NAGY, T. Metody zabezpečení linuxových embedded systémů [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2025.
Student Bc. Tomáš Nagy se ve své diplomové práci zaměřil na návrh a implementaci zabezpečeného systému pro embedded zařízení, přičemž kladl důraz na zajištění jejich integrity, důvěrnosti přenášených dat a možnost vzdálené správy. V teoretické části práce student popisuje a analyzuje možnosti nasazení embedded systémů s ohledem na jejich bezpečnost. Dále se věnuje operačnímu systému Linux a detailně rozpracovává požadavky na zabezpečenou architekturu v rámci jednotlivých vrstev systémového modelu. Ke každé vrstvě následně navrhuje konkrétní technická opatření a odpovídající softwarové komponenty. Výsledné řešení zahrnuje např. šifrování diskových oddílů pomocí dm-crypt, zabezpečený boot, vzdálený přístup prostřednictvím VPN (WireGuard), správu přes SSH certifikáty a zajištění systémové integrity prostřednictvím auditu a logování. Praktická část práce byla realizována na vývojové jednotce Compulab a řešení bylo následně ověřeno v produkčním prostředí. Práce obsahuje případovou studii implementace včetně síťové konfigurace, bezpečnostního zajištění přístupu a zátěžových testů komunikace. Výstupy jsou systematicky dokumentovány a doplněny návrhy na zlepšení a optimalizaci systému. Po formální stránce je práce zpracována na dobré úrovni. V práci se objevují obrázky či tabulky přesahující do okrajového prostoru. Text je srozumitelný, logicky strukturovaný, jazyková stránka neobsahuje vážnější nedostatky. Citace použité literatury je relevantní, i když by bylo vhodné doplnit více odkazů na odborné články v oblasti kybernetické bezpečnosti a architektury IoT systémů. Důkazem kvality výsledného řešení je i umístění Tomáše Nagyho na prvním místě na studentské konferenci EEICT 2025. Na základě výše uvedeného doporučuji diplomovou práci k obhajobě a hodnotím ji známkou A/90 bodů.
Hlavním cílem diplomové práce studenta Nagye bylo navrhnout bezpečnostní architekturu vestavěného zařízení (př. Raspberry Pi), které by pak sloužilo jako komunikační brána v „inteligentích“ budovách (chytrá domácnost). Hlavním praktickým přínosem práce, bylo návrh implementovat s využitím dockerových kontejnerů. Zadání definovalo nutnost mít zabezpečený komunikační kanál umožňující automatizovanou aktualizaci softwaru na zařízení. Bohužel v zadání diplomové práce nejsou přesně definovány bezpečnostní požadavky k zajištění bezpečnostních služeb vestavěného zařízení (důvěrnost, autentičnost, integrita, dostupnost popřípadě nepopíratelnost) pro cílené případy užití (není jasný rozdíl mezi metodou zabezpečení popřípadě zabezpečený systémem – jde o vlastní program nebo zabezpečený OS vestavěného zařízení, popřípadě systém IoT a server s aplikací?). Student k řešení inženýrského problému přistoupil se znalostí věci. Průzkum současného stavu problematiky je až příliš rozsáhlý a zaměřuje se primárně na bezpečnost operačního systému Linux v kontextu vestavěných systémů. Obrázky jsou kvalitní a vhodně doplňují text. Praktická část práce začíná na straně 52 do str. 82, a práci tímto považuji za vyváženou. Student v praktické části zprovoznil bezpečnostní služby/protokoly identifikované v teoretické části (př. secure boot, dm-crypt, SSH, UFW nebo WireGuard). V této kapitole vytýkám absenci obrazového (popř. systematického) vyjádření vlastního návrhu bezpečnostní architektury, očekával bych definovaná aktiva, rizika a bezpečnostní opatření, které útoky minimalizuje (tak jak je běžně zvykem při návrhu bezp. archytektury). Oproti tomu se kapitola věnuje pouze zprovoznění nástrojů bez kontextu (v návaznosti tedy na vrstvy L1 až L7 nebo lépe aktiva/bezp. opatření). Vlastní přínos v podobě návrhu bezpečnostní architektury měl být realizován inženýrským způsobem, to shledávám jako velký nedostatek práce. Dále student zprovoznil služby na monitorování systému (logování), které využívá open-source Wazuch (agent). V praktické části diplomové práce postrádám také přínos v podobě vlastní implementace programového vybavení pro IoT, hlavním výsledkem je ve své podstatě pouze zprovoznění běžně dostupných bezpečnostních služeb (př. SSH, Wazuch, dm-crypt aj.) na vestavěném zařízení včetně funkčního nastavení (editace konfiguračních souborů pro jednotlivé služby). Dle mého pohledu je takto definované zadání a výsledný vlastní přímost na nižší úrovni pro diplomovou práci. Na druhou stranu, a také z vlastní zkušenosti, mohu potvrdit, že zprovoznění secure boot a dm-crypt je netriviální úloha. Oceňuji také úspěšnou účast studenta na studentské konferenci EEICT. Na základě výše popsaných faktů navrhuji práci k obhajobě s hodnocením C.
eVSKP id 167306