Daria Pietraszko, absolwentka Wydziału Informatyki i Telekomunikacji została laureatką nagrody NASK za najlepszą pracę dyplomową z zakresu cyberbezpieczeństwa. Wyróżnienie odebrała podczas XXXI Forum Teleinformatyki zorganizowanego w Ministerstwie Cyfryzacji.

Forum to jedno z największych i najbardziej prestiżowych tego typu wydarzeń w Polsce. W jego trakcie poruszane są kluczowe tematy związane z praktycznymi zastosowaniami informatyki w administracji i gospodarce Polski.

Wydarzenie odbywa się pod honorowym patronatem Ministerstwa Cyfryzacji, Narodowego Banku Polskiego, Rządowego Centrum Bezpieczeństwa, rektora Uniwersytetu Warszawskiego i prezesa Polskiego Towarzystwa Informatycznego.

W jego trakcie tradycyjnie wręczane są również nagrody dla laureatów ogólnopolskiego Konkursu Młodych Mistrzów. W tym roku uznanie ekspertów NASK zdobyła praca magisterska „Opracowanie rozwiązania opartego na introspekcji maszyn wirtualnych, służącego do wykrywania złośliwego oprogramowania typu rootkit” napisana przez Darię Pietraszko z W4 pod opieką dr. inż. Wojciecha Wodo z Katedry Telekomunikacji i Teleinformatyki.

W uzasadnieniu podkreślono, że nagrodzona praca wyróżniała się nie tylko wysokim poziomem merytorycznym, ale także praktycznym potencjałem wdrożeniowym.

– Rozwijanie młodych polskich talentów to jedna z kluczowych inwestycji w przyszłość państwa. Każdy projekt, który dziś rodzi się na uczelni, jutro może stać się fundamentem systemów chroniących administrację, biznes czy obywateli przed zaawansowanymi atakami. Dlatego tak ważne jest, abyśmy już na etapie studiów i pierwszych badań naukowych wspierali odwagę, kreatywność i odpowiedzialność młodych specjalistów – podkreślał w trakcie uroczystości Radosław Nielek, dyrektor NASK.

Warto podkreślić, że praca zdobyła także drugie miejsce w Ogólnopolskim Konkursie Polskiego Towarzystwa Informatycznego na najlepsze prace magisterskie z informatyki. 

Jak wytropić niewidzialne cyfrowe pasożyty?

W swojej pracy nasza absolwentka stworzyła system detekcji złośliwego oprogramowania typu rootkit przy wykorzystaniu technik introspekcji maszyn wirtualnych.

– Opracowałam autorski system wykrywający rootkity, czyli rodzaj złośliwego oprogramowania, które potrafi ukryć się przed standardowymi mechanizmami bezpieczeństwa. Rozwiązanie to działa na poziomie wirtualizacji (hipernadzorcy), czyli w warstwie z reguły niedostępnej i nieuchwytnej dla typowego rootkita. Przypomina to nieco obserwowanie złodzieja z poziomu kamery, przed którą nie może się ukryć – tłumaczy Daria Pietraszko.

Tematyką złośliwego oprogramowania nasza laureatka interesuje się już od dłuższego czasu. Kilka lat temu, wspólnie z kolegami z Koła Naukowego White Hats, w ramach projektu Malwarelab stworzyła środowisko do analizy malware’u oparte na Drakvuf Sandbox, opracowanym przez CERT Polska.

– Sam Drakvuf Sandbox bazuje na projekcie Drakvuf autorstwa Tamasa K. Lengyela, który z kolei wykorzystuje bibliotekę LibVMI tego samego twórcy, służącą do introspekcji maszyn wirtualnych. To właśnie ta biblioteka wraz z samą koncepcją introspekcji szczególnie mnie zainteresowały – wyjaśnia absolwentka W4. –  Pracę inżynierską również oparłam na Drakvuf Sandbox, ale w pewnym momencie chciałam pójść dalej i stworzyć coś własnego, wciąż związanego z tą tematyką, ale sięgającego głębiej. Postanowiła zatem zajrzeć o dwa komponenty niżej niż wcześniej. Jeśli chodzi o same rootkity, moją uwagę w ich stronę skierowały materiały dotyczące Drakvufa. Często trafiałam na informację, że jest to rozwiązanie trudno wykrywalne nawet przez najbardziej zaawansowane złośliwe oprogramowanie, co zaintrygowało mnie na tyle, by sprawdzić, czym te wyrafinowane zagrożenia właściwie są – dodaje.

Laureatka przyznaje, że największym wyzwaniem w przygotowaniu pracy był zdecydowanie aspekt techniczny, natomiast sam pomysł i teoretyczne założenia detekcji były stosunkowo nieskomplikowane.

– Trudności zaczęły się przy wdrożeniu. Najpierw musiałam dobrze poznać wybranego hipernadzorcę – składnię plików konfiguracyjnych, dostępne opcje sieciowe i inne aspekty techniczne. Potrzebowałam też odpowiedniego sprzętu, ponieważ instalacja Xena na moim standardowym komputerze mogłaby się źle skończyć, a wirtualna maszyna nie wchodziła w grę ze względu na to, że zagnieżdżona wirtualizacja również nie działa zbyt dobrze w tym przypadku – tłumaczy Daria Pietraszko.

Następnie przyszedł czas na kompilację i konfigurację narzędzi do introspekcji maszyn wirtualnych, a przede wszystkim na zrozumienie, jak wykorzystać bibliotekę LibVMI we własnym kodzie. Laureatka zwraca uwagę, że dokumentacja jest całkiem przyzwoita, ale i tak musiała przeszukiwać kod źródłowy repozytorium, żeby dotrzeć do niektórych nieopisanych funkcjonalności.

– W pewnym momencie uświadomiłam sobie też, że w tym wypadku praca z surową pamięcią jest trudniejsza niż mi się wydawało np. wewnętrzne struktury systemu Windows musiałam parsować własnymi rozwiązaniami. Wymagało to z bardzo szczegółowego ich zrozumienia i przeszukiwania blogów oraz nieoficjalnych dokumentacji, ponieważ część z nich albo nie była oficjalnie udokumentowana, albo różniła się w zależności od wersji systemu Windows – zaznacza absolwentka W4 .

Sporo czasu pochłonęła również selekcja odpowiednich próbek złośliwego oprogramowania oraz debugowanie kodu.

– Wyniki badań były dla mnie pozytywną niespodzianką. Nie spodziewałam się tak wysokiej skuteczności detekcji ani tak niskiego poziomu błędów fałszywie pozytywnych. Zaskoczyło mnie też kilka rzeczy związanych z wewnętrznymi strukturami systemu Windows – przyznaje Daria Pietraszko, która planuje kontynuować swoje badania na PWr w ramach studiów doktoranckich.

mic