Detecting Privilege Escalation with Temporal Braid Groups

Die vorgestellte Arbeit nutzt den Burau-Lyapunov-Exponenten als algebraischen Indikator innerhalb stark zusammenhängender Komponenten von Cloud-Berechtigungsgraphen, um durch die Ausnutzung nicht-kommutativer Eigenschaften zwei Risikoregime zu unterscheiden und so Privilegien-Eskalationen automatisiert zu erkennen.

Das Wesentliche

🕵️‍♂️ Die Geschichte von den unsichtbaren Treppen und dem verwobenen Seil

Stellen Sie sich vor, Sie sind Sicherheitschef in einer riesigen, digitalen Stadt (der „Cloud"). In dieser Stadt gibt es Millionen von Bewohnern (Konten, Roboter, Dienste), die Schlüssel zu verschiedenen Türen haben.

Das Problem: Manchmal bekommen diese Bewohner unbemerkt immer mehr Schlüssel. Ein Roboter, der heute nur die Hintertür öffnen darf, könnte morgen plötzlich den Tresor erreichen. Das nennt man Privilegien-Eskalation.

Die Forscher aus dem Papier haben ein neues Werkzeug entwickelt, um zu erkennen, wann das passiert – und zwar etwas, das herkömmliche Zähler übersehen.

1. Der alte Weg: Der einfache Zähler (Die „Abelsche Statistik")

Bisher haben Sicherheits-Systeme wie einfache Zähler funktioniert.

• Die Analogie: Stellen Sie sich vor, Sie zählen, wie oft eine Person eine Treppe nach oben läuft.
• Das Problem: Wenn jemand 100 Mal eine Treppe hochläuft, aber dabei immer wieder die gleiche Treppe benutzt, ist das vielleicht nicht so gefährlich wie jemand, der 100 Mal unterschiedliche Treppen hochläuft, die sich alle zu einem riesigen Turm verbinden.
• Der alte Zähler sieht nur die Anzahl der Schritte. Er sieht nicht, welche Treppen es sind oder in welcher Reihenfolge sie genommen wurden. Er ist „blind" für die Komplexität.

2. Der neue Weg: Das verwobene Seil (Die „Braid Groups")

Die Forscher sagen: „Wir müssen nicht nur zählen, wir müssen das Seil betrachten, das entsteht, wenn die Bewohner ihre Treppen steigen."

• Die Analogie: Stellen Sie sich vor, jeder Bewohner hält ein Seil. Wenn sie eine Treppe hochsteigen, drehen sie ihr Seil um das Seil des Nachbarn.
  • Wenn alle die gleiche Treppe nehmen, verflechten sich die Seile nur wenig (sie bleiben relativ gerade).
  • Wenn sie unterschiedliche Treppen in einer chaotischen Reihenfolge nehmen, verflechten sich die Seile zu einem dichten, unlösbaren Knoten.
• In der Mathematik nennt man diese Verflechtungen Zöpfe (engl. Braids).
• Die Forscher nutzen eine spezielle mathematische Formel (die Burau-Matrix), um zu messen, wie stark sich dieses Seil „dehnt" oder „verwirrt".

3. Der entscheidende Unterschied: Warum die Reihenfolge zählt

Hier kommt der geniale Trick des Papiers:

• Rechnen mit Zahlen (Abelsch): Wenn ich 2 Äpfel und 3 Birnen habe, ist das egal, ob ich erst die Äpfel oder erst die Birnen zähle. Das Ergebnis ist immer 5. Das ist wie der alte Zähler.
• Verflechten (Nicht-kommutativ): Wenn ich mein Seil zuerst um das linke Seil und dann um das rechte lege, entsteht ein anderer Knoten als wenn ich es umgekehrt mache. Die Reihenfolge ist entscheidend!

Die Forscher haben bewiesen: Man kann den Grad der Verwirrung (das Risiko) nicht berechnen, indem man einfach nur zählt. Man muss die Reihenfolge der Verflechtungen analysieren.

4. Die zwei Arten von Gefahr: „Der Tunnel" vs. „Der Dschungel"

Mit ihrem neuen Seil-Test können die Forscher zwei Arten von gefährlichen Situationen unterscheiden, die für die Reparatur völlig unterschiedliche Lösungen brauchen:

• Typ A: Der „Fokussierte" Tunnel (Focused)

  • Szenario: Alle laufen durch denselben engen Tunnel.
  • Das Risiko: Es sieht gefährlich aus (viele Schritte), aber weil alle denselben Weg nehmen, heben sich die Verwirrungen gegenseitig auf. Das Seil bleibt relativ gerade.
  • Die Lösung: Man muss nur den Schlüssel (die Berechtigung) für diesen einen Tunnel ändern. Ein einfacher Trick reicht.

• Typ B: Der „Verstreute" Dschungel (Dispersed)

  • Szenario: Die Bewohner laufen über viele verschiedene, sich kreuzende Pfade.
  • Das Risiko: Hier heben sich die Verwirrungen nicht auf. Das Seil wird zu einem unlösbaren Knoten. Das Seil dehnt sich exponentiell.
  • Die Lösung: Ein einfacher Schlüsselwechsel hilft nicht. Man muss die Struktur der Stadt ändern (Wände einreißen, neue Wege bauen). Das ist viel schwerer.

5. Das Experiment: Der „Misch-Test"

Um zu beweisen, dass ihre Methode funktioniert, haben die Forscher ein Experiment gemacht:
Sie nahmen echte Daten von 50.000 Szenarien.

1. Sie maßen das Risiko mit dem alten Zähler (nur Anzahl).
2. Sie maßen es mit ihrem neuen Seil-Test (Reihenfolge).
3. Der Clou: Sie mischten die Reihenfolge der Schritte zufällig durch (wie ein Kartenmischen).

Das Ergebnis:

• Der alte Zähler sah keinen Unterschied zwischen der echten Reihenfolge und dem zufälligen Mischen. Er war blind.
• Der neue Seil-Test sah sofort: „Aha! In der echten Reihenfolge ist das Seil viel stärker verknüpft als im Zufall!"
• In 5,7 % der Fälle sagte der alte Zähler: „Alles okay" (oder „nur leicht gefährlich"), während der neue Seil-Test schrie: „Achtung! Hier ist ein unlösbarer Knoten!"

🎯 Was bedeutet das für die Praxis?

Stellen Sie sich vor, Sie sind ein Hausmeister, der ein brennendes Gebäude retten muss.

• Der alte Weg (Zähler): Er sagt Ihnen: „Es brennt an 100 Stellen!" Aber er weiß nicht, ob es 100 kleine Kerzen oder ein riesiges Feuer ist. Er schickt vielleicht zu viele Feuerwehrleute zu kleinen Kerzen und zu wenige zum großen Feuer.
• Der neue Weg (Seil-Test): Er sagt Ihnen: „Es gibt 100 Stellen, aber 90 davon sind kleine Kerzen, die sich gegenseitig löschen (fokussiert). Aber diese eine Stelle hier ist ein Dschungel-Feuer, das sich nicht löschen lässt, solange die Struktur steht."

Fazit:
Die Forscher haben ein Werkzeug gebaut, das nicht nur zählt, sondern liest. Es erkennt, ob eine Sicherheitslücke durch eine einfache Umstellung der Berechtigungen behoben werden kann oder ob die gesamte Architektur der IT-Systeme umgebaut werden muss.

Es ist wie der Unterschied zwischen dem Zählen von Blättern auf einem Baum und dem Verstehen, wie der Wind durch die Äste weht. Nur wer den Wind versteht, weiß, ob der Baum umfällt.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Detecting Privilege Escalation with Temporal Braid Groups" von Christophe Parisel auf Deutsch.

1. Problemstellung

Die Sicherheitslage von Cloud-Identitäten wird nicht durch einen einzelnen Momentaufnahme der Berechtigungen bestimmt, sondern durch deren vollständige zeitliche Trajektorie. Zwei nicht-menschliche Identitäten (NHIs) können heute identische Berechtigungen haben, sich aber morgen unterschiedlich entwickeln: Eine kann sich irreversibel zu einem breiteren Zugriff hin entwickeln („Ratchet"-Effekt), während die andere in einem begrenzten Rahmen oszilliert.

Das Hauptproblem besteht darin, innerhalb der stark zusammenhängenden Komponenten (SCCs) eines Cloud-Berechtigungsgraphen zwei Risikoregime zu unterscheiden:

1. Fokussierte Ratchets: Die Eskalation konzentriert sich auf wenige Pfade. Hier können nicht-kommutative Aufhebungen (Cancellations) das spektrale Wachstum moderieren. Remediation erfolgt oft durch Neuvergabe von Berechtigungen (WAR-Reassignment).
2. Dispersierte Ratchets: Die Topologie ist hub-reich mit vielen unabhängigen Eskalationspfaden. Hier häufen sich Kreuzungen ohne Aufhebung an, was zu exponentiellem Wachstum führt. Remediation erfordert eine Änderung der Graph-Topologie (Hinzufügen/Umkehren von Kanten).

Herkömmliche, abelsche Statistiken (wie Kantenzählungen, Netto-Berechtigungsfluss oder Gate-Auslöseraten) versagen bei der Unterscheidung dieser Regime, da sie die Reihenfolge der Ereignisse und nicht-kommutative Effekte ignorieren.

2. Methodik

Das Paper schlägt einen algebraischen Ansatz vor, der auf Temporal Braid Groups (zeitlichen Zopfgruppen) und der Burau-Darstellung basiert.

• SCC-Klassifikation: Zuerst werden SCCs als „Oszillatoren" (topologisch sicher) oder „Ratchets" (Eskalationspotenzial vorhanden) klassifiziert. Der Fokus liegt auf Ratchets.
• NHI-Walker und Zopfkonstruktion: Innerhalb eines Ratchet-SCC werden $n$ unabhängige Zufallswanderer (NHI) simuliert. Zu jedem Zeitpunkt werden sie nach ihren aktuellen Berechtigungswerten (WAR-Norm) sortiert.
• Gate-Bedingung: Wenn zwei benachbarte Wanderer gleichzeitig auf aufsteigenden gerichteten Kanten (Eskalation) wandern, „feuert" ein Gate.
• Injection Word (Einspeisewort): Beim Feuern wird ein spezifisches Zopf-Generator-Wort in die algebraische Struktur injiziert. Das gewählte Wort ist $\sigma_i^2 \sigma_{i+1}^{-1}$.
  • Dieses Wort wurde gewählt, weil es eine hohe spektrale Radius ($2+\sqrt{3} \approx 3.732$) aufweist und gemischte Vorzeichen hat.
  • Die gemischten Vorzeichen ermöglichen nicht-kommutative Aufhebungen über verschiedene Zeitschritte hinweg, die abelsche Statistiken nicht erfassen können.
• Burau-Darstellung und Lyapunov-Exponent (LE):
  • Die Zopf-Wörter werden über die Burau-Darstellung (bei $t=-1$) in Matrizen überführt.
  • Der Lyapunov-Exponent (LE) wird als Wachstumsrate des spektralen Radius der akkumulierten Matrizenprodukt über die Zeit berechnet.
  • Ein hoher LE deutet auf ein „disperses" Regime (exponentielles Wachstum, keine Aufhebung) hin, ein niedriger LE auf ein „fokussiertes" Regime (Aufhebungen dominieren).

3. Wichtige Beiträge

1. Unmöglichkeitsergebnis (Theorem 6.2): Es wird bewiesen, dass keine abelsche Statistik (Kantenzahl, Netto-Fluss, Gate-Rate) den Burau-Lyapunov-Exponenten bestimmen kann.
   • Beweisidee: Zwei Wörter können identische abelsche Bilder (gleiche Anzahl von Generatoren) haben, aber durch unterschiedliche Reihenfolge (Nicht-Kommutativität) völlig unterschiedliche spektrale Wachstumsraten erzeugen.
   • Strukturelles Beispiel: Gerichtete Zyklen tragen exakt null zum Directed WAR Sum (DWS) bei (Teleskop-Summe), können aber durch das Zopf-Walk-Verfahren Eskalationssignale detektieren.
2. Zwei-Regime-Klassifikation: Der LE dient als Trennlinie zwischen „fokussiert" und „dispersiert".
   • Fokussiert: WAR-Neuzuweisung reicht zur Remediation.
   • Dispersiert: Topologie-Änderung (Surgery) ist notwendig.
3. Shuffling-Experiment: Durch das Zufälligmischen der zeitlichen Reihenfolge der Gate-Ereignisse wird gezeigt, dass die zeitliche Ordnung einen signifikanten Einfluss auf den spektralen Radius hat. In 84 % der Fälle führt die zeitliche Reihenfolge zu einer systematischen Reduktion des spektralen Radius durch Aufhebungen, was die abelschen Statistiken übersehen.
4. Empirische Validierung: Anhand von 49.972 (SCC, WAR)-Paaren aus einem Korpus von 1.000 SCCs wurde gezeigt, dass der abelsche Proxy (Gate-Rate) in 5,7 % der Fälle mit dem Burau-LE nicht übereinstimmt.
   • Die abelsche Rate neigt dazu, „dispersierte" Risiken zu übermelden (False Positives), da sie nicht-kommutative Aufhebungen ignoriert.
   • Der temporale LE behält eine partielle Korrelation von $r=0.175$ mit der Struktur bei (nach Kontrolle der Feuerrate), während der abelsche Proxy auf $r=0.001$ kollabiert.

4. Ergebnisse

• Diskriminierungsfähigkeit: Der Burau-LE ist der einzige bekannte Indikator, der die Grenze zwischen den beiden Risikoregimen zuverlässig lokalisieren kann. Abelsche Statistiken sind strukturell blind für die Nicht-Kommutativität, die diese Grenze definiert.
• Fehleranalyse:
  • FD-Fehler (Focused by Burau, Dispersed by Rate): Der abelsche Zähler meldet fälschlicherweise hohes Risiko, weil er viele Ereignisse zählt, die sich jedoch algebraisch aufheben (z. B. bei Hub-Topologien, wo alle Pfade auf einen Knoten zulaufen).
  • DF-Fehler (Dispersed by Burau, Focused by Rate): Der abelsche Zähler übersieht das Risiko, weil der Netto-Fluss (DWS) nahe Null ist (z. B. in gerichteten Zyklen), obwohl die nicht-kommutative Struktur exponentielles Wachstum erzeugt.
• Rechenpraxis: Die Verwendung von exakter ganzzahliger Arithmetik (Python) für die Burau-Matrizen verhindert Überläufe, die bei Gleitkommazahlen (float64) bei exponentiellem Wachstum auftreten würden.

5. Signifikanz und Implikationen

Das Paper stellt einen Paradigmenwechsel in der Cloud-Sicherheitsanalyse dar:

• Von statisch zu dynamisch-algebraisch: Statt nur Berechtigungen zu zählen, wird die Reihenfolge und Interaktion von Berechtigungsänderungen als nicht-kommutatives algebraisches Objekt modelliert.
• Praktische Remediation: Die Unterscheidung zwischen fokussiert und dispersiert ist entscheidend für die Kosten-Nutzen-Abwägung von Sicherheitsmaßnahmen.
  • Bei fokussierten Risiken genügt eine einfache Berechtigungsanpassung (IAM-Level).
  • Bei dispersen Risiken ist eine tiefgreifende Architekturänderung notwendig.
• Kalibrierungs-Orakel: Der Burau-LE dient als „Ground Truth", um billigere, abelsche Filter zu kalibrieren. In der Praxis kann ein abelscher Filter als Vorstufe dienen, aber an der kritischen Grenze muss der nicht-abelsche LE (oder ein Proxy davon) zur Validierung herangezogen werden.

Fazit: Die Arbeit beweist, dass die Nicht-Kommutativität in Berechtigungsgraphen ein messbares und entscheidendes Signal für Eskalationsrisiken ist, das durch traditionelle Zählmethoden unweigerlich verloren geht. Der Burau-Lyapunov-Exponent bietet einen theoretisch fundierten und empirisch validierten Weg, um diese Risiken zu quantifizieren und die richtige Remediationsstrategie auszuwählen.