|
|
|
We are supervising semester and diploma projects on topics that are related to our research activity. Contact any member of the lab if you are a student and interested in one of the topics listed on our research page.
Az elmúlt időszakban több adathalász-támadás (phishing) is érte a magyarországi hitelintézetek ügyfeleit. A banki penetráció erősödésével párhuzamosan az ilyen jellegű próbálkozások gyors növekedésére kell számítani. E mellett megjelent a mobileszközök iránti kereslet. Pénzintézeti oldalon ez a csatorna is felhasználásra került a gyors, hatékony ügyfélkiszolgálás érdekében. De a hatékonyság milyen biztonsági kockázatokat rejt? A projekt célja megvizsgálni, hogy a social media eszközök miként jelennek meg a bankolási szolgáltatások között, valamint a mobil és internet banki szolgáltatásokat miként alkalmazza a hazai piac. Továbbá a banki szolgáltatások milyen mobil platformokat céloznak meg és az adott platformon implementált banki szolgáltatások milyen támadásnak vannak kitéve.
A Pénzügyi Szervezetek Állami Felügyelete álláspontja szerint a virtuális bankfiókban ugyanúgy kötelessége a pénzintézetnek az ügyfelet védeni, mint valóságos egységeiben. A projekt során számba kell venni mindazon szabályozási lépéseket az elektronikus pénzügyi szolgáltatásokkal kapcsolatban, amelyek a támadásoknak megfelelő kockázatarányos védelmet biztosítanak.
Külső konzulens: KPMG
Belső kontakt: Buttyán Levente (buttyan (at) crysys dot hu)
A közelmúltban több olyan kibertámadás is történt amiben a támadók hamis publikus kulcs tanúsítványt használtak az áldozat megtévesztésére (ezek közül az egyik legérdekesebb talán a Flame malware, mely Windows Update proxynak adta ki magát, és a hamis tanúsítvány amit használt, érvényes Microsoft tanusítványnak tűnt). A hamis tanúsítványok problémája várhatóan csak súlyosodik, mivel a Windows újabb verzióin már csak aláírt kódot lehet figyelmeztetés nélkül telepíteni, s ezért a malware készítők is kénytelenek lesznek aláírt formában terjeszteni rosszindulatú programjaikat, az aláírás ellenőrzéséhez pedig tanúsítványra van szükség, ami lehet hamisított. Ezért többen elkezdet a hamis tanúsítványok detektálásával foglalkozni, pl:
http://www.certificate-transparency.org/
https://www.eff.org/observatory
http://notary.icsi.berkeley.edu/
A projekt egyik célja megismerni ezeket az új módszereket. A projekt másik célja egy gépi tanulásra épülő hamis tanúsítvány detektáló rendszer megtervezése és megvalósítása. További cél lehet a tanúsítvány információk felhasználó barát vizualizációja, a tanúsítvány elfogadásának vagy elutasításának megkönnyítése érdekében.
Konzulens: Dr. Buttyán Levente (buttyan (at) crysys dot hu)
A vállalatokat rengeteg támadás éri az Interneten. A támadásokat ellen különböző eszközökkel lehet védekezni, amelyek működésük során hatalmas mennyiségű esemény log-ot generálnak. Az informatikai biztonsági védelem egyik sarokköve ezen log-ok megbízható elemzése és az elemzésen alapuló hatékony védekezés. Az ezt végző rendszereket angolul security
information and event management (SIEM) rendszereknek nevezik.
A labor során a hallgató egy nagyvállalati SIEM rendszert térképez fel, megérti a komplex rendszer működését és összegzi a rendszer képességeinek limitációit. A megszerzett tapasztalatok alapján a labor célja olyan speciális szabályok tervezése, amelyek felvértezik a SIEM rendszert célzott és nem ismert támadások detektálására.
A munkavégzés helye céges partnerünk irodája. Partnerünk piacvezető a hálózati biztonság területén.
A munkához a hallgatónak hasznos a Boole algebra ismerete, előny az alap SQL tudás (pl. adatbázisok óra). A támadások előkészítésénél a bevett tool-okat alkalmazzuk (Backtrack, VMWare), így azok ismerete is előnyt jelent.
Külsõ konzulens: Csörgő Zoltán (HP)
Belsõ konzulens: Dr. Félegyházi Márk
Az egyre elterjedtebb biztonsági szoftverek dacára a hálózatok fenyegetettsége folyamatosan nő. Az elmúlt időszak nagy port felvert célzott támadásai azt bizonyították, hogy a tradicionális mődszerek (tűzfal, IDS, AV szoftver) nem képesek megakadályozni a célzott támadásokat és hatékonyan detektálni azokat. A világ vezető biztonsági cégei és számos startup cég is alternatív módszerekkel kísérletezik. Laborunk az elmúlt időszakban részt vett néhány világszinten ismert malware támadás elemzésében. Célunk, hogy ezekre a támadásokra megfelelő választ adjunk.
A projekt keretében a hallgató bekapcsolódhat a laborban folyó támadás monitorozó és incidenskezelő megoldás kifejlesztésébe. Az önálló labor célja, hogy a hallgató megismerje a hálózati monitorozásra jelenleg rendelkezésre álló honeypot technikákat és más védekezési eszközöket, majd a laborban egy kis kísérleti hálózatot állítson össze belőlük. A munkát végezheti több hallgató csapatban.
Konzulens: Dr. Félegyházi Márk
A webes domen nevek az informació elérés alapjat jelentik (pl: google.com). A domen nevek értékét a hozzájuk érkező forgalom jelentösen befolyásolja. Ezt az ügyeskedök is felismerték és mára elterjedté vált a hasonló domen nevek regisztraciója, az un. typosquatting. A hallgató segitségével megvizsgáljuk, hogy az újonnan regisztrált domenek között mennyire van jelen a typosquatting.
Ajánlott szaktudás: szkript programozási ismeretek (Python, bash, Perl) vagy nagy lelkesedés, angol nyelvtudás
Konzulens: Dr. Félegyházi Márk
Anonimizált közösségi hálózatokhoz többféleképpen is hozzá lehet jutni, például egy online szolgáltatás (mint a Facebook) kiadhat anonimizált kapcsolati adatokat kutatási célból. Vagy egy rosszindulatú fél több helyszínt megfigyelve (pl. Bluetooth önhirdetések), a megjelenő eszközök jelenlétét naplózva is képes lehet névtelen kapcsolati hálózatot építeni. Azonban ezek a legtöbb esetben csak névlegesen anonimek: ma már több olyan algoritmust ismerünk, amelyek képesek felfedni a felhasználók valós identitását egy publikus közösségi hálózat segítségével. A hallgató feladata ilyen de-anonimizációs algoritmusok vizsgálata -- a pontos feladat meghatározása személyes egyeztetés útján történik.
Konzulens: Gulyás Gábor György (gulyas (at) crysys dot hu)
Kezdetben a közösségi hálózatok egy felhasználónak egy barát listát engedélyeztek, de a valóságban a kapcsolatainkat több csoportra bontva kezeljük (ezek az ún. ego hálózatok) -- hasonlóan ahhoz, ahogy a Google Circles is működik. A Google+ és hasonló szolgáltatásoknak köszönhetően valós közösségi hálózatokból származó adatok állnak rendelkezésünkre, hogy a felhasználók kapcsolatkezelésének ezen aspektusát jobban megismerhessük. Azonban sok érdekes kérdésre még nem tudjuk érdemben a választ. A hallgató feladata éppen ezért a rendelkezésekre álló adatok alapján az ego hálózatok vizsgálata, modellezése.
Konzulens: Gulyás Gábor György (gulyas (at) crysys dot hu)
A webes hirdetési iparág 2012-es első negyedéves bevétele 8-9 milliárd USD-re tehető. Ezzel összefüggésben a személyre szabott webes hirdetéshez kapcsolódó megfigyelés is igen elterjedtnek mondható. Többféle technika létezik erre, melyek a weboldalakon "detektorok" segítségével azonosítják a felhasználót, azonban ezek a működésükhöz legtöbbször egy azonosítót kívánnak tárolni a felhasználó gépén (pl. sütiben). Ennél modernebb, elterjedési fázisban lévő technikák az ún. ujjlenyomat technikák, amelyek a felhasználókat jellemzőik (pl. böngésző, operációs rendszer) alapján azonosítják. A hallgató feladata mindehhez kapcsolódóan többféle is lehet, például nyomkövetési/védelmi technikák vizsgálata, tervezése, elterjedtségének felmérése -- a pontos feladat személyes egyeztetés kérdése.
Konzulens: Gulyás Gábor György (gulyas (at) crysys dot hu)
A vállalatokat rengeteg támadás éri az Interneten. A támadásokat ellen különbözõ eszközökkel lehet védekezni, amelyek mûködésük során hatalmas mennyiségû esemény log-ot generálnak. Az informatikai biztonsági védelem egyik sarokköve ezen log-ok megbízható elemzése és az elemzésen alapuló hatékony védekezés. Az ezt végzõ rendszereket angolul security information and event management (SIEM) rendszereknek nevezik.
A labor során a hallgató egy nagyvállalati SIEM rendszert térképez fel, megérti a komplex rendszer mûködését és összegzi a rendszer képességeinek limitációit. A megszerzett tapasztalatok alapján a labor célja olyan speciális szabályok tervezése, amelyek felvértezik a SIEM rendszert célzott és nem ismert támadások detektálására.
A munkavégzés helye céges partnerünk irodája. Partnerünk piacvezetõ a hálózati biztonság területén. Kiemelkedõ munka esetén további együttmûködés is lehetséges. A munkához a hallgatónak hasznos a Boole algebra ismerete, elõny az alap SQL tudás (pl. adatbázisok óra). A támadások elõkészítésénél a bevett tool-okat alkalmazzuk (Backtrack, VMWare), így azok ismerete is elõnyt jelent.
Külsõ konzulens: Csörgő Zoltán (HP)
Belsõ konzulens: Dr. Félegyházi Márk
A nagyvállalati biztonsági rendszereknek egyik szerves részét képezik a hálózati behatolásdetektáló (IDS) és a behatolást megakadályozó rendszerek (IPS). Ezek a rendszerek a hálózati forgalmat figyelve kiszûrik a gyanús eseményeket és jelzik azt a rendszert felügyelõ rendszergazdáknak.
A labor során a hallgató megismerheti az elterjedt támadói eszközöket (ld. a Backtrack adta lehetõségek), megismerheti a támadási módszereket. A hallgató feladata egy nagyvállalati környezetben alkalmazott IDS/IPS rendszer konfigurálása és közben annak a vizsgálata, hogy egy fejlett IPS mennyire hatékony az infrastruktúravédelemben, és különösen a célzott támadások kivédésében.
A munkavégzés helye céges partnerünk irodája. Partnerünk piacvezetõ a hálózati biztonság területén. Kiemelkedõ munka esetén további együttmûködés is lehetséges. A munkának nem elõfeltétele a hacker tool-ok (pl. Backtrack) ismerete, azonban ezen ismeretek nagy elõnyt jelentenek a projektben
Külsõ konzulens: Csörgő Zoltán (HP)
Belsõ konzulens: Dr. Félegyházi Márk
Domain names (ex: google.com) are the fundamental element of Internet communication. Yet, it is unclear even today, why people register domain names, what is their goal? It is also not sure what is the value of domain names. It is an urban legend that most domain names registered today are of speculative nature: malicious domains for phishing and spam; typosquatting and domain parking and resale. The goal of this project is to shed light to the purpose of domain registrations trying to separate these speculative registrations.
Konzulens: Dr. Félegyházi Márk
A webes domen nevek az informacio eleres alapjat jelentik (pl: google.com). A domen nevek erteket a hozzajuk erkezo forgalom jelentosen befolyasolja. Ezt az ugyeskedok is felismertek es mara elterjedte valt a hasonlo domen nevek regisztracioja, az un. typosquatting. A hallgato segitsegevel megvizsgaljuk, hogy az ujonnan regisztralt domenek kozott mennyire van jelen a typosquatting.
Ajanlott szaktudas: szkript programozasi ismeretek (Python, bash, Perl) vagy nagy lelkesedes, angol nyelvtudas
Konzulens: Dr. Félegyházi Márk
Az okos telefonok (smart phone) egyre nagyobb teret hódítanak, képességeik közelítinek a hagyományos PC-khez. Ezen fejlõdési folyamat elengedhetetlen részeként megjelentek a mobilra fejlesztett rosszindulatú programok (malware), s a közeljövõben ezek száma várhatóan növekszik majd. A mobil malware-ek többsége gazdasági haszonszerzést tesz lehetõvé a támadó számára (pl. emelt árú SMS küldés), de az alkalmazások széles spektrumának köszönhetõen más támadó célok is megjelenhetnek a jövõben. Összességében a mobil malware terület egyelõre még gyerekcipõben jár, de az incidensek számának robbanásszerû növekedése várható a közeljövõben, amire a biztonsági szakembereknek érdemes felkészülni.
A hallgató feladata a state-of-the-art megismerése, a mobil malware terület jelenlegi helyzetének felmérése, a fejlõdési irányok azonosítása. További feladat néhány rendelkezésre álló Androidra írt malware elemzése, mûködésének megértése, és az ehhez szükséges analízis környezet kialakítása. Végül a projekt távlati célja, alkalmas biztonsági eszközök (tool-ok) fejlesztése, pl. a rendszer integritását monitorozó tool, anomália detekciós tool, a rendszerfolyamatok és az általuk használt adatstruktúrák monitorozása, stb. Egyszerû szavakkal a projekt végsõ célja rootkit detektor fejlesztése Android eszközökre.
Konzulens: Dr. Buttyán Levente
Régen ismert annak lehetõsége, hogy egy rosszindulatú programot (malware) olyan kulccsal rejtjelezzen a támadó amit csak az áldozat rendszerén lehet elõállítani, ezáltal lehetetlenné téve a malware analízisét más környezetben. Ám a Gauss nevû malware esetében ez a technika most élesben került bevetésre.
A projekt célja a crypto-val védett malware-ek vizsgálata, a tervezési kihívások megértése, esetleges hibalehetõségek azonosítása, és lehetséges kriptanalízis módszerek fejlesztése és tesztelése. A CrySyS laboratórium a közelmúltban résztvett több high profile malware elemzésében (Duqu, Flame), és van olyan mintánk, amin a projekt során lehet próbálkozni.
Konzulens: Dr. Buttyán Levente
Ransomware is on the rise. These application encrypt the user application and/or data to be released only on payment. The research would categorize the algorythms used by the most common families, and examines the possibilities to reverse the decryption: recover the decryption key from the malware analysis, use a known-plaintext attack if possible. Identify he cases when there is no possibility for reversal. Is it possible to create an online crypto-cracker for these newer variations?
Külsõ konzulens: Szappanos Gábor (Sophos)
Belsõ konzulens: Dr. Bencsáth Boldizsár
Malware targeting the Android platform has grown rapidly over the last 12-months in numbers, and in functionality. Attacks and payloads commonly targeting Desktop platforms were readily replicated on Android such as backdoor control, data theft and even fake anti-virus. This trajectory indicates that we might soon see malware authors turning their attention to obfuscation of applications to hinder reverse engineering, make classification by security software more difficult, and facilitate aggressive server-side polymophism. Research into the possibilities and techniques of obfuscating Android applications would be valuable to keep one step ahead (or equal) with malware authors.
Külsõ konzulens: Szappanos Gábor (Sophos)
Belsõ konzulens: Dr. Bencsáth Boldizsár
The Android platform and its mobile essence provides a new set of functionality that could be used to classify files into clean, unwanted or malicious groups. There are already a number of replication environments available to capture the executed functionality of Android applications and researching this output based on different test corpuses could yield valuable information on what is, and what is not, useful to use in automated classification.
Külsõ konzulens: Szappanos Gábor (Sophos)
Belsõ konzulens: Dr. Bencsáth Boldizsár
The Google Play market place is the premium market site for Android applications. What Google Play considers malicious, potentially unwanted, or simply legitimate commercial endeavours might be quite different to what users would conclude. Researching the Google Play market site to get a detailed understanding of the types of applications allowed under different categories would yield important information in the classification of files, and possibly even in driving the creation of new categories that are more useful to users.
Külsõ konzulens: Szappanos Gábor (Sophos)
Belsõ konzulens: Dr. Bencsáth Boldizsár
Intel Active Management Technology Out-Of-Band communications based "signing syslog proxy": to cryptographically "sign", syslog messages, thus increasing the reliability of messages available to a SIEMs, in order for that SIEMs to trust it's data enough to perform an automated response.
Külsõ konzulens: Szappanos Gábor (Sophos)
Belsõ konzulens: Dr. Bencsáth Boldizsár
Using a reasonably sized data set of IPS telemetry provided by Sophos, a data-visualization research project would process it to see if we can graphically represent & differentiate between botnet communication intervals and human-operator communication intervals.
Külsõ konzulens: Szappanos Gábor (Sophos)
Belsõ konzulens: Dr. Bencsáth Boldizsár
A korházakban egyre elterjedtebb az olyan beteg monitorozási rendszer, amelynél a betegek aktuális állapotát távolról lekérdezhetõ. Ilyenkor a betegekre érzékelõket szerelnek fel, amelyek mérik a kritikus adatokat mint a vérnyomás, szívritmus, stb.. A mért adatokat egy az adott személyhez tartozó mobil eszközbe gyûjtik és tárolják, mint például az okostelefon. Késõbb egy harmadik személy (pl. az orvos, személyi edzõ) lekérdezheti a beteg adatait a mobileszközrõl. A beteg privacy-jét megakarjuk õrizni ezért a különbözõ jogosultságú harmadik félek különbözõ tipusú kérdésekre kaphatnak választ a mobileszköztõl, viszont a kérdések jellege miatt elõfordulhat, hogy habár külön-külön a válaszok nem sértik a beteg privacy-jét de a válaszok együttese (amelyet akár irányitott kérdések alapján kapjuk) már igen. Az irodalomban sok úgy nevezett query auditing algoritmus található amik ezt kivánják megelõzni. A laborunk résztvesz egy CHIRON nevû EUs projekten (http://www.chiron-project.eu/), amelynek ez az egyik célja, s ennek kapcsán mi is publikáltunk egy ilyen algoritmust.
Az önálló laboratóriumban résztvevõ hallgatónak az a feladata, hogy az algoritmusokat implementálja mobil platformra, mint pl. androidra. A laborban rendelkezésre állnak android alapú okostelefonok amin lehet dolgozni.
Konzulens: Ta Vinh Thong
| Budapest University of Technology and Economics |
| Department of Telecommunications |
| CrySyS - Laboratory of Cryptography and Systems Security |