DO, H. Implementace rubber duckies na běžně dostupných USB zařízeních a jejich praktický test [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Veľmi chválim aktívny prístup študenta, jeho samostatnosť a štúdium problematiky. Študent dokázal naštudovať, navrhnúť a vyriešiť problematiku veľmi dobre. Študent taktiež predviedol niekoľko experimentov, reflektoval odporúčania školiteľa a celkovo sa s ním pracovalo príjemne.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cieľom práce bolo navrhnúť a implementovať tzv. badusb na platforme Raspberry Pi pico. Náročnosť práce hodnotím ako nadpriemernú. Náročnosť spočívala vo vytvorení software, ktorý vie emulovať iné usb zariadenia po pripojení k PC. Software sa dá ovládať bezdrôtovo pomocou študentom naimplementovaného modulu, ktorý nebol vyžadovaný zadaním. Dosiahnuté výsledky sú podľa môjho názoru vynikajúce. S prihliadnutím na mierne slabšiu typografiu práce, študent odviedol výbornú prácu. | ||
| Práce s literaturou | Študent si preštudoval zdroje, ktoré mu boli odporučené. Študent urobil pokrok v osvojovaní si literatúry a vedomostí aktívne a samostatne. Ďalšie potrebné zdroje si našiel sám, vrátane článkov z konferencií a časopisov. | ||
| Aktivita během řešení, konzultace, komunikace | Študent pracoval aktívne, intenzívne, samostatne a nepretržite. Zúčastňoval sa konzultácií, ktoré prebiehali pravidelne, hlavne online a bol aktívny. Základná implementácia bola ukončená vo februári. Následne sa študent snažil zjednodušiť spôsob písania skriptov pre zariadenie. | ||
| Aktivita při dokončování | Počas dokončovania práce študent pravidelne konzultoval. Práca bola dokončená približne 3 týždne pred termínom. Kompletný text bol predložený vedúcemu práce na posúdenie koncom apríla. Text bol v dobrom stave. Bolo odporúčané upraviť niektoré drobné detaily (gramatika, typografia, spresnenie a doplnenie niektorých faktov). Celkovo bola práca dokončená načas. | ||
| Publikační činnost, ocenění | Žiadna publikačná činnosť nebola. |
Študent v bakalárskej práci analyzuje útoky typu BadUSB, ktoré pomocou vytvoreného zariadenia úspešne realizuje. Kladne hodnotím fakt, že zariadenie umožňuje rôzne prístupy k prevedeniu útokov a až na malé nedostatky i úroveň technickej dokumentácie. Vytvorené zariadenie má v určitých podmienkach možnosť prekonať komerčné ochranné riešenia.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Pre úspešné splnenie zadania sa musel študent podrobne zoznámiť s rozhraním USB a útokmi typu BadUSB a RubberDucky. Následne bolo potrebné vytvoriť zariadenie pomocou platformy Raspberry Pico, ktoré umožňuje dané útoky vykonávať a zároveň sa bude správať ako virtuálny USB Hub. V závere bolo nutné vyhodnotiť efektivitu útokov proti možným ochranným mechanizmom na rôznych platformách. | ||
| Rozsah splnění požadavků zadání | Zadanie bolo splnené vo všetkých bodoch. V rámci práce študent popisuje rozhranie USB, následne rozoberá jeho zneužitie pre analyzované útoky. Na základe získaných znalostí v praktickej časti študent navrhuje komunikačný protokol zariadenia a kladne hodnotím i návrh vlastného jednoduchého jazyka pre skriptovanie a predpis útočných príkazov. Následne pri tvorbe nástroja nad rámec pôvodného zadania študent pridal rozhranie pre vzdialený prístup a komunikáciu so zariadením, ktoré obohacuje možnosti útočníka. Študent sa zoznámil s obrannými prístupmi voči analyzovaným útokom a vyhodnotil účinnosť implementovaného zariadenia na rôznych operačných systémoch. | ||
| Rozsah technické zprávy | Podľa aplikácie https://app.fit.vut.cz/normostrany vyvinutej pre fakultné využitie má práca 57 normostrán. | ||
| Prezentační úroveň technické zprávy | 90 | Text práce je napísaný zrozumiteľne a jednotlivé kapitoly na seba vhodne nadväzujú. V úvode práce študent popisuje rozhranie USB, jeho topológiu a hierarchiu zariadení. Následne sa zameriava na analýzu rôznych variánt útokov typu BadUSB a jeho útočný model. V rámci návrhu je kladený dôraz predovšetkým na návrh skriptovacieho jazyka a komunikačný protokol zariadenia. Podrobný popis realizácie nástroja, využité knižnice a UML diagramy tried sú poskytnuté v samostatnej kapitole. Kapitola 5 popisujúca implementáciu ale obsahuje i niektoré prvky, ktoré mali byť obsiahnuté už v návrhovej kapitole, napr. Figure 5.7. Kladne hodnotím rôzne prístupy k testovaniu zariadenia z pohľadu technických možností a ochranných mechanizmov. Kapitola 7 je ale rozsahovo krátka a mala byť integrovaná v rámci Kapitoly 8. | |
| Formální úprava technické zprávy | 85 | Práca je napísaná v anglickom jazyku. Po jazykovej stránke má práca vysokú úroveň a gramatické chyby obsahuje iba príležitostne. Práca by benefitovala z vyššej jednotnosti pri typografických prvkoch, napr. pri popise obrázkov či využitia medzier u citačných odkazov. Rozšírený abstrakt, Listing 4.1 a Listing 5.4 by sa dali upraviť tak, aby nepresahovali rozsah primárnej stránky a neboli tak nevhodne zalomené. Figure 3.1 obsahuje zdvojený popis diagramu. V práci sa vyskytuje nesprávne použitie typu úvodzoviek pre anglický text. | |
| Práce s literaturou | 85 | Rozsah a škála využitých zdrojov je v dostatočnom rozsahu. | |
| Realizační výstup | 95 | Zdrojové kódy sú prehľadne implementované, štruktúrované i komentované. Implementácia pokrýva realizáciu útokov, správu vytvoreného zariadenia a zabezpečenie behu služieb, i sadu útočných skriptov v navrhnutom jazyku. Funkčnosť implementovaného riešenia bola študentom prakticky predvedená. | |
| Využitelnost výsledků | Práca vychádza z existujúcich známych útokov. Analyzované útoky sú úspešne realizované vytvoreným zariadením a rozšírenie zadania formou vzdialeného prístupu a ovládania zariadenia umožňuje pri vhodných podmienkach prekonať i komerčné riešenia obrany. |
eVSKP id 147782