Kódaláírás módszerek és rendszerek biztonságának vizsgálata

Topics: PKI, Cryptography

Programok hitelesítésének és integritásvédelmének elterjedt módszere a digitális aláírás. Az elmélet szerint egy aláírt program telepítése vagy futattása előtt a digitális aláírás ellenőrzésre kerül, és a program csak akkor települ vagy fut, ha az aláírás helyes és érvényes. A gyakorlatban azonban az aláírás ellenőrzése nem triviális, komplex folyamat, ami számos buktatót, kiskaput, és hibalehetőséget rejt magában, amit a támadók potenciálisan kihasználhatnak aláírt rosszindulatú programok terjesztésére.

A hallgató feladata:
- a kódaláírás elveinek és gyakorlati módszereinek megértése
- különböző kódaláíró rendszerek/módszerek megismerése (pl. Windows code signing, signed JS scripts, ...)
- gyengeségek, támadási lehetőségek azonosítása, aláírásellenőrzési hibák előidézése, kódaláírás ellenőrző rendszerek kijátszása
- aláírt malware-ek elemzése
- esetleg jelenleg is használt kompromittált kulcsok, hamis tanúsítványok azonosítása

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab)

Google Certificate Transparency

Topics: PKI, Cryptography

Google's Certificate Transparency project fixes several structural flaws in the TLS/SSL certificate system, which is the main cryptographic system that underlies all HTTPS connections (for details see www.certificate-transparency.org/). In particular, Certificate Transparency makes it possible to detect TLS/SSL certificates that have been mistakenly issued by or maliciously acquired from a certificate authority. This is achieved by introducing new functional components into the traditional certificate system that provide supplemental monitoring and auditing services. In addition, Certificate Transparency is an open and public framework, therefore, anyone can build or access its basic components.

The task of the student is to study the Certificate Transparency framework, understand the operation of its basic components, and based on the open specifications and the available related open source projects, build a certificate log service in the CrySyS Lab. The student should also run and maintain the service for some time in order to get experience in operating such a service, and develop an interface between the certificate log and our ROSCO database (rosco.crysys.hu).

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab)

PKI for connected vehicles

Topics: PKI, Cars

A modern gépjárművek vezeték nélküli interfészen keresztül kommunikálnak egymással az IEEE 1609 (WAVE) szabvány protokolljait használva. Ez a szabvány az üzenetek hitelesítésére digitális aláírást használ. Ennek támogatására azonban egy PKI infrastruktúrára van szükség, amit a szabvány már nem specifikál részletesen. A hallgató feladata annak vizsgálata, hogy milyen követelményeket támaszt az IEEE 1609 szabvány a háttér PKI-re vonatkozóan, valamint egy alkalmas prototípus PKI rendszer létrehozása open source szoftverek segítségével. A projekt különösen aktuális, és a hallgatónak lehetősége lesz együttműködni olyan cégekkel, melyek vagy gépjármű kommunikációs rendszert fejlesztenek (CommSignia) vagy PKI infrastruktúrát működtetnek (Microsec).

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab)

ICS honeypot rendszer fejlesztése

Topics: ICS/SCADA, Honeypot

Kritikus infrastruktúráink alapját sokszor ipari automatizálási és folyamatirányítási (ICS/SCADA) rendszerek alkotják, melyek egyre nagyobb mértékben rendelkeznek külső hálózati kapcsolatokkal, esetleg Internet felőli eléréssel, ezért ki vannak téve a kibertér felől érkező támadásoknak. Egyelőre azonban ezek a támadások ritkák, és nincs elég tapasztalatunk a támadási módszereket és eszközöket illetően. Az ezzel kapcsolatos információgyűjtés egy lehetséges eszköze egy honeypot rendszer, mely kívülről valós ICS/SCADA rendszernek tűnik, ám valójában egy csapda, melyben megfigyelhető a támadó tevékenyésge.

Ebben a projektben, a hallgatók feladata egy ICS/SCADA honeypot rendszer tervezése, fejlesztése, tesztelése, és üzemeltetése, valamint a támadók viselkedésének megfigyelésére és elemzésére alkalmas eszközök azonosítása és integrálása a honeypot-ba. A honeypot rendszernek fontos eleme a realisztikusnak tűnő hálózati forgalom generálása, ehhez valós ipari eszközök (pl. PLC-k) állnak rendelkezésre a CrySyS laborban, melyeket a honeypot implementációba lehet integrálni. A projektben fontos követelmény továbbá a honeypot rendszer könnyű konfigurálhatósága és a különböző igényeknek megfelelő gyors átalakítás lehetőségének biztosítása. A feladat egy futó projekt része, melyet a Nemzetközi Atomenergia Ügynökség támogat.

Maximum number of students: 2-3 students

Contact: Levente Buttyán (CrySyS Lab), Tamás Holczer (CrySyS Lab)

PLC csapdagép fejlesztés

Topics: ICS/SCADA, Honeypot

Kritikus infrastruktúráink alapját sokszor ipari automatizálási és folyamatirányítási (ICS/SCADA) rendszerek alkotják, melyek egyre nagyobb mértékben rendelkeznek külső hálózati kapcsolatokkal, esetleg Internet felőli eléréssel, ezért ki vannak téve a kibertér felől érkező támadásoknak. Fontos tehát az ICS/SCADA rendszerek biztonsága, ám az ismert biztonsági megoldások nem mindig alkalmazhatók a speciális ICS/SCADA környezetben, ahol a rendelkezésreállás és a megbízhatóság elsődleges szempontok.

Ez a feladat olyan csapdagépek fejlesztését tűzi ki célul, amikről egy támadó azt hiheti, hogy valódi ipari eszközök, de valójában a támadó viselkedésének megfigyelésére szolgálnak. A feladathoz felhasználhatók azok a különböző ipari eszközök, amik a laborban rendelkezésre állnak (például Siemens S7 400-as 1200-as LOGO!8-as stb eszközök).

Maximum number of students: 1 student

Contact: Tamás Holczer (CrySyS Lab)

Forensics eljárások támogatása ICS/SCADA rendszerekben

Topics: Forensics, ICS/SCADA

Kritikus infrastruktúráink alapját sokszor ipari automatizálási és folyamatirányítási (ICS/SCADA) rendszerek alkotják, melyek egyre nagyobb mértékben rendelkeznek külső hálózati kapcsolatokkal, esetleg Internet felőli eléréssel, ezért ki vannak téve a kibertér felől érkező támadásoknak. A legerősebb védelmek esetén is előfordulhat sikeres támadás. Ilyen esetekben fontos a történtek részletes kivizsgálása. A nyomozást jelentősen tudja javítani, ha az elemzőknek nem kell minden rögzített adatot átfésülni, mivel ez jelentős mennyiségű adatot és komoly időbefektetést igényel.
A projekt szorosan kapcsolódik ipari partnerünk, a MOL érdeklődési területeihez, és lehetőséget biztosít a MOL kiberbiztonsági szakértőivel történő együttműködésre.

A hallgató feladatai:
- hálózati forgalom rögzítésének kidolgozása ICS/SCADA környezetben
- forgalom sajátosságainak azonosítása
- hatékony tömörítési és elemzési eljárások kidolgozása

Maximum number of students: 1 student

Contact: András Gazdag (CrySyS Lab)

Grafikus támadáselemző szoftver fejlesztése

Topics: Forensics

Egyre több számítógépes hálózatot ér támadás, amire válaszul nem elég a megelőzésre koncentrálni, hanem fel kell készülni az esetleges támadások utólagos elemzésére is. Ezt támogatandó érdemes a teljes hálózati forgalmat lementeni, és egy ideig tárolni.

A feladat egy olyan eszköz fejlesztése, ami az utólagos elemzést támogatja speciális környezetben is. A fejlesztés során a saját eszközök mellett más kész eszközök (pl Moloch, Wireshark LuaAPI) felhasználhatók, kiegészítendők. Az elkészülő eszközök segíthetik az érdekes csomagok kikeresését, vagy akár a forgalom visszajátszását is.

Maximum number of students: 1 student

Contact: Tamás Holczer (CrySyS Lab), András Gazdag (CrySyS Lab)

Járművek infotainment rendszerének sérülékenység vizsgálata

Topics: Cars, Pentest

A napjainkban eladásra kerülő gépjárművek információs és szórakoztató része egyre bonyolultabb. Az infotainment rendszerek bonyolultsága már elérte egy személyi számítógép szintjét, sőt, sok szempontból már személyi számítógépként viselkednek (hasonló hardvert használnak, operációs rendszert futtatnak stb.). Ez a nagy bonyolultság persze a hibák előfordulásának a valószínűségét is növeli.

A feladat a terjedőben lévő többek által használt (pl Bosch, BMW) GENIVI platform biztonsági tesztelése hagyományos és testreszabott pentest eszközökkel. Siker esetén a kidolgozott módszerek és eszközök akár átvihetők más még nyilvánosan nem elérhető Bosch megoldásokra is.

Maximum number of students: 1 student

Contact: Tamás Holczer (CrySyS Lab)

Jármű műszerfal fejlesztése mobilra

Topics: Forensics, Cars, Mobile

A járművek egyes vezérlő elemei (ECU) egymással egy decentralizált hálózaton keresztül kommunikálnak (CAN). Az autó paraméterei, és a vezető tájékoztatáshoz használt minden információ megszerezhető erről a hálózatról. Egy hálózati megfigyelésre alkalmas eszköz segítségével lehetőség van a műszerek általá mért adatokat más formában is megjeleníteni, sőt kiegészíteni olyan plusz információkkal, amelyek a hagyományos műszerfalakon nem szerepelnek.

A hallgató feladatai:
- a járművekben használt kommunikációs technológia megismerése
- a CAN hálózat lehallgatásához használható eszköz megismerése és fejlesztése
- a kinyert információ megjelenítése egy mobil alkalmazásban (iOS és/vagy Android)

Maximum number of students: 2 students

Contact: András Gazdag (CrySyS Lab)

Járművek mozgásának nyomkövetése

Topics: Forensics, Cars, Mobile

A járművek minden vezérlő egysége belső hálózaton (CAN) keresztül kommunikál. Ezen a hálózaton található meg a legtöbb vezérlőjel, és a szenzorok általál mért paraméterek értéke is. Ha egy lehallgató képes folyamatosan megfigyelni az autó mozgásához kapcsolodó paramétereket, akkor képes lehet az autó nyomkövetésére is.

A hallgató feladatai:
- a járművekben használt kommunikációs technológia megismerése
- a CAN hálózat lehallgatásához használható eszköz megismerése és fejlesztése
- a kinyert adatok értelmezése a szükséges szintig
- az adatok alapján a jármű mozgásának a rekonstrukciója

Maximum number of students: 1-2 students

Contact: András Gazdag (CrySyS Lab)

Személyes adatok visszafejtése

Topics: Privacy, Anonimizacio

Számos cég/szervezet/kormány oszt meg egymással adatokat, amelyek vagy "anonimizáltak" vagy aggregált (statisztikai) adatok. Sajnos az adatok megfelelő anonimizációja nehéz, és gyakran anonimnak vélt adatokból konkrét személyek adatai visszafejthetők [1] [2]. Hasonlóan, aggregált adatokból is visszafejthetők személyes adatok, ha túl sok aggregált adatot adunk ki, vagy az adat jellege lehetővé teszi konkrét személyek adatainak visszafejtését [3] A kérdés gyakorlati fontosságát a közelgő általános európai adatvédelmi rendelet (GDPR) adja, ami előírja az adatok megfelelő anonimizációját.

A hallgató feladata támadások tervezése és implementációja amelyekkel anonimizált illetve aggregált adatok személyes jellegét lehet tesztelni (vagyis, hogy konkrét személyek adatai nem visszafejthetők belőlük, és így többé nem minősülnek-e személyes adatoknak).
Elvárás: programozási hajlandóság
[1] bits.blogs.nytimes.com/2010/03/12/netflix-cancels-contest-plans-and-settles-suit/
[2] blog.crysys.hu/2017/07/628/
[3] blog.crysys.hu/2017/08/gdpr2/

Maximum number of students: 2 students

Contact: Gergely Ács (CrySyS Lab)

Érzékeny adatok inferenciája

Topics: Privacy, Anonimizacio

Napjainkban sok felhasználó osztja meg a személyes adatát harmadik féllel (cég/kormány/szervezetek), anélkül, hogy tudnák érzékeny adatot osztanak meg. Honnan tudná valaki, hogy a saját áramfogyasztásából kitalálható a vallása, vagy a lakóhelyéből esetleg a pénzügyi helyzete esetleg rassza? Az ilyen "rejtett" információk felfedése diszkriminációra adhat okot.

A hallgató feladata bizonyos adat (pl. fotók, elektromos fogyasztás, GPS adatok, stb.) érzékeny jellegének automatikus felfedése publikusan elérhető tudásbázist felhasználva (pl. Wikipedia); annak mérése, hogy a megosztandó adat szemantikailag mennyire hasonló érzékeny információk csoportjaihoz (pl. vallás, szexuális beállítottság, pénzügyi adatok, egészségügyi adatok, stb.)
Elvárás: programozási hajlandóság

Maximum number of students: 1 student

Contact: Gergely Ács (CrySyS Lab)

CAN mintafelismeres Long-Short Term Memory Neural Networks-szel

Topics: Privacy, Machine Learning, Cars

A neurális hálózatok (artifical neural networks) mára már az egyik legszélesebb körben alkalmazott gépi tanulási módszernek számít. A már-már klasszikusnak számító arcfelismerés, képfelismerés, orvosi diagnózisok (és még sok egyéb) mellett nap mint nap új alkalmazási területeit ismerhetjük meg. Rengeteg fajtája ismert, ezek közül egyik az LSTM hálózatok (long-short term memory), melyek képesek meghatározott időintervallumon adatokat megjegyezni. Arra lettek tervezve, hogy egy adatsor bizonyos mintáit fel tudják ismerni (pl: kézírás, beszéd). Tegyük fel, hogy képek sorozatából szeretnénk meghatározni, hogy hol készült/ játszódik (rövid video). Egy emlékezet nélküli algoritmus, ha az egyik képen felismer egy amerikai zászlót, akkor megmondja, hogy Amerikában vagyunk, ha a következőn éppen sushit esznek, akkor arra következtet, hogy Japánban és így tovább. Az LSTM hálózatok az ilyen jellegű kaotikus viselkedést hivatottak elkerülni. A feladatban ezeket a neurális hálókat kell alkalmazni autók CAN adatain (ld: en.wikipedia.org/wiki/CAN_bus). A feladat célja, hogy ezekből az adatokbol (mint idősor) meghatározzuk, hogy ki vezette az autót a lehetséges vezetők közül. Teszt és tanítási halmaz a hallgató rendelkezésére áll.

A hallgató feladatai:
- az LSTM hálózatok megismerése és megértése
- az algoritmus alkalmazása autók CAN bus idősorain
- az algoritmus implementálása

Maximum number of students: 1 student

Contact: Szilvia Lestyán (CrySyS Lab)

Interdependent privacy

Topics: Privacy, Economics

Privacy concerns arise naturally along with sharing or releasing personal data. Due to logical connections among individuals (e.g., online social networks) and/or correlation between individuals' data stemming from similar personal (e.g., DNA) or behavioral traits (e.g., individual mobility), privacy breaches and data holder malpractice could potentially jeopardize the privacy of many who may not even be aware of the act of sharing and its impact; not to mention consenting to the sharing. We refer to this phenomenon as interdependent privacy [1].

The prospective student will first briefly get to know the technical, economic and legal background of the topic. Building on that knowledge the student will design and evaluate a simple game-theoretic model capturing the essence of interdependent privacy.
Required skills: analytic thinking, good command of English
Preferred skills: basic knowledge of game theory
[1] Biczók, Gergely, and Pern Hui Chia. "Interdependent privacy: Let me share your data." International Conference on Financial Cryptography and Data Security. Springer, Berlin, Heidelberg, 2013.

Maximum number of students: 1 student

Contact: Gergely Biczók (CrySyS Lab)

Incentives in cybersecurity

Topics: Economics, Risk management

As evidenced in the last 10-15 years, cybersecurity is not a purely technical discipline. Decision-makers, whether sitting at security providers (IT companies), security demanders (everyone using IT) or the security industry, are mostly driven by economic incentives. Understanding these incentives are vital for designing systems that are secure in real-life scenarios [1].

The prospective student will identify a cybersecurity economics problem in the domain of risk management, cyber-warfare or sharing security-related information. The student will use elements of game theory and other domain-specific techniques and software tools to transform the problem into a model and to propose a solution.
Required skills: analytic thinking, good command of English
Preferred skills: basic knowledge of game theory, basic programming skills (e.g., python, matlab, NetLogo)
[1] Anderson, Ross, and Moore, Tyler. "The Economics of Information Security." Science 314.5799 (2006): 610-613.

Maximum number of students: 2 students

Contact: Gergely Biczók (CrySyS Lab)

Cross-platform privacy leaks in apps

Topics: Privacy

There are a number of popular platforms available for third-party app development, such as Android, iOS, Facebook, Google Drive and Dropbox. Each platform has its own access control mechanisms and its corresponding privacy issues. While each one is interesting in its own right, a sneaky and data-hungry application provider can potentially combine the personal information gathered by multiple apps over different platforms in order to compile a detailed user profile, without consent from or even knowledge by the user themselves. Furthermore, single sign-on technologies by Facebook or Google may escalate the problem.

