Tomasz Biadacz, absolwent Politechniki Wrocławskiej otrzymał wyróżnienie Rady Programowej Forum Teleinformatyki oraz nagrodę specjalną NASK PIB za najlepszą pracę z zakresu cyberbezpieczeństwa. Nagrody wręczono podczas XXVII Forum Teleinformatyki.

Laureat jest absolwentem PWr, a pracę pt. „Ocena możliwości zastosowania analizy statycznej do identyfikacji zagrożeń bezpieczeństwa aplikacji webowych” przygotował pod kierunkiem dr inż. Bogumiły Hnatkowskiej z Katedry Informatyki Stosowanej, obecnie prodziekan WIT ds. kształcenia i dydaktyki.

– Temat na pracę narodził się podczas burzy mózgów. Stanowi ona swego rodzaju połączenie dziedzin informatyki, którymi się interesuję, czyli tworzeniem oprogramowania, aplikacjami webowymi oraz cyberbezpieczeństwem – mówi Tomasz Biadacz. – Czytając literaturę fachową, starałem się zidentyfikować najpopularniejsze podatności na ataki aplikacji webowych oraz chciałem ustalić, w jakim zakresie można wykorzystać statyczną analizę kodu do ich wynajdywania – dodaje. Jego uwagę zwrócił stosunkowo ubogi opis wykorzystania statycznej analizy kodu w kontekście ataków drogą niezabezpieczonej deserializacji danych. Dlatego właśnie w tym kierunku postanowił poprowadzić swoje dalsze badania.

Statyczna analiza kodu lub inaczej statyczna analiza oprogramowania komputerowego, to metoda debugowania (weryfikacji) kodu bez konieczności uruchamiania aplikacji. Proces ten przeważnie jest wykonywany przez zautomatyzowane narzędzie, w przeciwieństwie do przeglądu kodu, który przeprowadzany jest przez człowieka. Znajduje ona szerokie zastosowanie w inżynierii oprogramowania, procesie rozwoju oprogramowania, czy zespołach do spraw utrzymania jakości.

W swojej pracy nasz absolwent opisał m.in. mechanizm serializacji oraz deserializacji danych w językach Java oraz Kotlin, przedstawił kilka możliwych ataków wykorzystujących niezabezpieczoną deserializację, a także opracował listę najpopularniejszych sposobów przeciwdziałania tego typu atakom. W dalszych etapach starał się ustalić częstość występowania mechanizmu deserializacji danych w projektach napisanych w językach Java i Kotlin, a także przetestować ogólnodostępne narzędzia pod kątem skuteczności wykrywania wcześniej opisanych podatności.

Krok po kroku

– Jednym z etapów moich prac było określenie częstości występowania mechanizmu deserializacji w projektach. Na postawie przeglądu repozytoriów udało mi się ustalić, że mechanizm ten znajduje się w 18% przeanalizowanych projektów napisanych w Javie oraz ponad 7% projektów w języku Kotlin – tłumaczy laureat.

Idąc dalej tym tropem, starał się przetestować skuteczność ogólnodostępnych narzędzi do statycznej analizy. Okazało się, że spośród trzech badanych narzędzi tylko jednemu udało się zidentyfikować niezabezpieczoną deserializację dla jednego przypadku testowego napisanego w języku Java.

Żadnemu spośród badanych narzędzi nie udało się natomiast wskazać niezabezpieczonej deserializacji w języku Kotlin, co wskazywało na potrzebę zaimplementowania własnej reguły wykrywającej tę podatność. Potwierdziły to również badania przeprowadzone na wcześniej znalezionych publicznych projektach, w których również nie udało się odnaleźć miejsc z podatnościami.

W kolejnym etapie prac nasz absolwent przedstawił własną propozycję reguły wykrywającej niezabezpieczoną deserializację w języku Kotlin. Następnie przebadał jej skuteczność na wcześniejszych przypadkach testowych oraz projektach w rezultacie wykazując jej stuprocentową skuteczność w każdym z przeprowadzonych eksperymentów.

Wiele wyzwań

– Jednym z największych wyzwań w trakcie przygotowania pracy było przeprowadzenie dokładnej analizy literaturowej. Starałem się ustalić, jaka jest obecna wiedza w badanej przeze mnie dziedzinie oraz w jaki sposób mógłbym wnieść w nią wkład poprzez moją pracę – wyjaśnia Tomasz Biadacz. – Kolejnym wyzwaniem było przygotowanie własnej reguły statycznej analizy do wykrywania podatności. Nie miałem okazji wcześniej czegoś takiego robić, przez co realizując moją pracę na bieżąco uczyłem się czegoś nowego. Innym problemem była również uboga dokumentacja dołączona do narzędzia, w którym uruchamiałem własną regułę. Potrzebowałem dużo dodatkowego czasu, by dojść do tego, w jaki sposób ono działa i jak mogę je wykorzystać do swoich potrzeb – dodaje.

Trzeba pamiętać, że praca powstawała w warunkach epidemii koronawirusa, gdy nauka na Politechnice Wrocławskiej prowadzona była w formie zdalnej. Jednak jak przyznaje nasz absolwent, pandemia nie wpłynęła negatywnie na proces pisania pracy, a wręcz przeciwnie.

– Dzięki temu więcej czasu mogłem poświęcić na zbieranie materiałów oraz pisanie pracy. Wyzwaniem mogło być wykonanie analizy literaturowej, jednak dzięki licznym cyfrowym zbiorom prac naukowych mogłem ją przeprowadzić bez konieczności wizyty w bibliotekach – mówi Tomasz Biadacz. – Jeśli chodzi o wykonane przeze mnie badania podczas pisania pracy, to mogłem je bez przeszkód wykonywać na moim komputerze. Pandemia nie stanowiła również wyzwania podczas komunikacji z panią promotor. Byliśmy na bieżąco w kontakcie, a wszelkie uwagi, czy wątpliwości wyjaśnialiśmy drogą mailową lub za pośrednictwem wideokonferencji – podkreśla.

Tomasz Biadacz ukończył studia magisterskie na kierunku Informatyka ze specjalizacją „Zastosowanie Specjalistycznych Technologii Informatycznych (ZSTI)”, a obecnie pracuje jako software developer w branży E-commerce.