Aplikace z FEKT usnadňuje hledání slabin webových stránek

Datum 13.09.2021

Program provede manuální kontrolou bezpečnosti začátečníka i zkušeného správce sítě. | Autor: Jan Prokopius

Hackeři letos v dubnu opakovaně zablokovali internetový portál olomouckého magistrátu a požadovali výkupné 100 000 dolarů. Podobné útoky se nevyhnuly ani Národní knihovně, Správě železnic nebo nemocnicím. Nabourání webů a sítí hackerům umožňují chyby v zabezpečení. Zjednodušit jejich hledání a následnou opravu by měla nová aplikace od expertů na internetovou bezpečnost z Fakulty elektrotechniky a komunikačních technologií VUT.

„Aby se takovým útokům předešlo, je důležité vývojáře vzdělávat, aby věděli, jakých chyb se vyvarovat. Je ale nutné dělat i bezpečnostní neboli penetrační testování. Testeři se pomocí něj snaží najít zranitelnosti dřív, než je objeví útočníci. Když chybu najde tester, je možnost ji včas opravit,“ vysvětluje bezpečnostní odborník Roman Kümmel, který dlouhodobě externě přednáší studentům na FEKT.

Zatímco nástrojů pro plně automatické testování je na trhu dostatek, Kümmel se spolu se studenty brněnské techniky zaměřuje na vývoj aplikace, která krok po kroku provede manuálním bezpečnostním testem skutečného uživatele. Na odhalení některých chyb je totiž počítač krátký, například při testování obchodní logiky, a v tu chvíli se musí do počítačového kódu ponořit člověk. Protože uživateli programu nemusí být nutně jen bezpečnostní experti, cílem je vytvořit natolik srozumitelný a nápomocný nástroj, že se jeho používání nebudou bát začínající správci firemních sítí, vývojáři, nebo méně zkušení testeři.

„Cílem je usnadnit práci těm, kteří ještě nemají takové zkušenosti. Testerům to pomůže už jen tím, že nebudou muset mít jeden nástroj na testování, další na poznámky a jiný třeba na přílohy. Také umožňuje práci v týmu. Na jednom projektu může dělat současně více testerů, kteří uvidí, co už je hotové a co ještě chybí. Můžou být přizvaní i manažeři, kteří vidí stav projektu, nebo vývojáři, kteří můžou rovnou opravovat nalezené chyby. Neexistuje konkurenční nástroj, který by aktuálně něco takového uměl,“ vyzdvihuje přednosti aplikace Penterep mentor projektu Kümmel.

Na projektu podpořeném TAČR pracují studenti od druhých ročníků bakalářského studia až po doktorandy. „Sám jsem byl překvapený, kolik jsme našli talentů. Potřebovali jsme grafika na renderování videa a ozval se nám student, stejně tak jsme našli studentku na překlad do angličtiny, němčiny a ruštiny. Momentálně máme funkční rozhraní aplikace a plníme ho takzvanými checklisty,“ chválí si tým jeho vedoucí Zdeněk Martinásek z FEKT. Zmiňované checklisty jsou pro fungování naprosto zásadní. Člověk provádějící testování totiž následuje kroky, které mu předkládá program, a ty úspěšně splněné si odškrtává podobně jako nákupní seznam.

Vývoji webových aplikací se už více než osm let věnuje student informační bezpečnosti Willi Lazarov, který se s kyberbezpečností poprvé setkal už na konci základní školy, kdy si vyzkoušel ve vývojovém prostředí hackerský útok.

„Tehdy jsem si uvědomil, jakou moc má člověk, který se dostane dovnitř systému. Mě to naštěstí posunulo na tu správnou stranu, takže jsem si na střední škole zjistil, že na FEKT existuje obor Informační bezpečnost a bylo rozhodnuto. Uživatelů internetu je čím dál víc, stejně tak i online služeb, a je potřeba, aby bylo více lidí, kteří bezpečnosti rozumí,“ popisuje svoje začátky student druhého ročníku, který má v projektu na starosti vývoj přehledného a intuitivního uživatelského prostředí. „Dneska má i akvárko s rybami čidla s vlastní IP adresou, a tím pádem se skrze něj může někdo dostat do vnitřní sítě,“ dodává s tím, že si mnohdy zranitelnost, a hlavně zneužitelnost běžně používaných věcí ani neuvědomujeme.

Ještě o kus dál posunula vyvíjený program další členka týmu čerstvá absolventka VUT Karolína Šrůtková. Vytvořila podpůrnou aplikaci pro Android sloužící pro trénink a výuku bezpečnosti mobilních aplikací. Na první pohled vypadá aplikace stejně jako běžný emailový klient. Jde ale o program, který v sobě schválně obsahuje schované chyby v zabezpečení, které má uživatel za úkol objevit. Aplikaci je možné použít například při výuce jako cvičení pro studenty.

Karolína Šrůtková s ní uspěla nejen v soutěži EEICT, ale také při obhajobě diplomové práce, kterou zakončila svoje studium: „Vždycky jsem tíhla k počítačům a když jsem se hlásila na bakaláře, program Informační bezpečnost běžel druhým rokem. Zaujal mě průřez nejen informatikou, ale také právem. V informační bezpečnosti je právo důležité, protože právě třeba při penetračním testování se můžete jednoduše dostat do konfliktu, kdy je potřeba mít vše právně ošetřeno.“

Některé chyby v zabezpečení ale podle svých slov přeci jen bezpečnostní experti stále odstranit neumí a hackeři jsou si toho dobře vědomi. Až vám tedy příště přijde podezřelý mail s přílohou nebo odkazem, neklikejte na něj. Možná tím sobě a správci vaší sítě ušetříte plno problémů.

Tým autorů Fakulty elektrotechniky a komunikačních technologií VUT

Napsat komentář