IN1020 ?vingsoppgaver 19.-23.11.2018 Oppgave 1. a) I hvilke situasjoner og til hvilke form?l kan kryptografi benyttes til ? beskytte informasjon? b) Hvorfor er riktig administrasjon av kryptografiske n?kler s? viktig? c) Beskriv kort hovedform?let med PKI Oppgave 2. Anne skal sende en melding til Per, uten at Tom kan f? tak i den. Anne og Per har avtalt ? bruke symmetrisk kryptering og de har allerede utvekslet n?kler. Beskriv fremgangsm?ten (stegene) de m? f?lge for ? kryptere, sende og dekryptere meldingen. Oppgave 3. Assymetrisk kryptering, med n?kkelpar best?ende av privat og offentig n?kkel, benyttes til b?de digital signatur og kryptering av innhold av en melding. Hvordan m? n?kkelparet benyttes (dvs. skal avsender eller mottagers n?kkelpar benyttes? Hvem skal benytte offentlig og hvem skal benytte privat n?kkel?) ved a) digital signatur (autentisere opphav til en melding, alts? at avsender er korrekt)? b) kryptering av innhold i en melding? Oppgave 4. Sjekksumalgoritme. Gj?res p? Ifis linux-maskiner. a) Programmet sha256sum genererer en sjekksum av en fil basert p? algoritmen SHA256: [kritisk@vestur]>sha256sum abc.txt 6ee0c32c675ce6d3bd3f6e326c81e45b3d6675c29c0c9ced1398684a667804e9 abc.txt Gj?r endringer i fila abc.txt, og kj?r programmet en gang til. Er n?kkelen den samme? b) Hvordan kan sjekksumalgoritmer bidra til ? sikre dataintegritet? c) Finn og diskuter situasjoner/eksempler hvor bruk av sjekksumalgoritme kan v?re nyttig for deg. Oppgave 5. Til tross for at en webtjeneste for en nettbank er sv?rt sikkert konfigurert (eks. h?y score hos ssllabs), kan ting g? galt f.eks. n?r en bruker skal bruke (logge seg inn til) banken for ? betale en regning. Diskuter mulige feil som kan oppst? (hint: brukerfeil, tr?dl?st nett, etc). Oppgave 6. Hvorfor ?nsker man at brukere av et tr?dl?st nett (f.eks. UiO-nettet/eduroam) skal autentisere seg f?r de f?r tilgang til nett og ressurser i nettet? Oppgave 7. Fagl?rerne i et informatikkemne skal 澳门葡京手机版app下载e om ? lage h?stens eksamensoppgave, og arbeider hver for seg p? egne datamaskiner. Per benytter sin egen laptop til ? jobbe med oppgavene, mens Anne helst bruker UiOs datamaskiner og hjemmeomr?de. a) Hva er sannsynlige sikkerhetstrusler i dette scenarioet? b) Hvilke sikkerhetstiltak b?r Per, som jobber lokalt p? laptop, tenke p?? c) Hvilke sikkerhetstiltak b?r Anne spesielt passe p?? d) Er l?sningene de har valgt trygge nok for ? ivareta konfidensialitet og integritet? e) Vurder hvordan de trygt kan utveksle oppavene? Oppgave 8. Et sykehus benytter elektroniske journaler. I journalene er det ogs? opplysninger om pasienters kjente allergier, f.eks. mot medikamenter. Journalene benyttes av leger ved sykehuset n?r det skal foreskrives medikamenter til pasienter, gi bed?vende midler/narkose f?r operasjoner, etc. a) Hvilke sikkerhetsm?l er viktige ? ivareta for journalsystemet basert p? opplysningene gitt over? b) Beskriv mulige/sannsynlige sikkerhetstrusler i dette scenarioet. c) Kan du r?dgi sykehuset om sikkerhetstiltak som b?r innf?res for journalsystemet? Oppgave 9. Beskriv hvordan en angriper kan bruke sosial manipulering til ?: a) f? uautorisert tilgang til en virksomhets/et firma's lokaler/bygg b) installert skadevare p? de personlige datamaskinen til selskapets direkt?r. Hent gjerne inspirasjon fra http://www.sans.org/rr/whitepapers/engineering/ :-) Oppgave 10. a) Hvilke s?rbarheter er det vanlig ? utnytte i det vi kaller phishing attacks? b. Foresl? sikkerhetstiltak for ? forebygge slike angrep (phishing attacks). Oppgave 11 I oppkobling mot en online webtjeneste autentiseres brukeren i starten av sesjonen. Data utveksles s? med webtjeneren til og fra vedkommendes lokale maskin (endenode). Kan tjenestetilbyder p? bakgrunn av brukerautentiseringen anta at data som mottas gjennom den etablerte forbindelsen er autentiske? Oppgave 12 Gj?r en vurdering av hvordan du behandler egne data/informasjon. Private, p? UiO/Ifi, jobb. Ta utgangspunkt i mulige sikkerhetstrusler og sikkerhetstiltak du allerede har eller b?r iverksette, og kikk gjerne p? UiOs "veiledning for klassifisering av data" (/tjenester/it/sikkerhet/lsis/tillegg/infoklasser.html) og "lagringsguide" (/tjenester/it/sikkerhet/lsis/tillegg/lagringsguide.html). Oppgave 13 Personvernloven sier at den registrerte skal kunne ettersp?rre og f? oppgitt alle opplysninger registrert om seg selv innen et gitt antall dager. Hvordan skal en virksomhet som behandler personopplysninger kunne sikre dette? Oppgave 14 Tilgangskontroll i Devilry: I innleveringssystemet Devilry har en bruker ulike roller i ulike emner: Student, retter, fagl?rer og administrator (typisk studieadministrasjonen). Etter mal fra forelesning: Tenkt deg fram til og gi eksempler p? subjekt, objekt og handling i systemet Devilry. Ikke bind deg til handlinger du tror er tillatt. Oppgave 15 Unix tilgangskontroll. Utf?res p? Ifis linux-maskiner. Tilgangskontroll er et (av mange) sikkerhetstiltak innen informasjonssikring. I denne oppgaven skal du anvende det du l?rte om Unix tilgangsstyring tidligere i kurset (forelesning om Operativssystemer), til ? gj?re deg litt bedre kjent med tilgangskontroll. Opprett en mappe p? hjemmeomr?det ditt, og legg en fil med litt tekst i denne mappen (abc.txt). Endre rettighetene p? mappen slik at eieren kun har tilgang 'execute'. Pr?v deretter ? a) Liste innholdet i mappen, se p? innholdet i fila abc.txt, lage en kopi av abc.txt i samme mappe, samt flytte deg inn til mappen med kommendoen 'cd'. b) Gjenta det samme eksperimentet, men med ? f?rst sette "read" rettighet og deretter "write" rettighet p? mappen. Fors?k ? forst? det du observerer. c) Hvordan bidrar denne enkle tilgangskontrollen til ? oppn? sikkerhetsm?l som konfidensialitet og dataintegritet? For den spesielt interesserte: Oppgave 16 https://dhavalkapil.com/blogs/Buffer-Overflow-Exploit/ gir en beskrivelse og god oppskrift for hvordan en bufferoverflow kan gjennomf?res. F?lg oppskriften og se om du kan f? programmet til ? kj?re den hemmelige koden!