IN1020 ?velsesoppgaver 10.-15.11.2017 1. a) SSL/TLS: Finn ut n?r sertifikatet for https://devilry.ifi.uio.no utl?per. Kan du se hvem som har utstedt sertifikatet? En nettleser inneholder oversikt over alle betrodde sertifikatutstedere (Certificate Authority, CA). Disse kan du finne i nettleserens oppsett. For Firefox finner du listen under Edit -> Preferences -> Advanced -> Ceritficates -> View certificates. 2. a) Bruk https://www.ssllabs.com/ for ? sjekke browseren din. Browser p? Ifi, laptop, mobil, nettbrett, etc. Er den s?rbar? Hvilke protokoller st?tter den? b) Bruk https://www.ssllabs.com/ for ? sjekke kjente web-servers sertifikat og konfigurasjon. Finner du s?rbarheter? Kan du si noe om sertifikater, n?kler, protokoller og Cipher Suites de st?tter? c) Ta ogs? en kikk p? https://www.ssllabs.com/ssl-pulse/ 3. Unix tilgangskontroll. Utf?res p? Ifis linux-maskiner. Tilgangskontroll er et (av mange) sikkerhetstiltak innen informasjonssikring. I denne oppgaven skal du anvende det du l?rte om Unix tilgangsstyring tidligere i kurset (forelesning om Operativsystemer), til ? gj?re deg litt bedre kjent med tilgangskontroll. Opprett en mappe p? hjemmeomr?det ditt, og legg en fil med litt tekst i denne mappen (abc.txt). Endre rettighetene p? mappen slik at eieren kun har tilgang 'execute'. Pr?v deretter ? a) Liste innholdet i mappen, se p? innholdet i fila abc.txt, lage en kopi av abc.txt i samme mappe, samt flytte deg inn til mappen med kommendoen 'cd'. b) Gjenta det samme eksperimentet, men med ? f?rst sette "read" rettighet og deretter "write" rettighet p? mappen. Fors?k ? forst? det du observerer. c) Hvordan bidrar denne enkle tilgangskontrollen til ? oppn? sikkerhetsm?lene konfidensialitet og dataintegritet? 4. Sjekksumalgoritme. Gj?res p? Ifis linux-maskiner. a) Programmet sha256sum genererer en sjekksum av en fil basert p? algoritmen SHA256: [kritisk@vestur]>sha256sum abc.txt 6ee0c32c675ce6d3bd3f6e326c81e45b3d6675c29c0c9ced1398684a667804e9 abc.txt Gj?r endringer i fila abc.txt, og kj?r programmet en gang til. Er n?kkelen den samme? b) Hvordan kan sjekksumalgoritmer bidra til ? sikre dataintegritet? c) Finn og diskuter situasjoner/eksempler hvor bruk av sjekksumalgoritme kan v?re nyttig for deg. 5. Assymetrisk kryptering, med n?kkelpar best?ende av privat og offentig n?kkel, benyttes bl.a. til b?de digital signatur og kryptering av innhold av en melding. Hvordan m? n?kkelparet benyttes (dvs. er det avsender eller mottagers n?kkelpar som skal benyttes? Og hvem skal benytte offentlig og hvem skal benytte privat n?kkel?) ved a) digital signatur (autentisere opphav til en melding, alts? at avsender er korrekt)? b) kryptering av innhold i en melding? 6. Ta utgangspunkt i begrepet CIA, og vurder og diskuter hva som er hovedtrusselen mot og hvilke sikkerhetstiltak som kan bidra til ? oppn? henholdsvis: a) Konfidensialitet b) Integritet c) Tilgjengelighet 7. Vurder UiOs passordregime. Syns du for eksempel at kravene til gyldige passord strenge nok? Hvilke fordeler/ulemper gir det ? bruke det som kalles en passordfrase? Hint: Se passord.uio.no, IT-sikkerhetsh?ndboken, etc. 8. Dilemma til diskusjon: Jim jobber i innenriksdepartementet. Han er veldig forn?yd med ? f? jobbe med deres nye satsningsomr?de, automatisert saksbehandling, de neste to ?rene. Han har f?tt beskjed om ? bytte kontorplass fordi alle som jobber i prosjektet skal sitte samlet i et ?pent landskap i ?verste etasje. Samtidig som de flytter inn i landskapet f?r de utdelt nye PC-er. P? disse er det et klistremerke med budskapet ?L?s PC-en n?r du g?r fra den!?. Jim husker at informasjonssikkerhetsansvarlig snakket om dette p? nyansattkurset han deltok p? for lenge siden, men har egentlig aldri forst?tt hvorfor han skal l?se PC-en sin. Alle i landskapet jobber p? det samme prosjektet. Hvorfor skal de egentlig l?se PC-en sin? 9. En s?rbarhet i WPA2 (Krack attacs) ble nylig offentliggjort. Bruk litt tid p? ? lese https://nsm.stat.no/norcert/norcertvarsler/wifi-protokollen-wpa2/.