BLÁHA, M. Analýza škodlivého softwaru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2020.
Student Michael Bláha se ve své bakalářské práci zabýval analýzou škodlivého softwaru. V práci navrhl metodiku pro analýzu škodlivého softwaru a analyzační prostředí založené na virtualizovaném operačním systému. Student v navrženém analyzačním prostředí analyzoval dva škodlivé softwary a to ransomware (TeslaCrypt) a trojský kůň (Glupteba). V práci chybí popis bezpečnostních rizik a jejich závažnosti, jenž může způsobit škodlivý software. Prezentační úroveň práce je na dobré úrovni. Rozsah práce je nadprůměrný (73 stran). Z formálního hlediska je práce na podprůměrné úrovni. Jazyková úroveň práce je také na podprůměrné úrovni. Práce s literaturou je na průměrné úrovni, student v práci použil 25 zdrojů, které v práci správně citoval. Aktivita studenta byla největší na začátku semestru, kdy proběhla jedna osobní konzultace a v závěru semestru, kdy proběhly dvě konzultace přes e-mail. Což se projevilo na odborném zpracováním práce. Výsledky práce mohou posloužit odborné, ale i laické veřejnosti v případě, kdy narazí na neznámý, potenciálně škodlivý, software. V navrženém analyzačním prostředí ho poté uživatel může bezpečně spustit a zkoumat, bez toho, aby byl ohrožen OS počítače, na kterém uživatel pracuje. Zadání práce bylo z převážné části splněno.
Cílem práce bylo vytvořit metodiku pro analýzu škodlivého software včetně návrhu analyzačního prostředí, identifikace bezpečnostních rizik a jejich závažnosti. Následně měla být metodika použita při analýze vybraného škodlivého softwaru. V první kapitole se student věnuje definici základních pojmů. Definován je však pouze malware, rozdíl mezi pojmy hacker a cracker a v neposlední řadě také pojem sandbox. Některá tvrzení uvedená v této kapitole jsou poměrně troufalá a nejsou ničím podložena. Například tvrzení: "Tím pádem používat škodlivý software dokáže dneska už i malé dítě, jelikož si stačí stáhnout už předem vytvořený kód a jenom ho použít.". Druhá kapitola je věnována škodlivému softwaru a jeho typům. Student se však nemůže rozhodnout, zda se píše "rootkit" nebo "rootkyt". Ve třetí kapitole student uvádí data z několika zahraničních analýz škodlivého softwaru a následně popisuje, jakými způsoby lze analýzu provádět. V textu se vyskytují matoucí tvrzení. Příkladem může být: "Hashe MD5 a SHA-1 se jsou považovány za prolomené, a nebylo by vhodné nimi šifrovat žádná důležitá data." Funkce MD5 a SHA1 jsou ale jednosměrné hashovací funkce. Neslouží k šifrování, nýbrž k získávání otisku vstupních dat. V kapitole 6 "Jak postupovat při vytváření sandboxu" se čtenář nic takového nedozví. Kapitola je věnována popisu operačních systémů Windows 10 a Fedora. Až v kapitole 7 se čtenář dozví informace o zprovoznění sandboxu. Kapitola 8 je věnována analýze dvou exemplářů škodlivého softwaru. Analýza spočívá v kontrole antivirovými programy Windows Defender a VirusTotal, následně je software spuštěn a je pozorováno jeho chování - síťová komunikace, záznamy v registrech Windows a změny na disku. Vzhledem k abnormálně velkému množství pravopisných chyb, překlepů, chybějící nebo přebývájící interpunkci, zvláštní skladbě některých vět a používání hovorové a nespisovné češtiny se celý text práce velmi obtížně čte. Např. v úvodu práce: "Mým cílem je ukázal přípravu bezpečného prostředí pro jeho analýzu." nebo v kapitole 4: "V této kapitole bych pospal proces, který budu popisovat během praktické části. Budu se snažit postupovat popořadě, jak zde uvede postup. Budu je uvádět v jednotlivých podkapitolách.". Závěrem lze říci, že teoretická úroveň práce je slabá. Zadání práce je splněno částečně. V práci jsem nenalezl zadáním požadovaný seznam bezpečnostních rizik, která mohou být způsobena škodlivým softwarem, včetně jejich závažnosti. Zadání dále požaduje doporučit ochrany proti zkoumaným škodlivým softwarům. Studentova doporučení "Nejlepší ochrana před ransomwarem je nenechat nakazit daný systém" nebo "Pokud jde o obranu před trojskými koni, tak samozřejmě platí základy. Dobrý antivirový program by měl odhalit většinu snah o infikaci zařízení." mi nepřipadají nijak převratná, unikátní ani inovativní.
eVSKP id 125897