Informační bezpečnost

Závěrečné práce

Bakalářské práce

Analýza anonymity aplikace Anketa ČVUT

Autor
Eliška Helikarová
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Michal Valenta, Ph.D.
Anotace
Tato bakalářská práce se zabývá analýzou anonymity aplikace Anketa ČVUT, webové aplikace, kterou využívá České vysoké učení technické pro interní hodnocení výuky. Tato aplikace spadá do kategorie anonymních anketních systémů, což znamená, že data obsažená v dotaznících ode- vzdaných studenty by neměla být spojitelná s jejich identitou. Tato práce zkoumá především tuto vlastnost, její implementaci v rámci aplikace, a předestírá možné hrozby a nedostatky, které mohou ohrozit soukromí uživatelů. Analýza anonymity je v práci pojatá jako analýza hrozeb s využitím modelu LINDDUN jakožto hlavní metodologie pro modelování hrozeb soukromí. Pro- ces analýzy hrozeb spočívá ve studiu a popisu analyzované aplikace, a to jak pomocí veřejně dostupných informací, tak i pomocí zdrojových kódů a dalších částí systému, ke kterým nemají přístup běžní uživatelé. Po sběru informací následuje vytvoření diagramů datových toků sys- tému, které zobrazují jednotlivé komponenty systému a datové toky mezi nimi. Jednotlivé části systému a celý systém jsou poté prozkoumány z hlediska možných hrozeb soukromí, které spadají do některé kategorie hrozeb obsažené v metodologii LINDDUN. Zjištěné hrozby jsou následně hodnoceny z hlediska dopadu na anonymitu studentů. Tato práce popisuje vnitřní fungování aplikace, stejně jako konkrétní bezpečnostní hrozby, jako například chybnou konfiguraci JWT a další zranitelnosti nalezené v rámci systému. V závěru práce jsou navržena vhodná opatření ke zlepšení anonymity a ochrany soukromí uživatelů.

Analýza zranitelnosti CVE-2022-37434 v knihovně Zlib

Autor
Vojtěch Krejsa
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Na začátku srpna roku 2022 byla v široce používané kompresní knihovně Zlib objevena kritická zranitelnost s označením CVE-2022-37434. Zranitelnost je popisována jako přetečení bufferu na haldě. Některé zdroje dokonce uvádějí, že by mohla být zneužita až ke spuštění libovolného kódu. Neexistují však žádné dostupné důkazy, které by tuto skutečnost potvrzovaly. V této práci je provedena detailní analýza zranitelnosti s důrazem na možnosti jejího zneužití právě pro spuštění kódu. Analýza je provedena na operačním systému Ubuntu 22.04 LTS s paměťovým manažerem glibc 2.35 a na Windows 10 verze 22H2 s výchozím paměťovým manažerem. Výsledky analýzy potvrzují, že zranitelnost lze skutečně pro spuštění kódu zneužít. V této práci je popsáno, jak toho lze dosáhnout. Pro účely demonstrace byla připravena virtuální prostředí.

Bezpečnostní analýza protokolu ZigBee v IoT zařízeních

Autor
Tomáš Rosenbaum
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Jiří Dostál, Ph.D.
Oponenti
Ing. Viktor Černý
Anotace
Tato bakalářská práce se zabývá bezpečnostní analýzou protokolu ZigBee a protokolu IEEE 802.15.4, na kterém je protokol ZigBee vystavěný. Vysvětluje základní fungování obou protokolů, detailněji popisuje jejich bezpečnostní rozšíření a jejich slabá místa. Věnuje se také popisu vytvoření testovací sítě pomocí koordinátoru CC2652P, chytré žárovky, vypínače a aplikace Home Assistant. Výsledkem práce je aplikace umožňující snadnou bezpečnostní analýzu zařízení a sítí, kterou je možné jednoduchým způsobem rozšiřovat. Aplikace je psaná v jazyce Python s využitím knihovny Scapy. Využívá koordinátor CC2531 k odposlouchávání komunikace. Navržená aplikace je použita pro analýzu vytvořené testovací sítě, jejíž bezpečnost je v práci vyhodnocována.

OpenSSL provider založený na CNG

Autor
Ladislav Marko
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jiří Buček, Ph.D.
Anotace
Tato práce rozebírá OpenSSL poskytovatele (providers) a jak je implementovat. Práce prochází procesem implementace poskytovatele, který přenechává kryptografické operace ohledně certifikátů jiným implementacím algoritmů než těm z OpenSSL. Konkrétní zvolenou implementací jsou algoritmy Windows Cryptography API: Next Generation. Výsledný poskytovatel umožňuje TLS 1.3 spojení s klientským certifikátem načteným ze systémového úložiště certifikátů operačního systému Windows.

Webová aplikace pro odevzdávání maturitních projektů

Autor
Ondřej Cach
Rok
2023
Typ
Bakalářská práce
Vedoucí
Ing. Jiří Dostál, Ph.D.
Oponenti
Ing. Michal Šoch, Ph.D.
Anotace
Tato bakalářská práce se zabývá návrhem systému pro odevzdávání maturitních prací na Střední průmyslové škole elektrotechnické a Vyšší odborné škole Pardubice. Cílem práce je implementování webové aplikace pro odevzdání maturitních projektů s ohledem na bezpečnost a kryptografické ověření práce. V řešení jsou použity metody softwarového inženýrství pro analýzu požadavků a případů užití. Dále je vypracován návrh webové aplikace včetně bezpečnostního modelu pro nezpochybnitelné odevzdání souborů maturitních projektů s využitím digitálně podepsaného časového razítka. Na předchozí analýzu a návrh navazuje implementace webové aplikace, která je řešena pomocí Single Page Application, psané v Reactu, na frontendu, interagující s REST API, používajícím framework Laravel, na backendu. Výsledkem této práce je funkční webová aplikace umožňující střední škole efektivně spravovat maturitní práce žáků.

Detekce těžby kryptoměn na základě rozšířených síťových toků

Autor
Richard Plný
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Karel Hynek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Tato bakalářská práce se zaměřuje na těžbu kryptoměn z bezpečnostní perspektivy s důrazem na nelegální těžbu. Zkoumá možnosti detekce těžení kryptoměn ve vysokorychlostních počítačových sítích na úrovni monitorování síťových toků. Práce obsahuje návrh plaformy pro kontinuální záchyt komunikace, která je použita k vytvoření datových sad obsahující komunikaci těžících softwarů z realného provozu. Dále je navržena metoda detekce, která je schopna provozu i na vysokorychlostních sítích. Navržené řešení je implementováno jako skupina modulů systému NEMEA. Tato skupina modulů byla nasazena a testována na národní síti provozované sdružením CESNET.

Fyzicky neklonovatelné funkce na platformě ESP32

Autor
Ondřej Staníček
Rok
2022
Typ
Bakalářská práce
Vedoucí
Ing. Jiří Buček, Ph.D.
Oponenti
Ing. Filip Kodýtek, Ph.D.
Anotace
Tato práce zkoumá možnost implementace fyzicky neklonovatelné funkce (PUF) na základě statické paměti (SRAM) na mikrokontroléru ESP32. Nejprve je provedena rešerše o problematice PUF se zaměřenim na SRAM PUF. Také jsou popsány vlastnosti SRAM PUFu. Jsou představeny dvě metody kontroly napájeni SRAM paměti. Pro obě je provedena analýza chováni neinicializovaných SRAM dat dle operačni teploty a doby vypnuti. Na základě těchto výsledků je posouzena vhodnost jejich využiti. Poté je představena implementace SRAM PUFu se spolehlivou rekonstrukci odpovědi. Dvě různé metody výběru stabilnich bitů a opakovaci samoopravný kód jsou použity ke stabilizaci odpovědi. Tato implementace kombinuje obě představené metody kontroly napájeni paměti, cimž dosahuje rychlejši a spolehlivějši extrakce odpovědi. Testováni spolehlivosti odhalilo, že je možné dosáhnout 100 % úspěšnosti rekonstrukce odpovědi při teplotách od -40 do +70 °C. Tyto odpovědi je možné použit jako kryptografické kliče k zabezpečeni ESP32. Nakonec je tento návrh SRAM PUFu implementován jako snadno použitelná ESP32 knihovna.

Deobfuskace malware v jazyce VBScript

Autor
Matěj Havránek
Rok
2021
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš, Ph.D.
Oponenti
Ing. Jakub Souček
Anotace
VBScript je desktopový a webový skriptovací jazyk, který je často využíván škodlivým softwarem. Autoři tohoto software se často snaží skrýt jeho pravou funkcionalitu a zabránit ostatním ve čtení jeho kódu pomocí obfuskací. Tato práce se zaměřuje na analýzu těchto obfuskací, prozkoumání způsobů, jak je překonat, a implementaci nástroje schopného zlepšit čitelnost obfuskovaných programů pomocí statických a dynamických deobfuskačních metod.

Interpretovatelnost výsledků detekce malware založených na strojovém učení pomocí sady pravidel

Autor
Jan Dolejš
Rok
2021
Typ
Bakalářská práce
Vedoucí
Mgr. Martin Jureček, Ph.D.
Oponenti
prof. Ing. Róbert Lórencz, CSc.
Anotace
Metody strojového učení se prokázaly jako užitečný nástroj v řadě aplikací. Antivirové společnosti našly jejich využití i pro rychlou a spolehlivou detekci malwaru, poskytující jejich uživatelům bezpečnější prostředí před každodenními hrozbami. Metody strojového učení, jako jsou například hluboké neuronové sítě, jsou však často považovány za black boxy, jelikož důvody jejich rozhodnutí mohou být často nejasné. Jejich intepretovatelnost je důležitá a pomáhá pochopit potenciálně chybná rozhodnutí. Tato práce se zabývá algoritmy pro tvorbu pravidel a zkoumá jejich potenciál v rámci interpretace výsledků metod strojového učení. V práci bylo využito dvou veřejně dostupných datasetů, obsahujících atributy PE souborů, a na míru navržených implementací algoritmů pro tvorbu pravidel. Výsledky ukázaly, že algoritmus RIPPER je v tomto úkolu převážně úspěšný; vysokou přesnost vykazoval i při zachování kompaktních sad pravidel, což dělá z algoritmů pro tvorbu pravidel užitečnou alternativu metody založené na signaturách.

Detekce útoků na Active Directory

Autor
Lukáš Kotlaba
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Simona Buchovecká
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Organizace, které využívají Active Directory pro správu identit, musí chránit svá data před protivníky a bezpečnostními hrozbami. Tato práce analyzuje známé útoky na Active Directory a možnosti jejich detekce založené na Windows Security auditu. Implementační část je zaměřená na návrh detekčních pravidel pro analyzované scenáře útoků. Pravidla byla navrhnuta a implementována v technologii Splunk, následně otestována a vyhodnocena vykonáním útoků ve virtuálním prostředí. Navrhnutá pravidla, případně detekční principy v nich použité, mohou sloužit jako základ implementace bezpečnostního monitorování Active Directory prostředí v organizacích, a to nezávisle na vybrané technologii. Příloha práce obsahuje navrhnutá pravidla ve formě Analytic Stories, která rozširují obsah existující aplikace Splunk ES Content Update. Analytic Stories jsou navíc doplněna o relevantní vyhledávání, která poskytují kontext využitelný pro investigaci.

Rešerše a ukázka zabezpečení platformy (TPM)

Autor
Andrea Holoubková
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Jiří Buček, Ph.D.
Anotace
Bakalářská práce se zaměřuje na průzkum řešení pro realizaci důvěryhodné platformy. Podrobnější popis je věnován standardům organizací Trusted Computing Group (TCG) a GlobalPlatform. Jedná se o bezpečnostní čip Trusted Platform Module (TPM) a integrovanou bezpečnou zónou procesoru nazývanou Trusted Execution Environment (TEE). Součástí řešení bakalářské práce je také praktická ukázka použití čipu TPM na běžném počítači pod operačním systémem Linux. Praktická část se věnuje šifrování externího média (USB disku) a uložení klíče do TPM.

Rozšíření reputační databáze o informace z Passive DNS

Autor
Maxmilián Tomáš
Rok
2018
Typ
Bakalářská práce
Vedoucí
Ing. Tomáš Čejka, Ph.D.
Anotace
Systém DNS (Domain Name System) je systém doménových jmen pro překlad mezi doménovými jmény a IP adresami. Data ze systému DNS je možné také využít v oblasti síťové bezpečnosti. Mohou pomoci blokovat šíření malwaru, odhalit nakažené stroje nebo rozšířit blacklisty o škodlivé domény. Výstupem této práce je systém pro ukládání historie mapování doménových jmen a IP adres. Navržený systém PassiveDNS importuje data ze systému DNS, která jsou zachycená z reálné síťové komunikace. Importovaná data jsou uchovávána v agregované formě, aby nedocházelo k plýtvání s hardwarovými zdroji. Rozhraní systému umožňuje přístup k historii překladu jednotlivých doménových jmen na konkrétní IP adresy. Systém může pomoci detekčním systémům rozšířit jejích vlastní databáze. Vzniklý systém je integrován do souvisejících projektů sdružení CESNET z.s.p.o.

Analýza rescue souboru BestCrypt Volume Encryption

Autor
Jan Vojtěšek
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Anotace
Tato práce je zaměřena na reverzní inženýrství a bezpečnostní analýzu programu na šifrování disku BestCrypt Volume Encryption. Obsahuje detailní popis doposud nedokumentovaného binárního formátu souboru, který se používá při záchranných operacích. Během bezpečnostní analýzy bylo nalezeno několik zranitelností a závad. Všechny zranitelnosti jsou podrobně popsány a je uveden příklad, jakým tato zranitelnost může zasáhnout běžného uživatele. Autor také spolupracoval s vývojáři BestCrypt Volume Encryption ve snaze, aby tyto zranitelnosti byly opraveny nebo aby byl alespoň zmírněn jejich dopad. Součástí práce je i nástroj, který umožňuje připojit zašifrované svazky disků na některých operačních systémech založených na Unixu.

Podpora pro filtrování SSL/TLS komunikace v Privoxy

Autor
Václav Švec
Rok
2017
Typ
Bakalářská práce
Vedoucí
Ing. Josef Kokeš
Oponenti
Ing. Tomáš Zahradnický, Ph.D.
Anotace
Práce se věnuje problematice proxy serverů ve vztahu k HTTP a HTTPS protokolům, a také popisuje způsoby filtrování HTTPS komunikace. Představeny jsou zde jednotlivé způsoby filtrování HTTPS komunikace, možnosti těchto filtrů a postupy proxy serveru při obsluze HTTP/HTTPS spojení. Součástí práce je také návrh a implementace rozšíření programu Privoxy. Implementované rozšíření umožňuje filtrovat HTTPS komunikaci s využitím řady filtrovacích možností původního programu. Dosažené výsledky jsou zhodnoceny a doplněny o další možná vylepšení.

Za obsah stránky zodpovídá: Ing. Zdeněk Muzikář, CSc.