IN1020 Øvelsesoppgaver 10.-15.11.2017 1. a) SSL/TLS: Finn ut når sertifikatet for https://devilry.ifi.uio.no utløper. Kan du se hvem som har utstedt sertifikatet? En nettleser inneholder oversikt over alle betrodde sertifikatutstedere (Certificate Authority, CA). Disse kan du finne i nettleserens oppsett. For Firefox finner du listen under Edit -> Preferences -> Advanced -> Ceritficates -> View certificates. 2. a) Bruk https://www.ssllabs.com/ for å sjekke browseren din. Browser på Ifi, laptop, mobil, nettbrett, etc. Er den sårbar? Hvilke protokoller støtter den? b) Bruk https://www.ssllabs.com/ for å sjekke kjente web-servers sertifikat og konfigurasjon. Finner du sårbarheter? Kan du si noe om sertifikater, nøkler, protokoller og Cipher Suites de støtter? c) Ta også en kikk på https://www.ssllabs.com/ssl-pulse/ 3. Unix tilgangskontroll. Utføres på Ifis linux-maskiner. Tilgangskontroll er et (av mange) sikkerhetstiltak innen informasjonssikring. I denne oppgaven skal du anvende det du lærte om Unix tilgangsstyring tidligere i kurset (forelesning om Operativsystemer), til å gjøre deg litt bedre kjent med tilgangskontroll. Opprett en mappe på hjemmeområdet ditt, og legg en fil med litt tekst i denne mappen (abc.txt). Endre rettighetene på mappen slik at eieren kun har tilgang 'execute'. Prøv deretter å a) Liste innholdet i mappen, se på innholdet i fila abc.txt, lage en kopi av abc.txt i samme mappe, samt flytte deg inn til mappen med kommendoen 'cd'. b) Gjenta det samme eksperimentet, men med å først sette "read" rettighet og deretter "write" rettighet på mappen. Forsøk å forstå det du observerer. c) Hvordan bidrar denne enkle tilgangskontrollen til å oppnå sikkerhetsmålene konfidensialitet og dataintegritet? 4. Sjekksumalgoritme. Gjøres på Ifis linux-maskiner. a) Programmet sha256sum genererer en sjekksum av en fil basert på algoritmen SHA256: [kritisk@vestur]>sha256sum abc.txt 6ee0c32c675ce6d3bd3f6e326c81e45b3d6675c29c0c9ced1398684a667804e9 abc.txt Gjør endringer i fila abc.txt, og kjør programmet en gang til. Er nøkkelen den samme? b) Hvordan kan sjekksumalgoritmer bidra til å sikre dataintegritet? c) Finn og diskuter situasjoner/eksempler hvor bruk av sjekksumalgoritme kan være nyttig for deg. 5. Assymetrisk kryptering, med nøkkelpar bestående av privat og offentig nøkkel, benyttes bl.a. til både digital signatur og kryptering av innhold av en melding. Hvordan må nøkkelparet benyttes (dvs. er det avsender eller mottagers nøkkelpar som skal benyttes? Og hvem skal benytte offentlig og hvem skal benytte privat nøkkel?) ved a) digital signatur (autentisere opphav til en melding, altså at avsender er korrekt)? b) kryptering av innhold i en melding? 6. Ta utgangspunkt i begrepet CIA, og vurder og diskuter hva som er hovedtrusselen mot og hvilke sikkerhetstiltak som kan bidra til å oppnå henholdsvis: a) Konfidensialitet b) Integritet c) Tilgjengelighet 7. Vurder UiOs passordregime. Syns du for eksempel at kravene til gyldige passord strenge nok? Hvilke fordeler/ulemper gir det å bruke det som kalles en passordfrase? Hint: Se passord.uio.no, IT-sikkerhetshåndboken, etc. 8. Dilemma til diskusjon: Jim jobber i innenriksdepartementet. Han er veldig fornøyd med å få jobbe med deres nye satsningsområde, automatisert saksbehandling, de neste to årene. Han har fått beskjed om å bytte kontorplass fordi alle som jobber i prosjektet skal sitte samlet i et åpent landskap i øverste etasje. Samtidig som de flytter inn i landskapet får de utdelt nye PC-er. På disse er det et klistremerke med budskapet «Lås PC-en når du går fra den!». Jim husker at informasjonssikkerhetsansvarlig snakket om dette på nyansattkurset han deltok på for lenge siden, men har egentlig aldri forstått hvorfor han skal låse PC-en sin. Alle i landskapet jobber på det samme prosjektet. Hvorfor skal de egentlig låse PC-en sin? 9. En sårbarhet i WPA2 (Krack attacs) ble nylig offentliggjort. Bruk litt tid på å lese https://nsm.stat.no/norcert/norcertvarsler/wifi-protokollen-wpa2/.