Dr. Boldizsár Bencsáth

Assistant Professor
e-mail: bencsath (at) crysys.hu

office: I.E. 431
tel: +36 1 463 3422
fax: +36 1 463 3266

Short Bio

Boldizsár BENCSÁTH was born in 1976. He received an MSc in Computer Science from the Budapest University of Technology and Economics in 2000, and a Master of Economics from the Budapest University of Economic Sciences and Public Administration in 2001. Since 2000 he has been working in the Laboratory of Cryptography and System Security (CrySyS), Department of Telecommunications, Budapest University of Technology and Economics.

Current Courses

IT Security (VIHIAC01)

This BSc course gives an overview of the different areas of IT security with the aim of increasing the security awareness of computer science students and shaping their attitude towards designing and using secure computing systems. The course prepares BSc students for security challenges that they may encounter during their professional carrier, and at the same time, it provides a basis for those students who want to continue their studies at MSc level (taking, for instance, our IT Security minor specialization). We put special emphasis on software security and the practical aspects of developing secure programs.

IT Security (in English) (VIHIAC01)

This BSc course gives an overview of the different areas of IT security with the aim of increasing the security awareness of computer science students and shaping their attitude towards designing and using secure computing systems. The course prepares BSc students for security challenges that they may encounter during their professional carrier, and at the same time, it provides a basis for those students who want to continue their studies at MSc level (taking, for instance, our IT Security minor specialization). We put special emphasis on software security and the practical aspects of developing secure programs.

Computer Security (VIHIMA06)

The course introduces security problems in computing systems, as well as the principles, practical mechanisms, and tools used to solve them. The term computer is interpreted in a broad sense, and it includes personal computers, servers, mobile devices, and embedded computers. The course covers physical security and OS level security of computers, software security issues at the application level, secure programming, and the problem of malicious software (malware).

Network Security (VIHIMB00)

This course gives a detailed introduction into the security problems of computer networks, and it gives an overview of the possible solutions to those problems. It also covers issues related to secure operation of networks in practice, including modern tools and techniques used to ensure security. Students get theoretical knowledge and practical skills that form the basis of secure network operations, and allow them to assess security risks, understand threats and vulnerabilities, select and integrate appropriate security solutions, and to design new security mechanisms. The course also serves as a basis for obatining skills in penetration testing and ethical hacking of networks.

IT Security Laboratory (VIHIMB01)

This laboratory extends and deepens the knowledge and skills obtained in the courses of the IT Security minor specialization by solving practical, hands-on exercises in real, or close-to-real environments.

Student Project Proposals

Android malware támadások és a védekezés helyzete

A kártékony kódok jelenléte ma már a mobiltelefonokon sem ritkaság. Az antivírus cégek és programok igyekeznek ezeket felismerni, de ki tudja, milyen minőségben látják el a feladatukat. Sok esetben elképzelhető, hogy a vírusokat nem tartalmukról, hanem egyszerűen hash lenyomatukról azonosítják. Az androidos programok digitálisan alá vannak írva, de nem maga az APK fájl, hanem a benne levő fájlok. Ennek következtében az APK hash lenyomata manipulálható egyszerű módszerekkel úgy, hogy a digitális aláírás érvényes marad. A hallgató feladata az androdios kártékony kódok kapcsán előforduló, a fentiekhez hasonló apróbb-nagyobb vizsgálatok elvégzése. Irodalomkutatás: mik a trendek a területen. Konkrét minták vizsgálata: Mintaadatbázisainkban levő kártékony alkalmazások alátámasztják-e az irodalmi trendeket? Lehet-e könnyen megváltoztatni androidos kártékony programokat, hogy utána az antivirus programok már nem ismerik fel kártékonynak? A pontosabb feladatok és elvégzendő munka a hallgatóval közösen kerül kijelölésre.

Malware adattár fejlesztése és kezelése

Malware adattárunkban 100 terabyte-nál is több kártékony kódmintát tárolunk. Gyakran felmerül, hogy ebben a nagy adatmennyiségben kellene elosztott módon keresni. A keresésre elkészült már egy yara keresőre épült elosztott keresés, de ennek felhasználói felülete hagyott kivetni valókat, nehezen használható, lassú. A hallgató feladata megismerni a malware adattár felépítését, megvizsgálni működését, esetleg statiszikákat csinálni a benne tárolt tartalomról. Gyorsítani és felhasználóbaráttá tenni a kereséseket. Természetesen a hallgató első feladata megismerni a rendszer felépítését és megbarátkozni a környezettel és a rendszer használatával. A pontosabb elvégzendő feladatok és határidők a hallgatóval közösen kerülnek megbeszélésre.

Obfuszkált malware minták automatizált deobfuszkációja

A kártékony kódokat nagy mennyiségük miatt főként automatizált elemzésekkel kezelik az antivirus cégek. A kártékony kódok készétői pedig természetesen mindent megtesznek, hogy ha lehet, ne lehessen automatikus elemzéssel rájönni, hogy mit is csinál a programjuk, sőt, lehetőleg még kézi elemzést se lehessen könnyen végezni. Ez igaz lehet hagyományos malware támadásokra (botnetek, ransomware), de igaz lehet célzott támadásokra is. Az analízis megnehezítésére több eszköz van, ezek egyike a kódobfuszkáció, packelés és más módszerek. Számos ismert obfuszkációs technika létezik, de kifejlesztettek már számos módszert arra is, hogy az így védett kódot unpackeljük, deobfuszkáljuk, vagy más módszerekkel elemezzük. A hallgató elsődleges feladata a téma megismerése, a jelenleg használt védelmi és támadási technikák vizsgálata, az irodalom megismerése. A pontosabb feladatokat a hallgatóval szóban beszéljük meg, de ilyen feladatok lehetnek: Automatizált deobfuszkáció megvalósítás és integrálása malware adatbázis rendszerünkbe, nagy malware adatbázisunk alapján az obfuszkációra vonatkozó statisztikák készítése, ismeretlen obfuszkációval védett programok keresése, azokra új automatizált deobfuszkációs megoldás tervezése, de akár a deobfuszkáció elméleti vizsgálata is.

Whitelisting alapú végpontvédelem

Számítógépek kártékony kód elleni védelménél whitelisting alkamlazása esetén a hagyományos hozzáállást megfordítjuk. Tipikus PC környezetben minden alkalmazás lefuthat, csak az nem, amelyet kártékonynak gondolunk pl. antivirus adatbázisok alapján. Whitelisting esetében pont fordítva történik, nem futhat semmilyen alkalmazás a gépen, csak azok, amelyekről úgy gondoljuk, hogy nem kártékonyak, információnk van róluk, és engedélyezettek. A whitelisting főleg vállalati környezetben hatékony, ahol ritkán telepítenek új szoftvereket a gépekre. A hallgató feladata a whitelisting megoldások jelenlegi helyzetének megvizsgálása. Milyen főbb megoldások vannak? Vannak-e ingyenes megoldások? Mik a jelenlegi kihívások a whitelisting területén, könnyű-e megkerülni a megoldást, esetleg mik a fő kényelmetlenségek? Hogyan lehetne javítani a megoldások működésén új gondolatok alapján? Feltételezésünk, hogy a whitelisting megoldások működését segíthetik olyan megoldásaink felhasználása, mint a CrySyS Lab ROSCO rendszere, vagy éppen ismert kártékony kódokat tartalmazó 100 TB fölötti malware adatbázisa. A témához kapcsolódóan van ipari partnere a laboratóriumnak, amely cég alkalmaz whitelisting terméket és így konkrét tapasztalatokkal és kérdésekkel tud segíteni ismert piaci termékkel kapcsolatban is. Az elvégzendő pontosabb feladatok és határidők hallgatóval szóban kerülnek egyeztetésre.