KAŠPAR, J. Aplikace na stavbu a zobrazování vektorů útoků pomocí metod sociálního inženýrství [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2023.
Cílem diplomové práce bylo analyzovat nejpoužívanější techniky sociálního inženýrství a následně vytvořit aplikaci na stavbu a zobrazování vektorů útoků pomocí metod sociálního inženýrství. Aplikace měla umožnit namodelování vektorů útoků, jejich přiřazení členům týmu, práci se smluvní dokumentací a generování dílčích/celkových zpráv o průběhu útoků. Cíle byly převážně splněny. V teoretické části práce se diplomant věnoval popisu jednotlivých technik sociálního inženýrství (phishing/spear phishing, vishing, pharming atd.), úloze Red Teamingu při zajišťování bezpečnosti, a legislativním požadavkům na Red Teaming kladeným. Mám za to, že diplomantovi se nepodařilo zcela bezezbytku provázat část faktickou (techniky) s částí legislativní (právní požadavky). Určitě by bylo vhodnější tyto dvě části práce lépe integrovat (např. uvést příklady, kdy a za jakých okolností může použitým konkrétních technik dojít při Red Teamingu k porušení zákona). V průběhu praktické části byla vytvořena platforma, umožňující řízení vishingových aktivit. Technickým garantem praktické části byl Daniel Hejda. Ten k praktické části uvedl, že v některých aspektech překonala očekávání, a budoucí využití aplikace se zdá být přínosné pro sociální inženýri i pentestery. Ocenil zejména možnost vkládání vlastních stromů otázek, celkovou jednoduchou použitelnost a uživatelskou přívětivost.
Student se v diplomové práci zaměřil na téma sociálního inženýrství, které považuji za velice zajímavé a aktuální. Za cíl práce si stanovil vytvoření aplikace na stavbu a zobrazování vektorů útoků pomocí metod sociálního inženýrství, a to včetně práce se smluvní dokumentací. Relativně komplexní oblast sociálního inženýrství přitom specifikoval na konkrétní techniku Vishing. Proč byla vybrána zrovna tato technika se ovšem čtenář z textu nedoví. Autor začíná teoretickou část srozumitelným a logicky strukturovaným výkladem o samotném konceptu sociálního inženýrství a nejpoužívanějších technikách. Poslední jmenované části by jistě prospěla trochu extenzivnější práce se statistickými daty, kdy by autor mohl ukázat, které taktiky jsou jak používané, jaká je jejich odhadovaná úspěšnost ad., a to zvláště v kontextu vytváření aplikace pro konkrétní techniku sociálního inženýrství. Zároveň bych podotknul, že idea, kterou autor popisuje v kapitole 1.2 (používání silných hesel a časté měnění), se může nevzácně stát kontraproduktivní, a nakonec vést ke zmiňovaným heslům na lístečcích pod monitory. Čeho si na autorově práci s textem velice cením, je jeho průběžné „informování“ čtenáře o smyslu dané části textu a provazování textu s komplexem tématu. Snad jediné místo, kde zůstal v tomto aspektu poněkud nenaplněný potenciál, je kapitola čtvrtá – Legislativa. Tato kapitola působí dojmem, že autorovi vzala mnoho sil, a ne vždy je patrné, jak se jednotlivé instituty mají k tématu vztahovat (např. Hack Back v kapitole 4.2.1). Navíc se v kapitole vyskytují i nesmyslné fragmenty, jako např. první věta kapitoly 4.2. Povšechně pak čtvrtá kapitola působí oproti zbytku práce hodně odtrženým dojmem a analýza i doporučení by mohly být propracovanější (např. doporučení v kontextu § 86 NOZ na str. 40 o informování nahrávané osoby může působit vyloženě kontraproduktivně a autor se zde mohl zaměřit i na rozsah pojmu soukromého života a soukromých prostor v daném kontextu). Praktická část je pak psaná velice přehledně a čtivě, přičemž nabízí jasný vhled do fungování aplikace, a to mj. i díky vhodné práci s obrázky. Je jenom škoda, že autor se v celé práci ani nezmínil o Social Engineer Toolkit, nástroji fungujícím na velice podobném principu a úzce tak s tématem souvisejícím. Po materiální stránce se ovšem, i navzdory výše zmíněným výtkám, jedná o práci kvalitní a čtivou, uspokojující stanovené cíle. Po formální stránce bych měl jenom drobnou připomínku k seskupování citací na konec odstavců či přímo podkapitol, což značně znesnadňuje dohledatelnost citovaných informací.
eVSKP id 151249