The prospective student will first briefly get to know the access control mechanisms of popular app platforms, and map out the potential for sneaky cross-platform data collection. Then, the student will gather permission request data of apps on different platforms, and attempt to find evidence of cross-platform privacy leaks and estimate its likelihood and significance.
Required skills: good command of English
Preferred skills: basic programming skills (e.g., python), familiarity with app platforms
[1] Chia, Pern Hui, Yusuke Yamamoto, and N. Asokan. " Is this app safe?: a large scale study on application permissions and risk signals." Proceedings of the 21st international conference on World Wide Web. ACM, 2012.

Maximum number of students: 2 students

Contact: Gergely Biczók (CrySyS Lab)

IoT botnetek elemzése

Topics: IoT, Malware

Az elmúlt években világossá vált, hogy az IoT eszközök biztonsági réseit kihasználva a támadók világméretű, összehangolt támadásokat is képesek indítani. 2016-ban nagy port kavart a Mirai botnet, amely elosztott túlterheléses támadást (DDoS) hajtott végre, majd nem sokkal később felfedezték a Persirai, valamint az Amnesia botneteket. A botnetekbe kényszerített eszközöket a támadók távolról, az Interneten keresztül irányítják, a fertőzött eszközök a parancsokra reagálva hajtják végre a támadást.

A hallgató feladata:
- Megismerni az IoT eszközökre készült rosszindulatú kódokat, kiemelt figyelmet fordítva a botnetekre
- Botnetekhez köthető rosszindulatú kódok gyűjtése
- Kiválasztott, jól definiált támadás detektálása az összegyűjtött mintákban

Maximum number of students: 1 student

Contact: Dorottya Papp (CrySyS Lab)

Android malware támadások és a védekezés helyzete

Topics: Malware

A kártékony kódok jelenléte ma már a mobiltelefonokon sem ritkaság. Az antivírus cégek és programok igyekeznek ezeket felismerni, de ki tudja, milyen minőségben látják el a feladatukat. Sok esetben elképzelhető, hogy a vírusokat nem tartalmukról, hanem egyszerűen hash lenyomatukról azonosítják. Az androidos programok digitálisan alá vannak írva, de nem maga az APK fájl, hanem a benne levő fájlok. Ennek következtében az APK hash lenyomata manipulálható egyszerű módszerekkel úgy, hogy a digitális aláírás érvényes marad. A hallgató feladata az androdios kártékony kódok kapcsán előforduló, a fentiekhez hasonló apróbb-nagyobb vizsgálatok elvégzése. Irodalomkutatás: mik a trendek a területen. Konkrét minták vizsgálata: Mintaadatbázisainkban levő kártékony alkalmazások alátámasztják-e az irodalmi trendeket? Lehet-e könnyen megváltoztatni androidos kártékony programokat, hogy utána az antivirus programok már nem ismerik fel kártékonynak? A pontosabb feladatok és elvégzendő munka a hallgatóval közösen kerül kijelölésre.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Malware adattár fejlesztése és kezelése

Topics: Malware

Malware adattárunkban 100 terabyte-nál is több kártékony kódmintát tárolunk. Gyakran felmerül, hogy ebben a nagy adatmennyiségben kellene elosztott módon keresni. A keresésre elkészült már egy yara keresőre épült elosztott keresés, de ennek felhasználói felülete hagyott kivetni valókat, nehezen használható, lassú. A hallgató feladata megismerni a malware adattár felépítését, megvizsgálni működését, esetleg statiszikákat csinálni a benne tárolt tartalomról. Gyorsítani és felhasználóbaráttá tenni a kereséseket. Természetesen a hallgató első feladata megismerni a rendszer felépítését és megbarátkozni a környezettel és a rendszer használatával. A pontosabb elvégzendő feladatok és határidők a hallgatóval közösen kerülnek megbeszélésre.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Obfuszkált malware minták automatizált deobfuszkációja

Topics: Malware

A kártékony kódokat nagy mennyiségük miatt főként automatizált elemzésekkel kezelik az antivirus cégek. A kártékony kódok készétői pedig természetesen mindent megtesznek, hogy ha lehet, ne lehessen automatikus elemzéssel rájönni, hogy mit is csinál a programjuk, sőt, lehetőleg még kézi elemzést se lehessen könnyen végezni. Ez igaz lehet hagyományos malware támadásokra (botnetek, ransomware), de igaz lehet célzott támadásokra is. Az analízis megnehezítésére több eszköz van, ezek egyike a kódobfuszkáció, packelés és más módszerek. Számos ismert obfuszkációs technika létezik, de kifejlesztettek már számos módszert arra is, hogy az így védett kódot unpackeljük, deobfuszkáljuk, vagy más módszerekkel elemezzük. A hallgató elsődleges feladata a téma megismerése, a jelenleg használt védelmi és támadási technikák vizsgálata, az irodalom megismerése. A pontosabb feladatokat a hallgatóval szóban beszéljük meg, de ilyen feladatok lehetnek: Automatizált deobfuszkáció megvalósítás és integrálása malware adatbázis rendszerünkbe, nagy malware adatbázisunk alapján az obfuszkációra vonatkozó statisztikák készítése, ismeretlen obfuszkációval védett programok keresése, azokra új automatizált deobfuszkációs megoldás tervezése, de akár a deobfuszkáció elméleti vizsgálata is.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Whitelisting alapú végpontvédelem

Topics: Malware

Számítógépek kártékony kód elleni védelménél whitelisting alkamlazása esetén a hagyományos hozzáállást megfordítjuk. Tipikus PC környezetben minden alkalmazás lefuthat, csak az nem, amelyet kártékonynak gondolunk pl. antivirus adatbázisok alapján. Whitelisting esetében pont fordítva történik, nem futhat semmilyen alkalmazás a gépen, csak azok, amelyekről úgy gondoljuk, hogy nem kártékonyak, információnk van róluk, és engedélyezettek. A whitelisting főleg vállalati környezetben hatékony, ahol ritkán telepítenek új szoftvereket a gépekre. A hallgató feladata a whitelisting megoldások jelenlegi helyzetének megvizsgálása. Milyen főbb megoldások vannak? Vannak-e ingyenes megoldások? Mik a jelenlegi kihívások a whitelisting területén, könnyű-e megkerülni a megoldást, esetleg mik a fő kényelmetlenségek? Hogyan lehetne javítani a megoldások működésén új gondolatok alapján? Feltételezésünk, hogy a whitelisting megoldások működését segíthetik olyan megoldásaink felhasználása, mint a CrySyS Lab ROSCO rendszere, vagy éppen ismert kártékony kódokat tartalmazó 100 TB fölötti malware adatbázisa. A témához kapcsolódóan van ipari partnere a laboratóriumnak, amely cég alkalmaz whitelisting terméket és így konkrét tapasztalatokkal és kérdésekkel tud segíteni ismert piaci termékkel kapcsolatban is. Az elvégzendő pontosabb feladatok és határidők hallgatóval szóban kerülnek egyeztetésre.
A projekt szorosan kapcsolódik ipari partnerünk, a MOL érdeklődési területeihez, és lehetőséget biztosít a MOL kiberbiztonsági szakértőivel történő együttműködésre.

Maximum number of students: 1 student

Contact: Boldizsár Bencsáth (CrySyS Lab)

Lateral Movement Detection in Corporate Internal Networks

Topics: Intrusion detection, Honeypot, Targeted attacks

The scope of the project is to enhance the existing threat detection capabilities of a real corporate internal network. It would focus on to define, implement and integrate detection techniques such as sinkhole network, honey net and/or deception. During the exercise the student(s) would work together with Cyber Defence Experts (Attack Monitoring, Incident Investigation, Incident Response) to come up with a practical solution on this topic.
A projekt szorosan kapcsolódik ipari partnerünk, a MOL érdeklődési területeihez, és lehetőséget biztosít a MOL kiberbiztonsági szakértőivel történő együttműködésre.

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab), External supervisor (MOL)

Threat Detection utilizing Packet Capture Infrastructure

Topics: Intrusion detection, Network monitoring, SIEM

The scope of this topic is to engineer a scalable network packet based detection system for a corporate network perimeter. The goal is to build a Snort and OpenAppID based detection solution on the top of an existing packet capture infrastructure and integrate the alerting mechanisms with a SIEM system. The student(s) will work with Cyber Defence Engineers who provide consultancy during the planning and implementation phases.
A projekt szorosan kapcsolódik ipari partnerünk, a MOL érdeklődési területeihez, és lehetőséget biztosít a MOL kiberbiztonsági szakértőivel történő együttműködésre.

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab), External supervisor (MOL)