Ipari rendszerek biztonsága

Kategória: ICS/SCADA, Intrusion Detection, SoC, Forensics

Kritikus infrastruktúráink alapját sokszor ipari automatizálási és folyamatirányítási rendszerek (ICS/SCADA) alkotják, melyek egyre nagyobb mértékben rendelkeznek külső hálózati kapcsolatokkal, esetleg internet felőli eléréssel, ezért ki vannak téve a kibertér felől érkező támadásoknak.
A projekt során a hallgató az ipari rendszerek védelmének érdekes kérdéseivel foglalkozhat, úgy mint:

  • Ipari tesztrendszer építése
  • PLC honeypot fejlesztése
  • Aktív forgalomgenerátor fejlesztése
  • ICS SoC építése és integrációja
  • ICS projektek visszafejtése

Létszám: 5 hallgató

Kapcsolat: Holczer Tamás (CrySyS Lab), Buttyán Levente (CrySyS Lab), Gazdag András (CrySyS Lab)

Járművek biztonsága

Kategória: Cars, Intrusion Detection, Forensics

A gépjárművek vezérlése egyre bonyolultabb, egyre több számítógépből áll. Ezek a részegységek egymással kommunikálnak, és esetleg támadás áldozatául is eshetnek. Minden vezérlőegység egy belső hálózaton (CAN) keresztül kommunikál, amelyen megtalálható a legtöbb vezérlőjel, és a szenzorok által mért paraméterek értéke is. A projekt során a hallgató a jármű rendszerek védelmének érdekes kérdéseivel foglalkozhat, úgy mint:

  • CAN hálózati forgalom visszafejtése
  • IDS és Firewall fejlesztése járművekbe Raspberry Pi alapon
  • Korreláció alapú anomáliák detektálása
  • V2X kommunikációban kártékony viselkedés detektálása

Létszám: 5 hallgató

Kapcsolat: Gazdag András (CrySyS Lab), Buttyán Levente (CrySyS Lab), Holczer Tamás (CrySyS Lab)

Adatvédelem és biztonság gépi tanulásban

Kategória: Machine Learning, Privacy

A mesterséges intelligencia és gépi tanulás térnyerése vitathatatlan. Az automatizált döntéseket alkalmazó rendszerek száma rohamosan növekszik (önjáró autók, egészségügyi alkalmazások, felhasználói hitelesítés, döntéstámogatás, profilozás, stb.). Ugyanakkor az ilyen rendszerek adatvédelmi és biztonsági problémái jelentősek, szerteágazók, és megoldatlanok [1]. A hallgatók az alábbi témákon dolgozhatnak.

  • Támadói minták: Egy alapvető probléma a támadói minták jelenléte, amelyre jelenleg nem léteznek kielégítő védekezési technikák [1]. A támadói mintákat az eredeti minták minimális módosításával kapjuk, amelyekre a gép hibás döntést hoz [2]. Például egy önjáró autó gépi modellekkel ismeri fel a közlekedési táblákat. Ha a támadó képes a táblákat manipulálni úgy, hogy az az emberi szem által nem észrevehető, de a gép teljesen más döntést hoz a módosított táblát látva, akkor ennek komoly biztonsági következményei lehetnek. A hallgató feladata támadói minták generálása egy létező gépi modell ellen (pl. karakterfelismerés, SPAM detekció), és egy védekezési mechanizmus implementációja.
  • Tanuló adatok visszafejtése: A támadás során egy gépi modellból a támadó személyes adatokat próbál visszafejteni, amin a modellt betanították. Például a támadó képes lehet egy arcfelismerő rendszerből a felismerendő személy arcának a rekonstrukciójára csupán a modellt felhasználva [3]. Vagy akár egy kórházi adatbázisból épített modellból a betegek adatainak a visszafejtésére [4]. A hallgató feladata a különböző modell inverzió [3] vagy tagsági támadások [7] áttekintése és implementációja (pl. arcfelismerés).
  • Személyes adatok deanonimizációja gépi tanulással: Számos cég/szervezet/kormány oszt meg egymással adatokat, amelyek vagy "anonimizáltak" vagy aggregált (statisztikai) adatok. Sajnos az adatok megfelelő anonimizációja nehéz, és gyakran anonimnak vélt adatokból konkrét személyek adatai visszafejthetők [5] [6]. A hallgató feladata helyzeti adatok (pl. GPS) deanonimizációja konvolúciós neurális hálókkal, a séma megtervezése majd annak implementációja.

Elvárás: munkára való hajlandóság, gépi tanulás ismerete előny de nem feltétel
[1] Attacks against machine learning — an overview
[2] Attacking Machine Learning with Adversarial Examples
[3] Model Inversion Attacks
[4] Deep Models Under the GAN: Information Leakage from Collaborative Deep Learning
[5] Unique in the Crowd: The privacy bounds of human mobility
[6] A személyes adat és a GDPR
[7] Membership Inference Attacks Against Machine Learning Models

Létszám: 3 hallgató

Kapcsolat: Ács Gergely (CrySyS Lab)

Economics of cybersecurity and data privacy

Kategória: Economics, Risk management, Privacy

As evidenced in the last 10-15 years, cybersecurity is not a purely technical discipline. Decision-makers, whether sitting at security providers (IT companies), security demanders (everyone using IT) or the security industry, are mostly driven by economic incentives. Understanding these incentives are vital for designing systems that are secure in real-life scenarios [1]. Parallel to this, data privacy has also shown the same characteristics: proper economic incentives and controls are needed to design systems where sharing data is beneficial to both data subject and data controller. An extreme example to a flawed attempt at such a design is the Cambridge Analytica case [2].
The prospective student will identify a cybersecurity or data privacy economics problem, and use elements of game theory and other domain-specific techniques and software tools to transform the problem into a model and to propose a solution. Potential topics include:

  • cyber-insurance
  • sharing security-related information
  • cyber-warfare
  • interdependent privacy
  • collaborative machine learning

Required skills: analytic thinking, good command of English
Preferred skills: basic knowledge of game theory, basic programming skills (e.g., python, matlab, NetLogo)
[1] Anderson, Ross, and Moore, Tyler. "The Economics of Information Security." Science 314.5799(2006):610-613.
[2] Symeonidis, Iraklis and Biczók, Gergely. " Interdependent privacy in effect: the collateral damage of third-party apps on Facebook. CrySyS Blog.

Létszám: 3 students

Kapcsolat: Gergely Biczók (CrySyS Lab)

Applied Cryptography

Kategória: Applied cryptography, IoT, Post-quantum, Digital signatures

Cryptography is a fundamental tool in securing information systems, but proper application of it is a non-trivial engineering problem. In this set of projects the students will get familiar with various cryptographic concepts and tools, and typically implement prototypes of cryptographic protocols. Currently, we have 2 specific topic in this area:

  • Proof of Concept Implementation of a Secure IoT Data Market: The concept of an IoT data market [1] aims to enable the better utilisation of the vast amount of data, collected by smart devices. To do so, such markets provides an opportunity to individuals to sell their data to so-called value-added service providers that have the know-how to turn raw data into useful insights and help e.g. optimization of different processes. The secure realization of a data market is challenging because it has to guarantee both the privacy of the involved data and the interests of the value-added service provider whose computational logic might be confidential. The task of a prospective student is to implement and benchmark cryptographic protocols that can be used in secure data markets where the goal of a value-added service provider is to compute basic statistics, and to prepare a proof of concept implementation of the market.
  • Digital Signatures in a Post-quantum World: While quantum computers are not yet realized, the beginning of a post-quantum area of computing is expected sooner or later [2]. As a direct sign of this expectation is the recent initiation of NIST (National Institute of Standards and Technology) to develop and standardize one or more additional public-key cryptographic algorithms [3]. In this project, we are interested in the future of digital signatures. The task of a prospective student is to review current digital signature schemes, including the submissions to NIST, which resist to quantum attacks (hash-based signatures, the opportunities of lattice- and code-based cryptography), investigate the applicability of the different approaches and one or two concrete schemes, possibly implement the evaluated schemes. Required skills: critical thinking, good command of English.

Familiarity with the basics of cryptography is an advantage but not required.
References:
[1] Horváth M., Buttyán L. Problem Domain Analysis of IoT-Driven Secure Data Markets. In: Euro-CYBERSEC 2018. CCIS, vol 821. Springer
[2] Chen, Lily, et al. Report on post-quantum cryptography. US Department of Commerce, National Institute of Standards and Technology, 2016.
[3] Post-Quantum Cryptography Standardization

Létszám: 2 students

Kapcsolat: Buttyán Levente (CrySyS Lab), Horváth Máté (CrySyS Lab)

Biztonságos programozási feladatok készítése az Avatao rendszerben

Kategória: Security Education

A legtöbb szoftverfejlesztő tanulmányai során nem vagy felületesen találkozik a szoftverbiztonság témájával. Többek közt ez a fundamentális oka annak, hogy az informatikai támadások 80-90%-a emberi hibára, szoftverhibára vezethető vissza. Az Avatao, a CrySyS labor spinoff vállalkozása, egy olyan platformot épít, ahol a szoftverfejlesztők és más informatikusok gyakorlati példákon keresztül tanulhatják meg a biztonságos rendszerek építését. A feladatok létrehozására tartalomfejlesztői csapatokat hoztunk létre vezető szakértők mentorálásával. A diák feladata, hogy csatlakozzon egy ilyen csapathoz és profi egyetemi valamint céges mentorokkal együttműködve gyakorló biztonsági feladatokat hozzon létre az alábbi témakörökben:

  • Java webes alkalmazások (Java-SE/Java-EE) tervezése (design), programozása (coding), tesztelése (testing) és működtetése (DevOps).
  • Webes és desktop alkalmazások fejlesztése C# nyelven.
  • OWASP top 10-re épülő feladatsor kiegészítése defenzív, kódolási és tesztelési feladatokkal.
  • webes alkalmazások készítése (coding) és üzemeltetése (DevOps) Python nyelven illetve Python framework-ök (pl. django) biztonsági funkcióinak használata.
  • C/C++ nyelv biztonsági kihívásainak szemléltetése, kiemelt fókuszban a beágyazott rendszerek biztonságával.
  • data discovery/data science biztonsági kihívásai, elsősorban python és más scriptnyelvek segítségével, a GDPR követelményeire való felkészülés segítése.
  • DevOps biztonsági kihívásainak szemléltetése (aka. DevSecOps), modern alkalmazások biztonságos üzemeltetése módszereinek bemutatása, elsősorban scriptnyelvek és üzemeltetési technológiák segítségével (Docker, AWS, lambdák, stb.).

Létszám: sok hallgató

Kapcsolat: Buttyán Levente (CrySyS Lab), Pék Gábor (Avatao)