Arvutiteaduse instituut
  1. Kursused
  2. 2018/19 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2018/19 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Eksam
  • Uudised
  • Viited

Kodutöö #3

Sisukord

  • Soovituslikud lugemismaterjalid
  • Kirjalikud ülesanded
    • Lahenduse esitamise vorm
  • Praktilised ülesanded

Tähtaeg: 30. mai (lahendused tuleb esitada enne reedet)

Soovituslikud lugemismaterjalid

  • Autentimine
    • The secret to online safety: Lies, random characters, and a password manager
    • Man in the Browser Attack vs. Two Factor Authentication
  • Ründed
    • Same-origin_policy
    • CSRF DEMYSTIFIED
  • Wifi
    • How to stay secure on public Wi-Fi

Kirjalikud ülesanded

Autentimine

  1. Mille poolest suurendab kolmanda osapoole kaudu autentimine kliendi turvalisust? Mille poolest suurendab kolmanda osapoole kaudu autentimine teenuspakkuja turvalisust? (1p)
  2. Kuidas on võimalik rünnata kahefaktorilist autentimissüsteemi, mis põhineb paroolil ja PIN-kalkulaatoril? Pange kirja samm-sammuline kirjeldus vastavast ründest (selguse huvides võiksite esitada selle nummerdatud loendina).

    Piirangud: ründaja ei saa juurdepääsu PIN-kalkulaatorile ja ei saa ka rünnata panka, aga võimalik on nakatada klientide arvuteid kahjurvaraga. Punkte saate te ründe kirjeldamise eest ning abstraktse vastuse eest (täis)punkte ei saa. Vihje: sirvige soovituslikke lugemismaterjale. (2p)

Veebiründed

  1. Vastake lühidalt ja oma sõnadega järgnevatele küsimustele:
    1. Mida saab veebiteenuse kasutaja teha skriptisüsti tüüpi rünnete ennetamiseks? (0.5p)
    2. Mida saab veebiteenuse kasutaja teha päringuvõltsingu tüüpi rünnete ennetamiseks? (0.5p)
    3. Mida saab teenusepakkuja teha skriptisüsti tüüpi rünnete ennetamiseks? (0.5p)
    4. Mida saab teenusepakkuja teha päringuvõltsingu tüüpi rünnete ennetamiseks? (0.5p)

Ründed ja kaitsemeetmed

  1. Missugsute tehniliste põhjuste tõttu keelavad mõned riigid võõramaiste antiviiruste kasutamise? Arutlege lühidalt probleemi olemuse üle. (1p)
  2. Tehke ülevaade mõnest reaalselt toimunud küberründest. Stuxnet ja Ukraina energiasüsteemi vastane rünne ei lähe arvesse, sest sellest räägime loengus.(3p)

    Kõigepealt on vaja anda lühike ülevaade toimunud ründest! Seejärel kirjeldage, et kes või mis oli ründe sihtmärk. Missugust nõrkust üritas rünne ära kasutada? Kuidas reageeris ohver ning kas ta suutis ründe peatada? Kui jah, siis kuidas rünne peatati? Mis eesmärgil antud rünne toimus? Kas rünne oli edukas ja kas ründe tõttu tekitati ohvrile kahju? Kui on võimalik, siis uurige välja, kes oli ründaja. Kui on võimalik, siis uurige kas ründe ohver tegi pärast rünnet midagi, et edaspidi vältida sarnaseid ründeid.

    Kolme punkti vääriline vastus on korralikult struktureeritud ja korrektses eesti keeles kirjutatud natuke põhjalikum ülevaade konkreetsest ründest (või rünnakute seeriast). Teie enda ülesandeks on valida niisugune rünne, mille kohta leidub piisavalt infot. Püüdke ülevaade kirjutada pidades silmas vähem tehnoloogiateadlikku lugejat, st tooge välja vajalik taustinfo ning kirjutage spetsiifilised terminid lahti. Hea ülevaade toetub enamasti mitmele sõltumatule viidatud (linkidest piisab) allikale!

Wifi ja mobiilside

  1. Nimetage neli turvalisuse mõttes olulist tegevust, mida on vaja teha uue ruuteriga enne selle Internetti ühendamist. Eesmärgiks on tõsta WiFi võrgu turvalisust. (2p)
  2. Me teame, et mobiilside on peaaegu alati krüpteeritud. Samuti on teada, et programmeeritava raadio ja spetsiaalse tarkvara abil on võimalik teatud tingimustel mobiilikõnesid salvestada ja dekrüpteerida. Kas on võimalik kasutada nutitelefoni nii, et ei peaks muretsema kõnede pealtkuulamise pärast? Lisage korralik põhjendus! Võite eeldada, et nutiseadme omanik on teadlik kasutaja, kes on kuulnud võimalikest ohtudest. Selleks, et küsimusele vastata pange ennast ründaja olukorda ning mõelge kuidas oleks võimalik rünnet läbi viia. Tulemus sõltub sellest kui veenvalt te suutsite antud teemal arutleda ning vastust põhjendada. (2p)

KeePass ülesanne ja räside ülesanne

  1. Vastavad praktilised ülesanded leiate selle lehe alumisest osast. Lahendused tuleb esitada lehe lõpus olevatesse eraldiseisvatesse vormidesse.

