IN1020 ?velsesoppgaver 16.-23.11.2017 Oppgave 1. a) I hvilke situasjoner og til hvilke form?l kan kryptografi benyttes til ? beskytte informasjon? b) Hvorfor er riktig administrasjon av kryptografiske n?kler s? viktig? c) Beskriv kort hovedform?let med PKI Oppgave 2. Anne skal sende en melding til Per, uten at Tom kan f? tak i den. Anne og Per har avtalt ? bruke symmetrisk kryptering og de har allerede utvekslet n?kler. Beskriv fremgangsm?ten (stegene) de m? f?lge for ? kryptere, sende og dekryptere meldingen. Oppgave 3. Til tross for at en webtjeneste for en nettbank er sv?rt sikkert konfigurert (eks. h?y score hos ssllabs), kan ting g? galt f.eks. n?r en bruker skal bruke (logge seg inn til) banken for ? betale en regning. Diskuter mulige feil som kan oppst? (hint: brukerfeil, tr?dl?st nett, etc). Oppgave 4. Hvorfor ?nsker man at brukere av et tr?dl?st nett (f.eks. UiO-nettet/eduroam) skal autentisere seg f?r de f?r tilgang til nett og ressurser i nettet? Oppgave 5. Fagl?rerne i et informatikkemne skal Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@e om ? lage h?stens eksamensoppgave, og arbeider hver for seg p? egne datamaskiner. Per benytter sin egen laptop til ? jobbe med oppgavene, mens Anne helst bruker UiOs datamaskiner og hjemmeomr?de. a) Hva er sannsynlige sikkerhetstrusler i dette scenarioet? b) Hvilke sikkerhetstiltak b?r Per, som jobber lokalt p? laptop, tenke p?? c) Hvilke sikkerhetstiltak b?r Anne spesielt passe p?? d) Er l?sningene de har valgt trygge nok for ? ivareta konfidensialitet og integritet? e) Vurder hvordan de trygt kan utveksle oppavene? Oppgave 6. Et sykehus benytter elektroniske journaler. I journalene er det ogs? opplysninger om pasienters kjente allergier, f.eks. mot medikamenter. Journalene benyttes av leger ved sykehuset n?r det skal foreskrives medikamenter til pasienter, gi bed?vende midler/narkose f?r operasjoner, etc. a) Hvilke sikkerhetsm?l er viktige ? ivareta for journalsystemet basert p? opplysningene gitt over? b) Beskriv mulige/sannsynlige sikkerhetstrusler i dette scenarioet. c) Kan du r?dgi sykehuset om sikkerhetstiltak som b?r innf?res for journalsystemet? Oppgave 7. Beskriv hvordan en angriper kan bruke sosial manipulering til ?: a) f? uautorisert tilgang til en virksomhets/et firma's lokaler/bygg b) installert skadevare p? de personlige datamaskinen til selskapets direkt?r. Hent gjerne inspirasjon fra http://www.sans.org/rr/whitepapers/engineering/ :-) Oppgave 8. a) Hvilke s?rbarheter er det vanlig ? utnytte i det vi kaller phishing attacks? b. Foresl? sikkerhetstiltak for ? forebygge slike angrep (phishing attacks). Oppgave 9 I oppkobling mot en online webtjeneste autentiseres brukeren i starten av sesjonen. Data utveksles s? med webtjeneren til og fra vedkommendes lokale maskin (endenode). Kan tjenestetilbyder p? bakgrunn av brukerautentiseringen anta at data som mottas gjennom den etablerte forbindelsen er autentiske? Oppgave 10 En mulig definisjon av risiko er: risiko = sannsynlighet * innvirkning. Diskuter risiko etter denne definisjonen med utgangspunkt i "Trussel om DDoS angrep mot en nettbutikks web-tjenester". Oppgave 11 Gj?r en vurdering av hvordan du behandler egne data/informasjon. Private, p? UiO/Ifi, jobb. Ta utgangspunkt i mulige sikkerhetstrusler og sikkerhetstiltak du allerede har eller b?r iverksette. Oppgave 12 Personvernloven sier at den registrerte skal kunne ettersp?rre og f? oppgitt alle opplysninger registrert om seg selv innen et gitt antall dager. Hvordan skal en virksomhet som behandler personopplysninger kunne sikre dette? Oppgave 13 Tilgangskontroll i Devilry: I innleveringssystemet Devilry har en bruker ulike roller i ulike emner: Student, retter, fagl?rer og administrator (typisk studieadministrasjonen). Etter mal fra forelesning: Tenkt deg fram til og gi eksempler p? subjekt, objekt og handling i systemet Devilry. Ikke bind deg til handlinger du tror er tillatt. For den spesielt interesserte: Oppgave 14 https://dhavalkapil.com/blogs/Buffer-Overflow-Exploit/ gir en beskrivelse og god oppskrift for hvordan en bufferoverflow kan gjennomf?res. F?lg oppskriften og se om du kan f? programmet til ? kj?re den hemmelige koden!