Posudky závěrečné kvalifikační práce

Posudek vedoucího

Mikulášek, Michal

V rámci teoretické části student podrobně popsal fotovoltaické systémy a kyberútoky spojené s těmito systémy. V úvodu praktické části práce byla provedena analýza bezpečnosti dvou vybraných střídačů od společností Solax a Solinteg. Následně byly provedeny testy, které byly realizovány s cílem porovnat kyberbezpečnost obou systémů. Výsledky byly přehledně sepsány do praktické části. Bohůžel získané výsledky neobsahovaly podrobnější porovnání, analýzu a návrhy k zlepšení bezpečnosti obou systémů. Nutno zmínit, že student měl na provedení praktických testů omezený čas. Solax byl zapůjčený od soukromé společnosti na dobu 3 týdnů a Solinteg byl umožněn přístup do testovací laboratoře Solinteg Laboratory v Brně. Student během semestru komunikoval spíše sporadicky, konzultace příliš často neinicializoval. Práce obsahuje místy formání i vecné chyby. S ohledem na zjíštěné nedostatky a aktivitu studenta navrhuji hodnocení 70, C.

Navrhovaná známka: C

Body: 70

Posudek oponenta

Bohačík, Antonín

Diplomová práce je rozdělena do jednotlivých kapitol logicky a přehledně. Práce se svými 108 stranami odpovídá svým zpracováním a rozsahem lehce nadprůměrné práci. Vyskytuje se v ní plno drobných ovšem nezanedbatelných stylistických chyb (chybějící nebo přebývající mezery, nevhodně seřazené číslování zdroje v textu, špatné členění textu, značení řádů není jednotné (český a anglický způsob), malé písmo v obrázcích, obrázky nejsou správně zmiňovány v textu, ve schématech chybí legendy či popisky jednotlivých prvků apod.). Co se týče gramatických a typografických chyb, ty se v práci vyskytují pouze v malé míře (např. „metodologies“ místo methodologies, či „se čtenář dozví o nejdůležitějších nástrojech“), rovněž některá slovní spojení a samotné názvy kapitol jsou zvoleny poměrně nešťastně (např. kap. „Implementation tools“, kde k žádné implementaci nedochází). Student při zpracování využil 89 zdrojů, kde jsou zastoupeny jak vědecké dokumenty, tak i odborné webové portály zaměřené na danou problematiku. Student v teoretické části práce podrobně popisuje problematiku fotovoltaických systémů (PVs), zmiňuje různé druhy kybernetických útoků, včetně konkrétních zranitelností v rámci PVs. V rámci této části práce postrádám rozbor zranitelnosti samotného komunikačního protokolu ModBus, který obě zařízení využívají. Velký nedostatek vidím při vypracování praktické části práce. V rámci této části mělo dojít k otestování zařízení z pohledu kybernetické bezpečnosti. Rozsah a zpracování praktické části práce, dle mého názoru, odpovídá spíše úrovni semestrálního projektu nikoli diplomové práci. V rámci práce postrádám detailní popis testovaných zařízení (popis RAM, CPU, úložiště, verze OS/firmwaru, instalované balíčky, maximální kapacitu bezdrátového/testovaného rozhraní apod.), které jsou klíčové pro relevantní vyhodnocení výsledků měření a samotné kybernetické bezpečnosti zařízení. Dále zadání práce definuje jako jeden z cílů, že dojde k predikci míry ohrožení, které také neproběhlo (pouze vyhodnocení míry ohrožení). Rovněž bylo toto vyhodnocení vágní a neopíralo se o žádné konkrétní hodnoty. Rovněž mělo dojít k vyhodnocení v rámci situačních scénářů, které v práci nejsou definovány, včetně odůvodnění jejich výběru. Dalším bodem praktické části bylo provedení několika simulovaných útoků. Tyto útoky sice byly provedeny, ale velmi povrchově a bez hlubší analýzy. Od práce se zaměřením na kybernetickou bezpečnost bych očekával více sofistikované útoky než 4 základní útoky (ICMP a SYN Flood, Ping of Death a Smurf attack), které student provedl pomocí 4 příkazů v příkazové řádce. V práci rovněž postrádám rozbor toho, proč byly zvoleny právě tyto útoky a proč nebyly využity i další útoky (vhledem k tomu, že v teoretické části jsou rozebrány, včetně dostupných zranitelností pomocí CVE). Práce rovněž nedisponuje žádnými grafy/tabulkami s naměřenými hodnotami či přílohu v podobě záznamu síťového provozu. Závěry práce jsou opírány o fakt, že bylo/nebylo možné z daného zařízení vyčíst data. Dosažené výsledky diplomové práce nepokládám za dostatečné (návrh, provedení i diskuze), stejně tak jako splnění všech bodů zadání (splněno hraničně, spíše nedostatečně). Zadání práce považuji za nesplněné a navrhuji hodnocení F/45 bodů.

Navrhovaná známka: F

Body: 45

Otázky

V teoretické části práce zmiňujete celou řadu exploitů na PVs, zkoušel jste nějaký z nich využít/realizovat ve Vašem prostředí? Pokud ano, jaké byly výsledky, pokud ne, proč jste nezkoušel?
Jaký je Váš vlastní přínos v rámci této práce? Práce na mě působí tak, že jste se připojil do střídače a pustil jste 4 poměrně základní útoky, bez nějaké hlubší analýzy nebo uvedení důvodu proč byly zrovna tyto útoky vybrány.
Proč jste zvolil zrovna útok Ping of Death? Většina zařízení je od přelomu tisíciletí proti tomuto útoku již chráněna.
Pro získání výsledků jste použil veřejně dostupné nástroje. Je v rámci práce nějaký nástroj/script, který jste vytvořil pro samotné měření nebo analýzu výsledků?