsaspecten uitgebreid worden onderzocht.
Jeffrey Barendse <j.barendse=>wireitup.nl>
A. Borst <a.borst=>wireitup.nl>
6

"Best practice" voor het blokkeren van remote DNS servers.

Soms is het praktisch om kwaadwillig gebruik van het internet niet te blokkeren in het stadium van de daadwerkelijke gegevensuitwisseling (SMTP, HTTP e.d.) maar om dit in een eerder stadium te doen. Een mogelijke keus is dan DNS, daar bepaalde misbruikers vanwege de eenvoud opteren voor het concentreren van hun DNS registraties onder bepaalde domeinen danwel subnetten.
Fred Mobach <fred=>mobach.nl>
7

Een draft voor een Simple Message Control Protocol.

Uitwisseling van beknopte berichten tussen geautentificeerde systemen en geautoriseerde gebruikers is naar mijn weten nog niet in voorzien. SMTP, NNTP en SNMP kunnen dit niet verzorgen. Een nieuw protocol met hergebruik van al bestaande elementen zoals SSL / SSH kan vrij eenvoudig zorgdragen voor autorisatie, autentificatie en encryptie.
Fred Mobach <fred=>mobach.nl>
8

Verschillende toepassingen voor virtualisatie.

Er zijn nogal wat virtualisatie oplossingen tegenwoordig beschikbaar, zoals bijvoorbeeld Xen, VMWare, KVM, Virtualbox, QEMU en Bochs. Virtualisatie kan voor vele doeleinden worden gebruikt, zoals bijvoorbeeld server consolidatie, separatie van client omgevingen, prototyping en virtual hosting. Welke voor- en nadelen zijn aan deze virtualisatietechnieken verbonden in combinatie met de diverse toepassingsgebieden, met name op het gebied van veiligheid en stabiliteit ?
Fred Mobach <fred=>mobach.nl>
10

Policy Obligations and Access Control in Complex Resource Provisioning (CRP).

CRP applications typically include resource reservation and resource access or usage stages. In this context, access control policies in CRP may specify actions that must be performed either instead of or in addition to the policy decision. Obligations are included into the  policy definition and returned by the Policy Decision Point (PDP) to the  Policy Enforcement Point (PEP) which in its turn should take actions as prescribed in the obligation instructions or statements. Suggested functionality that can be achieved with using obligations: account mapping, quota assignment, service combination with implied conditions (e.g., computing and storage resources), usable resources/quota, etc. The project will model and investigate the Policy Obligations Reference Handling Model (OHRM) using XACML (eXtensible Access Control Markup Language) for several CRP use cases for network resource provisioning  and typical Grid based applications.
Yuri Demchenko <demch=>science.uva.nl>
11

Authentication, authorization and accounting.

Authentication, authorization and accounting – the so-called triple A services – are gaining ever more prominence in IT security. The holy grail of combining maximal strength on the one hand with minimal user grief on the other has not yet been found however. The research task is: Design, describe and implement a platform-insensitive infrastructure foor authentication, delegation, authorization and accounting. This is a very wide field, so it is necessary to limit and scope the reseacht. A proposal is to invistigate distributed, decentralized authentication as in <http://openid.net/>. For more info see: AAA research topic, Company Profile
Jeroen Scheerder <jeroenscheerder=>on2it.net>
12

Health; Digital patient records security and regulations.

For various reasons hospitals keep and process more and more patient information in digital form online accessible for the authorized users. Such systems have been compromised in the recent past by computer virusses. Guidelines for the exchange of digital information
have been set out by the Wet Boek Persoonsgegevens (WBP) and the rules issued by the College Bescherming. The task here is: Define a concise questionnaire, used to gain a basic assessment of current state of affairs in relevant security aspects. Based upon this assessment, an analysis should be possible that also points to an approach towards compliance to the regulations that will be put into place in the near future. More info: Health research topic, Company Profile
Jeroen Scheerder <jeroenscheerder=>on2it.net>
13

Network Access Control (NAC) technology.

Design, describe and create a proof-of-concept implementation of an entirely platform-agnostic addition of NAC, including pre-admission authentication and compliance enforcment, to an existing and unaltered network, without any change to the configuration and/or installed software of the systems on the network. More info: NAC research topic, Company Profile
Jeroen Scheerder <jeroenscheerder=>on2it.net>
14

Onderzoek naar effectiviteit en efficientie Cache Replacement Script tbv. Streaming Media omgeving (uitzendinggemist.nl)

Door middel van een in-house ontwikkeld Cache Replacement Script (gebaseerd op least-frequently-used algoritme) word de distributie over de storage bepaald (zowel disks als geheugen). Graag zouden we een onderzoek laten doen naar de effectiviteit en efficientie van het algoritme en indien nodig een voorstel naar verbeteringen van het script door optimalisatie of andere algoritmes (Het huidige script is geschreven in Perl).
Dirk-Jan van Helmond <dirkjan.van.helmond=>omroep.nl>
Marten van de Wetering <marten.van.de.wetering=>omroep.nl>
16

Haalbaarheidsstudie implementatie Multicast.

Op piekmomenten stuurt de NPO organisatie meer dan 7 Gbit aan unicast streaming verkeer uit. Voor on-demand streaming is dit noodzakelijk, maar voor live-streaming zijn er andere mogelijkheden, zoals bijv. Multicast. Graag zouden we een haalbaarheidsstudie zien naar de implementatie van Multicast. Wat voor verandering is er nodig binnen de NPO om Multicast live-streaming mogelijk te maken en hoe staat de ontvangende kant (Nederlandse ISP's) er tegenover om een Multicast signaal te ontvangen?
Dirk-Jan van Helmond <dirkjan.van.helmond=>omroep.nl>
Marten van de Wetering <marten.van.de.wetering=>omroep.nl>
17

Evaluate the safety of Microsoft Office documents.

MS Office is al jaren lang de facto standaard voor documenten binnen het bedrijfsleven. Naast de standaardfunctionaliteit zoals tekstverwerking, database en spreadsheets bevat de gehele Office suite verscheidene extra functies per applicatie. Denk hierbij aan wachtwoordbeveiliging, macro's, opslaan van meta-informatie, revisie-beheer, e.d. Veel van deze functionaliteit wordt door velen als veilig, normaal en vertrouwd beschouwd, maar hoe veilig en vertouwd zijn deze functies eigenlijk? Wat voor informatie is allemaal uit de meta-data op te halen en hoe veilig is je data eigenlijk in een MS Office document?
Hans IJkel <IJkel.Hans=>kpmg.nl>
Jeroen van Beek <vanBeek.Jeroen=>kpmg.nl>
Marc Smeets <Smeets.Marc=>kpmg.nl>
19

Inline shellcode detectie

Bij een buffer overflow aanval wordt gebruik gemaakt van zogenaamde shellcode. Dit is een stukje code waarmee de aanvaller de controle over de machine overneemt. Het gebruik van shellcode is een constante factor bij buffer overflow aanvallen en veelal wordt identieke shellcode toegepast. In theorie is het goed mogelijk om buffer overflow aanvallen te detecteren door het netwerkverkeer te analyseren op de aanwezigheid van shellcode. Lastig hierbij is dat shellcode veelal gecrypt wordt, maar door gebruik te maken van CPU emulatie en decryptie heuristics is het mogelijk om dergelijke shellcode te detecteren.

SURFnet wil graag weten of het gebruik van shellcode detectie in netwerk streams van toegevoegde waarde is voor de SURFids dienstverlening. SURFids is een gedistribueerd sensor netwerk van SURFnet waarin met behulp van honeypots zoals Argos en Nepenthes aanvallen gedetecteerd kunnen worden. Meer informatie is te vinden op:
SURFids: http://surfids.surfnet.nl
Shellcode detectie in netwerk streams: http://libemu.mwcollect.org/
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
Wim Biemolt <Wim.Biemolt=>surfnet.nl>
23

Distributed File System Design

SURFnet maakt momenteel op het vlak van storage gebruik van traditionele file systemen zoals SAN, NAS en DAS voor het aanbieden van diensten. De afgelopen jaren is er  veel veranderd op het vlak van storage en hebben diverse internationale partijen gedistribueerde storage oplossingen gebouwd. Dergelijke oplossingen hebben het voordeel dat ze meer redundant en schaalbaar zijn, terwijl ook een betere performance geboden wordt. SURFnet wil graag met behulp van van deze nieuwe technieken een  Distributed File System Design opzetten.
Een voorbeeld van Distributed File System in Polen is hier te bekijken:
http://www.terena.org/activities/storage/meetings/1/NDS_PSNC_collaboration_on_storage_services.ppt
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
Wim Biemolt <Wim.Biemolt=>surfnet.nl>
24

Locator/ID Separation Protocol Pilot Deployment

The growth of the Internet, both in the number of connected hosts and the number of Internet Service Providers (ISPs), has resulted in scalability problems in routing traffic over the Internet infrastructure.  Routing tables are growing exponentially and stability is decreasing.  A solution to these problems is essential to guarantee future growth of the Internet in various dimensions, i.e, hosts, ISPs, bandwidth, responsiveness, ...
The Locator/ID Separation Protocol (LISP) is a proposed solution to reduce the routing table size, support mobility with survivability, and include traffic engineering capabilities.  In this project, an LISP prototype implementation from Cisco will be installed at NLnet Labs.  The deployed system will be tested and evaluated in a real-world setting.
Benno Overeinder <benno=>NLnetLabs.nl>
26

Networked Storage

UNINETT, the national research network of Norway, is working on various distributed storage projects targeted at providing networked storage to it's different target groups in Norwegian higher education and research: researchers, students, staff, institutions.  One of these projects is NorStore (http://www.norstore.no/), which in 2008 will enter its first production stage with over one PB of storage spread over locations in Trondheim and Oslo.
We are very interested in learning more on the actual performance of different storage technologies (iSCSI, FC, InfiniBand, ATA-over-Ethernet) and storage applications (mirroring, backup, remote snapshotting etc.) in a storage environment that's distributed over a national WAN.  Properly measuring performance is not trivial.
The assignment is to figure out which measurements related to storage are interesting to perform given the ideas, desires and plans we have on distributed storage, to work out how to perform these measurements in a proper, reproducable way so they will produce meaningful results and possibly to carry out a number of measurements to prove the procedure. The report must be written in English.
Jan Meijer <Jan.Meijer=>uninett.no>
Magnus Strømdal <magnus.stromdal=>uninett.no>
27

Privacy and Security aspects of search engines

Enterprise search-engines pose a promising approach to manage the abundance of documents and files in modern organizations. Teezir (www.teezir.nl) offers search technology which applies technology from the information retrieval research field to documents such as email and word documents, to find experts on certain topics within large organizations. Such technology requires careful consideration of privacy and security aspects. How could a crawler cope with different access control schemes and access permissions of information from intranets, extranets, databases and filesystems? Is it technically possible to crawl information from sources with different access control schemes? What about confidentiality of the information stored in indexes? How should this be reflected in search engine functionality offered to different roles/people within the enterprise?

Keywords for this project: information retrieval, search engines, security, privacy, access control.
Guido van 't Noordende <noordend=>science.uva.nl>
Thijs Westerveld <thijsesterveld=>teezir.com>
Mattijs Koot <mkoot=>science.uva.nl>
28

CineGrid Storage

Performance requirements, testen, analyse en  opzet voor het evalueren van verschillende storage systemen voor CineGrid. In CineGrid wordt met resoluties van ruweg 4000 bij 2000 gewerkt. Streaming van server naar displays en projectoren vergen het uiterste van de aangesloten systemen. Een bottleneck is hierbij de bandbreedte van disk naar netwerk. Voor enkele stromen lukt het vaak wel streaming zonder haperingen te facilliteren. Dit onderzoek zou een methodiek moeten opleveren om storage op te zetten voor 4k video met multiple stromen.
Jeroen Roodhart <jeroen=>science.uva.nl>
Ralph Koning <ralph=>science.uva.nl>
Mark van de Sanden <sanden=>sara.nl>
31

Mobile devices security; degree of risk, mobile devices pose to a company's confidential data.

What are the risks of using mobile devices, like the IPhone, Windows Mobile Smartphone, Symbian Smartphone and Blackberry. Investigate risks of interfacing with company infrastructure and the device security for these mobile devices. Examples of aspects to take into account are:
-       Bluetooth
-       Wi-Fi
-       USB, u3
-       UMTS/GPRS
-       Device authentication
-       Forensic aspects
-       Data encryption
Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
34

Skype veiligheids analyse.

Via PC-programma's als VoIP-buster en Skype kan iedereen tegenwoordig vrij gemakkelijk gratis "telefoneren". Achter dit "gratis" zit misschien een catch. Want wie zegt dat het programma dat je hiervoor moet installeren, niet veel meer doet dan alleen maar IP-telefonie mogelijk maken? Worden er misschien gegevens van je PC afgehaald? Kan je gesprek misschien wel worden afgeluisterd? Of wordt er bijgehouden hoe lang en met wie je telefoneert? Via desk-research, reverse-engineering van de programmatuur en analyse van gebruikte protocollen wil ITsec een betrouwbaar beeld krijgen van de risico's die op dit punt samenhangen met het gebruik van (gratis) Skype VoIP-diensten. De opdracht bevindt zich op het raakvlak van software-engineering en security, en heeft een hoog experimenteel en technisch gehalte.
Christiaan J. Roselaar <c.roselaar=>itsec.nl>
35

Security model for hybrid token-based networking models (Stage 2).

(this is a continuation of #9)
The Token Based Networking (TBN) is based on using security token (both binary and XML) for controlling user access to the reserved network resources. The TBN allows separating the reservation and authorisation stage (that is typically complex and slow) and access or consumption stage. The project will research different token based access control models for hybrid/combined GMPLS and RSVP based networks that may use
binary or XML tokens. The project will investigate two basic models for token and token key generation: with the shared secret (SC) and using Identity Based Cryptography (IBC). Additionally, the project will look at the security issues with the generation and distribution of tokens and token keys. Proposed solution will be modeled as a special Token Validation Service (TVS) that is considered as a pluggable component to major Network Resource Provisioning Systems (NRPS) to enable TBN functionality.
Yuri Demchenko <demch=>science.uva.nl>
36

VOIP protocol analysis

VOIP technology is rapidly becoming ubiquitous. Most Dutch telecom providers deliver modems with built-in analog telephone connectors. Incoming calls are converted from IP to PSTN the ADSL modems firmware. This is why telecom providers may trust the firmware's implementation. When you can bypass or replace this firmware you might be able to find protocol flaws.

Aanpak:
- Gebruik een Thompson modem in SIP_SPOOF mode (a 100 euro).
- Hierdoor wordt al het verkeer door de modem doorgestuurd naar een pc.
- Op deze pc installeer je linux met router/firewall en asterisk voip server.
- Als deze setup werkt analyseer je het VOIP verkeer dat langskomt.
- Probeer vervolgens het verkeer zo aan te passen dat "gratis bellen" mogelijk is.
Karst Koymans <ckoymans=>science.uva.nl>
Maurits van der Schee <mschee=>science.uva.nl>
38

Global Desktop - reizende applicaties

Applicaties zitten vaak 'gevangen' in schermen op de desktop van de gebruiker. Als je iemand een demonstratie wilt geven van een bepaalde applicatie, moet hij die in de praktijk zelf (laten) installeren en vervolgens de applicatie lokaal draaien - met alle vertraging, rechtenkwesties en foutgevoeligheden die dat oplevert van dien. Bovendien is het nogal omslachtig, je moet iemand een bestand mailen in een mogelijk voor hem of haar exotisch formaat waarna men het aan de
andere zijde moet openen. Dan is nog steeds niet zeker of wat de ene partij ziet hetzelfde is als wat de andere partij ziet. In het geval van verschillende besturingssystemen (bv. Apple OS X, Linux en Microsoft Windows) of bij gebruik van proprietary omgevingen tussen partners is het delen van applicaties zelfs bijzonder lastig. De omslachtige manier
van werken (het sturen van uitnodigingen van remote desktopsessies via mail) maakt het te moeizaam voor gebruik door leken.
Voor het opzetten van een sessie zijn internetstandaarden beschikbaar. Met name het SIP-protocol - dat momenteel hoofdzakelijk (en in steeds sterkere mate) gebruikt wordt voor internettelefonie - is feitelijk een generieke brug tussen mensen die het mogelijk maakt om gebruiker X en Y, waar ze ook ter wereld zitten, te localiseren en met ze te communiceren via een sessie naar keus. Je 'belt' simpelweg iemands contactgegevens en wanneer zij jou als gesprekspartner accepteren kun je een sessie met ze opzetten. In combinatie met een aantal bestaande (in open source-toepassingen ruim beschikbare) protocollen als FreeNX,VNC, X11 is het goed mogelijk om via SIP schermen vrijelijk met anderen in een virtueel team uit te wisselen. SIP lost het klassieke bereikbaarheidsprobleem aan beide kanten van de communicatielijn op. Dit doet het al zeer succesvol voor VoIP-telefonie, maar het kan met hetzelfde gemak (via een laagdrempelige, zeer eindgebruikersvriendelijke adressering, nl. iemands mailadres) worden gebruikt voor willekeurige toepassingen. Ieder venster op je desktop wordt op deze manier een realtime brug naar een andere monitor (of Cave of projector) van een andere gebruiker, waar desgewenst de betreffende persoon kan meekijken met wat jij doet of juist het werk doet terwijl de initiator van de sessie toeziet. Natuurlijk kunnen er meerdere verbindingen parallel en instantaan worden opgezet, zodat het delen van applicaties tussen virtuele teams tijdens bijvoorbeeld teleconferences triviaal wordt (en dus losgekoppeld wordt van software die alleen lokaal draait). Ondertussen is er eventueel een spraak en/of video-verbinding die meteen mee kan worden opgezet, waardoor men een en ander toe kan lichten om samen het probleem op te lossen. Daarmee is het de laatste missing link om toepassingen met een grafische schil vrij over het internet te laten stromen tussen desktops en mobiele devices van gebruikers: ofwel de global desktop.

Wat moet er gebeuren?
  • Analyse van benodigde protocollen en beschikbare softwarecomponenten, met name bestaande cross-platform open source tools
  • Ontwikkeling van een client die de meest geschikte componenten in elkaar smeedt tot een samenwerkend geheel (proof of concept) waarin SIP en FreeNX/X11/VNC samenwerken. Optionele integratie in een windowmanager (KDE, Gnome, XFCE) waarmee het verzenden van een scherm net zo gemakkelijk wordt als een scherm inklappen of uitklappen

Michiel Leenaars <michiel=>nlnet.nl>
39

Investigate SCTP

FreeBSD 7.0 introduced the SCTP protocol (RFC 4960). SCTP supports connections with multiple streams between multiple interfaces. In this project the features of SCTP will be investigated. Simple SCTP client and server programs need to be written. With these programs various features of the protocol can be investigated. E.g., what happens when there are two paths between the server and the client that are both used by SCTP and one of the paths is interrupted. The FreeBSD implementation also supports dynamic addressing, where addresses can be added or deleted from existing stream associations. Investigate how this works and what can be done with it. Testing can be done with a combination of 1G and 10G interfaces.
Ronald van der Pol <Ronald.vanderPol=>rvdp.org>
43

Integrating Virtualization Technology into ClusterVisionOS.

Recently some work has been published on how Xen can be used to solve job scheduling problems in a cluster. This assignment involves investigating what is the best way to integrate Xen into a queueing system, how Xen performs on a cluster in practice, and what practical issues arise. Other interesting virtualization technology includes lguest and KVM.
ClusterVision BV        Skype: martijndv
Martijn de Vries <martijn=>clustervision.com>
44

Standaard API voor plugins voor office suites

De belangrijkste open source office suites (OpenOffice.org, Lotus Symphony en KOffice) gebruiken ieder een eigen framework voor plugins, ondanks dat ze allemaal met hetzelfde bestandsformaat (ODF) werken. Analyseer de achterliggende technieken en ontwerp een demonstratieframework en bijbehorende gedocumenteerde platformonafhankelijke API die het mogelijk maakt om plugins te delen tussen deze applicaties. Kijk naar de conceptuele mogelijkheden om plugins ook in te zetten in webgebaseerde tools als Zoho Office en Google Docs.
Michiel Leenaars <michiel=>nlnet.nl>
46

Versiebeheer van kantoordocumenten in Subversion

Met behulp van de in ontwikkeling zijnde tool ODFSVN kun je op grote schaal met mensen samenwerken aan een enkel officedocument, waarbij documenten in versiebeheer gegeven worden via een Subversion repository. Hoe kun je op een efficiente manier grootschalige, asynchrone collaboratie mogelijk maken, zonder als eindredacteur het overzicht en
de controle kwijt te raken? Hoe pakken verschillende Officesuites dit probleem op kleinere schaal aan, en hoe kan het beter? Maak een voorstel voor een of meerdere interfaces voor een Open Source Officesuite naar keuze waarmee je edits volgens verschillende conceptuele modellen kunt visualiseren, ordenen en goedkeuren c.q. afkeuren, bijvoorbeeld op basis van de werkwijze van de Wikiscanner (http://wikiscanner.virgil.gr).
Michiel Leenaars <michiel=>nlnet.nl>
47

Gebruik van 2D en 3D-vectorimages in OpenOffice.org

De mogelijkheid om 2D- en 3D-vectorformaten te gebruiken, is een belangrijke feature voor huidige en toekomstige officetoepassingen. SVG (W3C) en X3D (web3D.org) zijn de belangrijkste standaarden op dit gebied. Beide kunnen in principe goed samenwerken met ODF. Analyseer de mogelijkheden om SVG en X3D binnen bijvoorbeeld OpenOffice.org en/of KOffice als proof of concept te ondersteunen, bijvoorbeeld in presentaties en charting. Maak een analyse van tools die in aanmerking komen om als plugins voor SVG/X3D te dienen. Analyseer op welke punten de ODF-standaard verbeterd kan worden om X3D te ondersteunen.
Michiel Leenaars <michiel=>nlnet.nl>
48

OFL/GPL-font-integratie in ODF

Vanwege onder meer het copyright van de ontwerpers/foundries van softwarefonts bevatten Office-documenten geen directe fontinformatie, wat bij creatief fontgebruik tot behoorlijke verschillen kan leiden. Omdat bestandsformaten als ODF uitbreidbaar zijn door de gebruiker, en er fonts beschikbaar zijn onder open licenties die wel degelijk meegezonden kunnen worden, kan die situatie in de toekomst mogelijk veranderen. Analyseer de technische aspecten van dit vraagstuk, en bouw een proof of concept extensie/plugin voor een open source office-suite naar keuze dat op een technisch valide manier gebruikte fonts (of verwijzingen ernaar) meestuurt, en dat bij ontvangst van een document met nieuwe fonts deze technisch valideert en vervolgens in de applicatie beschikbaar stelt gedurende het bewerken van een document.
Michiel Leenaars <michiel=>nlnet.nl>
49

Skype/SIP brug in virtuele machine/jail/etc

De proprietary communicatieprotocollen van het populaire Skype zitten een overgang naar de internetstandaard SIP in de weg. Analyseer de mogelijkheden om een toepassing te bouwen die in staat is een groot aantal virtuele SIP-accounts een op een te koppelen aan Skype-accounts om deze over en weer te relayen, en zodoende Skype-gebruikers voortaan bereikbaar te kunnen laten zijn via standaard SIP-clients en SIP-gebruikers via dummy Skype accounts bereikbaar te maken voor Skype-gebruikers.
Michiel Leenaars <michiel=>nlnet.nl>
50

ODF test suite

Open Document Formaten betekenen een overgang naar een leverancieronafhankelijk en dus ook meetbare en visualiseerbare kwaliteit. Voor HTML hebben we de ACID/ACID2/ACID3-test, maar voor ODF ontbreekt zo'n hoogwaardige test nog. Ontwikkel een document dat gebruik maakt van alle belangrijke features van ODF dat gebruikers in staat stelt om zelf de kwaliteit te verifieren van de implementatie van ODF.
Michiel Leenaars <michiel=>nlnet.nl>
51

