IN1020 Øvelsesoppgaver 16.-23.11.2017 Oppgave 1. a) I hvilke situasjoner og til hvilke formål kan kryptografi benyttes til å beskytte informasjon? b) Hvorfor er riktig administrasjon av kryptografiske nøkler så viktig? c) Beskriv kort hovedformålet med PKI Oppgave 2. Anne skal sende en melding til Per, uten at Tom kan få tak i den. Anne og Per har avtalt å bruke symmetrisk kryptering og de har allerede utvekslet nøkler. Beskriv fremgangsmåten (stegene) de må følge for å kryptere, sende og dekryptere meldingen. Oppgave 3. Til tross for at en webtjeneste for en nettbank er svært sikkert konfigurert (eks. høy score hos ssllabs), kan ting gå galt f.eks. når en bruker skal bruke (logge seg inn til) banken for å betale en regning. Diskuter mulige feil som kan oppstå (hint: brukerfeil, trådløst nett, etc). Oppgave 4. Hvorfor ønsker man at brukere av et trådløst nett (f.eks. UiO-nettet/eduroam) skal autentisere seg før de får tilgang til nett og ressurser i nettet? Oppgave 5. Faglærerne i et informatikkemne skal samarbeide om å lage høstens eksamensoppgave, og arbeider hver for seg på egne datamaskiner. Per benytter sin egen laptop til å jobbe med oppgavene, mens Anne helst bruker UiOs datamaskiner og hjemmeområde. a) Hva er sannsynlige sikkerhetstrusler i dette scenarioet? b) Hvilke sikkerhetstiltak bør Per, som jobber lokalt på laptop, tenke på? c) Hvilke sikkerhetstiltak bør Anne spesielt passe på? d) Er løsningene de har valgt trygge nok for å ivareta konfidensialitet og integritet? e) Vurder hvordan de trygt kan utveksle oppavene? Oppgave 6. Et sykehus benytter elektroniske journaler. I journalene er det også opplysninger om pasienters kjente allergier, f.eks. mot medikamenter. Journalene benyttes av leger ved sykehuset når det skal foreskrives medikamenter til pasienter, gi bedøvende midler/narkose før operasjoner, etc. a) Hvilke sikkerhetsmål er viktige å ivareta for journalsystemet basert på opplysningene gitt over? b) Beskriv mulige/sannsynlige sikkerhetstrusler i dette scenarioet. c) Kan du rådgi sykehuset om sikkerhetstiltak som bør innføres for journalsystemet? Oppgave 7. Beskriv hvordan en angriper kan bruke sosial manipulering til å: a) få uautorisert tilgang til en virksomhets/et firma's lokaler/bygg b) installert skadevare på de personlige datamaskinen til selskapets direktør. Hent gjerne inspirasjon fra http://www.sans.org/rr/whitepapers/engineering/ :-) Oppgave 8. a) Hvilke sårbarheter er det vanlig å utnytte i det vi kaller phishing attacks? b. Foreslå sikkerhetstiltak for å forebygge slike angrep (phishing attacks). Oppgave 9 I oppkobling mot en online webtjeneste autentiseres brukeren i starten av sesjonen. Data utveksles så med webtjeneren til og fra vedkommendes lokale maskin (endenode). Kan tjenestetilbyder på bakgrunn av brukerautentiseringen anta at data som mottas gjennom den etablerte forbindelsen er autentiske? Oppgave 10 En mulig definisjon av risiko er: risiko = sannsynlighet * innvirkning. Diskuter risiko etter denne definisjonen med utgangspunkt i "Trussel om DDoS angrep mot en nettbutikks web-tjenester". Oppgave 11 Gjør en vurdering av hvordan du behandler egne data/informasjon. Private, på UiO/Ifi, jobb. Ta utgangspunkt i mulige sikkerhetstrusler og sikkerhetstiltak du allerede har eller bør iverksette. Oppgave 12 Personvernloven sier at den registrerte skal kunne etterspørre og få oppgitt alle opplysninger registrert om seg selv innen et gitt antall dager. Hvordan skal en virksomhet som behandler personopplysninger kunne sikre dette? Oppgave 13 Tilgangskontroll i Devilry: I innleveringssystemet Devilry har en bruker ulike roller i ulike emner: Student, retter, faglærer og administrator (typisk studieadministrasjonen). Etter mal fra forelesning: Tenkt deg fram til og gi eksempler på subjekt, objekt og handling i systemet Devilry. Ikke bind deg til handlinger du tror er tillatt. For den spesielt interesserte: Oppgave 14 https://dhavalkapil.com/blogs/Buffer-Overflow-Exploit/ gir en beskrivelse og god oppskrift for hvordan en bufferoverflow kan gjennomføres. Følg oppskriften og se om du kan få programmet til å kjøre den hemmelige koden!