IN1020 Øvingsoppgaver 19.-23.11.2018 Oppgave 1. a) I hvilke situasjoner og til hvilke formål kan kryptografi benyttes til å beskytte informasjon? b) Hvorfor er riktig administrasjon av kryptografiske nøkler så viktig? c) Beskriv kort hovedformålet med PKI Oppgave 2. Anne skal sende en melding til Per, uten at Tom kan få tak i den. Anne og Per har avtalt å bruke symmetrisk kryptering og de har allerede utvekslet nøkler. Beskriv fremgangsmåten (stegene) de må følge for å kryptere, sende og dekryptere meldingen. Oppgave 3. Assymetrisk kryptering, med nøkkelpar bestående av privat og offentig nøkkel, benyttes til både digital signatur og kryptering av innhold av en melding. Hvordan må nøkkelparet benyttes (dvs. skal avsender eller mottagers nøkkelpar benyttes? Hvem skal benytte offentlig og hvem skal benytte privat nøkkel?) ved a) digital signatur (autentisere opphav til en melding, altså at avsender er korrekt)? b) kryptering av innhold i en melding? Oppgave 4. Sjekksumalgoritme. Gjøres på Ifis linux-maskiner. a) Programmet sha256sum genererer en sjekksum av en fil basert på algoritmen SHA256: [kritisk@vestur]>sha256sum abc.txt 6ee0c32c675ce6d3bd3f6e326c81e45b3d6675c29c0c9ced1398684a667804e9 abc.txt Gjør endringer i fila abc.txt, og kjør programmet en gang til. Er nøkkelen den samme? b) Hvordan kan sjekksumalgoritmer bidra til å sikre dataintegritet? c) Finn og diskuter situasjoner/eksempler hvor bruk av sjekksumalgoritme kan være nyttig for deg. Oppgave 5. Til tross for at en webtjeneste for en nettbank er svært sikkert konfigurert (eks. høy score hos ssllabs), kan ting gå galt f.eks. når en bruker skal bruke (logge seg inn til) banken for å betale en regning. Diskuter mulige feil som kan oppstå (hint: brukerfeil, trådløst nett, etc). Oppgave 6. Hvorfor ønsker man at brukere av et trådløst nett (f.eks. UiO-nettet/eduroam) skal autentisere seg før de får tilgang til nett og ressurser i nettet? Oppgave 7. Faglærerne i et informatikkemne skal samarbeide om å lage høstens eksamensoppgave, og arbeider hver for seg på egne datamaskiner. Per benytter sin egen laptop til å jobbe med oppgavene, mens Anne helst bruker UiOs datamaskiner og hjemmeområde. a) Hva er sannsynlige sikkerhetstrusler i dette scenarioet? b) Hvilke sikkerhetstiltak bør Per, som jobber lokalt på laptop, tenke på? c) Hvilke sikkerhetstiltak bør Anne spesielt passe på? d) Er løsningene de har valgt trygge nok for å ivareta konfidensialitet og integritet? e) Vurder hvordan de trygt kan utveksle oppavene? Oppgave 8. Et sykehus benytter elektroniske journaler. I journalene er det også opplysninger om pasienters kjente allergier, f.eks. mot medikamenter. Journalene benyttes av leger ved sykehuset når det skal foreskrives medikamenter til pasienter, gi bedøvende midler/narkose før operasjoner, etc. a) Hvilke sikkerhetsmål er viktige å ivareta for journalsystemet basert på opplysningene gitt over? b) Beskriv mulige/sannsynlige sikkerhetstrusler i dette scenarioet. c) Kan du rådgi sykehuset om sikkerhetstiltak som bør innføres for journalsystemet? Oppgave 9. Beskriv hvordan en angriper kan bruke sosial manipulering til å: a) få uautorisert tilgang til en virksomhets/et firma's lokaler/bygg b) installert skadevare på de personlige datamaskinen til selskapets direktør. Hent gjerne inspirasjon fra http://www.sans.org/rr/whitepapers/engineering/ :-) Oppgave 10. a) Hvilke sårbarheter er det vanlig å utnytte i det vi kaller phishing attacks? b. Foreslå sikkerhetstiltak for å forebygge slike angrep (phishing attacks). Oppgave 11 I oppkobling mot en online webtjeneste autentiseres brukeren i starten av sesjonen. Data utveksles så med webtjeneren til og fra vedkommendes lokale maskin (endenode). Kan tjenestetilbyder på bakgrunn av brukerautentiseringen anta at data som mottas gjennom den etablerte forbindelsen er autentiske? Oppgave 12 Gjør en vurdering av hvordan du behandler egne data/informasjon. Private, på UiO/Ifi, jobb. Ta utgangspunkt i mulige sikkerhetstrusler og sikkerhetstiltak du allerede har eller bør iverksette, og kikk gjerne på UiOs "veiledning for klassifisering av data" (https://www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/infoklasser.html) og "lagringsguide" (https://www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/lagringsguide.html). Oppgave 13 Personvernloven sier at den registrerte skal kunne etterspørre og få oppgitt alle opplysninger registrert om seg selv innen et gitt antall dager. Hvordan skal en virksomhet som behandler personopplysninger kunne sikre dette? Oppgave 14 Tilgangskontroll i Devilry: I innleveringssystemet Devilry har en bruker ulike roller i ulike emner: Student, retter, faglærer og administrator (typisk studieadministrasjonen). Etter mal fra forelesning: Tenkt deg fram til og gi eksempler på subjekt, objekt og handling i systemet Devilry. Ikke bind deg til handlinger du tror er tillatt. Oppgave 15 Unix tilgangskontroll. Utføres på Ifis linux-maskiner. Tilgangskontroll er et (av mange) sikkerhetstiltak innen informasjonssikring. I denne oppgaven skal du anvende det du lærte om Unix tilgangsstyring tidligere i kurset (forelesning om Operativssystemer), til å gjøre deg litt bedre kjent med tilgangskontroll. Opprett en mappe på hjemmeområdet ditt, og legg en fil med litt tekst i denne mappen (abc.txt). Endre rettighetene på mappen slik at eieren kun har tilgang 'execute'. Prøv deretter å a) Liste innholdet i mappen, se på innholdet i fila abc.txt, lage en kopi av abc.txt i samme mappe, samt flytte deg inn til mappen med kommendoen 'cd'. b) Gjenta det samme eksperimentet, men med å først sette "read" rettighet og deretter "write" rettighet på mappen. Forsøk å forstå det du observerer. c) Hvordan bidrar denne enkle tilgangskontrollen til å oppnå sikkerhetsmål som konfidensialitet og dataintegritet? For den spesielt interesserte: Oppgave 16 https://dhavalkapil.com/blogs/Buffer-Overflow-Exploit/ gir en beskrivelse og god oppskrift for hvordan en bufferoverflow kan gjennomføres. Følg oppskriften og se om du kan få programmet til å kjøre den hemmelige koden!