Open Source multicast video en real time collaboration

Met SIP (RFC 3261) en MSRP (RFC 4976) zet je sessies op tussen systemen op het internet, waarbij je zelf kunt kiezen wat je in een dergelijke sessie wilt doen. Een interessante en veelgevraagde toepassing is een online collaboratie-omgeving: secure multiparty videoconferencing in combinatie met chat, gedeelde schermen en applicaties (op basis van bv. VNC of NX) en secure filesharing. De nodige basiscomponenten voor een overkoepelende open source-toepassing die deze taken vervuld op basis van open standaarden zijn eigenlijk al aanwezig, maar een goede bundeling ontbreekt nog. Maak een analyse van de benodigde functionaliteiten en een overzicht van beschikbare open source software. Bekijk voor inspiratie Marratech, Subethaedit, Gobby, Groove, Mira Groupware en Ekiga, en bouw vervolgens een werkend proof of concept.
Michiel Leenaars <michiel=>nlnet.nl>
52

Surfing Grid Waves

Wanneer je gebruik maakt van een batchgeorienteerd grid zoals EGEE of BOINC, loop je tegen beperkingen aan: je draait een applicatie gedistribueerd op systemen die in principe goed genetwerkt zijn - maar zelf op de hoogte blijven van wat er precies gebeurt is moeilijk, omdat niet direct gecommuniceerd kan worden met de gedistribueerde applicaties. Realtime aansturen is helemaal out-of-the-question. Je weet vaak niet welke specifieke computers het werk uitvoeren, en veel gebruikers zullen achter allerlei hindernissen zoals firewalls zitten zodat applicaties niet rechtstreeks met ze kunnen communiceren. SIP biedt uitkomst: naar analogie met het echte windsurfen waarbij je moet wachten op 'jouw' golf, waarna je vervolgens wordt meegenomen, maakt SIP het mogelijk om live opgepikt te worden op het moment dat ergens een (aantal) machines met 'jouw' job aan de gang gaat. Dat biedt een convergentiepunt, want je kunt alle computers die in het grid aan jouw job bezig zijn in laten bellen op een bepaalde account. Daarmee ontstaat het grid equivalent van een botnet herder, waarmee je realtime manipulaties uit kunt voeren: surfing grid waves. Computers in het grid 'bellen' in naar de indiener van de job op het moment dat hij of zij aan de beurt is, net als centrale computers in zombie-netwerken dat doen, en kunnen vervolgens eventueel gestuurd worden door de eigenaar van de job. Daarmee krijgen batch-jobs alsnog een realtime karaker. Stel een proof of concept-opstelling samen die het mogelijk maakt om een aantal separaat beschikbaar komende (en weer uitvallende) resources centraal bij te houden op een server via SIP, en om deze real-time te gebruiken voor een interactieve gridsessie.
Michiel Leenaars <michiel=>nlnet.nl>
53

Ransomware

Ransomware is a new trend which has a simple concept: Encrypt data on a victim’s hard drive and ask money for the decryption. We have different questions on this new trend which could be researched: How does Ransomware work, what does it have to do with Cryptovirology, what are the differences with Malware, what are the known Ransomware outbreaks (instances), can it be detected (and how), what kind of people would use Ransomware for beneficial ends, what are the risks and countermeasures? We want the students to research Ransomware and write an in-depth report about this phenomenon.
Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
54

Memory based forensics

Recently scientists were able to obtain Bitlocker (hard drive encryption) keys from the memory by cooling the chips and then reading them. It is also possible to read the RAM with the use of Firewire. We want to know what possibilities are available for our forensics team to obtain RAM information. What are the risks for us or our clients that for instance the Firewire port is used to obtain confidential information from RAM? The students can do actual practical research and write a report about their findings.
Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
55

Router hacking

In February 2008 Pakistan Telecom began advertizing a small part of YouTube’s assigned network. The telecom provider re-routed the traffic to a /dev/null. Furthermore, there was a presentation on BlackHat 2008 about Cisco forensics. The presentation discussed that it is very hard to detect whether Cisco routers are hacked, backdoored, etc. What are the other possibilities in hacking routers or messing up the BGP/OSPF security to for instance create a DoS attack. What are the risks that a router gets hacked? Are there countermeasures our clients can take to prevent this from happening? The students can give their own input, to further specify the research.

Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
56

GSM Risks

What is the risk of using GSM? How fast do we have to switch, now that it is possible to create a decryption station for only 1200 dollars (especially with the current currency exchange rates). Please refer to a presentation on BlackHat 2008, which discusses the security of GSM. We want the students to do a research about the risks of losing confidential data by phone. Is there a way to prevent this? Should we switch to other technologies and if we have to do this what are the alternatives?
Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
57

Advanced Static Analysis

As a Security & Privacy team at Deloitte we often have to do code-reviews of client applications. To do this code review we have our own techniques and strategies. We want the students to do an objective research in the different techniques that can be used for code reviewing. A possibility is that they make a test setting to do a proof of concept for this technique/strategy.
Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
58

Attacking Antivirus

Most end-users trust completely on their Antivirus software. “My computer can’t be hacked, because I have an Antivirus tool!” However, studies have proved that even the Antivirus software has its flaws and holes. What are the risks in using an Antivirus solution in the company? What are the countermeasures we or our clients can take to prevent the misuse of the Antivirus software? Should all the end-users pc’s have Antivirus software or is it easier to just scan all the incoming and outgoing files in a company network.
Lourens Bordewijk <LBordewijk=>deloitte.nl>
Derk Wieringa <DWieringa=>deloitte.nl>
59

Cross-country disaster recovery with Geant2.

Het pan Europese Geant2 netwerk geeft de mogelijkheid om tussen UNINETT in Noorwegen en SURFnet in Nederland over hoge bandbreedte en indien nodig ook over 10Gbit/s lambdas te beschikken.  Dat maakt het interessant om te onderzoeken of het technisch haalbaar is om de off-site backup en/of disaster recovery faciliteiten van Noorse instellingen bij een ander nationaal onderzoeks netwerk (zoals SURFnet) of een Nederlandse commerciele backup provider onder te brengen en te onderzoeken wat daar dan zoal bij komt kijken.  Dit is met nadruk geen puur theoretische exercitie.

De opdracht wordt begeleid door Jan Meijer (UNINETT), vanuit Noorwegen (video, email, f2f bezoek halverwege). Ondersteuning in Nederland wordt door Niels van Dijk (SURFnet) geleverd. De werkplek, indien gewenst, is bij SURFnet in Utrecht.
Jan Meijer <Jan.Meijer=>uninett.no>

61

Mac in Mac services at NetherLight.


NetherLight is the Optical Exchange Point in the Netherlands. Customers can interconnect their lightpaths via NetherLight. NetherLight consists of SDH/SONET equipment and Ethernet equipment. Lightpaths can be SDH/SONET circuits or Ethernet VLANs. The Ethernet switch of NetherLight is currently configured as a traditional switch with trunk ports and VLANs. The major drawback of this is that there is no separation between customer VLAN IDs and NetherLight VLAN IDs and therefore careful planning of VLAN IDs between NetherLight and all customers is needed. 802.1ah (aka mac-in-mac)
is a new Ethernet technology that makes it possible to separate the VLAN IDs of NetherLight (backbone VLAN IDs) from the VLAN IDs from customers (customers VLAN IDs).

This assignment consists of several parts:
- Investigate how 802.1ah works on a Nortel 8600, especially with respect to the possibilities of putting cutomer traffic in a specific backbone VLAN (tagged based, port based, etc.).
- Make a proposal of how 802.1ah can be used on NetherLight to separate VLAN IDs.
- Describe how projects can make use of this (how can a site operate in several projects, how can mixing of SDH/SONET and Ethernet VLANs be used, etc).
Ronald van der Pol <Ronald.vanderPol=>rvdp.org>