Analýza anonymity aplikace Anketa ČVUT

Abstract

Tato bakalářská práce se zabývá analýzou anonymity aplikace Anketa ČVUT, webové aplikace, kterou využívá České vysoké učení technické pro interní hodnocení výuky. Tato aplikace spadá do kategorie anonymních anketních systémů, což znamená, že data obsažená v dotaznících ode- vzdaných studenty by neměla být spojitelná s jejich identitou. Tato práce zkoumá především tuto vlastnost, její implementaci v rámci aplikace, a předestírá možné hrozby a nedostatky, které mohou ohrozit soukromí uživatelů. Analýza anonymity je v práci pojatá jako analýza hrozeb s využitím modelu LINDDUN jakožto hlavní metodologie pro modelování hrozeb soukromí. Pro- ces analýzy hrozeb spočívá ve studiu a popisu analyzované aplikace, a to jak pomocí veřejně dostupných informací, tak i pomocí zdrojových kódů a dalších částí systému, ke kterým nemají přístup běžní uživatelé. Po sběru informací následuje vytvoření diagramů datových toků sys- tému, které zobrazují jednotlivé komponenty systému a datové toky mezi nimi. Jednotlivé části systému a celý systém jsou poté prozkoumány z hlediska možných hrozeb soukromí, které spadají do některé kategorie hrozeb obsažené v metodologii LINDDUN. Zjištěné hrozby jsou následně hodnoceny z hlediska dopadu na anonymitu studentů. Tato práce popisuje vnitřní fungování aplikace, stejně jako konkrétní bezpečnostní hrozby, jako například chybnou konfiguraci JWT a další zranitelnosti nalezené v rámci systému. V závěru práce jsou navržena vhodná opatření ke zlepšení anonymity a ochrany soukromí uživatelů.

The bachelor's thesis deals with an anonymity analysis of the Anketa CTU application, an online survey system used by the Czech Technical University for an anonymous course and instructor evaluation. The application falls into the category of anonymous survey systems, meaning the data contained in the survey questionnaires submitted by students should not be linked to the student's identity. The thesis examines this property, its implementation within the application, and discusses possible threats and pitfalls that could potentially compromise the users' privacy. The chosen approach for the anonymity analysis involves a threat analysis using the LINDDUN privacy threat modeling framework. The threat modeling process consists of studying and describing the application using both the publicly available information as well as the source code files and other parts of the system which are not accessible to the general public. After the information gathering phase, the next step is to create data flow diagrams of the system which depict individual system components and data flows. The individual parts of the system, as well as the system as a whole, are then examined for privacy threats that fit into any of the LINDDUN threat categories. The listed threats are then evaluated by their impact on the students' anonymity. The thesis describes the application's inner workings as well as a JWT misconfiguration and other vulnerabilities discovered within the system. Finally, the thesis proposes suitable mitigation strategies and anonymity-enhancing solutions.