Arvutiteaduse instituut
  1. Kursused
  2. 2019/20 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2019/20 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Eksam
  • Uudised
  • Viited

Kodutöö #3 (17p + 3p)

Sisukord

  • Soovituslikud lugemismaterjalid
  • Kirjalikud ülesanded (9p)
    • Lahenduse esitamise vorm
  • Praktilised ülesanded (8p)

Tähtaeg nende jaoks, kes teevad 29. mail eksamit: 24. mai
Tähtaeg teiste tudengite jaoks: 30. mai (lahendused tuleb esitada enne pühapäeva), 2. praktikumi lahendusi võite esitada veel kuni enda eksami toimumiseni.

Soovituslikud lugemismaterjalid

  • Autentimine
    • The secret to online safety: Lies, random characters, and a password manager
    • Man in the Browser Attack vs. Two Factor Authentication

Kirjalikud ülesanded

Autentimine

  1. Küsimus on kolmanda osapoole kaudu autentimise kohta.
    1. Mille poolest suurendab kolmanda osapoole kaudu autentimine kliendi turvalisust? (0.5p)
    2. Mille poolest suurendab kolmanda osapoole kaudu autentimine teenuspakkuja turvalisust? (0.5p)
    3. Mis on niisuguse autentimismeetodi nõrgad küljed turvalisuse mõttes? Nimetage kahte. (1p)
  2. Kuidas on võimalik rünnata kahefaktorilist autentimissüsteemi, mis põhineb paroolil ja SMS teel saabunud ühekordsel koodil? Pange kirja samm-sammuline kirjeldus vastavast ründest (selguse huvides tuleb see esitada nummerdatud loendina).

    Piirangud: ründaja ei saa juurdepääsu telefonile ja ei saa rünnata teenusepakkujat, kellele klient ennast autendib. Samas on võimalik nakatada kliendi arvuti kahjurvaraga. Punkte saate te ründe kirjeldamise eest ning abstraktse vastuse eest (täis)punkte ei saa. Vihje: sirvige soovituslikke lugemismaterjale, et saada ideid. (2p)

Ründed ja kaitsemeetmed

  1. Tehke ülevaade ühest reaalselt toimunud küberründest. Stuxnet ja Ukraina energiasüsteemi vastane rünne ei lähe arvesse.(3p)

    Kõigepealt on vaja anda lühike ülevaade toimunud ründest! Seejärel kirjeldage, et kes või mis oli ründe sihtmärk. Kui kasutati kahjurvara, siis kuidas süsteem nakatati? Missugust nõrkust üritas rünne ära kasutada? Kuidas reageeris ohver ning kas ta suutis ründe peatada? Kui jah, siis kuidas rünne peatati? Mis eesmärgil antud rünne toimus? Kas rünne oli edukas ja kas ründe tõttu tekitati ohvrile kahju? Kui on võimalik, siis uurige välja, kes oli ründaja. Kui on võimalik, siis uurige kas ründe ohver tegi pärast rünnet midagi, et edaspidi vältida sarnaseid ründeid.

    Kolme punkti vääriline vastus on korralikult struktureeritud ja korrektses eesti keeles kirjutatud natuke põhjalikum ülevaade (~0.5-1 lk) konkreetsest ründest (või rünnakute seeriast). Teie enda ülesandeks on valida niisugune rünne, mille kohta leidub piisavalt infot. Püüdke ülevaade kirjutada pidades silmas vähem tehnoloogiateadlikku lugejat, st tooge välja vajalik taustinfo ning kirjutage spetsiifilised terminid lahti. Hea ülevaade toetub enamasti mitmele sõltumatule viidatud (linkidest piisab) allikale!

Wifi ja mobiilside

  1. Miks ei ole võimalik garanteerida, et mobiilsidevõrgu kaudu tehtud telefonikõned jääksid konfidentsiaalseks? Antud küsimuse kontekstis ei ole relevantsed suhtlusrakendused, küsimus on ainult mobiilsidevõrgu kaudu tehtavate telefonikõnede kohta. Vastus peaks koosnema neljast lühikesest punktist, mis on esitatud loeteluna (st selgelt eristatuna). Iga sobiv ja teistest väljatoodud punktidest eristuv vastus annab 0.5 punkti. (2p)

KeePassXC ülesanne ja räside ülesanne (kokku 4p)

  1. Vastavad praktilised ülesanded leiate selle lehe alumisest osast. Lahendused tuleb esitada lehe lõpus olevatesse eraldiseisvatesse vormidesse.

