PROCHÁZKA, J. Prostředí pro analýzu podezřelého zařízení [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2019.
Tuto bakalářskou práci vedl externí vedoucí Ing. Jaroslav Rus a k práci uvádí následující hodnocení: Cílem práce je návrh hardwarového a softwarového prostředí, které umožní prozkoumat důkazy na externím médiu, případně zařízení. Student zvolil Raspberry Pi 3 a operační systém Raspbian, do tohoto prostředí instaloval open source nástroje pro analýzu škodlivého kódu Autopsy, ADB, Radare, SQLite Browser, dex2jar a další nástroje. Praktická použitelnost navrženého řešení tak byla rozšířena o možnost analyzovat mobilní zařízení s operačním systémem Android. Správné fungování zařízení bylo ověřeno simulací dvou incidentů, kdy v první případě byl analyzován USB flashdisk infikovaný nástrojem pro penetrační testování TheFatRat a druhým reálnějším scénářem, kdy byl infikován Xiaomi Mi2s s verzí android 5.0.2. V obou případech byly zajištěny a analyzovány vzorky metodami statické analýzy. Prozkoumáno a popsáno bylo též chování obou vzorků. Student tak prakticky demonstroval použitelnost konceptu pro účely zajištění a analýzy napadeného zařízení a rozbor detekovaného malware. Student pracoval velmi samostatně a splnil na počátku stanovený cíl a simulací malware incidentu prokázal hluboké znalosti problematiky zpracování incidentů souvisejících s nalezeným podezřelým zařízením. Po přihlédnutí k hodnocení od externího vedoucího a po kontrole práce po formální stránce doporučuji práci k obhajobě s celkovým hodnocením 94 bodů / A.
Hlavním cílem práce byl návrh hardwarového a softwarového prostředí, které umožní prozkoumat důkazy o incidentu na externím médiu nebo zařízení. Student vytvořil pracoviště, které bylo založeno na Rasberry Pi 3B+. Výchozí operační systém (Raspbian) byl rozšířen o nástroje forenzní analýzy (Autopsy, ADB, SQLite Browser, Radare, Ghidra aj.). Funkčnost pracoviště byla ověřena simulací dvou incidentů, první incident představoval USB disk infikovaný nástrojem TheFatRat a druhý scénář představoval infikovaný telefon Xiaomi Mi2s s verzí android 5.0.2. K popisu praktické části mám několik výhrad. Čtenář by čekal popis a diskuzi získaných výsledků z testovacího ověření funkčnosti pracoviště již v kapitole 6.3.2 a 6.3.3. V kapitole 7 chybí podrobnější teoretický popis incidentu, popis návazností, co bylo vloženo do ukázkového škodlivého souboru a jak se s ním plánuje zacházet (nahrání na disk, vytvoření image a následná analýza)? Na začátku by měl být ukázkový incident podrobně popsán popřípadě lépe vysvětlen pomocí blokového diagramu a časové souslednosti. Dosažené výsledky analýzy A.1 a A.2 by měly být podrobněji komentovány v návaznosti na vložený škodlivý kód. Hlavním přínosem práce je analýza škodlivé aplikace na mobilním zařízení Xiaomi Mi2S. Kapitola 8 mohla být vhodněji rozčleněna, popis realizace analýzy přeskakuje z místa na místo a informace se zbytečně opakují (př. obecný popis kap. 8 a 8.2 nakažen mobilní telefon Android Rootkit, následně rekonfigurace Rasberry PI na přístupový bod v kapitole 8.2.1 a následně se v kap. 8.2.2 opakují již výše uvedené informace popisující scénář a opět diskuze rekonfigurace Rasberry PI na přístupový bod . . .). Tuto nejdůležitější kapitolu by bylo vhodné rozčlenit na jednotlivé scénáře (jednoduchá analýza data a analýza infikovaného mobilního zařízení), kde v úvodu měl být popsán scénář včetně blokového pracoviště, následně výsledky analýzy. V práci se také vyskytují formální nedostatky př. dvě tečky str. 37, nevhodné členění odstavců str. 54 atd. Závěrem lze konstatovat, že předložená práce splňuje hlavní cíle zadání, nedostatky shledávám zejména v odborném popisu incidentů, práci navrhuji k obhajobě s hodnocením B.
eVSKP id 118111