Ing. Josef Kokeš, Ph.D.

Závěrečné práce

Bakalářské práce

Knihovna pro off-line práci se šifrovanými kontejnery TrueCryptu

Autor
Petr Mück
Rok
2015
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Tato práce se zabývá návrhem a implementací knihovny pro off-line prohlížení a extrakci souborů šifrovaných kontejnerů TrueCryptu. Práce popisuje TrueCrypt a jeho funkce, souborové systémy FAT, NTFS, ext a některé knihovny pro jejich implementaci a realizaci knihovny, její strukturu a možné rozšíření. Výsledkem práce je funkční knihovna v programovacím jazyku C pro operační systém Linux navržena tak, aby byla snadno rozšiřitelná.

Bezpečnostní incidenty v SSL/TLS implementacích

Autor
Jan Král
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Tato bakalářská práce se věnuje protokolu SSL/TLS a několika s ním souvisejícím síťovým útokům a bezpečnostním slabinám z posledních let. Jejím cílem je představit a analyzovat tyto útoky, jejich možnosti a jejich případná omezení. Konkrétně se práce věnuje útokům Heartbleed, DROWN, FREAK, Triple handshake a SWEET32. Dále je součástí práce praktická část demonstrující dvě různé varianty útoku Heartbleed. Výsledky této práce umožňují názorně se přesvědčit o reálnosti a nebezpečnosti daných útoků.

Podpora pro filtrování SSL/TLS komunikace v Privoxy

Autor
Václav Švec
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Práce se věnuje problematice proxy serverů ve vztahu k HTTP a HTTPS protokolům, a také popisuje způsoby filtrování HTTPS komunikace. Představeny jsou zde jednotlivé způsoby filtrování HTTPS komunikace, možnosti těchto filtrů a postupy proxy serveru při obsluze HTTP/HTTPS spojení. Součástí práce je také návrh a implementace rozšíření programu Privoxy. Implementované rozšíření umožňuje filtrovat HTTPS komunikaci s využitím řady filtrovacích možností původního programu. Dosažené výsledky jsou zhodnoceny a doplněny o další možná vylepšení.

Analýza rescue souboru BestCrypt Volume Encryption

Autor
Jan Vojtěšek
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato práce je zaměřena na reverzní inženýrství a bezpečnostní analýzu programu na šifrování disku BestCrypt Volume Encryption. Obsahuje detailní popis doposud nedokumentovaného binárního formátu souboru, který se používá při záchranných operacích. Během bezpečnostní analýzy bylo nalezeno několik zranitelností a závad. Všechny zranitelnosti jsou podrobně popsány a je uveden příklad, jakým tato zranitelnost může zasáhnout běžného uživatele. Autor také spolupracoval s vývojáři BestCrypt Volume Encryption ve snaze, aby tyto zranitelnosti byly opraveny nebo aby byl alespoň zmírněn jejich dopad. Součástí práce je i nástroj, který umožňuje připojit zašifrované svazky disků na některých operačních systémech založených na Unixu.

Útok Stack Clash

Autor
Petr Heřmánek
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Anotace
Stack Clash je označení pro nedávno objevenou slabinu programové paměti na několika operačních systémech. Současné výchozí ochrany nejsou dostačující a Stack Clash tak představuje závažnou hrozbu ve formě svévolného spuštění kódu, úniku informací a elevace oprávnění. Cílem této práce je vysvětlit základy paměti procesu, včetně útoků a dostupných ochran s následnou demonstrací slabiny Stack Clash. Principy zneužití slabiny jsou vysvětleny a předvedeny v útoku na jednoduchou demonstrační aplikaci. Práci uzavírá diskuze vlastností operačních systémů, konkrétně jejich vliv na proveditelnost a zmírnění následků útoku.

Ověřování elektronických podpisů v PDF

Autor
Tomáš Stefan
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tématem předkládané práce je oblast digitálního podpisu se zvláštním důrazem na jeho použití v PDF souborech. Práce poskytuje stručný úvod do problematiky včetně základních principů, podstatných vlastností, popisuje také základní strukturu PDF souboru. Podrobněji se zabývá různými typy digitálních podpisů, které se v PDF souborech vyskytují. Způsob ověření základního druhu digitálního podpisu PDF souboru v Linuxu je demonstrován pomocí knihovny v jazyce C a jednoduché konzolové aplikace.

Vylepšení pro protokol Off-The-Record

Autor
Ali Mammadov
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
MSc. Juan Pablo Maldonado Lopez, Ph.D.
Anotace
Off-The-Record (OTR) je kryptografický protokol, který poskytuje šifrování pro instant messagingové konverzace. Nejnovější verze OTR používá kombinaci symetrického algoritmu AES se 128bitovým klíčem, Diffie-Hellmanovy výměny klíče s grupou o velikosti 1536 bitů, a hashovací funkce SHA-1. Cílem této práce je změnit protokol tak,aby byl lépe zabezpečený proti neustále rostoucí výpočetní síle potenciálních protivníků. Změny navrhované v této práci umožňují flexibilní volbu sady kryptografických algoritmů a jejich parametrů. Výsledkem je možnost zvolit si požadovanou úroveň bezpečnosti a zjednodušena je i úloha řízení bezpečnosti OTR jako celku.

Korelační útoky na TOR

Autor
Jan Fajfer
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Primárním cílem této bakalářské práce je popsat a provést korelační útok na anonymizační síť Tor. První kapitola analyzuje design Toru, model a vektory útoku. Druhá kapitola popisuje aktuální stav korelačních útoků na Tor a významné práce v této oblasti. Praktická část popisuje testy, které byly uskutečněny pomocí dvou různých metod na korelační útoky. Hlavní testy ukázaly poměrně dobrou korelaci s průměrným korelačním koeficientem r větším než 0,87 pro obě metody. Chybovost byla 5 % s žádnými výsledky, které by špatně identifikovaly vybraného klienta připojeného k Toru. Kapitola pokračuje analýzou faktorů ovlivňujících tyto útoky. Práci zakončuje kapitola popisující a analyzující opatření proti korelačním útokům na Tor.

Ochrana anonymity uživatele v Internetu

Autor
Jakub Dvořák
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
V práci se zabývám ochranou anonymity uživatele v Internetu. V teoretické části vysvětlím důležité pojmy pro pochopení principů útoků a obranných mechanizmů. Odhalím jádra problémů vybraných útoků a jejich náležitou obranu proti těmto metodám. V praktické části navazuji demonstrací vybraného útoku na anonymitu a implementací rozšíření do prohlížeče Google Chrome, jako obranného mechanizmu. Útok je implementován pomocí programovacího jazyka JavaScript, který používá rozhraní WebRTC. Rozšíření pro prohlížeč Google Chrome je implementován v HTML a JavaScript.

Bezpečnostní analýza programu KeePassXC

Autor
Michal Kavan
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Ivo Petr, Ph.D.
Anotace
Tato práce se zabývá problematikou bezpečné práce s hesly a jejich ukládání. Poskytuje zároveň přehled současných řešení pro správu hesel. Cílem práce je provedení analýzy uživatelského prostředí správce hesel KeePassXC s ohledem na možná bezpečnostní rizika. Nalezená rizika jsou blíže analyzována přímo ve zdrojovém kódu programu. Při analýze bylo nalezeno jedno místo, kdy program neodpovídá standardům pro správnou práci s hesly. Po zhodnocení závažnosti této nalezené zranitelnosti byla navržená možná opatření vedoucí k nápravě.

Bezpečnostní analýza šifry Solitaire

Autor
Vojtěch David
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Mgr. Martin Jureček
Anotace
Ve své práci se zabývám bezpečnostní analýzou ruční šifry Solitaire od kryptologa Bruce Schneiera. V textu je detailně popsán její princip a vysvětleno, jak šifru bezpečně používat. Dále zkoumám možné slabiny šifry, konkrétně jsem se zaměřil na nenáhodnost ve výstupu, znovupoužití stejného klíče a náhodnost pouzic jokerů v balíčku. Ukazuji, jaký je rozdíl mezi použitím hesla a klíče a která z těchto variant je lépe využitelná v praxi. Dokazuji, že bezpečné heslo musí být minimálně 80 znaků dlouhé. Celá analýza je založená na mé vlastní inmplementaci Solitaire v jazyce C++, schopnou šifrovat a dešifrovat s použitím jak klíče, tak hesla.

Algoritmy pro sdílení tajemství

Autor
Hana Svobodová
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato práce se zabývá algoritmy pro sdílení tajemství. Náplní rešeršní části práce je seznámení s matematickými principy algoritmů pro sdílení tajemství a analýza faktorů ovlivňujících jejich bezpečnost. V praktické části práce jsou implementovány Shamirův a Asmuthův-Bloomův algoritmus pro sdílení tajemství, v další části jsou porovnány jejich výsledky a implementována aplikace, která umožňuje zašifrovat soubor symetrickou šifrou a použitý šifrovací klíč rozdělit implementovanými algoritmy na zadaný počet dílů. Následně je možné z množiny dílů soubor dešifrovat. Aplikace je napsána v jazyce C s použitím knihovny OpenSSL.

Bezpečnostní analýza programu Passbolt

Autor
Radek Smejkal
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Tato práce se zabývá problematikou hesel a jejich bezpečným ukládáním za použití správců hesel. Zároveň poskytuje stručný přehled současných správců hesel se zaměřením na bezpečnostní funkcionality a jejich vzájemné porovnání. Práce zpracovává bezpečnostní analýzu správce hesel Passbolt, který se zaměřuje na podporu týmové spolupráce a sdílení hesel. Potenciálně riziková místa jsou hlouběji zkoumána přímo ve zdrojovém kódu aplikace. Analýza zahrnuje také monitorování a následný průzkum síťového provozu. Během analýzy nebyla nalezena žádná zranitelnost přímo ohrožující utajení či integritu ukládaných dat. Analýza nicméně objevila několik situací, které jistým způsobem mohou vést ke snížení bezpečnosti nebo i k úplné kompromitaci účtu uživatele. Po vyhodnocení závažnosti jednotlivých nálezů jsou navržena možná opatření k eliminaci těchto zranitelností.

Přetečení bufferu na haldě

Autor
Michal Bambuch
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato bakalářská práce se zabývá přetečením bufferu na haldě a známými útoky na haldu knihovny glibc. Cílem práce je vytvořit virtuální prostředí a implementovat v něm vybrané útoky. Jako virtuální prostředí byla zvolena instalace Ubuntu 18.04 LTS v nástroji VirtualBox. Pro demonstraci byly zvoleny 4 útoky - unlink makro, House of Force a House of Spirit z Malloc Maleficarum a House of Einherjar. Poslední z nich je proveditelný na 2 roky staré verzi glibc 2.25, House of Force a House of Spirit jsou proveditelné na glibc 2.27 instalované přímo ve virtuálním prostředí.

Analýza útoků KRACK

Autor
Tomáš Pšenička
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Čejka, Ph.D.
Anotace
V práci se zaměřuji na návrh prostředí pro testování útoků KRACK, jejich rea- lizaci, analýzu a vyhodnocení programátorských chyb, které tyto útoky umož- nily. Pro řešení problému jsem vytvořil prostředí skládající se z Raspberry Pi 3 jako zařízení klienta, směrovače Tp-Link jako přístupového bodu a notebooku s adaptéry pro bezdrátovou komunikaci s monitorovacím rozhraním pro si- mulaci útočníka. Samotný software užitý k útoku je skript napsaný v jazyce Python. Konkrétním zaměřením mé práce je ustanovení společného šifrova- cího klíče během procesu navázání komunikace a způsob jeho ovlivnění. Na tomto procesu popisuji úspěšné oslabení šifrování útočníkem a způsob získání obsahu šifrovaných zpráv. Na základě pochopení způsobu útoků popisuji mož- nosti, jak omezit jejich dopady. V této práci také zmiňuji chyby v implementaci a návrhu standardu bezdrátové komunikace spolu se způsobem jejich oprav. V příloze práce přikládám zdrojové kódy použitých skriptů a data zachycená na navrženém prostředí během testování.

Bezpečnostní analýza Linux Unified Key Setup (LUKS)

Autor
Jaroslav Kříž
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Simona Buchovecká
Anotace
Tématem této práce je analýza nástroje pro šifrování disků Linux Unified Key Setup (LUKS), jeho výhody, nevýhody a porovnání s konkurenčními nástroji napříč platformami. Práce obsahuje úvod do problematiky šifrování pevných disků a použitých kryptografických primitiv. Výsledkem práce je ověření funkčnosti zkoumaného nástroje jeho nezávislou reimplementací v jazyce C a zároveň útok hrubou silou na heslo v LUKS kontejneru, kdy je změřena jeho účinnost.

Použití kryptografie v 7-zip

Autor
Josef Hušek
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato práce se zaměřuje na použití kryptografie v aplikaci s veřejným zdrojovým kódem jménem 7-zip. 7-zip slouží k ukládání dat do digitálních archivů. V práci si nejdříve rozebereme jak je 7-zip strukturovaný a jak ho zkompilovat. Poté otestujeme implementaci šifry AES v 7-zip tak, že její výstupy porovnáme s výstupy z knihovny OpenSSL. Dále se zaměříme především na použitou key-derivation-function (funkce-pro-odvození-klíče) která na základě uživatelského hesla tvoří klíče pro AES. Zjistíme, že tato funkce je před kompilací značně přizpůsobitelná, jenže dekódovací část 7-zipu podporuje i dost slabé varianty. Kvůli tomu by bylo možné sestavit 7-zip, který by měl naschvál velmi oslabené šifrování, nicméně ním produkované archivy by stále byly korektní a zpracovatelné běžnou instalací 7-zipu. Belo by ale mnohem snažší jejich šifrování prolomit. Následně předvedeme jak vlastně takový útok hádající hesla od archivů vypadá, s pomocí další opensource aplikace jménem hashcat. Nakonec ještě sepíšeme pár kuriozit a vlastností, kterých jsme si povšimli během naší analýzy, a které by se za určitých situací mohly projevit jako problematické z hlediska bezpečnosti. Práci zakončíme shrnutím a několika návrhy na další analýzu v rámci 7-zipu.

Analýza útoku Meltdown

Autor
Tomáš Zvara
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Michal Štepanovský, Ph.D.
Anotace
Hlavným cieľom tejto bakalárskej práce je popis a prevedenie útoku Meltdown v operačných systémoch Linux a Windows. Teoretická časť práce začína zoznámením sa s architektúrou moderných procesorov a s opisom cache pamäte. Následne pokračuje opisom virtuálneho adresného priestoru a porovnaním jeho implementácie v oboch operačných systémoch. V praktickej časti je opisaná implementácia útoku pre operačné systémy Linux a Windows. Obe implementácie dokazujú, že špekulatívne vykonávanie inštrukcií umožnuje únik dát s využitím cache pamäte ako postraného kanálu. Posledná kapitola sa venuje analýze protiopatrení, ktoré zabránia takémuto špekulatívnemu unikaniu dát a znemožnia vykonanie útoku Meltdown.

Bezpečnostní analýza SOHO směrovačů

Autor
Jakub Kaloč
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Čejka, Ph.D.
Anotace
Cieľom práce je zoznámiť čitateľa s problematikou bezpečnostného testovania smerovačov a niektorými rozšírenými zraniteľnosťami smerovačov, vrátane prekonávania bariéry medzi lokálnou sieťou a internetom. Práca zároveň aplikuje vybudované teoretické zázemie a testuje niekoľko SOHO smerovačov bežne distribuovaných internetovými poskytovateľmi. V teoretickej časti práca predstavuje vybrané technické štandardy relevantné pre bezpečnosť sieťových prvkov. Následne je predstavený koncept bezpečnostného testovania a viaceré klasifikácie testov. S využitím predstavených informácií práca popisuje konkrétnu metodiku bezpečnostného testovania smerovačov a rozoberá celý postup jeho priebehu. V praktickej časti sa predstavená metodika aplikuje na vybrané smerovače a použije sa na otestovanie vybraných zraniteľností. Výsledky testovania sú analyzované v záve\-rečnej časti práce.

Proveditelnost útoku Spectre v jazyku zaměřeném na bezpečnost

Autor
Jaroslav Chládek
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Michal Štepanovský, Ph.D.
Anotace
Představujeme funkční proof-of-concept implementaci první varianty útoku Spectre v programovacím jazyce Rust. Upravenou verzí tohoto algoritmu demonstrujeme proveditelnost útoku v jazycích zaměřených na bezpečnost a zkoumáme uskutečnitelnost tohoto útoku v porovnání s jazyky nechráněnými. Ukazujeme dopad tohoto útoku na bezpečnost platformy Rust, jeho matematické vlastnosti a teoretické předpoklady.

Podpora CryptoAPI Next Generation v OpenSSL

Autor
Jan Pešek
Rok
2020
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Tato práce demonstruje tvorbu kryptografického modulu pro OpenSSL s podporou kryptografického rozhraní dodávaného jako součást operačních systémů Windows. Za tím účelem je z počátku popsána architekturu současné LTS verze OpenSSL 1.1.1. Mimořádnou pozornost si zasluhuje rozhraní Engine API, na kterém tvorba modulu stojí. Součástí práce je také rešerše kryptografických rozhraní Microsoft CryptoAPI a Cryptography API: Next Generation. Výstupem práce je navíc funkční a otestovaný kryptografický modul, který zprostředkovává podporu Cryptography API: Next Generation pro OpenSSL.

Bezpečnostní analýza nástroje Cryptomator

Autor
Anton Titkov
Rok
2020
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato práce se zabývá problematikou šifrování datového úložiště a bezpečnosti dat. Poskytuje stručný přehled technologií a softwaru pro šifrování úložiště, které jsou aktuálně dostupné uživatelům. Práce poskytuje bezpečnostní analýzu Cryptomator, open-source aplikace pro šifrování souborů v cloudovém úložišti. Potenciální rizikové oblasti jsou dále prozkoumány a hodnoceny. Jsou uvedeny některé možné útoky.

Autentizace uživatelů pomocí oční duhovky

Autor
Pavla Louthánová
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Práce se zabývá rozpoznáváním uživatelů pomocí oční duhovky. Náplní rešeršní části práce je seznámení s biometrickými metodami a systémy pro autentizaci uživatelů. Následně se práce zaměřuje na rozpoznávání oční duhovky. V praktické části práce je s přihlédnutím na minimalizaci ceny a použití běžně dostupných komponent navrhnut systém umožňující snímání oční duhovky a vytvoření vlastní databáze snímků. Dále jsou implementovány jednotlivé fáze rozpoznávání, datové úložiště a demonstrační program. Na závěr je diskutována časová náročnost, spolehlivost a bezpečnost implementace.

Analýza útoků Ripple20

Autor
Jan Dvořák
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
V této bakalářské práci se zabývám bezpečností internetu věcí (IoT), konkrétně pak analýzou útoků Ripple20. Tento název označuje skupinu 19 zranitelností odhalených v roce 2020 v TCP/IP subsystému společnosti Treck, Inc. V práci si kladu za cíl alespoň jeden z těchto útoků reprodukovat. Nejprve se zaměřím na internet věcí a kybernetickou bezpečnost a stručně zmíním s ním související útoky z minulosti. Představím též zařízení, se kterým budu experimentovat, a dvě zranitelnosti, jež budu zkoumat. Určení, zda mnou zkoumané zařízení dané chyby obsahuje, či nikoli, lze považovat za další z cílů této práce. Následují pokusy o reprodukce útoků. V prvním případě dosáhnu zjevné chybové reakce zařízení (odmítnutí služby). Přestože se tato reakce liší od publikovaných výsledků (únik informací z haldy), je možné předložit nepřímé důkazy, že se skutečně jedná o zkoumanou zranitelnost. Ve druhém případě odolalo mé IoT zařízení útokům bezchybně. Z toho vyvozuji, že tato zranitelnost není v jeho implementaci TCP/IP subsystému přítomna. V práci se mi podařilo potvrdit přítomnost jedné ze zranitelností ve zkoumaném zařízení a provést na ni útok. Na druhou stranu druhá testovaná zranitelnost zřejmě ve zkoumaném systému přítomna není. Po přijetí závěru, že zkoumané zařízení je zranitelné, formuluji nejdůležitější postupy ke zmírnění rizik.

Bezpečnostní analýza ukládání hesel v prohlížeči Mozilla Firefox

Autor
Vladimir Dmitriev
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Tato práce je zaměřena na seznámení s postupy, jakými webové prohlížeče zabezpečují uložená prostřednictvím správce hesel data. Jedním z cílů je porovnání "best practicies" pro danou problematiku s řešeními použitými v prohlížečích. Druhá polovina práce se víc zaměřuje na Mozilla Firefox a jeho implementaci zpracování hesel a jejich uložení. Dále je na základě získaných informací vytvořen nástroj pro import a export hesel pro profily Firefox.

Deobfuskace malware v jazyce VBScript

Autor
Matěj Havránek
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jakub Souček
Anotace
VBScript je desktopový a webový skriptovací jazyk, který je často využíván škodlivým softwarem. Autoři tohoto software se často snaží skrýt jeho pravou funkcionalitu a zabránit ostatním ve čtení jeho kódu pomocí obfuskací. Tato práce se zaměřuje na analýzu těchto obfuskací, prozkoumání způsobů, jak je překonat, a implementaci nástroje schopného zlepšit čitelnost obfuskovaných programů pomocí statických a dynamických deobfuskačních metod.

Analýza obsahu uživatelských profilů ve webových prohlížečích

Autor
Stanislav Lepič
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Tato práce se zabývá převodem uživatelských dat mezi prohlížeči, a to jak v rámci jednoho, tak i několika různých zařízení. Práce analyzuje způsob ukládání uživatelských dat a jejich šifrování se zaměřením na prohlížeče Google Chrome a Mozilla Firefox. Na základě této analýzy je následně navržen přenosový soubor ve formátu JSON, který využívá vytvořený program pro demonstraci funkčnosti mezi dvěma zvolenými prohlížeči. Program je vytvořen v jazyce C/C++ a umožňuje převod v rámci jednoho zařízení, offline převod mezi zařízeními, nebo pouze extrakci dat z prohlížeče. Při návrhu programu byl kladen důraz na snadné ovládání a rozšiřitelnost o další prohlížeče, nebo druhy dat.

Zranitelnosti a útoky typu Distributed Denial-of-Service

Autor
Kamil Kopp
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jan Fesl, Ph.D.
Anotace
Práce se zabývá kybernetickými útoky typu Distributed Denial-of-Service. Je vytvořen přehled druhů těchto útoků a jejich příkladů, u každého jsou popsány možné scénáře útoku, jaké jsou dopady a možnosti zmírnění. Z přehledu je vybrán útok pomocí programu Memcached. Ve virtuálních počítačích v programu Virtualbox je vytvořeno schéma útoku, které je následně realizováno. Jsou vytvořeny skripty na straně útočníka sloužící pro provedení útoku. Pomocí těchto skriptů je útok realizován a pomocí programů pro monitoring sítě je měřena jeho síla v různých podmínkách. Naměřené údaje jsou uvedeny v tabulkách a je provedena diskuze nad výsledky. Na závěr jsou doporučeny a implementovány možnosti, jak zmírnit dopady útoku jak pro oběť, tak pro server s Memcached, který je vlastně také obětí.

Bezpečnost webových aplikací a její penetrační testování

Autor
Aleš Répáš
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato bakalářská práce se zabývá rozšířením nástroje OWASP ZAP o schop- nost detekce zranitelnosti Cross Site Request Forgery. V řešení byla použita metoda manipulace s hlavičkou webové žádosti. Vytvořené řešení poskytuje automatické vyhledávání zranitelných míst ve webové aplikaci. Hlavním vý- sledkem je přesnější penetrační testování nástrojem ZAP.

Bezpečnostní analýza routeru D-Link DIR-842

Autor
Gabriel Seidl
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Tomáš Vondra, Ph.D.
Anotace
Prozkoumal jsem router D-Link DIR-842, následně navrhl a provedl jeho bezpečnostní analýzu s doporučeným zaměřením na výchozí nastavení zabezpečení, práce s hesly, služby publikované do vnitřní a/nebo vnější sítě. Po uvedení routeru do továrního nastavení jsem prošel administrační rozhraní routeru a zařízení oskenovat programem nmap. Sken jsem provedl na portech LAN, WAN z vnější i vnitřní sítě a i na WiFi. Z analýzy vyplynul problém při nakládání s heslem administrátora a jako problémová se ukázala služba UPnP, která je v základu zapnuta a umožňuje snadno útočníkovi zpřístupnit zařízení a služby z vnitřní síti do vnější. U zařízení, které se prezentuje jako bezpečné a zajišťující bezpečnost, byla zjištěna jistá míra nebezpečnosti. Hlavním zjištěním je, že díky základnímu nastavení, které bude mít velká část uživatelů, je zařízení zranitelné a tím pádem ohrožené. Pro demonstraci problému jsem vytvořil program v jazyku Python. Na závěr uvádím doporučení pro uživatele, pomocí jakých změn v nastavení zvýšit bezpečnost routeru.

Bezpečnostní analýza nástroje Bitwarden

Autor
Jakub Štrom
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Správci hesel jsou nástroje umožňující generovat a ukládat hesla. Tato práce se zaměřuje na konkrétního správce hesel Bitwarden a analyzuje bezpečnost jeho implementace. V rámci práce je nástroj popsán, je rozebráno jeho nakládání s uživatelskými daty a bezpečnost daných procesů. Jsou uvedeny konkrétní nalezené zranitelnosti nástroje a diskutován jejich dopad na uživatele. Možnost prolomení klíče hrubou silou z lokálních dat při použití zamykání PINem a možnost získání klíče při použití SSO byly hlavními nálezy.

Bezpečnost sandboxu jazyka Lua

Autor
Petr Adámek
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Lua je programovací jazyk, který lze použít pro rozšíření jiné aplikace o skriptovací prostředí. Tato práce se zabývá izolací Lua scriptů od citlivých částí aplikace. Sandboxing se používá pro izolaci dílčích částí aplikace. Tato práce rozebírá teorii sandboxingu a diskutuje o tom, jak správně implementovat sandbox v programovacím jazyce Lua. Jako možná implementace je navržen sandbox založený na izolaci individuálních funkcí a sandbox založený na izolaci celého interpreteru. Byla provedena analýza programovacího jazyka Lua a jeho standardních knihoven zaměřená na izolaci a potenciál na únik ze sandboxu. Následně byl vytvořen jednoduchý nástroj pro vypsání hodnot dostupných v prostředí funkce a jejich následnou analýzu v interaktivním prostředí. Toto umožňuje komplexní průzkum hodnot dostupných ze sandboxu. Také byly provedeny analýzy několika volně dostupných implementací sandboxů pro ukázku, jak se navržené teoretické konstrukty v praxi používají. Nakonec je ukázána chyba v implementaci sandboxu v rámci herního enginu OpenMW.

Analýza bezpečnosti Linuxového clipboardu

Autor
Benjamín Peraus
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Michal Šoch, Ph.D.
Anotace
Tato bakalářská práce se zabývá bezpečnostními aspekty clipboardu používaném v operačních systémech ke kopírování a vkládání obsahu ze zdrojové aplikace do cílové. V práci je podrobně zmapována aktuální situace, v jaké se nachází bezpečnost clipboardu. Zvláštní pozornost je věnována používání clipboardu k přenosu hesla ze správce hesel do cílového programu. Podrobně jsou analyzovány bezpečností aspekty implementací clipboardu, které se týkají operačních systémů Linuxového typu. Závažnost nalezených hrozeb je ohodnocena metodikou CVSS. Pro tyto implementace je navrženo řešení, které by umožnilo bezpečnější práci s clipboardem. V rámci této práce vznikl nástroj pro bezpečné kopírování, který přenáší data P2P pomocí clipboardu. Nástroj je implementovaný v jazyce C/C++ pro protokol Wayland a kompozitor Weston (nicméně nástroj je funkční i na kompozitoru KWin a měl by být funkční na všech konvenčních kompozitorech). Tento nástroj je proof-of-conceptem tohoto řešení a v práci je vysvětleno, jakým způsebem je ho možné zakomponovat do správce hesel. Silné a slabé stránky tohoto řešení/implementace jsou v této práci diskutovány, stejně tak možnosti nasazení jsou zde rozebrány.

Cross-site zranitelnosti v prohlížečích

Autor
Karolína Lhotská
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Tomáš Kiezler
Anotace
Tato bakalářská práce se zabývá Cross-Site zranitelnostmi v prohlížečích. Popisuje a vysvětluje princip zranitelnosti Cross-Site Scripting a její podtypy Self-Cross-Site Scripting a Mutated Cross-Site Scripting, následně Cross-Site Request Forgery, Cross-Site Script Inclusion, Cross-Site History Manipulation, Cross-Site Malicious CAPTCHA a Cross-Domain Referer Leakage. Na základě těchto znalostí byly vytvořeny praktické ukázky v podobě webových stránek napsaných v jazycích HTML, PHP a JavaScript. Tyto ukázky byly vyzkoušeny na aktuálních verzích prohlížečů Google Chrome, Opera, Mozilla Firefox a Microsoft Edge. Bylo zjištěno, že obrana v podobě automatického nastavení vlastnosti SameSite u Cookie na~Lax je zavedena a aplikována v prohlížečích Google Chrome, Opera a Microsoft Edge a~díky tomu je mnoho analyzovaných zranitelností již v těchto verzích nefunkčních. V prohlížeči Mozilla Firefox tato funkcionalita sice existuje, ale není automaticky zapnutá. Dále je v prohlížeči Mozilla Firefox možné změnit nastavení Referrer-Policy, která zabraňuje zranitelnosti Cross-Domain Referer Leakage. Ve zbylých třech zmíněných prohlížečích je toto nastavení zavedené již automaticky a změnit nelze. Práce může být užitečná jak pro běžného uživatele internetu, který může na základě práce vyhodnotit, který webový prohlížeč je pro něj nejlepší, dále pro webové vývojáře, aby věděli, jaké aktuální obrany existují a mohli je použít, a nakonec i pro penetrační testery webových aplikací, neboť z práce vychází i závěr, že prohlížeč Mozilla Firefox je pro testování bezpečnosti aktuálně nejlepší variantou. Každá zranitelnost je doplněna o doporučení obran jak pro běžného uživatele webového prohlížeče, tak i pro webové vývojáře. Tyto obrany si lze také v přiložené ukázce ve formě webové aplikace vyzkoušet. Nakonec je uveden návod, jak lze změnit nastavení v prohlížeči Mozilla Firefox, aby tento prohlížeč poskytoval stejné obrany jako ostatní zkoumané prohlížeče.

Bezpečnostní zranitelnosti v Lightning Network

Autor
Jan Kalivoda
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Josef Gattermayer, Ph.D.
Anotace
Obsahem této práce je analýza protokolu Lightning Network, sloužícího k provádění bitcoinových plateb mimo blockchain (off-chain) rychlým a laciným způsobem. Jedná se o jedno z možných řešení tzv. problému škálovatelnosti Bitcoinu. V případě, že se rozhodneme provádět platby mimo blockchain, ztratíme tím mnoho jeho výhod jako je například solidní řešení dvojitého utracení týž prostředků (double-spending). Bezpečnost protokolu je hlavní náplní této práce, která mimo jiné představuje možné zranitelnosti protokolu a jejich zneužití, které je v nějakých případech i prakticky znázorněno. V neposlední řadě jsou probrány návrhy na opravu zranitelností či alespoň doporučení pro uživatele jak snížit pravděpodobnost jejich zneužití. Účelem práce je pak rozšířit povědomí o Lightning Network a to především o jeho bezpečnostních aspektech, aby když se uživatelé rozhodnou ho aktivně využívat, tak aby minimalizovali riziko ztrát svých prostředků.

Analýza a demonstrace zranitelnosti ProxyLogon

Autor
Gabriel Hévr
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Na začátku roku 2021 byla objevena závažná zranitelnost v programu Microsoft Exchange, která byla hojně zneužívána, a v kombinaci s dalšími zranitelnostmi umožňovala útočníkům kompletní ovládnutí daného systému. Popisovaná zranitelnost se nazývá ProxyLogon a práce se zaměřuje na analýzu této zranitelnosti a útoků s ní spojených, které vedly k masivnímu úniku dat nejen ze státních a vojenských institucí. Následně je provedena demonstrace jednoho z útoků. Pro účely demonstrace a analýzy zranitelnosti bylo připraveno virtuální prostředí, které lze dále využít pro edukační účely. Na závěr jsou diskutovány možnosti prevence z pohledu poskytovatele serveru.

Bezpečnostní analýza výdejních boxů

Autor
Eliška Krátká
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato bakalářská práce se zabývá bezpečnostní analýzou chytrých skříněk Blocks se zaměřením na admin zónu. Práce obsahuje shrnutí konkurence a popis implementace. Hrozby jsou modelovány pomocí metodiky STRIDE a risk je hodnocen dle CVSS metriky. Testovací útok potvrzuje identifikované zranitelnosti a kroky k jejich zmírnění či odstranění jsou formulovány.

Analýza zranitelnosti CVE-2022-37434 v knihovně Zlib

Autor
Vojtěch Krejsa
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Na začátku srpna roku 2022 byla v široce používané kompresní knihovně Zlib objevena kritická zranitelnost s označením CVE-2022-37434. Zranitelnost je popisována jako přetečení bufferu na haldě. Některé zdroje dokonce uvádějí, že by mohla být zneužita až ke spuštění libovolného kódu. Neexistují však žádné dostupné důkazy, které by tuto skutečnost potvrzovaly. V této práci je provedena detailní analýza zranitelnosti s důrazem na možnosti jejího zneužití právě pro spuštění kódu. Analýza je provedena na operačním systému Ubuntu 22.04 LTS s paměťovým manažerem glibc 2.35 a na Windows 10 verze 22H2 s výchozím paměťovým manažerem. Výsledky analýzy potvrzují, že zranitelnost lze skutečně pro spuštění kódu zneužít. V této práci je popsáno, jak toho lze dosáhnout. Pro účely demonstrace byla připravena virtuální prostředí.

Wikipedie: Obrana proti vandalismu

Autor
Martin Urbanec
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Michal Šoch, Ph.D.
Anotace
Bakalářská práce se zabývá zlepšením boje proti vandalismu na internetové encyklopedii Wikipedii. V současné době je boj proti vandalismu prováděn ručně běžnými uživateli, správci a dalšími funkcionáři. Spoléhání se čistě na lidskou práci není dlouhodobě udržitelné. Za účelem nápravy tohoto stavu tato práce hledá nové techniky boje proti vandalismu, které by Wikipedie mohla implementovat. Práce se zabývá pouze technikami využívající čistě metadata jednotlivých revizí, čímž je zajištěna nasaditelnost technik na všech 300+ jazykových verzí Wikipedie. Práce se zabývá čtyřmi technikami boje proti vandalismu: (a) vyžadování identifikačních údajů od wikipedistů, (b) zákaz přispívání odhlášeným (c) zamezení přispívání osobám na externím IP blacklistu (d) znemožnění přispívání uživatelům s příliš mnoho revertovanými editacemi. Všechny čtyři techniky byly prověřeny ve dvou kolech: v prvním se práce zabývá jejich souladem s myšlenkami a ideologií Wikipedie. Všcehny navržené řešení s výjimkou (a) touto první kontrolou prošly. Druhé kolo kontroly se zabývalo ověřením životaschopnosti technik. Toto ověření proběhlo na základě náhodně vygenerovaného vzorku 100 editací, které byly ručně klasifikovány administrátory Wikipedie. Zákaz odhlášených příspěvků sice skutečně vedl k zamezení většiny vandalismu; na druhou stranu zároveň zakázal spoustu konstruktivních editací. Největší potenciál mělo zamezení přispívání uživatelům s větším množstvím revertovaných editací (konkrétní parametry musí být určeny v dalším výzkumu). U IP blacklistů nebylo dosaženo žádných výsledků -- v náhodně vygenerovaném vzorku 100 editací nebyla žádná IP adresa uvedená na blacklistu.

