KJhole.com
Test dine kunnskaper

Her finner du testspørsmål til alle forelesningene i Part I.

Sikkerhet i nettbanker, del 1

  • Er det riktig av uavhengige forskere å evaluere sikkerheten i banksystemer?
  • Bør forskere evaluere sikkerheten selv om bankene er negative?
  • Hvor stor er veksten i bruk av nettbank i Norge?
  • Beskriv et enkelt brute force angrep mot en nettbank
  • Er det en fordel for angriperen at kundene benytter fødselsnummer ved pålogging?
  • Beskriv strukturen til fødselsnumre
  • Er GSM en sikker kanal?
  • Hva er social engineering?
  • Hva er et såkalt postkasse-angrep?
  • Beskriv et enkelt DoS-angrep på applikasjonsnivået

Sikkerhet i nettbanker, del 2

  • Gi en definisjon av et DoS-angrep
  • Beskriv ulike typer DoS-angrep
  • Hvordan medfører PIN/fødselsnummer en effektivisering av DoS-angrep?
  • Hva er et distribuert DoS-angrep?
  • Hva er et kombinert angrep?
  • Kan angrepene fungere selv om kundene benytter PIN-kalkulatorer?
  • Eksisterer det store DoS-nettverk?
  • Hjelper IDS mot kombinerte angrep?
  • Hva er mulige konsekvenser av et distribuert DoS-angrep?
  • Er det bedre å benytte kontonumre enn fødselsnumre?
  • Hvorfor er en PKI en mulig løsning på sikkerhetsproblemene?
  • Hvorfor benyttes PIN-kalkulatorer?
  • Hvorfor hjelper ikke PIN-kalkulatorer mot kombinerte angrep?
  • Hvorfor er det en fordel for angriperen at det benyttes PIN-kalkulatorer?
  • Hvorfor er det nødvendig med et vindu på minst 3 PIN-koder?
  • Hva sier Finansavtaleloven om ansvaret ved et vellykket angrep mot en nettbank?

Sikkerhet i minibanksystemet

  • Er det viktig å studere sikkerheten i minibanksystemet?
  • Forklar bruken av PIN
  • Hva er master key, working key og PIN key?
  • Hva er en cryptographic module?
  • beskriv en enkel modell av en minibankterminal og en bank-tjener
  • beskriv noen kjente (fysiske) angrep på minibanksystemet
  • Hva gjør bankene for å redusere risikoen?
  • Beskriv hvordan det var mulig å bestemme PIN key på 90-tallet
  • Forklar hvordan en angriper kunne bestemme PIN til et vilkårlig kort
  • Hva er oppgavene til Bankklagenemda?
  • Er rettsikkerheten til bankkunder god nok?

Offentlige tjenester på Internett

  • Forklar hvordan XSS fungerer
  • Hvorfor benyttes URL encoding ved XSS?
  • Forklar hvordan SQL injection fungerer
  • Hvor alvorlig er problemene med XSS og SQL injection?
  • Er offentlige sider i alle land like store sårbare for XSS og SQL injection?
  • Når er det rimelig å si at en web site er kompleks?
  • Beskriv sammenhengen mellom kompleksitet og sårbarhet
  • Hvordan kan man forsvare en site mot XSS og SQL injection?
  • Hva er SSN harvesting?
  • Hva er social engineering?

DoS

  • Hva er et DoS-angrep?
  • Hva er IP spoofing?
  • Hvilke egenskaper ved IP og TCP muliggjør DoS-angrep?
  • Hva menes med flolding attack og vulnerability attack?
  • Hvordan fungerer TCP SYN flood og ping flood?
  • Hva er et smurf attack?
  • Hva er et DDoS-angrep?
  • Når er det ikke nødvendig med IP spoofing?
  • Hva er en handler?
  • Hva er en orm og hvordan kan den benyttes til å sette opp et DDoS-nettverk?
  • Hva er en zombie i et DDoS-nettverk?
  • Hva er en stepping stone i et DDoS-nettverk?

Digital ID

  • Gi eksempler på elektroniske spor du etterlater deg
  • Er det problematisk at enkeltindivider legger igjen mange elektroniske spor?
  • Diskuter hva man kan oppnå ved å sette opp overvåkningskamera
  • Er det riktig at overvåkningskamera reduserer vold?
  • Er location tracking et problem?
  • Hva er ID-tyveri?
  • Gi noen eksempler på straffbare handlinger utført av ID-tyver
  • Hvordan kan man beskytte seg mot ID-tyveri?
  • Hvem bør ha ansvaret for å rydde opp ved et ID-tyveri?
  • Hva er sammenhengene mellom ID-tyverier og web-applikasjoner?

Kryptering i databaser

  • Hvorfor er det viktig å kryptere informasjon i en database?
  • Beskriv to hovedtyper av angripere
  • Gi eksempler på confidentiality attack
  • Gi eksempler på integrity attack
  • Beskriv en threat model for databasesystemer
  • Hvordan kan man forsvare et system mot indirect key access?
  • Hva er problemet med transparent encryption?
  • Hva er den største risikoen ved å benytte kryptering i databaser?
  • Hvor i arkitekturen til en web-applikasjon legges krypteringen?
  • Beskriv en mulig infrastruktur for kryptering

Last updated 29.12.07. Webmaster KJH

© Kjell J. Hole. All rights reserved. Terms of Use