Understanding Expert and End User Behavior in IT Security

Files
12279_NormanHaenschDissertation.pdf (2.85 MB)
Language
en
Document Type
Doctoral Thesis
Issue Date
2019-10-07
Issue Year
2019
Authors
Hänsch, Norman
Editor
Abstract

The widespread usage of Information Technology (IT) and the increased connectivity of devices made the systems more attractive for attackers. To keep up with technical developments, users not only have to keep up with the current hard- and software trends but also have to be aware of the IT security threats. Experts therefore conduct “awareness campaigns” to support the users facing these threats. In the first part of this thesis, we analyze the experts’ opinions concerning what these campaigns should achieve. While some argue that knowledge of the threats is enough, others see correct behavior as essential. We then present a user study on how experts behave in the presence of threats. In particular, we compared the behavior of students from technical faculties when trying to understand clear and obfuscated code. Obfuscation is of importance in this context since attackers often apply these transformations of source code on their malware, to make it more difficult for security analysts to detect the malicious code. Our study shows that even experienced software analysts have to change their analysis methods to overcome the influence of code obfuscation on the understandability of code. This study further shows that there might be differences concerning which type of obfuscation method was applied to the code. This study supports the findings of Ceccato et al. (Empirical Software Engineering 2014) and gives a first empirical proof that the differentiation of resilience and potency of obfuscating transformations proposed by Collberg et al. (Technical Report 148) might be adequate. Turning to non-expert users, we first investigate buying behavior on eBay. Based on 34 semi-structured interviews, we show which factors of a listing users take into account when buying. Further, we also show which part of the buying processes is affected by the different factors. Our results show that although some users try to prevent fraud by only buying products from “trustworthy” sellers, others completely rely on secure buying options ignoring indicators for the trustworthiness of a seller. This is because some users find it too hard to spot fraud using the current reputation system of eBay. We then show how severe this problem is and how the situation might be improved. In a user- experiment with 40 UK and 41 German participants using an eBay-like reputation system and an interactive visualization by Sänger and Pernul (ARES 2014) we investigated how well users can spot fraudulent sellers. Our results show that the interactive visualization helps users to spot fraud better and has no significant decreases in usability. After analyzing how users evaluate threats based on data about other users, we investigate how users present themselves online. We researched how Online Social Networks (OSNs) are being used. A new ephemeral way of posting called “Stories” has been integrated to several of these systems lately. Using a survey as well as 22 interviews, we show how users adapted this feature into their everyday posting behavior. This research uncovers the necessary prerequisites for users to post a Story. Further, we detect four types of Story posts which differ in the reasons why and how users post them. Based on utility and privacy concerns of users, we then describe how the past, present and future of users influence their posting behavior, explaining differences concerning the popularity of the OSNs for Story posting.

Abstract

Die weitläufige Nutzung von Informationstechnik (IT) und die gesteigerte Verbundenheit der Geräte hat die Systeme attraktiver für Angreifer gemacht. Um mit technischen Entwicklungen Schritt zu halten müssen Nutzer nicht nur auf dem aktuellen Stand bezüglich Hard- und Software Trends bleiben, sondern sich auch den Gefahren der IT bewusst werden. Experten führen deshalb sogenannte “Awareness Kampagnen” durch um die Nutzer auf Gefahren aufmerksam zu machen. Im ersten Teil dieser Arbeit analysieren wir Meinungen von Experten was diese Kampagnen erreichen sollen. Während einige der Meinung sind, dass Wissen über die Gefahren ausreichend ist, sehen andere korrektes Verhalten als essenziell an. Danach präsentieren wir eine Nutzerstudie wie Experten sich in der Gegenwart von Gefahren verhalten. Im Speziellen vergleichen wir das Verhalten von Studierenden technischer Fakultäten bei der Analyse von regulärem und obfuskiertem Code. Obfuskierung ist in diesem Zusammenhang relevant, da Angreifer diese Methoden zur Transformation von Source Code häufig auf ihre Malware anwenden um Software Analysten das Ausfindig machen des schadhaften Codes zu erschweren. Unsere Studie zeigt dass selbst erfahrene Software Analysten ihre Analyse Methoden anpassen müssen um dem Einfluss von Code Obfuskierung auf die Verständlichkeit des Codes entgegenwirken zu können. Die Studie zeigt weiter auf dass es hierbei Unterschiede bezüglich der verwendeten Obfuskierungsmethode geben könnte. Die Studie unterstützt die Resultate von Ceccato et al. (Empirical Software Engineering 2014) und gibt einen ersten empirischen Beweis, dass die Unterscheidung von Obfuskierungstransformationen bezüglich Widerstandsfähigkeit und Wirksamkeit, wie sie von Collberg et al. (Technical Report 148) vorgeschlagen wurde, adäquat ist. Wir wenden uns darauf Nutzern, welche keine Experten sind, zu und erforschen zuerst ihr Kaufverhalten auf eBay. Basierend auf 34 semi-strukturierten Interviews zeigen wir welche Faktoren eines Eintrags auf eBay von Nutzern in Betracht gezogen werden wenn sie etwas kaufen. Darüber hinaus zeigen wir auch welche Teile des Kaufprozesses von den unterschiedlichen Faktoren beeinflusst werden. Unsere Ergebnisse zeigen dass obwohl einige Nutzer versuchen Betrug zu vermeiden in dem sie Produkte ausschließlich von “vertrauenswürdigen” Verkäufern kaufen, andere Nutzer sich komplett auf sichere Kaufoptionen verlassen und jegliche Indikatoren bezüglich der Vertrauenswürdigkeit eines Verkäufers außer Acht lassen. Dies liegt daran, dass es einige Nutzer zu schwer finden Betrug mit Hilfe des gegenwärtigen Reputationssystems auf eBay zu erkennen. Im darauf folgenden Abschnitt zeigen wir auf wie schwerwiegend dieses Problem tatsächlich ist und wie diese Situation verbessert werden könnte. Durch ein Nutzerexperiment mit 40 englischen und 41 deutschen Teilnehmern, bei dem wir ein eBay-ähnliches Reputationssystem und eine interaktive Visualisierung von Sänger and Pernul (ARES 2014) benutzen, erforschten wir wie gut Nutzer betrügerische Verkäufer detektieren können. Unsere Resultate zeigen dass die interaktive Visualisierung den Nutzern hilft Betrug besser zu erkennen und keine signifikanten Defizite bezüglich der Nutzbarkeit mit sich bringt. Am Ende untersuchen wir wie Soziale Online-Netzwerke (OSNs) verwendet werden. Eine neue Art temporär zu posten namens “Stories” wurde kürzlich in unterschiedliche Netzwerke integriert. Durch eine Umfrage sowie 22 Interviews zeigen wir wie Nutzer diese Funktion in ihr alltägliches Post-Verhalten integriert haben. Unsere Forschung zeigt die Vorbedingungen auf, welche notwendig sind damit Nutzer eine Story posten. Darüber hinaus konnten wir vier Typen von Story Posts, welche sich in den Gründen warum und wie Nutzer sie posten unterscheiden, ausfindig machen. Basierend auf der Nützlichkeit sowie Bedenken bezüglich der Privatsphäre beschreiben wir wie die Vergangenheit, Gegenwart und Zukunft der Nutzer ihr Post-Verhalten beeinflusst und erklären damit die Unterschiede bezüglich der Popularität der OSNs für das Posten von Stories.

URI
https://open.fau.de/handle/openfau/12279
DOI
URN
https://nbn-resolving.org/urn:nbn:de:bvb:29-opus4-122796
Document's Licence
https://creativecommons.org/licenses/by-sa/4.0/deed.de
Faculties & Collections
Technische Fakultät
Zugehörige ORCIDs