Teise praktikumi ülesannete lahendused tuleb esitada otse 2. praktikumi lehelt (kokku 4p + 3p)

  1. Teise praktikumi materjalid (parooli leiate Moodle foorumist).

Kirjalike ülesannete esitamine

Lahendused tuleb esitada läbi selle veebilehe. Lahenduste esitamiseks tuleb ülikooli kasutajakontoga courses.cs.ut.ee lehele sisse logida. Vastused peavad olema esitatud PDF failina. Praktiliste ülesannete lahendused tuleb esitada eraldi nende jaoks ette nähtud vormidesse, mis asuvad lehe alumises osas.

Palume võimaluse korral lisada kommentaarina ülesannete lahendamisele kulunud aeg. Selle põhjal oskame järgmise aasta tudengite jaoks ülesannete mahtu paremini planeerida.

3. 3. Kodune töö (esitage PDF)
Sellele ülesandele ei saa enam lahendusi esitada.

Praktilised ülesanded

  1. Räsi murdmise ülesanne: Iga tudengi pseudonüümi juurde on juhuslikult määratud üks räsiväärtus. Teie ülesandeks on leida sisend, mis annab tulemuseks teie pseudonüümile määratud räsi ning lisaks kirjutada, et mis räsifunktsiooni abil oli see räsi genereeritud. See ülesanne illustreerib paroolide soolamise vajalikkust. Pseudonüümide ning räside nimekirja leiate siit: räsid ja pseudonüümid. Oma infoturbe aine pseudonüümi näete kui vaatate enda profiili selle lehe ülemisest paremast nurgast. (2p)

    Vihjed ning soovitused:
    • Ülesande lahendamiseks ei ole vaja lisatarkvara ning te ei pea hakkama ise reaalselt seda räsi murdma. Samas on teil võimalik leida vastav sisendväärtus. Mõelge loengus räägitule ning sellele, et kas ründajad hakkavad pärast leket ise räsisid arvutama või teevad midagi muud.
    • Kasutage sisendi otsimisel kindlasti enda pseudonüümile vastavat räsi, lahenduse hindamine toimub automatiseeritult.
    • Infot levinumate räsifunktsioonide kohta (nt. räsi pikkus) leiab näiteks Wikipedia artiklist:
      List of cryptographic hash functions
    • Räsid on enamasti kodeeritud hex abil. Kui on teada räsi pikkus bittides, siis on lihtne leida selle pikkust hex kodeerituna. Selleks tuleb bittide arv jagada kaheksaga (et saada baitide arv) ning seejärel tulemus korrutada kahega (ühe baidi esitamiseks kulub kaks hex kujul olevat sümbolit).
    • Ülesande lahendamiseks võib vaja minna otsingumootorit. Siit leiab juhendi, mille abil saab teha efektiivsemaid otsingupäringuid: Google Search Tips You'll Want to Learn

Lahenduseks tuleb esitada tekstifail (.txt laiendusega), mille esimesel real on leitud sisendväärtus ja teisel real on kasutatud räsifunktsiooni nimi. Windowsis saate kasutada tekstifaili loomiseks tarkvara Notepad. Lahendusi kontrollitakse automatiseeritult, seega peab lahendus olema kindlasti esitatud .txt failina ning eelpool kirjeldatud kujul.

9. Räsi murdmine - esitage nõutud kujul olev .txt fail
Sellele ülesandele ei saa enam lahendusi esitada.
  1. KeePassXC ülesanne: Looge KeePassXC abil paroolide andmebaas ja esitage see lahendusena. (2p)

    KeePassXC kasutamise juhendid on lingitud loengumaterjalides.

    Ülesande lahendus peab vastama järgmistele tingimustele:
    • Andmebaasi peaparooliks on: "turve" (see on meelega ainult viiest tähest koosnev, et teha lahenduste kontrollimine lihtsamaks). Vale peaparooli kasutamisel on tulemuseks automaatselt 0 punkti.
    • Paroolide andmebaasis on ainult üks rida / väli (näidisväljad kustutage).
      • Välja nimeks olgu teie nimi
      • Kasutajanimeks peab olema teie pseudonüüm, mis on teile infoturbe aine raames courses.cs.ut.ee lehe poolt genereeritud. Pseudonüümi näete kui vaatate enda profiili lehe ülemisest paremast nurgast.
      • Parool peab olema kas 40 kohaline ja see peab olema juhuslikult genereeritud KeePassXC poolt.
    • Esitatava faili laiendiks peab olema .kdbx
8. KeePassXC ülesanne - esitage .kdbx fail
Sellele ülesandele ei saa enam lahendusi esitada.
  1. Teise praktikumi ülesannete lahendused tuleb esitada otse 2. praktikumi lehelt (kokku 4p + 3p)
    • Teise praktikumi materjalid (parooli leiate Moodle foorumist). Praktiliste ülesannete tulemusi värskendatakse regulaarselt, vastava lingi leiate lehelt "Kodutööd ja reeglid".
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused