Μεταπτυχιακή διατριβή

3ο Εξάμηνο

Το 3ο εξάμηνο της κατεύθυνσης περιλαμβάνει την συγγραφή μεταπτυχιακής διατριβής. Η μεταπτυχιακή διατριβή περιλαμβάνει θεωρητικό και πρακτικό μέρος (υλοποίηση), και πραγματοποιείται υπό την επίβλεψη ενός διδάσκοντα, μετά από τη διαδικασία ανάθεσης θέματος διατριβής. Τα προτεινόμενα θέματα των διατριβών καλύπτουν έναν ή περισσότερους τομείς της ασφάλειας και έχουν ερευνητική στόχευση. Η λίστα των προτεινόμενων θεμάτων είναι ενδεικτική και τροποιείται κάθε έτος. Για περισσότερες πληροφορίες, απευθυνθείτε στον καθηγητή με τον οποίο επιθυμείτε να εκπονήσετε τη μεταπτυχιακή σας διατριβή.

 

Νέα θέματα -  Οκτώβριος 2018

 

 

Τίτλος

Περιγραφή

Υπεύθυνος Καθηγητής

Χρήση του εργαλείου sysmon για τον εντοπισμό επιθέσεων εσωτερικής μετακίνησης ενός επιτιθέμενου.

(https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)

Να παρουσιαστούν οι τεχνικές και τα πλέον γνωστά εργαλεία εσωτερικής μετακίνησης σε ένα δίκτυο με windows domain.(Εφαρμογή του πίνακα mitre https://attack.mitre.org/wiki/ATT&CK_Matrix). Να γίνει παρουσίαση του sysmon.

Πως μπορούμε να ρυθμίσουμε σωστά το sysmon ώστε να εντοπίζονται τόσο η χρήση των εργαλείων, όσο και οι εντολές που θα δίνει ο επιτιθέμενος για να μετακινηθεί εσωτερικά (Lateral Movement) στο δίκτυο με τελικό σκοπό να γίνει είτε domain admin, είτε να υποκλέψει τα δεδομένα.

Ως τελικό παραδοτέο θα είναι και μία προτεινόμενη ρύθμιση του sysmon (sysmon configuration file) και γενικά ρύθμιση των Event logs των windows.

https://www.jpcert.or.jp/english/pub/sr/Detecting%20Lateral%20Movement%20through%20Tracking%20Event%20Logs_version2.pdf

https://www.jpcert.or.jp/english/pub/sr/20170612ac-ir_research_en.pdf

https://www.malwarearchaeology.com/presentations/

 Σ. Παπαγεωργίου
Ανάπτυξη windows agent

Να αναπτυχθεί ένας windows agent που να κάνει τα ακόλουθα:

  • Ανίχνευση ενδεικτών παραβίασης με χρήση yara rules
  • Sυλλογή πληροφοριών (registry, μνήμη, αρχεία)
  • Αντιμετώπιση κυβερνοεπιθέσεων (απομόνωση του συστήματος).

Θα πρέπει να αναπτυχθεί ένα πρόγραμμα, που θα ελέγχεται κεντρικά και αφού εγκατασταθεί σε ένα windows σύστημα, θα έχει την δυνατότητα να χρησιμοποιεί yara rules για να εντοπίζει τυχόν παραβίαση του συστήματος.Να έχει την δυνατότητα να συλλέγει πληροφορίες, όπως registry, μνήμη και άλλα αρχεία που χρειάζεται ο διαχειριστής συμβάντων για να τεκμηριώσει πως το συγκεκριμένο windows σύστημα παραβιάστηκε. Ταυτόχρονα ο agent θα έχει την δυνατότητα να αποκόπτει από το δίκτυο (απομόνωση) στην περίπτωση που έχει παραβιαστεί και να τον τοποθετεί σε ένα εικονικό δίκτυο για επιτήρηση (monitoring).

https://yararules.com/

https://github.com/Yara-Rules/rules

https://github.com/Neo23x0/Loki

https://blog.clamav.net/2015/06/clamav-099b-meets-yara.html

https://github.com/aboutsecurity/rastrea2r

https://github.com/google/grr

Σ. Παπαγεωργίου 
 Αξιολόγηση πλαισίων για red teaming

Να συγκεντρωθούν και να δοκιμαστούν όλα τα πλαίσια που χρησιμοποιούνται για red teaming. Να προταθεί το πιο ολοκληρωμένο.

Χρήση της μεθοδολογίας αξιολόγησης red teaming ή purple teaming για τον έλεγχο των ρυθμίσεων και των συσκευών ασφαλείας καθώς και του προσωπικού που έχει αναλάβει την προστασία ενός εταιρικού δικτύου. Να συγκεντρωθούν και να δοκιμαστούν όλα τα πλαίσια ανοικτού κώδικα που χρησιμοποιούνται για την εφαρμογή της μεθοδολογίας αξιολόγησης red team vs Blue team. Να προταθεί το πιο ολοκληρωμένο και να δημιουργηθεί μία πλατφόρμα που θα εκτελεί αυτόματα το σύνολο των δοκιμών / επιθέσεων.

Σχετικοί σύνδεσμοι:

https://github.com/mitre/caldera

https://github.com/KCarretto/

https://github.com/endgameinc/

 
Σ. Παπαγεωργίου 

Application Whitelist

Μία τεχνική που εφαρμόζουμε για την προστασία ενός windows συστήματος είναι και η τεχνική του Application Whitelist.  Ποια είναι η τεχνική Application Whitelist και ποιες οι τεχνικές χρησιμοποιεί ένας επιτιθέμενος για να πετύχει Application Whitelist Policy bypass. Να περιγραφεί η τεχνική Application Whitelist, τι εργαλεία έχει εξ ορισμού διαθέτει ένα windows σύστημα (AppLocker, Software restriction policy), ώστε να πραγματοποιήσουμε μία Application Whitelist Policy.  Ποιες οι ποιο γνωστές τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να ξεπεράσουν μία Application Whitelist Policy.

Σχετικοί σύνδεσμοι:

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/what-is-applocker

https://docs.microsoft.com/en-us/windows-server/identity/software-restriction-policies/software-restriction-policies

https://github.com/api0cradle/UltimateAppLockerByPassList

 

 Σ. Παπαγεωργίου

Προληπτική κυβερνοάμυνα

 

Προληπτική κυβερνοάμυνα (Hunting The Cyber threat, reactive vs proactive cyber defense). Τι είναι η προληπτική κυβερνοάμυνα πως μπορεί να την αναπτύξει κάποιος με open source εργαλεία. Ποιες οι ρυθμίσεις αυτών των εργαλείων. Η συλλογή πληροφοριών κυβερνοαπειλών (cyber threat intelligence), περιλαμβάνει την οργάνωση, την ανάλυση και την εξειδίκευση των πληροφοριών των απειλών που αφορούν τις πιθανές ή τρέχουσες κυβερνοεπιθέσεις που στοχοποιούν έναν οργανισμό. Πως μπορεί ο αμυνόμενος να συλλέξει πληροφορίες που αφορούν κυβερνοαπειλές. Να παρουσιαστεί το MISP, ως το εργαλείο συλλογής και διαμοιρασμού πληροφοριών. Τι είναι η οργάνωση εκστρατείας κυνηγιού μιας κυβερνοαπειλής μέσα σε έναν οργανισμό, πως την οργανώνει και την διεξάγει η ομάδα κυνηγών, τι εργαλεία μπορεί να χρησιμοποιήσει, τι πετυχαίνει.

Σχετικοί σύνδεσμοι:

https://www.misp-project.org/

https://github.com/Neo23x0/Loki

https://thehackernews.com/2018/06/cyber-threat-hunting.html

https://sqrrl.com/media/Framework-for-Threat-Hunting-Whitepaper.pdf

Σ. Παπαγεωργίου 

Kill chain process

Τι είναι η kill chain process. Να παρουσιαστούν τα βήματα που ακολουθεί ένας επιτιθέμενος, από την προετοιμασία, την απόκτηση πρόσβασης, μέχρι την ολοκλήρωση της αποστολής του, που είναι η υποκλοπή δεδομένων. Σε κάθε βήμα που πραγματοποιεί ο επιτιθέμενος ποια είναι τα αντίστοιχα βήματα που θα πρέπει να ακολουθήσει ο αμυνόμενος προκειμένου να προστατέψει ένα δίκτυο με windows συστήματα. Να δοθεί έμφαση στον εντοπισμό της υποκλοπής δεδομένων αλλά και στον εντοπισμό κέντρων ελέγχου (C&C), ενός επιτιθέμενου. Ο επιτιθέμενος, θα πρέπει να ελέγχει κεντρικά τα προγράμματα ελέγχου που έχει εγκαταστήσει στο σύστημα που απέκτησε πρόσβαση. Να αναφερθούν τι επιλογές δικτυακών πρωτοκόλλων έχει, προκειμένου να πετύχει επικοινωνία, ανάμεσα στο πρόγραμμα ελέγχου και σε αυτόν (επιτιθέμενος). Ποια τα μέτρα που πρέπει να λάβει αντίστοιχα ο αμυνόμενος. Επιπλέον, ο επιτιθέμενος, θα πρέπει να εξάγει τα δεδομένα που θέλει να κλέψει, με ποια μέτρα ο αμυνόμενος θα εμποδίσει την υποκλοπή των δεδομένων του.

Σχετικοί σύνδεσμοι:

https://www.sans.org/reading-room/whitepapers/infosec/paper/36230

https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform.pdf

https://www.isaca.org/chapters3/Charlotte/Events/Documents/Event%20Presentations/12062017/Cyber_Kill_Chain_Wrozek.pdf

 Σ. Παπαγεωργίου

Επέκταση μεθοδολογίαςThreat Modeling σε IoT συστήματα

Στην εργασία αυτή θα μελετηθούν οι μεθοδολογίες ανάλυσης απειλών (threat modeling)  και  διανυσμάτων επιθέσεων (attack vectors) σε συστήματα IoT. Πιο συκγκεκριμένα, θα επεκταθεί μεθοδολογία ανάλυσης διανυσμάτων επιθέσεων για συστήματα IoT με σκοπό τον εντοπισμό κα την αποτίμηση έμμεσων επιθέσεω, όπως αυτές που επεκτείνουν τα χαρακτηριστικά επικοινωνίας και τη λειτουργικότητα τέτοιων συσκευών (extended functionality attacks).  Θα αναπτυχθεί σχετικό εργαλείο που θα βασίζεται στο [1][2].

[1] http://alloytools.org/download.html

[2]  https://github.com/AlloyTools

Π. Κοτζανικολάου 

Μελέτη ασφάλειας έξυπνων οικιακών συσκευών

Σε αυτή την εργασία θα γίνει μελέτη ασφάλειας έξυπνων οικιακών συσκευών όπως είναι έξυπνοι θερμοστάτες και έξυπνες λάμπες (που θα σας δοθούν) με σκοπό: (α)Την αναγνώριση καταγραφή των πρωτοκόλλων επικοινωνίας των συσκευών (Z-Wave, BTE, WiFi κτλ) καθώς και των αδυναμιών σε επίπεδο  δικτύου. (β)Την ανάλυση της ασφάλειας των μηχανισμών αυθεντικοποίησης. (γ) Τη καταγραφή και επιβεβαίωση πιθανών διανυσμάτων επιθέσεων. (δ)Τη δοκιμή επιθέσων διείσδυσης.

 

Π. Κοτζανικολάου 

Υλοποίηση επεκτάσεων στο εργαλείο wifiphisher

(3 θέματα)

Η εργασία αυτή αφορά τη μελέτη και υλοποίηση επεκτάσεων στο εργαλείο ασφάλειας ανοικτού κώδικα Wifiphisher [1]. Η εργασία θα περιλαμβάνει συγκεκριμένη υλοποίηση ανάλογα με τις προτιμήσεις και τις δυνατότητες του ενδιαφερόμενου φοιτητή. Ενδεικτικά αναφέρονται:

1. Υλοποίηση βελτιώσεων στον πυρήνα του Wifiphisher. Για παράδειγμα, (α) εξαγωγή χρήσιμων μετρήσεων [2] ή (β) βελτίωση τεχνικών phishing [3]. Απαιτούμενες γνώσεις: Καλή γνώση Python, καλή γνώση του TCP/IP stack και των πρωτοκόλλων DHCP, DNS, HTTP, καλή γνώση του Λειτουργικού Συστήματος Linux.

2. Υλοποίηση βελτιώσεων στο roguehostapd. Το roguehostapd είναι ένα ανοικτού κώδικα fork του διάσημου user-space δαίμονα hostapd στο Linux και αποτελεί απαραίτητο συστατικό του Wifiphisher. Ο φοιτητής θα αναλάβει την υλοποίηση ή επέκταση μίας επίθεσης τύπου Evil Twin. Για παράδειγμα, επίθεση μίμηση 802.1x Authenticator [4].

Απαιτούμενες γνώσεις: Πολύ καλή γνώση C, καλή γνώση του Λειτουργικού Συστήματος Linux.

3. Υλοποίηση ρεαλιστικών phishing σεναρίων ή βελτίωση των υπάρχουσων.

Απαιτούμενες γνώσεις: Πολύ καλές γνώσεις HTML, CSS και Javascript.

[1]: https://wifiphisher.org/

[2]: https://github.com/wifiphisher/wifiphisher/issues/836

[3]: https://github.com/wifiphisher/wifiphisher/issues/739

[4]: https://github.com/wifiphisher/wifiphisher/issues/127

Π. Κοτζανικολάου 
Υλοποίηση μηχανισμού διαχείρισης κλειδιών για το πρωτόκολλο ανώνυμης επικοινωνίας BAR  

Tο πρωτόκολλο Broadcast Anonymous Routing (BAR) είναι ένα πρωτόκολλο το οποίο επιτρέπει την πλήρη ανώνυμη επικοινωνία μεταξύ χρηστών, κάνοντας χρήση boradcast επικοινωνίας. Σε αυτή τη διατριβή θα πρέπει να υλοποιείστε ένα μηχανισμό διαχείρισης κλειδιών και χρηστών για τις υπηρεσίες ανωνυμίας του BAR. Η υλοποίηση περιλαμβάνει:

  • Την υλοποίηση μηχανισμού για ανώνυμη εγγραφή (anonymous register) και ανώνυμη σύνδεση (anonyous login).
  • Την υλοποίηση μηχανισμού δημιουργίας των απαραίτητων κλειδιών.
  • Την υλοποίηση μηχανσιμού ανώνυμης ανταλλαγής και δημοσίευσης των κλειδιών των χρηστών (key exchange).

Απαιτήσεις: πολύ καλή αντίληψη κρυπτογραφικών πρωτοκόλλων ανωνυμίας, πολύ καλή γνώση δικτυακού προγραμματισμού, καλή γνώση python και βιβλιοθήκης twisted, κατανόηση και δυνατότητα χρήσης κρυπτογραφικών βιβλιοθηκών.

 
 Π. Κοτζανικολάου 
Αυτόματη εισαγωγή ελέγχων ακεραιότητας σε C, C++ και Objective C κώδικα

Η εργασία αφορά τη χρήση της τεχνολογίας LLVM ώστε να ενσωματωθούν από το μεταγλωττιστή αυτόματα έλεγχοι ακεραιότητας στο παραγόμενο εκτελέσιμο οι οποίοι θα δυσκολέψουν την όποια προσπάθεια κακόβουλης επέμβασης επί του παραγόμενου αρχείου (static binary patching). Η υλοποίηση της εργασίας θα γίνει σε περιβάλλον iOS/XCode. Παραδοτέο της εργασίας  θα είναι ο πηγαίος κώδικας του υποσυστήματος που προσθέτει τους ελέγχους ακεραιότητας καθώς και η σχετική τεκμηρίωση.

 Δ. Γλυνός
Εισαγωγή μηχανισμού IPS (Intrusion Prevention System) στο NIDS SEDUCE Εισαγωγή μηχανισμού IPS (Intrusion Prevention System) στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Ο μηχανισμός IPS θα υλοποιηθεί μέσω πρακτόρων (agents) οι οποίοι θα εφαρμόζουν σχετικούς κανόνες firewall σε προστατευόμενες πλατφόρμες Linux, Windows και (προαιρετικά) FreeBSD. Επίσης, θα γίνει η απαραίτητη υλοποίηση ώστε το SEDUCE να μπορεί να λειτουργήσει ως inline IPS σε περιβάλλον Linux (δηλαδή λειτουργία σε σειρά, όπου αν ένα πακέτο δεν έχει εξεταστεί δεν προωθείται προς το προστατευόμενο δίκτυο). Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας σε γλώσσα C που θα προσαρτηθεί στο έργο και σχετική τεκμηρίωση.  Δ. Γλυνός
Εισαγωγή μηχανής εντοπισμού επιθέσεων και κακόβουλου λογισμικού βάσει στατικών κανόνων στο NIDS SEDUCE Εισαγωγή μηχανής εντοπισμού επιθέσεων και κακόβουλου λογισμικού βάσει στατικών κανόνων στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Οι κανόνες θα πρέπει να είναι πλήρως συμβατοί με τη γλώσσα ορισμού κανόνων του έργου Snort (https://www.snort.org). Επίσης στο πλαίσιο της διπλωματικής διατριβής θα πρέπει να γίνει βελτιστοποίηση στη διαδικασία σύλληψης και επεξεργασίας των πακέτων (π.χ. εισαγωγή ενός slab allocator) ώστε να επιτυγχάνονται μεγαλύτερες ταχύτητες ανάλυσης. Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας σε γλώσσα C που θα προσαρτηθεί στο έργο και σχετική τεκμηρίωση. Δ. Γλυνός 
Εισαγωγή μηχανισμού ανίχνευσης επιθέσεων εντός κρυπτογραφημένων ροών δεδομένων στο NIDS SEDUCE Εισαγωγή μηχανισμού ανίχνευσης επιθέσεων εντός κρυπτογραφημένων ροών δεδομένων (SSL/TLS) στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Ο μηχανισμός θα δίνει τη δυνατότητα σε διαχειριστές συστημάτων να ορίζουν τα ψηφιακά πιστοποιητικά συγκεκριμένων υπηρεσιών, μέσω των οποίων θα γίνεται η αποκρυπτογράφηση ροών δεδομένων είτε όταν το SEDUCE λειτουργεί σε σειρά είτε όταν το SEDUCE λειτουργεί παράλληλα σε ένα δίκτυο. Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας σε γλώσσα C που θα προσαρτηθεί στο έργο και σχετική τεκμηρίωση. Δ. Γλυνός 
Εισαγωγή μηχανισμού για τον εντοπισμό shellcode στο NIDS SEDUCE
Εισαγωγή μηχανισμού για τον εντοπισμό shellcode που χρησιμοποιεί πληροφορία από το περιβάλλον της διεργασίας-θύματος κατά την εκτέλεσή του (context-keyed payload encoding), στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Ο μηχανισμός θα πρέπει να μπορεί να εντοπίσει τον παραπάνω τύπο shellcode όταν αυτό προορίζεται για x86 αρχιτεκτονική και υπηρεσίες που εκτελούνται σε περιβάλλον Linux. Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας σε γλώσσα C που θα προσαρτηθεί στο έργο και σχετική τεκμηρίωση.
Δ. Γλυνός 
Εισαγωγή υποστήριξης για την x86_64 αρχιτεκτονική στο NIDS SEDUCE
Εισαγωγή υποστήριξης για την x86_64 αρχιτεκτονική στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Η υποστήριξη θα πρέπει να παρέχεται σε δύο επίπεδα: α) το SEDUCE να μεταγλωττίζεται και να εκτελείται σωστά σε x86_64/Linux πλατφόρμες και β) το SEDUCE να μπορεί να εντοπίσει shellcode που προορίζεται για συστήματα τύπου x86_64/Linux. Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας σε γλώσσα C που θα προσαρτηθεί στο έργο και σχετική τεκμηρίωση.
Δ. Γλυνός 
Εισαγωγή μηχανισμού για τον εντοπισμό επιθέσεων βάσει συμπεριφοράς (behavioral-based detection) στο NIDS SEDUCE
Εισαγωγή μηχανισμού για τον εντοπισμό επιθέσεων βάσει συμπεριφοράς (behavioral-based detection) στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Ο μηχανισμός θα λειτουργεί βάσει ενός αρχείου διαμόρφωσης (configuration file) το οποίο θα περιέχει ειδική γλώσσα στην οποία θα μπορούν να περιγραφούν οι σχετικοί κανόνες (π.χ. αν μια διεργασία πρώτα αναζητήσει με DNS ερώτημα με ένα μη γνωστό host και αργότερα επικοινωνήσει μαζί του μέσω TLS τότε αυτή η σχετική
συνοδος να χαρακτηριστεί ως ύποπτη). Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας σε γλώσσα C που θα προσαρτηθεί στο έργο και σχετική τεκμηρίωση.
Δ. Γλυνός 
Εισαγωγή μηχανισμού τύπου anomaly-based detection στο NIDS SEDUCE Εισαγωγή μηχανισμού τύπου anomaly-based detection στο Network Intrusion Detection λογισμικό SEDUCE (https://rainbow.cs.unipi.gr/projects/seduce). Συγκεκριμένα ο μηχανισμός θα μπορεί να εκπαιδευτεί ώστε να αναγνωρίζει επιθέσεις τύπου SQL injection προς MySQL RDBMS συστήματα. Ο μηχανισμός θα υλοποιηθεί ως proxy, που θα παρεμβάλλεται μεταξύ της προστατευόμενης εφαρμογής και της βάσης δεδομένων. Ο μηχανισμός θα πρέπει να είναι επεκτάσιμος ώστε στο μέλλον να μπορεί να υποστηρίξει και άλλου τύπου βάσεις. Παραδοτέο της μεταπτυχιακής διατριβής θα είναι ο πηγαίος κώδικας του μηχανισμού καθώς και η σχετική τεκμηρίωση. Δ. Γλυνός 

  

  

 

 

Όλες οι πτυχιακές εργασίες πρέπει να ακολουθούν το επισυναπτόμενο πρότυπο.

Διδάσκοντες

Η κατευθυνση παρέχει ένα συνδυασμό διαλέξεων από έμπειρο και εξειδικευμένο ακαδημαϊκό προσωπικό, καθώς και καταξιωμένους επαγγελματίες του χώρου.

Περισσότερα

Συνεργασίες

Στο πλαίσιο του μεταπτυχιακού προγράμματος αναπτύσσονται συνεργασίες με ακαδημαϊκούς, ερευνητικούς ή επαγγελματικούς φορείς.

Περισσότερα

Δημοσιεύσεις

Περιηγηθείτε στις δημοσιεύσεις των μελών της κατεύθυνσης του μεταπτυχιακού προγράμματος σπουδών σε επιστημονικά συνέδρια και περιοδικά.

Περισσότερα