Analýza anonymity aplikace Anketa ČVUT

Autor
Eliška Helikarová
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Michal Valenta, Ph.D.
Anotace
Tato bakalářská práce se zabývá analýzou anonymity aplikace Anketa ČVUT, webové aplikace, kterou využívá České vysoké učení technické pro interní hodnocení výuky. Tato aplikace spadá do kategorie anonymních anketních systémů, což znamená, že data obsažená v dotaznících ode- vzdaných studenty by neměla být spojitelná s jejich identitou. Tato práce zkoumá především tuto vlastnost, její implementaci v rámci aplikace, a předestírá možné hrozby a nedostatky, které mohou ohrozit soukromí uživatelů. Analýza anonymity je v práci pojatá jako analýza hrozeb s využitím modelu LINDDUN jakožto hlavní metodologie pro modelování hrozeb soukromí. Pro- ces analýzy hrozeb spočívá ve studiu a popisu analyzované aplikace, a to jak pomocí veřejně dostupných informací, tak i pomocí zdrojových kódů a dalších částí systému, ke kterým nemají přístup běžní uživatelé. Po sběru informací následuje vytvoření diagramů datových toků sys- tému, které zobrazují jednotlivé komponenty systému a datové toky mezi nimi. Jednotlivé části systému a celý systém jsou poté prozkoumány z hlediska možných hrozeb soukromí, které spadají do některé kategorie hrozeb obsažené v metodologii LINDDUN. Zjištěné hrozby jsou následně hodnoceny z hlediska dopadu na anonymitu studentů. Tato práce popisuje vnitřní fungování aplikace, stejně jako konkrétní bezpečnostní hrozby, jako například chybnou konfiguraci JWT a další zranitelnosti nalezené v rámci systému. V závěru práce jsou navržena vhodná opatření ke zlepšení anonymity a ochrany soukromí uživatelů.

OpenSSL provider založený na CNG

Autor
Ladislav Marko
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Tato práce rozebírá OpenSSL poskytovatele (providers) a jak je implementovat. Práce prochází procesem implementace poskytovatele, který přenechává kryptografické operace ohledně certifikátů jiným implementacím algoritmů než těm z OpenSSL. Konkrétní zvolenou implementací jsou algoritmy Windows Cryptography API: Next Generation. Výsledný poskytovatel umožňuje TLS 1.3 spojení s klientským certifikátem načteným ze systémového úložiště certifikátů operačního systému Windows.

Evaluation of Percy++, A Private Information Retrieval Library

Autor
Arnold Stanovský
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Mgr. Martin Jureček, Ph.D.
Anotace
V této práci se věnuji problému Private Information Retrieval (PIR). Popisuji situace, ve kterých tento problém vzniká a motivace k jeho řešení. Následně představuji několik metod získávání online zdrojů soukromě (tedy způsobem, který skrývá, ke kterému zdroji je přistupováno) a diskutuji reálné případy použití těchto metod. Abych ověřil má tvrzení o uskutečnitelnosti těchto případů použití, prezentuji návrh několika sad testů měřících dopad specifických metod na výkon. V těchto testech používám dotazy nad SQL databází jako příklad zdroje, který lze získat. Závěrem popisuji mou implementaci těchto testů za použití knihovny Percy++ a diskutuji jejich výsledky.

CVE-2023-37903: Zranitelnost vzdáleného spuštění kódu v knihovně vm2

Autor
Jakub Ferjak
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Martin Kolárik
Anotace
JavaScriptová knihovna vm2 tvrdila, že umožňuje aplikacím provozovaným v prostředí Node.js bezpečné spouštění nedůvěryhodného kódu vytvořením izolovaného prostředí - tzv. sandboxu. V červenci roku 2023 byly v této knihovně objeveny dvě kritické zranitelnosti umožňující potenciálnímu útočníkovi uniknout z tohoto sandboxu. Za určitých okolností lze tyto zranitelnosti zneužít ke vzdálenému spuštění kódu na hostitelském stroji. V této práci je jedna z těchto zranitelností, identifikovaná jako CVE-2023-37903, nastudována. Na základě získaných informací je vyhodnocena odpověď na otázku, zda by mohly alternativní knihovny potenciálně vykazovat podobnou zranitelnost. Pro toto byly zvoleny dvě knihovny, isolated-vm a quickjs-emscripten. Výsledkem vyhodnocení je, že tyto knihovny podobnou zranitelnost nevykazují. Na základě tohoto vyhodnocení je prezentována obecná myšlenka toho, co lze provést v současných a budoucích implementacích, aby bylo podobné zranitelnosti zabráněno. Pro účely demonstrace zranitelnosti v knihovně vm2 a porovnání alternativních knihoven byl vytvořen virtuální stroj se serverovou aplikací v prostředí Node.js.

Detekce neautorizované komunikace moderními aplikačními firewally

Autor
Lukáš Hrdonka
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato práce se zabývá analýzou zranitelností moderních aplikačních firewallů. V teoretické části jsou představeny možnosti filtrace síťového provozu, klíčové principy aplikačního firewallu a nejčastěji používané techniky pro testování jeho bezpečnosti. Praktická část navazuje implementací útoků typu substitution a injection za využití standardních API funkcí operačního systému Microsoft Windows. Tyto ukázky jsou implementovány v programovacím jazyce C++. Vytvořené programy jsou dále testovány za využití celkem pěti aplikačních firewallů. Výsledky testů jsou diskutovány v závěru práce. Hlavním zjištěním v rámci této práce je, že aplikační firewally se chovají v souladu s přepokládanou funkcionalitou při detekci útoků typu substitution. Většina aplikačních firewallů však není schopna detekovat útoky typu injection.

Útok Shatter a technologie User Interface Privilege Isolation

Autor
Adam Škoda
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Tato práce rozebírá útoky typu Shatter a bezpečnostní prvky zavedené v reakci na něj. Zaměřuje se na technologie, na kterých je jak útok, tak obrana proti němu založena. Od teoretické rešerše následně přechází k experimentům, jejichž cílem je obrany analyzovat a porovnat jejich dokumentované chování s chováním skutečným. Při testování využívá práce řadu nově vzniknuvších aplikací vytvořených přímo za tímto účelem. Výsledky experimentů jsou poté zasazeny do širšího kontextu a hodnoceny z hlediska možných bezpečnostních nedostatků. Provedeným výzkumem byly zjištěny inkonzistence v chování některých ochranných prvků. Text práce se věnuje jejich hlubšímu rozboru a zkoumá možné metody zneužití. V závěru jsou formulována doporučení pro vývojáře aplikací, která z výsledků výzkumu vychází.

Bezpečnostní analýza aplikace Anketa ČVUT

Autor
Vojtěch Zabořil
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Michal Valenta, Ph.D.
Anotace
Tato bakalářská práce se soustředí na provedení bezpečnostní analýzy Ankety ČVUT, což je webová aplikace sloužící k anonymnímu hodnocení zapsaných předmětů a jejich vyučujících. Pro realizaci bezpečnostní analýzy je zvolena metodologie OWASP Web Security Testing Guide. Tato metodologie je posléze použita k samotnému testování aplikace Anketa ČVUT, v rámci něhož bylo odhaleno 14 zranitelností nebo chyb. Nalezena byla například kriticky závažná zranitelnost týkající se Session Managementu nebo chybné nastavení parametrů Cookies, které je ohodnoceno vysokou závažností. V práci jsou nalezené zranitelnosti vyhodnoceny z hlediska bezpečnosti a je navržena jejich oprava. Výstupem práce je sada doporučení k provedení změn v aplikaci Anketa ČVUT, především z hlediska zvýšení bezpečnosti této aplikace.

Bezpečnostní analýza aplikace GoOut

Autor
Kryštof Rohan
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Ivana Trummová
Anotace
Informační bezpečnost zcela jednoznačně představuje klíčový koncept v celém internetu. Tato bakalářská práce se zaměřuje na zabezpečení jedné specifické webové aplikace, GoOut, která je vytvořena unikátní firmou v odvětví prodeje vstupenek. S cílem posílit zabezpečení je proveden penetrační test webové aplikace a API endpointů. Tento penetrační test využívá black box přístupu a zaměřuje se primárně na zdroje firmy OWASP, jmenovitě Top 10 listy. Zranitelnosti a další potenciální nálezy jsou diskutovány a ohodnoceny na základě jejich závažnosti. I když žádná kritická zranitelnost není nalezena, je zde několik jiných nálezů, jako například problémy s procesem authentizace nebo potenciální uzamčení prodeje. Přínosem bakalářské práce je pomoc GoOut k zabezpečení webové aplikace poskytnutím nálezů penetračního testu s možnými nápravami a zároveň umožnit komukoli náhled do její bezpečnosti.

Kritéria pro hodnocení bezpečnosti kryptografických knihoven

Autor
Kirill Leonov
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Smítka
Anotace
Tato bakalářská práce prezentuje zopakovatelnou metodiku pro vyhodnocení libovolné open-source kryptografické knihovny z pohledu její důvěryhodnosti a programátorské přívětivosti a na příkladu několika knihoven (libsodium, Botan, OpenSSL) znázorňuje uplatnění dané metodiky.

Kritéria pro hodnocení bezpečnosti kryptografických knihoven

Autor
Milan Špinka
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Ivana Trummová
Anotace
Open-source kryptografické knihovny jsou dnes standardním prostředkem pro zabezpečení digitální komunikace. To z nich činí kritický článek bezpečnosti jednotlivých aplikací, ale i soukromí a bezpečí uživatelů výpočetní techniky obecně. Přirozeně vyvstává otázka, jestli jsou takovéto otevřené implementace kryptografických algoritmů důvěryhodné, bezpečné a srozumitelné pro vývojáře aplikací. Za účelem jejího zodpovězení v této práci nejprve shrnujeme relevantní literaturu týkající se bezpečnosti open-source softwaru, návrhu kryptografických knihoven a zranitelného použití kryptografie. Dále provádíme analýzu vybraných aspektů 6 populárních kryptografických knihoven a poznatky formulujeme do seznamu kritérií, s jehož pomocí lze s rozumným úsilím zhodnotit bezpečnostní aspekty většího počtu kryptografických knihoven. Výsledná metoda si klade za cíl pomoci vývojářům vybrat bezpečnou knihovnu vhodnou pro jejich potřeby, nebo alespoň redukovat počet knihoven k hlubšímu zkoumání.

Kritéria pro hodnocení bezpečnosti kryptografických knihoven

Autor
Matěj Douša
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Ivana Trummová
Anotace
Využití kryptografických knihoven je dnes velmi časté, zároveň kvalita těchto knihoven přímo ovlivňuje bezpečnost software, který je používá. Kryptografie se používá, když je potřeba ukrýt data. To bývá vyžadováno jak pro samotné uložení dat, tak pro jejich přenos. Oslabením tohoto ukrývání dat může dojít k úniku. Tato práce se zabývá kryptografickými knihovnami, a to zejména kritérii, která by se dala použít pro hodnocení jejich bezpečnosti. Jsou zde rozebrána kritéria pro hodnocení kvality open-source vývoje, hlavně jeho důrazu na bezpečnost. Dále se práce věnuje použitelnosti knihoven z pohledu vývojářů. Je zkoumáno rozhraní knihoven a jejich dokumentace. Nakonec jsou dohledávány chyby v použití vyskytující se přímo v aplikacích používajících vybrané knihovny. Výsledkem je soubor vyzkoušených kritérií, která jednak slouží k ohodnocení spolehlivosti, bezpečnosti a kvality konkrétní knihovny a také k porovnání knihoven mezi sebou.

Analýza zranitelnosti CVE-2023-4863 v knihovně libwebp

Autor
Pavel Holý
Rok
2024
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Simona Fornůsek, Ph.D.
Anotace
Tato práce analyzuje zranitelnost CVE-2023-4863, která se týká přetečení bufferu na haldě v knihovně libwebp, což je hojně používaná knihovna pro práci s obrázky ve formátu WebP. Protože se toto přetečení bufferu projeví při dekompresi bezztrátového obrázku, který je založený na Huffmanově kódování, tak tato práce popisuje možné Huffmanovy kódy, které způsobí přetečení bufferu. Dále prozkoumává možnost zneužití této zranitelnosti pro škodlivé úmysly. Jako výstup tato práce obsahuje Linuxovou proof-of-concept aplikaci, která používá zranitelnou komponentu z libwebp a může být zneužita pro spuštění útočníkova kódu. Existence takové zneužitelné aplikace zdůrazňuje důležitost této zranitelnosti.

Diplomové práce

Analýza kryptoviru

Autor
Jan Řečínský
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato diplomová práce má za cíl analyzovat známý škodlivý kód CBT-Locker. Škodlivý kód je vysoce nebezpečný a byl velice medializovaný. Práce stručně uvede do principů Toru, Bitcoinu a nástrojů použitých při analýze. Následně se zabývá analýzou rodiny škodlivého kódu CBT-Locker a detailním rozborem jeho funkčního vzorku.

Lineární kryptoanalýza šifry GOST

Autor
Jakub Labant
Rok
2015
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
Cílem této práce je prozkoumat bezpečnost šifry GOST vůči útoku pomocí technik lineární kryptoanalýzy. Nejprve se práce zabývá popsáním struktury šifry GOST, následně rešerší již provedených útoků, dále popsání technik lineární kryptoanalýzy a na závěr samotným útokem na šifru se sníženým počtem rund. V závěru práce jsou shrnuty dosažené výsledky pro 3 rundy šifry GOST.

Redukované modely šifry Rijndael

Autor
Lukáš Solil
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
Práce se zabývá redukcí velikosti šifry Rijndael. Zkoumá vlastnosti šifry a kritéria, podle kterých byla navržena. Získané poznatky využívá k formulaci postupu pro návrh redukovaných modelů Rijndaelu. Součástí práce jsou nástroje, které uživateli umožní zmíněný návrh modelu provést a následně využít jeho implementaci. Využitelnost modelů pak demonstruje na kryptoanalýze opakovaným šifrováním.

Lineární kryptoanalýza šifry Anubis

Autor
Šárka Hatašová
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
Tato práce se zabývá konstrukcí a verifikací zmenšeného modelu šifry Anubis. Na tento redukovaný model je v několika různých variantách veden útok technikou lineární kryptoanalýzy. Výsledky útoků jsou podrobně rozebrány a dány do souvislosti s možnými dopady na samotný Anubis.

Bezpečnostní analýza programu BestCrypt

Autor
Jakub Souček
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Smítka
Anotace
Práce se zabývá bezpečnostní analýzou programu BestCrypt, který umožňuje šifrování souborů a složek na disku. Zaměřuje se na proces generování klíče z hesla, operace šifrování a dešifrování a bezpečnost programu jako takového.

Bezpečnostní analýza programu BestCrypt Volume Encryption

Autor
Juraj Horňák
Rok
2016
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Anotace
Táto diplomová práca sa zaoberá analýzou softvéru na šifrovanie zväzkov pevných diskov alebo výmenných zariadení - BestCrypt Volume Encryption. Analýza sa zameriava na bezpečnostné aspekty bootovacieho kódu aplikácie. Práca popisuje výsledky získané pomocou reverznej analýzy bootovacieho kódu. Obzvlášť sa venuje odvodeniu šifrovacieho kľúča z hesla užívateľa a procesu šifrovania resp. dešifrovania. Ďalej práca overuje korektnosť implementácie kryptologických primitív použitím vytvoreného nástroja na dešifrovanie sektorov.

Kryptoanalýza pomocí nemožných diferenciálů

Autor
Peter Poljak
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
V našej diplomovej práci sme sa venovali kryptoanalýze pomocou nemožných diferenciálov ako mierke na testovanie slabín šifier. Kvôli relatívnej novosti, oproti lineárnej a diferenciálnej analýze, nie je táto analýza veľmi známa a existuje len málo jednoduchých "ako na to" návodov. Zaumienili sme si poskytnúť presne tento jednoduchý "ako na to" návod. Na testovanie tejto techniky sme si zvolili šifru Baby Rijndael. Podarilo sa nám zaútočiť na 4 rundy Baby Rijndaelu a poskytnúť detailný návod. Prišli sme na to, že potrebujeme len 13436 časových jednotiek oproti 32768 jednotiek potrebných na útok hrubou silou. Potvrdili sme užitočnosť kryptoanalýzy pomocou nemožných diferenciálov a s vyššie spomínaným detailným návodom sme k nej zjednodušili prístup.

Bezpečnostní analýza IM Telegram

Autor
Tomáš Sušánka
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
Tato diplomová práce se zabývá studiem programu Telegram a s ním souvisejícího protokolu MTProto. Zaměřuje se především na kryptografické zázemí protokolu, zdrojový kód Android aplikace, zkoumá datový přenos a porovnává stav aplikace s oficiální dokumentací. Dále analyzuje potencionální bezpečnostní slabiny a případně demonstruje jejich zneužití.

Diferenciální kryptoanalýza šifry Baby Rijndael

Autor
Jakub Tomanek
Rok
2017
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
V této práci se zabýváme metodou diferenciální kryptoanalýzy aplikovanou na šifru Baby Rijndael. V prvních dvou kapitolách se přesvědčíme o podobnosti designového návrhu šifer Rijndael a Baby Rijndael. Dále si uvedeme základní principy diferenciální kryptoanalýzy, kterými jsou předvýpočet diferenciálních charakteristik a jejich následné využití během útoku a extrakce šifrovacího klíče. U předvýpočtu dif. charakteristik se soustředíme na jejich možné sjednocování a shlukování. U metod útoků na šifru zkoumáme jednotlivé parametry, které mají vliv na výslednou úspěšnost získání šifrovacího klíče. V závěru odhadujeme paměťovou a výpočetní složitost jednotlivých variant útoků a porovnáváme naše výsledky s jinými doposud publikovanými pracemi. V provedených útocích se nám povedlo v průměru extrahovat šifrovací klíč ve 26 % v kratším čase oproti hrubé síle.

Obrana proti fingerprintingu do Privoxy

Autor
Jiří Sixta
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato práce představuje současné techniky fingerprintingu webového prohlížeče. Pro vybrané techniky navrhuje možné způsoby obrany. Práce dále představuje proxy software Privoxy, do kterého implementuje zvolené obrany a testováním ověřuje jejich vliv na anonymitu a výkon webového prohlížeče.

Bezpečnostní analýza protokolu Signal

Autor
Jan Rubín
Rok
2018
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato diplomová práce se zabývá studiem protokolu Signal. Zaměřuje se především na použitou kryptografii, funkcionalitu a strukturu protokolu. Práce dále obsahuje analýzu zdrojových kódů oficiální implementace a porovnává stav protokolu s jeho dokumentací. Práce také diskutuje potenciální bezpečnostní slabiny protokolu a formuluje jejich zmírnění či odstranění.

Bezpečnostní aspekty Intel Management Engine

Autor
Michal Funtán
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato práce je věnována systému Intel Management Engine, který je součásti většiny čipových sad vyvijených společnosti Intel. V prvni části práce je popsána architektura a zaváděni systému. S využitim reverzniho inženýrstvi byly analyzovány moduly, které se podili na zavedeni systému a byla ověřena kontrola integrity jednotlivých komponent systému. Ve druhé části byl reverzni analýzou zkoumán ovladač hardwarového kryptografického modulu s cilem identifikovat a popsat poskytované kryptografické funkce. V posledni kapitole jsou posouzeny ziskané poznatky z pohledu bezpečnosti uživatele počitačového systému.

Odhalení klíče AES sledováním běhu programu

Autor
Jonatan Matějka
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Šifra AES je nejpoužívanější symetrická bloková šifra. Denně se s ní setkáváme v zabezpečených komunikačních protokolech a při skladování dat. V jedné oblasti nás ale použití této šifry netěší -- v nevyžádaném software. Může to být ransomware, který proti naší vůli šifruje naše cenná data a požaduje výkupné za jejich dešifrování, nebo klient botnetu, který se šifrovaně domlouvá na dalším cíli útoku. V takových situacích by bylo vhodné mít k dispozici nástroj, který by šifrovaná data odhalil. V této práci jsme pro tento účel navrhli algoritmus. Sledováním přístupů do S-Boxu při běhu programu jsme schopni odhalit klíče a data použitá při šifrování. Algoritmus jsme následně implementovali pro systém Microsoft Windows a architekturu Intel x86. Výsledný program nalezne použité klíče a data v programech provádějících AES šifrování pomocí kryptografických knihoven a v běžných uživatelských aplikacích.

Hledaní zranitelností nad LLVM mezikódem

Autor
Jan Brož
Rok
2019
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Práce rozebírá možnosti statické analýzy programů za účelem hledání zranitelností, které vznikají častými programátorskými chybami. Nejprve jsou popsány tyto chyby, jejich dopady a světové statistiky. Jsou také shrnuty současné existující postupy na odhalování těchto chyb a jejich nedostatky. Následně je navržena metoda zpětného hledání původu dat sledováním datových závislostí v LLVM mezikódu, která je poté aplikována na detekování injekce příkazů či formátovacího řetězce a některé případy přetečení bufferu. Jsou rozebrány nejčastější typy falešných poplachů, které tato metoda produkuje, a navrženy možnosti jejich eliminace. Metoda je implementována v C++ pomocí LLVM frameworku a otestována na vybraných vzorcích zranitelných programů.

Nové přístupy k detekci backdoorů

Autor
Jan Vojtěšek
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
Tato práce prezentuje detailní průzkum aplikačních backdoorů ukrytých v souborech formátu Portable Executable a navrhuje nové metody jejich heuristické detekce. Čtyři aplikační backdoory použité v rozsáhlých útocích na softwarové dodavatele byly zanalyzovány za použití reverzního inženýrství a bylo ukázáno, že vykazují anomální vlastnosti, kterých lze využít při hledání podobných backdoorů. Tyto anomální vlastnosti slouží jako základ tří heuristických detekcí, které byly naimplementovány a jejichž výkon byl vyhodnocen na datasetu obsahujícím jak neškodné, tak backdoorované aplikace.

Zjednodušení výběru šifrových sad v protokolech SSL/TLS

Autor
Otto Hollmann
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Jan Baier
Anotace
Tato práce se zabývá problematikou výběru šifrových sad v jednotlivých kryptografických knihovnách. Správný výběr šifer a jejich parametrů má zásadní vliv na úroveň zabezpečení šifrovaných dat a dobu potřebnou k prolomení použitých šifrovacích mechanismů. Navíc je potřeba zohlednit preference a možnosti obou komunikujících stran. Práce se zaměřuje zejména na knihovnu OpenSSL, kde se používají dvě odlišná rozhraní pro zadávání šifrových sad. Výsledkem je návrh a následná implementace jednotného rozhraní pro tuto knihovnu, kdy je možné pomocí původního rozhraní cipher_list zadávat všechny šifrové sady. Dále byla přidána možnost pro omezení platnosti šifrového aliasu na vybrané verze protokolu a možnost posunutí šifrového aliasu nebo sady na začátek seznamu. Pro výběr šifrovéh sady v závislosti na preferenci klienta i serveru byla přidána do serverového seznamu podpora skupin o stejné preferenci a možnost zadávat příznaky preference, které jsou podobné volbě -prioritize_chacha. To vše při zachování zpětné kompatibility.

Reverzní analýza UEFI modulů PEI a DXE

Autor
Luigino Camastra
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Táto diplomová práca sa venuje reverznej analýze UEFI modulov. Popisuje UEFI fázy a ich podstatu pri bootovaní operačného systému. Druhá časť sa zaoberá spôsobmi, ako získať UEFI firmware image, a nástrojom k získaniu hlavných DXE a PEI modulov. Následne opisuje hlavnú funkciu získaných modulov. Na záver poukazuje na to, či program zodpovedá dokumentácií a taktiež na bezpečnostné programátorské zvyky.

Modernizace podpory protokolů SSL/TLS v Privoxy

Autor
Václav Švec
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Čejka, Ph.D.
Anotace
Práce reaguje na vývoj šifrovaného HTTP v moderních webových prohlížečích během poslední tří let. Zejména se zaměřuje na změny, které se týkají proxy serverů a webových certifikátů a hodnotí jejich dopady na filtrování HTTPS pomocí proxy serverů. Součástí práce je i návrh a implementace úprav, které rozšiřují předchozí implementaci podpory SSL/TLS do proxy serveru Privoxy. Tyto úpravy umožňují filtrování veškeré komunikace moderních webových prohlížečů a zároveň kladou důraz na zachování dostatečného výkonu proxy serveru. Dosažené výsledky jsou testovány a zhodnoceny v porovnání s předchozími verzemi Proxy serveru Privoxy. Zároveň jsou doplněny o další vhodná vylepšení.

Fingerprinting prohlížeče - techniky a obrana

Autor
Samuel Hanák
Rok
2020
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Čejka, Ph.D.
Anotace
V práci je představeno množství technik fingerprintingu prohlížeče a způsob jejich fungování. Proti některým z nich je navržena a vysvětlena možná obrana. V návaznosti na předchozí práci je poté popsán způsob implementace navržených obran v proxy serveru Privoxy a jejich testování pomocí dostupných nástrojů.

Zařízení pro testování bezpečnosti Wi-Fi

Autor
Petr Heřmánek
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
doc. Ing. Tomáš Čejka, Ph.D.
Anotace
Narušení bezpečnosti bezdrátových sítí představuje závažné ohrožení soukromí, integrity a autentičnosti komunikace. Globálně rozšířené protokoly obsahují mnoho slabin, od nedostatků původního návrhu až po kritická pochybení programátorů. Cílem této práce je analýza opakujících se hrozeb za účelem vytvoření ucelené klasifikace a obranných direktiv. Na základě těchto znalostí jsme zkonstruovali přenosné demonstrační zařízení, které je určené k plně automatizovanému spuštění útoku Evil Twin, s možností využít další moderní nástroje pro testování zabezpečení.

Bezpečnostní analýza Drive Snapshot

Autor
Michal Bambuch
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato diplomová práce se zabývá bezpečnostní analýzou programu Drive Snapshot. Práce prezentuje výsledky reverzní analýzy klíčových částí programu, popisuje použité kryptografické algoritmy a vyhodnocuje bezpečnost programu. Během bezpečnostní analýzy byla objevena řada bezpečnostních zranitelností, které mohou oslabit použitou kryptografii nebo ohrozit bezpečnost hesel anebo vytvořených záloh.

