Arvutiteaduse instituut
  1. Kursused
  2. 2017/18 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2017/18 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Ülesanded
  • Eksam
  • Uudised
  • Viited

Kodutöö #3

Paljude tudengite soovidest lähtuvalt on lõplikuks tähtajaks: 30. mai (lahendused tuleb esitada enne neljpäeva) -- seda enam ei pikendata!

Soovituslikud lugemismaterjalid

  • Autentimine
    • Man in the Browser Attack vs. Two Factor Authentication
    • Two Factor Auth List
  • Ründed
    • Pretexting Like a Boss
    • Same-origin_policy
    • CSRF DEMYSTIFIED
  • Wifi
    • Wi-Fi's dirty secret of evil twins
    • How to stay secure on public Wi-Fi

Kirjalikud ülesanded

Autentimine

  1. Kuidas saab teadmistepõhist autentimissüsteemi rünnata? Kuidas saab ainult informatsioonil põhinevat autentimist turvalisemaks muuta ilma teist autentimisfaktorit kasutamata? (1p)
  2. Kuidas on võimalik rünnata kahefaktorilist autentimissüsteemi, mis põhineb paroolil ja PIN-kalkulaatoril? Piirangud: ründaja ei saa juurdepääsu PIN-kalkulaatorile ja ei saa ka rünnata panka, aga võimalik on nakatada klientide arvuteid kahjurvaraga. Punkte saate te ründe kirjeldamise eest ning abstraktse vastuse eest täispunkte ei saa. Vihje: uurige soovituslikke lugemismaterjale. (2p)
  3. Nimetage peamine erinevus OpenID poolt pakutava teenuse ja OAuth poolt pakutava teenuse vahel? Mille poolest suurendab OAuth kasutamine nii kliendi turvalisust? Mille poolest suurendab OAuth kasutamine teenuspakkuja turvalisust? (1p)

Manipuleerimisründed

  1. Tooge näide reaalselt toimunud manipuleerimisründest. Tehke leitud ründest kokkuvõte ja lisage link, mis viitab kirjeldatud ründele. Ründe kirjeldus peaks olema nii kirjutatud, et kaastudeng saaks kirjapandud info põhjal ründest hea ülevaate. (2p)

    Keda rünnati ja miks? Kunas ja kus rünne toimus? Kas on teada, kes oli ründaja? Missugust nõrkust kasutati ründe korraldamiseks? Mis tüüpi manipuleerimisründega oli tegu (kui õnnestub klassifitseerida)? Kas rünne õnnestus ja mis oli selle tagajärg / tulemus?

    Kindlasti tuleb viidata kasutatud materjalidele. Ründe otsimiseks soovitame kasutada Google abi (märksõna: social engineering), aga valida võib ka viidatud rünnete hulgast. Ärge kirjeldage loengus näitena toodud ründeid, nende eest punkte ei saa.
    • A Twitter accont was hijacked by using social engineering against PayPal and GoDaddy
    • How Apple and Amazon Security Flaws Led to My Epic Hacking

Veebiründed

  1. Mis põhimõttel töötab Same Origin Policy ja miks seda vaja on? Sellest rääkisime loengus, aga vastuse leiab ka lisalugemisest. (1p)
  2. Vastake järgnevatele küsimustele:
    1. Mida saab veebiteenuse kasutaja teha skriptisüsti tüüpi rünnete ennetamiseks? (0.5p)
    2. Mida saab veebiteenuse kasutaja teha päringuvõltsingu tüüpi rünnete ennetamiseks? (0.5p)
    3. Mida saab teenusepakkuja teha skriptisüsti tüüpi rünnete ennetamiseks? (0.5p)
    4. Mida saab teenusepakkuja teha päringuvõltsingu tüüpi rünnete ennetamiseks? (0.5p)

Ründed ja kaitsemeetmed

  1. Miks tasub lisaks arvutis olevale tulemüürile kasutada tulemüüri ka ruuteris? Miks ei pruugi viirusetõrjest kasu olla kui see paigaldada pärast seda kui arvutis on juba kahjurvara? (1p)
  2. Miks mõned riigid keelavad võõramaiste antiviiruste kasutamise? Kirjeldage lühidalt probleemi olemust. (1p)
  3. Tehke ülevaade mõnest reaalselt toimunud küberründest. Stuxnet ja Ukraina energiasüsteemi vastane rünne ei lähe arvesse, sest sellest räägime loengus. Ärge kirjeldage loengus mainitud küberründeid. (3p)

    Kõigepealt on vaja lühidalt kirjeldada toimunud rünnet. Kirjeldage, et kes või mis oli ründe sihtmärk. Missugust nõrkust üritas rünne ära kasutada? Mis eesmärgil antud rünne toimus? Kas rünne oli edukas ja kas ründe tõttu tekitati ohvrile kahju? Kui on võimalik, siis uurige välja, kes oli ründaja. Kui on võimalik, siis uurige kas ründe ohver tegi pärast rünnet midagi, et edaspidi vältida sarnaseid ründeid.

    Kolme punkti vääriline vastus on korralikult struktureeritud ja korrektses eesti keeles kirjutatud natuke põhjalikum ülevaade konkreetsest ründest (või rünnakute seeriast). Püüdke ülevaade kirjutada pidades silmas vähem tehnoloogiateadlikku lugejat, st tooge välja vajalik taustinfo ning kirjutage spetsiifilised terminid lahti. Hea ülevaade toetub enamasti mitmele sõltumatule viidatud (linkidest piisab) allikale!

Wifi ja mobiilside

  1. Mida saab teha enda andmeside kaitsmiseks avalikus WiFi võrgus? Teil ei ole võimalik ruuteri seadistust muuta, sest te olete võõras WiFi võrgus. Nimetage vähemalt kahte erinevat turvameedet, mis tõstaks teie jaoks avaliku wifi võrgu kasutamise turvalisust. (1p)
  2. Nimetage neli turvalisuse mõttes olulist tegevust, mida on vaja teha uue ruuteriga enne selle Internetti ühendamist. Eesmärgiks on tõsta WiFi võrgu turvalisust. (2p)
  3. Me teame, et mobiilside on peaaegu alati krüpteeritud. Samuti on teada, et programmeeritava raadio ja spetsiaalse tarkvara abil on võimalik teatud tingimustel mobiilikõnesid salvestada ja dekrüpteerida. Kas on võimalik kasutada nutitelefoni helistamiseks nii, et ei peaks muretsema pealtkuulamise pärast? Lisage korralik põhjendus! Selleks, et küsimusele vastata pange ennast ründaja olukorda ning mõelge kuidas oleks võimalik rünnet läbi viia. Tulemus sõltub sellest kui veenvalt te suutsite vastust põhjendada. (2p)

KeePass ülesanne

  1. Ülesande leiate selle lehe alumisest osast. Juhendi leiate vastavatest loengumaterjalidest.

Kirjalike ülesannete esitamine

Lahendused tuleb esitada läbi selle veebilehe. Lahenduste esitamiseks tuleb ülikooli kasutajakontoga courses.cs.ut.ee lehele sisse logida. Vastused peavad olema esitatud PDF failina. Praktiliste ülesannete lahendused tuleb esitada eraldi nende jaoks ette nähtud vormidesse, mis asuvad lehe alumises osas.

Palume võimaluse korral lisada kommentaarina ülesannete lahendamisele kulunud aeg. Selle põhjal oskame järgmise aasta tudengite jaoks ülesannete mahtu paremini planeerida.

3. 3. kodune töö
Sellele ülesandele ei saa enam lahendusi esitada.

Praktilise ülesande lahendus

  1. Ülesanne: looge KeePass abil paroolide andmebaas ja esitage see lahendusena. (2p)

    Ülesande lahendus peab vastama järgmistele tingimustele:
    • Andmebaasi peavõtmeks on: "turve" (see on meelega liiga lühike, et teha lahenduste kontrollimine lihtsamaks)
    • Paroolide andmebaasis on ainult üks väli (näidisväljad kustutage).
    • Välja nimeks olgu teie nimi ja kasutajanimeks matriklinumber
    • Parool peab olema 37 kohaline ja see peab olema genereeritud KeePass poolt.
    • Esitatava faili laiendiks peaks olema .kdbx
8. KeePass ülesanne - esitage .kdbx fail
Sellele ülesandele ei saa enam lahendusi esitada.
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused