Bezpečnostní analýza zálohovacího nástroje Duplicati

Abstract

Tato práce se zabývá bezpečnostní analýzou zálohovacího nástroje Duplicati. V práci je přiblížena problematika zálohování a je popsán nástroj Duplicati s jeho vlastnostmi. Bezpečnostní analýza nástroje zkoumá formát zálohy, který je v nástroji použit, a prověřuje bezpečnost při práci s citlivými daty. Na základě analýzy bylo nalezeno několik bezpečnostních zranitelností. Identifikované zranitelnosti jsou ohodnoceny metodikou CVSS a jsou navržena opravná řešení. Práce upozorňuje, že některé použití nástroje může vést k zásadnímu oslabení bezpečnosti s fatálními následky. Nejzásadnější zranitelností je odposlouchávání nešifrované webové komunikace při použití nástroje na síťovém rozhraní. Další kritickou zranitelností nástroje je povolení použít příliš slabé vstupní heslo.

This thesis addresses the security analysis of the Duplicati backup tool. The thesis describes the issue of backup and describes the Duplicati tool and its features. The security analysis of the tool examines the backup format of the tool and verifies the safety of working with sensitive data. Based on the analysis, several security vulnerabilities were found. Identified vulnerabilities are evaluated using the CVSS methodology and corrective solutions are proposed. The work warns that some use of the tool can lead to a fundamental weakening of security with fatal consequences. The most critical vulnerability is the eavesdropping of unencrypted web traffic when the tool is used on the network interface. Another critical vulnerability in the tool is the possibility of using a password that is too weak.