Analýza krypterů a jejich detekování

Autor
Jakub Kaloč
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Mgr. Martin Jureček, Ph.D.
Anotace
Cieľom tejto práce je analýza a popísanie techník používaných kryptermi, ktorých primárna funkcionalita je ochrana malwaru pred detekciou a analýzou. Práca ukazuje čitateľovi, ako aplikovať znalosti reverzného inžinierstva na analýzu malwaru a využiť poznatky nadobudnuté pri analýzach na vytvorenie a zdokonalenie obrán pred malwarom. Práca vo svojej teoretickej časti predstavuje vybrané nástroje na analýzu malwaru a vytváranie detekcií. Zároveň je predstavený framework, ktorý slúži na štrukturalizáciu jednotlivých techník, s ktorými sa je možné pri malwari stretnúť. Na pozadí tohto frameworku je tematicky štrukturovaná aj táto práca. V rámci jednotlivých kapitol sa text zameriava na techniky vybraných kategórií spomínaného frameworku, ktoré kryptery používajú. Praktická časť práce nadväzuje na teóriu predstavenú v jednotlivých kapitolách. V prvom rade prebehne analýza vzoriek reálnych obfuskátorov a krypterov, ktoré je možné vídavať použité na ochranu malwaru. Analýza je vždy zameraná na časti, kde vzorka používa tematicky relevantné techniky. Na záver praktickej časti sú znalosti nadobudnuté pri analýze využité na vytvorenie detekčných pravidiel. Tieto pravidlá popisujú vzorky chránené analyzovanými kryptermi alebo aj samotné analyzované techniky.

Nenáročný sandbox pro instalační programy

Autor
Artem Ustynov
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Při vyhledávání méně známých softwarových produktů nebo produktů vyvinutých nezávislými vývojáři je nutné vypořádat se s jejich instalátory. Tyto instalační programy často obsahují software třetích stran a někdy není možné nainstalovat požadovaný software, aniž by byl uživatel nucen instalovat nějaký další doprovodný program. Cílem této práce je analyzovat běžně používaný instalátor ``InnoSetup" a vyvinout odlehčený sandbox, který zajistí, že instalátor nebude upravovat registry ani soubory na hostitelském počítači, což uživateli umožní učinit informovanější rozhodnutí týkající se bezpečnosti softwaru, který si přeje instalovat. Navrhované řešení je navrženo jako odlehčená alternativa k existujícím přístupům.

Pokročilé algoritmy pro sdílení tajemství

Autor
Hana Svobodová
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Mgr. Martin Jureček, Ph.D.
Anotace
Tato práce se zabývá algoritmy pro sdílení tajemství. Konkrétně se zaměřuje na ověřitelná a kvantová schémata pro sdílení tajemství a metodu multiparty computing. Rešeršní část se zaměřuje na popis vybraných schémat a jejich bezpečnost. Náplní praktické části je implementace vybraných algoritmů, konkrétně Shamirova algoritmu pro sdílení tajemství, Pedersenova ověřitelného a Schoenmakersova veřejně ověřitelného schématu a schéma BGW pro multiparty computing. Kvantové schéma pro sdílení tajemství je implementováno pomocí simulátoru. Výstupem je aplikace, která dokáže pomocí výše zmíněných schémat rozdělit nebo rekonstruovat tajemství.

Bezpečnostní analýza programu IrfanView

Autor
Radek Jizba
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Tato diplomová práce se zabývá analýzou programu na prohlížení obrázků IrfanView. Taktéž jsou v této práci zhodnoceny opravy předchozích zranitelností tohoto programu. Výsledkem této práce je zjištění, že je program IrfanView velmi dobře udržován a autor v krátkém čase opravuje nalezené zranitelnosti.

Bezpečnostní analýza OnlyKey

Autor
Josef Hušek
Rok
2022
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Marina Shchavleva
Anotace
Tato práce se zabývá zařízením zvaným OnlyKey, které slouží jako malý osobní autentifikační token. Jeho hlavním účelem je fungovat jako dedikovaný hardwarový správce hesel, včetně podpory pro dvoufázové ověření uživatele. Nejprve se podíváme jaký hardware toto zařízení používá a rozebereme si nějaké obecné informace o zařízení, včetně jeho inzerovaných schopností. Poté se zaměříme na několik open-source kódů, které společně tvoří zázemí umožňující zamýšlenou funkčnost zařízení a pronikneme do toho jak fungují a jak spolu spolupracují. V poslední řadě budeme diskutovat zajímavá fakta, která jsme odhalili během studia tohoto zařízení, a to především z pohledu bezpečnosti uživatele.

Ochrana citlivých informací v paměti v .NET

Autor
Viktor Dohnal
Rok
2023
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Aplikace často pracují s citlivými informacemi, jako jsou hesla a šifrovací klíče, které se obvykle ukládají do operační paměti spolu s dalšími daty. Tato práce zkoumá účinnost a implementaci technik ochrany paměti v ekosystému .NET. Získané poznatky byly aplikovány na analýzu správce hesel KeePass, která vedla k odhalení zranitelnosti. Tato zranitelnost umožňuje útočníkovi obnovit hlavní heslo z paměti, i když je aplikace uzamčena nebo KeePass již není spuštěn.

Útoky na Event Tracing for Windows: Techniky a protiopatření

Autor
Matěj Havránek
Rok
2023
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Mgr. Peter Kálnai, Ph.D.
Anotace
Event Tracing for Windows (ETW) je platforma pro monitorování systému integrovaná v Microsoft Windows. Kromě nástrojů na monitorování systému je také hojně využívána bezpečnostním softwarem. V posledních letech roste počet útoků na monitorovací nástroje, primárně s cílem skrývat tím jinou škodlivou aktivitu. Tato práce zkoumá techniky používané k oslepení či vypnutí ETW, analyzuje nedávný útok proti monitorovacím nástrojům a zkoumá možnosti detekce a prevence podobných útoků v budoucnosti.

Průzkumník paměti pro .NET

Autor
Michal Žůrek
Rok
2023
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Cílem práce bylo navrhnout a implementovat počítačový program, který umožní reverzně analyzovat paměť procesu využívající technologii .NET a umožní vyhledávat a upravovat objekty v paměti tohoto procesu. Práce obsahuje popis technologie .NET i její běžně dostupné implementace. V práci jsou popsány existující nástroje pro výpis objektů v paměti procesů .NET a je zde popsáno chování Garbage Collectoru, který se v prostředí .NET používá pro správu paměti. Obsahem práce je i popis dostupných obfuskátorů určených pro aplikace v .NET včetně vyhodnocení jejich dopadu na obfuskovaný program. Práce obsahuje možné metody analýzy obsahu paměti procesů v .NET a detailně popisuje metodu pomocí rozhraní Event Pipe, která byla vybrána k implementaci nástroje, který vznikl jako součást této práce. Na závěr práce obsahuje popis dosažených výsledků při použití vyvinutého nástroje při analyzování paměti testovacího program, běžně používaných aplikací i obfuskovaných aplikací.

Portabler: Podpora běhu aplikací pro Windows z přenositelných médií

Autor
Kamil Kopp
Rok
2023
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
V této práci se zabýváme přenositelnými programy. Zjišťujeme, jaké jsou rozdíly mezi přenositelnými a instalovanými programy. Zabýváme se ryze lokálními prostředky Windows registrem a lokálním souborovým systémem. Následně popíšeme metody reverzního inženýrství v softwaru a zjistíme, jaké z těchto metod by mohly mít využití při konverzi instalovaného programu na přenosný. Následně vytvoříme návrh aplikace, která by mohla převádět instalované programy na přenositelné a popíšeme její důležité součásti. Následně implementujeme aplikaci podle návrhu ve Visual C++. Popíšeme detaily implementace včetně simulace registru a přesměrování souborů. Aplikaci následně otestujeme v reálném prostředí. Na závěr provedeme diskuzi nad výsledky testování a dalšími zjištěnými skutečnostmi.

Windows Sandbox: Analýza a ověření známých zranitelností

Autor
Jakub Štrom
Rok
2024
Typ
Diplomová práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Zaměření této práce je Windows Sandbox, funkcionalita představená v operačním systému Windows koncem roku 2018. Tato funkcionalita staví na již zavedené technologii Windows Containers, s kterou sdílí klíčové komponenty využívané pro izolaci svého prostředí. Nejprve jsou prozkoumány implementační detaily funkcionality, zejména se zaměřením na implementaci úložiště a jeho izolace. Zde jsou rozebírány jak Windows 11, tak Windows 10 varianty této funkcionality a jsou porovnány jejich rozdíly. Dále jsou shromážděny a prozkoumány veřejně známé zranitelnosti související s Windows Sandbox a s jednotlivými komponentami funkcionality. Zaměření této analýzy je především na účinnost oprav a jak dobře opravy odstraňují hlavní příčiny zranitelností. Výsledkem této analýzy je nalezení nové zranitelnosti stále přítomné na plně aktualizované verzi Windows 11, která je podobná jedné z rozebíraných zranitelností v této práci.