ENGLISH / MAGYAR
Kövess
minket
IT biztonság

 CrySyS Lab

A CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab) küldetése a magas színvonalú, nemzetközileg is elismert kutatás és oktatás az IT biztonság és a privátszféra védelem területén. Elsősorban gyakorlat-orientált, alkalmazott kutatással foglalkozunk, és számos projektben működünk együtt külföldi és hazai, ipari és akadémiai partnerekkel.

page/59/crysys_staff2.JPG

 

Kutatási területek

Kiber-fizikai rendszerek biztonsága

A labor egyik fő kutatási területe a kiber-fizikai rendszerek biztonsága, ahol három alkalmazási területre fókuszálunk: ipari vezérlő rendszerek (ICS/SCADA) biztonsága (beleértve az Ipar 4.0 rendszereket is), intelligens közlekedési rendszerek biztonsága (beleértve a modern járművek kiberbiztonságát és a V2X kommunikáció biztonságát is), és az Internet-of-Thing (IoT) rendszerek biztonsága. Foglalkozunk támadási módszerekkel és védelmi megoldásokkal ipar környezetben és járművek CAN hálózatán, PLC honeypont fejlesztéssel, ismeretlen protokollok automatizált visszafejtésével, beágyazott IoT eszközök platform szintű biztonságával (beleértve a biztonságos boot folyamatot, a biztonságos távoli szoftver-frissítést, a futási időben történő támadás-detekciót, és a malware-mentes állapot távoli igazolását), és IoT malware-ek detekciójával és elemzésével.

A gépi tanulás és a biztonság kapcsolata

Kiemelt kutatási területünk a gépi tanulásra épülő rendszerek biztonsága, illetve általában a gépi tanulás, mesterséges intelligencia és a biztonság kapcsolata. Egyre több biztonság-kritikus rendszer használ gépi tanulási algortimusokat (pl. önvezető autók, felhasználók biometria alapú hitelesítése, incidens és malware detekció, ...), ugyanakkor számos lehetséges alkalmazási területen a biztonsági problémák nincsenek még megfelelő szinten megoldva, és ez hátráltatja a gépi tanulási módszerek alkalmazását. Sok esetben például, a gépi tanulási modellekből kikövetkeztethetők a tanító adathalmaz tulajdonságai, esetleg egyedi elemek a tanító adathalmazból, ami privacy problémákhoz vezethet. Egy másik gyakori probléma, hogy a gépi tanulási algoritmusok sokszor megtéveszthetők jól konstruált ún. ellenséges példákkal (adversarial examples), melyeket a betanított modellek nagy valószínűséggel félre osztályoznak. Ellenséges módon módosítható a tanító adathalmaz is, ami különösen nagy probléma federált tanulás esetén, ahol egy rosszindulatú résztvevő olyan tanító adathalmazzal szennyezheti a rendszert, ami a federált modellt használhatatlanná teszi. A labor projektjeiben a fenti problémákkal foglalkozunk, új támadási és védekezési módszereket tervezünk, és igyekszünk mérhető, bizonyítható biztonsági garanciákat nyújtani (pl. differential privacy), melyek biztosítják a gépi tanulásra épülő rendszer megbízható és biztonságos működését, és a tanításra használt adatok védelmét.

A biztonság közgazdasági megközelítése

A biztonság közgazdaságtani megközelítésének motivációja az, hogy sok rendszer biztonsági hiányosságainak hátterében elsősroban nem műszaki problémák állnak, hanem azok a rosszul hangolt ösztönző erőkre vezethetők vissza, melyek nem serkentik a rendszer résztvevőit, üzemeltetőit erősebb biztonság megvalósítására. Az ilyen jellegű problémákat kényelmesen meg lehet fogalmazni, le lehet írni közgazdasági fogalmakkal, és elemzésükre jól alkalmazhatók a közgazdaságtan területén alkalmazott modellek és módszerek (pl. a játékelmélet). Négy konkrét alterülettel foglalkozunk: a közösségi hálózatokban felmerülő ún. interdependent privacy problémákkal (mikor egy résztvevő tevékenysége privacy externáliákat okoz más résztvevők számára); IT biztonsági kockázat-menedzsmenttel; a kiber-hadviselés mögött rejlő ösztönzési struktúrák elemzésével; és a gépi tanulásra épülő rendszerekben felmerülő fairness és free riding problémákkal.

További témakörök

Kompetenciáink közé tartozik a kártékony programok (malware-ek) elemzése és detekciója. Ezt a kompetenciát olyan szakértői munkák során építettük fel, melyekben valós célzott támadásokban használt malware-eket elemeztünk (pl. Duqu, Flame, MiniDuke, TeamSpy, Duqu 2.0, ...). A laboratórium rendelkezik a malware-ek biztonságos elemzéséhez szükséges sandbox környezettel. A malware elemzéssel kapcsolatos tevékenységek során ismereteket és gyakorlatot szereztünk az incidens kezelés és digitális elemzés (forensics) területén is. Ezen túl, a laboratórium néhány munkatársa jelentős tudással és tapasztalattal rendelkezik a kriptográfia és annak alkalmazásai területén.


Projektek

Számos EU FP6, FP7, H2020, és EIT Digital, valamint hazai támogatású projektben vettünk részt a fenti kutatási területeken.

Néhány kiemelt projektünk:

  • SPAM - Security, Privacy and Machine Learning
  • MELLODDY - Machine Learning Ledger Orchestration for Drug Discovery
  • SETIT - Security Enhancing Technologies for the Internet of Things
  • SECREDAS - Product Security for Cross Domain Reliable Dependable Automated Systems
  • DIGMAN - Modular digital manufacturing framework for SMEs
  • PIRAMID - Playground for Incident Response, and Advanced Malware and Intrusion Detection
  • SOC4CI - Security Operations Centre for Critical Infrastructures
  • WSAN4CIP - Wireless Sensor and Actuator Networks for Critical Infrastructure Protection
  • UBISEC&SENS - Ubiquitous Sensing and Security in the European Homeland
  • SEVECOM - Secure Vehicular Communications


Prototípusok

PLC honeypot

Kifejlesztettünk egy PLC honeypot-ot, azaz egy olyan csapda rendszert, ami kívülről úgy néz ki, mint egy valódi PLC, ám valójában csak imitálja egy PLC viselkedését és csalétkül szolgál egy ipari környezetet feltörni szándékozó külső támadó számára. A honeypot-unk ún. magas interaktivitású honeypot, ami azt jelenti, hogy megvalósítja azokat a hálózati szolgáltatásokat, amelyeket az imitált PLC is megvalósít. Ezt úgy értük el, hogy ugyanazokat a szolgáltatásokat, amik a PLC-n futnak, egy virtuális gépen futtatjuk. Ez a virtuális gép azonban természetesen semmit nem vezérel, csak loggolja az interakciókat. A logok később tanulmányozhatók, és belőlük információt lehet kinyerni a támadás taktikájára és eszközeire vonatkozóan. Nyomon követjük a PLC belső állapotának változását, pl. ha egy változót egy adott protokollon keresztül beállít a támadó egy adott értékre, akkor minden protokollon keresztül ami ezt a változót eléri a beállított értéket adjuk vissza. Ez a működés megnehezíti a honeypot-unk megkülönböztetését egy valódi PLC-től.

Oktatási célú IoT tesztrendszer

Létrehoztunk egy oktatási célú IoT tesztrendszert, amiben egy vízerőmű, egy adatközpont, vezetékes és vezeték nélküli szenzorok, és PLC-k találhatók, melyek aktuátorokon keresztül vezérlik az erőmű működését és az adatközpont klimatizációját. Ezt a tesztrendszert hallgatói méréseken használjuk, ahol a résztvevőknek az a feladatuk, hogy különböző módszerekkel megtámadják a rendszert, pl. meghamisítsák a szenzorok üzeneteit vagy átprogramozzák a PLC-ket és így módosítsák az aktuátorok vezérlését. A támadások egy részének fizikai hatásai lehetnek, pl. a vízerűmű felső tartályában található víz szintje annyira megemelkedik, hogy a víz túlfolyik a tartály peremén, vagy az adatközpont túlmelegszik. A mérések érdekessége, hogy a hallgatók megfigyelhetik támadásaik fizikai hatását.

page/59/IIoT-testbed.png 


További információk: