The use of specialized HW devices in social engineering

Thesis title: Využití specializovaných HW zařízení v sociálním inženýrství
Author: Dryák, Zdeněk
Thesis type: Diplomová práce
Supervisor: Klíma, Tomáš
Opponents: Hampl, Marek
Thesis language: Česky
Abstract:
Diplomová práce se zabývá využitelností specializovaných zařízení v sociálním inženýrství. Hlavním cílem práce je provést penetrační testování prostřednictvím mikropočítače Bash Bunny v konkrétní společnosti a navrhnout nápravná opatření pro zlepšení informační bezpečnosti firmy. Dalšími dílčími cíli je analyzovat mikropočítač Bash Bunny a provést komparaci s jinými zařízeními, které je možné využít v sociálním inženýrství. Cílů je dosaženo pomocí metod analýzy zařízení, komparace a pozorování. Přínosem práce je identifikace zranitelností v bezpečnostní infrastruktuře firmy na základě provedených penetračních testů, ze kterých se mohou poučit i další společnosti za účelem eliminovat riziko potenciálních hackerských útoků. Přínos práce také spočívá v poskytnutí navrhovaných nápravných opatření testované firmě pro vylepšení informační bezpečnosti a vytvoření přehledného porovnání využití specializovaných zařízení v rámci sociálního inženýrství. Diplomová práce je rozdělena na teoretickou a praktickou část. Obsahem teoretické části jsou útoky v sociálním inženýrství, prostřednictvím kterých mohou útočníci manipulovat s obětí. Jednotlivé metody jsou postupně prokládány různými praktickými příklady, které v minulosti nastaly. V další části diplomové práce je zpočátku podrobně analyzován mikropočítač Bash Bunny, kde je nejprve kladen důraz na hardware a firmware zařízení. Dále jsou analyzovány typy payloadů a využitelnost mikropočítače v sociálním inženýrství. Následně je provedena komparace se zařízeními USB Rubber Ducky a WiFi Pineapple, rovněž využitelných v sociálním inženýrství. Závěrečná praktická kapitola obsahuje splnění hlavního cíle diplomové práce. Nejdříve je provedena bezpečnostní analýza společnosti v oblastech, které mají následnou návaznost na penetrační testování. Dále jsou navrženy a realizovány konkrétní penetrační testy prostřednictvím zařízení Bash Bunny, které byly testovanou společností schváleny. S ohledem na zjištěné nedostatky je součástí práce poskytnutí návrhu nápravných opatření společnosti pro vylepšení informační bezpečnosti. Závěr kapitoly obsahuje vyhodnocení dosažených výsledků diplomové práce.
Keywords: Bash Bunny; sociální inženýrství; penetrační testování; informační bezpečnost
Thesis title: The use of specialized HW devices in social engineering
Author: Dryák, Zdeněk
Thesis type: Diploma thesis
Supervisor: Klíma, Tomáš
Opponents: Hampl, Marek
Thesis language: Česky
Abstract:
The diploma thesis deals with the usability of specialized devices in social engineering. The main objective of the thesis is to conduct penetration testing using the Bash Bunny microcomputer in a specific company and to propose corrective measures to improve the company's information security. Additional goals include analyzing the Bash Bunny microcomputer and comparing it with other devices that can be used in social engineering. These goals are achieved through methods of device analysis, comparison and observation. The contribution of the diploma thesis is identifying vulnerabilities in the company's security infrastructure based on the conducted penetration tests, from which other companies can also learn in order to eliminate the risk of potential hacker attacks. Another benefit of this thesis is providing the tested company with proposed corrective measures for improving information security and creating a clear comparison of the use of specialized devices in social engineering. The thesis is divided into theoretical and practical parts. The theoretical part includes social engineering attacks through which attackers can manipulate the victim. Various methods are gradually interspersed with different practical examples that have occurred in the past. In the next part of the thesis, the Bash Bunny microcomputer is initially analyzed in detail, with an emphasis in the hardware and firmware of the device. Furthermore, the types of payloads and the usability of the microcomputer in social engineering are analyzed. This is followed by a comparison with devices USB Rubber Ducky and WiFi Pineapple, which are also used in social engineering. The final practical chapter contains the fulfillment of the main goal of the diploma thesis. Firstly, the security analysis of the company is conducted in areas that are subsequently related to penetration testing. Specific penetration tests, which were approved by the tested company, are then designed and performed through the Bash Bunny device. With regard to the identified shortcomings, the thesis provides the company with a proposal for corrective measures to improve information security. The conclusion of the chapter contains an evaluation of the results achieved in the diploma thesis.
Keywords: Bash Bunny; social engineering; penetration testing; information security

Information about study

Study programme: Informační management
Type of study programme: Magisterský studijní program
Assigned degree: Ing.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Informatics and Statistics
Department: Department of Systems Analysis

Information on submission and defense

Date of assignment: 13. 10. 2022
Date of submission: 2. 12. 2023
Date of defense: 22. 1. 2024
Identifier in the InSIS system: https://insis.vse.cz/zp/82372/podrobnosti

Files for download

    Last update: