ZAUJEC, A. Bezpečnostní analýza vybraného SOHO síťového úložiště [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Veľmi chválim aktívny prístup študenta, jeho samostatnosť a štúdium problematiky. Študent dokázal naštudovať, navrhnúť a vyriešiť problematiku veľmi dobre. Študent taktiež našiel viacero zraniteľností, reflektoval odporúčania školiteľa a celkovo sa s ním pracovalo príjemne.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cieľom práce bol bezpečnostný audit najdostupnejších a najpopulárnejších sieťových diskov pre domácnosti a malé podniky na českom trhu. Práca bola nadpriemerne náročná a výsledky hodnotím výborne. Výstupom z tejto práce je zároveň nahlásená závažná zraniteľnosť výrobcovi, ktorá dostala aj identifikátor CVE. Iné nájdené zraniteľnosti boli tiež nahlásené výrobcom, ale neklasifikovali sa ako CVE. | ||
| Práce s literaturou | Študent si preštudoval zdroje, ktoré mu boli odporúčané. Študent urobil pokrok v osvojovaní si literatúry a vedomostí aktívne a samostatne. Ďalšie potrebné zdroje si našiel sám, vrátane článkov z konferencií a časopisov. | ||
| Aktivita během řešení, konzultace, komunikace | Študent pracoval aktívne, intenzívne, samostatne a nepretržite. Zúčastňoval sa konzultácií, ktoré prebiehali pravidelne, hlavne online a bol aktívny. Základná implementácia bola ukončená vo februári. Následne sa študent snažil zjednodušiť spôsob písania skriptov pre zariadenie. | ||
| Aktivita při dokončování | Počas dokončovania práce študent pravidelne konzultoval. Práca bola dokončená približne 3 týždne pred termínom. Kompletný text bol predložený vedúcemu práce na posúdenie koncom apríla. Text bol v dobrom stave. Bolo odporúčané upraviť niektoré drobné detaily (gramatika, typografia, spresnenie a doplnenie niektorých faktov). Celkovo bola práca dokončená načas. | ||
| Publikační činnost, ocenění | Žiadna publikačná činnosť nebola. |
Práce popisuje velmi kvalitně provedenou bezpečnostní analýzu dvou NAS zařízení. Jedná se o kreativní práci, kdy student použil širokou škálu dostupných nástrojů a praktik a nalezl velké množství bad practices a menších zranitelností (např. account takeover). Nejvýznamnějším výsledkem je nalezení jedné kritické zranitelnosti. Výsledky práce mají velký praktický dopad. Vzhledem k dopadu práce a kvalitě zpracování ji doporučuji komisi jako vhodného kandidáta na některou z udělovaných cen.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Obtížnost zadání se odvíjí od uchopení bezpečnostní analýzy. V tomto případě byla provedená analýza velmi důkladná a pokrývala širokou škálu oblastí of HW zranitelností, přes reverse engineering až po analýzu SW. Považuji ji tak za obtížnější. | ||
| Rozsah splnění požadavků zadání | Práce splnila všechny body zadání ve výborné kvalitě. Nad rámec práce došlo ke komunikaci s výrobcem v kontextu zodpovědného nahlášení nalezených zranitelností. | ||
| Rozsah technické zprávy | Rozsah technické zprávy odpovídá požadavkům na diplomovou práci. | ||
| Prezentační úroveň technické zprávy | 95 | Logická struktura práce je na výborné úrovni. Autor vhodným způsobem představuje řešenou problematiku, představuje použité technologie a ve stravitelné formě prezentuje nejvýznamnější výsledky. Snad jen o trochu více prostoru mohlo být v kap 4.6.2 věnováno popisu neúspěšných útoků a postupů, které nevedly k cíli. | |
| Formální úprava technické zprávy | 95 | Jazyková a stylistická stránka práce i úroveň typografie je na výborné úrovni. | |
| Práce s literaturou | 85 | Odkazované zdroje jsou relevantní tématu a vhodně vybrány. Mohlo by jich být více, nicméně vzhledem ke specifičnosti tématu jsou dostatečné. Obdobné analýzy totiž nejsou zveřejněny a použité postupy jsou obecné a dostatečně ocitovány. | |
| Realizační výstup | 95 | Realizačním výstupem je provedená bezpečnostní analýza. Ta je komplexně pojata a zahrnuje širokou oblast od analýzy HW, přes analýzu síťové komunikace až po analýzy SW vč. reverzního inženýrství. Vše je velmi dobře popsáno, provedeno dle existujících best practices. Výsledkem je množství nalezených zranitelností včetně jedné kritické, která byla řešena s výrobcem a dostala přiděleno CVE číslo. Důvodem odkladu zveřejnění práce je vytvoření dostatečného prostoru pro výrobce, aby mohl implementovat opravu. Tato zranitelnost má velký dopad i na typově odlišná zařízení daného výrobce. | |
| Využitelnost výsledků | Výsledky práce popisují existující zranitelnosti, jejich nahlášení vyústilo v opravy u výrobce. Odhaduje se, že daná zranitelnost mohla mít dopad až na 12 tisíc zařízení. |
eVSKP id 148511