Kirjalike ülesannete esitamine

Lahendused tuleb esitada läbi selle veebilehe. Lahenduste esitamiseks tuleb ülikooli kasutajakontoga courses.cs.ut.ee lehele sisse logida. Vastused peavad olema esitatud PDF failina. Praktiliste ülesannete lahendused tuleb esitada eraldi nende jaoks ette nähtud vormidesse, mis asuvad lehe alumises osas.

Palume võimaluse korral lisada kommentaarina ülesannete lahendamisele kulunud aeg. Selle põhjal oskame järgmise aasta tudengite jaoks ülesannete mahtu paremini planeerida.

3. 3. Kodune töö
Sellele ülesandele ei saa enam lahendusi esitada.

Praktilised ülesanded

  1. Räsi murdmise ülesanne: Iga tudengi pseudonüümi juurde on juhuslikult määratud üks räsiväärtus. Teie ülesandeks on leida sisend, mis annab tulemuseks teie pseudonüümile määratud räsi ning lisaks kirjutada, et mis räsifunktsiooni abil oli see räsi genereeritud. See ülesanne illustreerib paroolide soolamise vajalikkust. Pseudonüümide ning räside nimekirja leiate siit: räsid ja pseudonüümid. (1p)

    Vihjed ning soovitused:
    • Ülesande lahendamiseks ei ole vaja lisatarkvara ning te ei pea hakkama ise reaalselt seda räsi murdma. Samas on teil võimalik leida vastav sisendväärtus. Mõelge loengus räägitule ning sellele, et kas ründajad hakkavad pärast leket ise räsisid arvutama või teevad midagi muud.
    • Kasutage sisendi otsimisel kindlasti enda pseudonüümile vastavat räsi, lahenduse hindamine toimub automatiseeritult.
    • Infot levinumate räsifunktsioonide kohta (nt. räsi pikkus) leiab näiteks Wikipedia artiklist:
      List of cryptographic hash functions
    • Räsid on enamasti kodeeritud hex abil. Kui on teada räsi pikkus bittides, siis on lihtne leida selle pikkust hex kodeerituna. Selleks tuleb bittide arv jagada kaheksaga (et saada baitide arv) ning seejärel tulemus korrutada kahega (ühe baidi esitamiseks kulub kaks hex kujul olevat sümbolit).
    • Ülesande lahendamiseks võib vaja minna otsingumootorit. Siit leiab juhendi, mille abil saab teha efektiivsemaid otsingupäringuid: Google Search Tips You'll Want to Learn

Lahenduseks tuleb esitada tekstifail (.txt laiendusega), mille esimesel real on leitud sisendväärtus ja teisel real on kasutatud räsifunktsiooni nimi. Windowsis saate kasutada tekstifaili loomiseks tarkvara Notepad. Lahendusi kontrollitakse automatiseeritult, seega peab lahendus olema kindlasti esitatud .txt failina ning eelpool kirjeldatud kujul.

9. Räsi murdmine - esitage nõutud kujul olev .txt fail
Sellele ülesandele ei saa enam lahendusi esitada.
  1. KeePass ülesanne: looge KeePass või KeePassXC abil paroolide andmebaas, mis vastab allpool kirjeldatud nõuetele ja esitage vastav fail lahendusena. (2p)

    KeePass kohta leiate tutvustavat infot autentimise loengu materjalidest. KeePass kasutamist tutvustasime ka autentimise loengus.

    Ülesande lahendus peab vastama järgmistele tingimustele:
    • KeePassi faili peaparooliks on: "turve" (ilma jutumärkideta, see parool on meelega liiga lühike, et teha lahenduste kontrollimine lihtsamaks)
    • Paroolide andmebaasis on ainult üks väli (näidisväljad kustutage).
    • Välja nimeks olgu teie nimi ja kasutajanimeks teie matriklinumber või emaili aadress või infoturbe aine jaoks määratud pseudonüüm.
    • Parool peab olema kas 22 või 31 kohaline ja juhuslik ning olema genereeritud KeePass poolt.
    • Esitatava faili laiendiks peaks olema .kdbx
8. KeePass ülesanne - esitage .kdbx fail
Sellele ülesandele ei saa enam lahendusi esitada.
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused