RICHTARIK, J. Bezpečnostní analýza vybraného SOHO routeru [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Veľmi chválim aktívny prístup študenta, jeho samostatnosť a štúdium problematiky. Študent dokázal naštudovať, navrhnúť a vyriešiť problematiku veľmi dobre. Študent taktiež našiel viacero zraniteľností, reflektoval odporúčania školiteľa a celkovo sa s ním pracovalo príjemne.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cieľom práce bol bezpečnostný audit najdostupnejších a najpopulárnejších sieťových smerovačov pre domácnosti a malé podniky na českom trhu. Práca bola nadpriemerne náročná a výsledky hodnotím výborne. Výstupom z tejto práce sú nájdené zraniteľnosti, ktoré boli taktiež nahlásené výrobcom. | ||
| Práce s literaturou | Študent si preštudoval zdroje, ktoré mu boli odporúčané. Študent urobil pokrok v osvojovaní si literatúry a vedomostí aktívne a samostatne. Ďalšie potrebné zdroje si našiel sám, vrátane článkov z konferencií a časopisov. | ||
| Aktivita během řešení, konzultace, komunikace | Študent pracoval aktívne, intenzívne, samostatne a nepretržite. Zúčastňoval sa konzultácií, ktoré prebiehali pravidelne, hlavne online a bol aktívny. Základná implementácia bola ukončená vo februári. Následne sa študent snažil zjednodušiť spôsob písania skriptov pre zariadenie. | ||
| Aktivita při dokončování | Počas dokončovania práce študent pravidelne konzultoval. Práca bola dokončená približne 3 týždne pred termínom. Kompletný text bol predložený vedúcemu práce na posúdenie koncom apríla. Text bol v dobrom stave. Bolo odporúčané upraviť niektoré drobné detaily (gramatika, typografia, spresnenie a doplnenie niektorých faktov). Celkovo bola práca dokončená načas. | ||
| Publikační činnost, ocenění | Žiadna publikačná činnosť nebola. |
Študent v diplomovej práci rozoberá zraniteľnosti prítomné v smerovačoch typu SOHO a relevantné typy útokov. Úspešne aplikoval získané znalosti na troch testovaných zariadeniach, v ktorých odhalil sadu zraniteľností rôznej priority a vybrané zraniteľnosti boli nahlásené výrobcom zariadení. Pri vypracovaní práce využíval rozmanitú sadu prístupov od reverzného inžinierstva, forenznej analýzy, sieťovej komunikácie, až po využitie rozhrania UART. Vytknúť by sa dala horšia formálna úprava a formát technickej dokumentácie.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Pre úspešné splnenie zadania sa musel študent zoznámiť so smerovačmi typu SOHO a zraniteľnosťami, ktoré môžu dané zariadenia obsahovať. Za využitia nadobudnutých znalostí následne musel študent prakticky vykonať a vyhodnotiť bezpečnostnú analýzu daných zariadení. | ||
| Rozsah splnění požadavků zadání | Zadanie bolo splnené nad rámec požadovaného rozsahu. V rámci práce študent rozoberá problematiku zabezpečenia SOHO smerovačov. Následne podľa požiadaviek v zadaní prakticky vyhodnotil stav zabezpečenia analyzovaných zariadení. Síce zadanie vyžaduje pre splnenie analýzu iba jedného zariadenia, študent vyhodnotil zabezpečenie až troch vhodne vybraných zariadení, čo kladne hodnotím ako rozšírenie zadania. | ||
| Rozsah technické zprávy | Podľa aplikácie https://app.fit.vut.cz/normostrany vyvinutej pre fakultné využitie má práca 81 normostrán. | ||
| Prezentační úroveň technické zprávy | 75 | Text práce je napísaný zrozumiteľne, jednotlivé časti textu na seba logicky nadväzujú. V úvodnej časti práce študent popisuje základné informácie o vnorených zariadeniach, dôraz je venovaný analýze firmvéru. Následne študent popisuje bezpečnostnú analýzu zariadení podľa typu zraniteľností a útočného vektoru. V závere zhŕňa výsledky analýzy a popisuje odhalené zraniteľnosti. Výhradu mám voči štruktúre textu na úrovni kapitol. Okrem úvodu a záveru je práca členená iba do dvoch kapitol, ktoré by bolo vhodné podrobnejšie rozdeliť. V niektorých prípadoch sa miešajú sekcie rozoberajúce rozličné témy na rovnakej logickej úrovni, príkladom je Kapitola 3. Príležitostne práca obsahuje chyby ako chýbajúci úvodný text pri podsekcii 3.2.1, prípadne nedostatočný názov paragrafu "More advanced". Vybrané časti textu popisujúce postup penetračného testovania sú písané čiastočne príbehovo, u technického textu by práca benefitovala formálnejším vyjadrovaním. | |
| Formální úprava technické zprávy | 80 | Práca je napísaná v anglickom jazyku. V texte sa príležitostne nachádzajú gramatické chyby, ktoré sú prítomné i v abstrakte a rozšírenom abstrakte. V práci sa vyskytuje nesprávny formát odkazovania na obrázky, prípadne ich nejednotný formát popisu. Práca by taktiež benefitovala jednotnejším zvýrazňovaním pojmov, prípadne využitia vhodnej tabuľky pre prezentáciu výsledkov. Citačné odkazy sa často vyskytujú na začiatku riadku. | |
| Práce s literaturou | 85 | Škála a rozsah využitých zdrojov je v dostatočnom rozsahu. Niektoré zdroje nie sú správne vhodne uvedené, napr. pri zdroji [14] má zborník prázdny tvar. I v prípade práce s literatúrou by bolo vhodné dodržiavať vyššiu jednotnosť, napr. formát názvu mesiacov. Pri zdroji [64] je uvedený podozrivý autor "SOMEOTHERTIME", ktorý sa na odkazovanej webovej stránke nenachádza. | |
| Realizační výstup | 90 | Práca je orientovaná na analýzu, odovzdané podklady preto obsahujú predovšetkým dokumentáciu postupu pri jej vyhodnocovaní a výstupy analyzačných nástrojov. | |
| Využitelnost výsledků | Študent využíva ako známe existujúce útoky voči testovaným zariadeniam, tak i rozširuje existujúce postupy na základe konkrétnych odhalení špecifických pre dané zariadenia. Študent úspešne odhalil sadu zraniteľností, na ktoré útoky sa dajú aplikovať i na aktuálne verzie firmvéru vydané výrobcami. Nájdené zraniteľnosti boli výrobcom zariadení nahlásené. |
eVSKP id 146777