Inhoud
Eindtoets Introductie Opgaven
229 229
Terugkoppeling
239
Uitwerking van de opgaven
228
239
Eindtoets
I N T R O DU C T I E
De eindtoets bestaat net als het tentamen uit 40 meerkeuzevragen en kunt u gebruiken om te bepalen of u ‘klaar’ bent voor het tentamen. Elke vraag geeft 4 alternatieven waarvan er altijd maar één het juiste is. U mag bij het tentamen geen cursusmateriaal of ander materiaal raadplegen. Het gebruik van een rekenmachine is wel toegestaan. U hebt drie uur de tijd om het tentamen te maken; u bent geslaagd bij een score van 27 of hoger (1 punt per goed antwoord). Bij de antwoorden vindt u per opgave een verwijzing naar het onderdeel van de cursus waar de opgave betrekking op heeft. Bij gebleken fouten vindt u zo een directe ingang om een en ander na te kijken. Studeeraanwijzing De studielast van de eindtoets is ongeveer 4 uur, inclusief het nakijken van de opgaven aan de hand van de terugkoppeling.
OPGAVEN
1
Wat geldt voor de twee onderstaande beweringen? Een verzameling omstandigheden die schade aan een systeem kan veroorzaken vormt een bedreiging (threat) voor dat systeem. II Iemand die gebruikmaakt van een kwetsbaarheid (vulnerability) van een systeem voert een aanval (attack) op dat systeem uit. I
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 2
Op de klare tekst 1001 wordt een encryptiealgoritme toegepast, met als resultaat de geheime tekst 0011. Welke van de onderstaande beweringen over het encryptiealgoritme is waar? a b c d
Het algoritme kan een S-box zijn geweest, maar geen P-box. Het algoritme kan een P-box zijn geweest, maar geen S-box. Het algoritme kan zowel een P-box als een S-box zijn geweest. Het algoritme kan geen P-box zijn geweest en ook geen S-box.
OUN
229
Security en IT
3
Op de klare tekst 100101001011 wordt gewone kolomtranspositie toegepast (zonder sleutel) met vier kolommen. De resulterende cijfertekst is: a b c d
4
110000010111 101010001101 101110010100 010010111001
Wat geldt voor de twee onderstaande beweringen over boekcijfers? I Een boekcijfer kan worden gekraakt met behulp van statistische analyse. II Het gebruik van een boekcijfer leidt tot een hoge mate van diffusie.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 5
Wat geldt voor de volgende beweringen over het algoritme AES? I
AES
II
AES
is een symmetrisch stroomcijfer. heeft een vaste sleutellengte.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 6
Als u het getal 2 wilt vercijferen met RSA en met sleutel (e, m) = (7, 65), wat is dan de resulterende cijfertekst? a b c d
7
1 32 63 128
Zijn de volgende beweringen over het bufferoverflowprobleem waar? I Het memory management van de programmeertaal C is een van de oorzaken van het optreden van bufferoverflows in C-programma’s. II Een van de maatregelen om bufferoverflows in C-programma’s te voorkomen is dat C-programmeurs hun eigen geheugenbeheer goed uitvoeren, bijvoorbeeld door te testen op de grenzen van buffers.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar.
230
OUN
Eindtoets
8
Welk van de volgende soorten malware kan zich verspreiden zonder hulp van andere programma’s of bronnen? a b c d
9
Trojan horse virus worm trapdoor
Zijn de twee onderstaande beweringen over virussen waar? I II
Virussen kunnen hardware infecteren. Virussen kunnen ‘read-only’ bestanden veranderen.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 10
Zijn de twee onderstaande beweringen over statische analyse waar? I Bij statische analyse worden diverse aspecten van programma’s geanalyseerd, waaronder datastructuren. II Als de technieken statische analyse en peer review beide worden uitgevoerd, vindt statische analyse doorgaans plaats na peer review.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 11
Zijn de twee onderstaande beweringen over configuration management waar? I Bij configuration management wordt nieuwe of gewijzigde code (onder meer) geïnspecteerd op securitygebreken. II Bij configuration management worden eerdere versies van een programma bewaard.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 12
Stel een wachtwoord bestaat uit twee of drie cijfers (0..9). Wat is dan het gemiddeld aantal pogingen dat bij een brute-krachtaanval moet worden uitgevoerd om een wachtwoord te raden? a b c d
1100 1000 550 500
OUN
231
Security en IT
13
Single sign-on betekent dat a een systeem slechts één gebruiker tegelijkertijd toelaat b een gebruiker slechts eenmaal met hetzelfde wachtwoord kan inloggen c een gebruiker slechts op één systeem kan inloggen d een gebruiker door eenmaal in te loggen geautoriseerd is om op verschillende (sub)systemen te werken.
14
Zijn de twee volgende beweringen over capabilities in access control waar? Het is gemakkelijk een capability te herroepen (revoke). Het is gemakkelijk bij gebruik van capabilities een overzicht te krijgen van wie toegang heeft tot een gegeven object. I
II
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 15
Zijn de twee onderstaande beweringen over de Trusted Computing Base waar? De Trusted Computing Base maakt deel uit van de reference monitor. De Trusted Computing Base bevat alle delen van het systeem die correct moeten werken om veiligheid te garanderen. I
II
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 16
Wat is het belangrijkste doel van een goede scheiding van taken (separation of duties)? a Voorkomen dat medewerkers gevoelige informatie openbaar kunnen maken. b Zorgen dat de toegangscontrole (access control) goed werkt. c Voorkomen dat een medewerker in een belangenconflict komt als hij voor verschillende klanten werkt. d Verkleinen van de kans op fraude door een medewerker.
17
Voor de toegang tot een bepaald systeem geldt: iedere gebruiker heeft alleen die toegang die hij nodig heeft om zijn taak uit te kunnen voeren. Dit is een voorbeeld van het ontwerpprincipe: a b c d
232
least privilege economy of mechanism separation of privilege least common mechanism.
OUN
Eindtoets
18
Zijn de twee onderstaande beweringen over de integriteit van databases waar? I Element integrity heeft betrekking op de interne consistentie van een database. II Logical database integrity heeft betrekking op de structuur van een database.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 19
Zijn de volgende beweringen over de tweefasenupdate waar? I In de eerste fase worden geen permanente veranderingen in de database aangebracht. II In de tweede fase kunnen acties uit de eerste fase worden herhaald.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 20
Voor een zekere query q geldt dat die gerepresenteerd kan worden als q = count (a ∧ b ∧ c). Welke query is niet equivalent met q? a b c d
21
q1 = count (a) – count (a ∧ ¬(b ∧ c)) q2 = count (b) – count (b ∧ (¬c ∨ ¬a)) q3 = count (c) – count (a ∧ (b ∨ c)) q4 = count (c) – count ((c ∧ ¬a) ∨ (c ∧ ¬b))
Gegeven is onderstaande tralie voor de niveaus van veiligheid van een bestand met zes records.
Als de simple security property geldt, wat mag een gebruiker met bevoegdheid [b] dan lezen? a b c d
uitsluitend b en c uitsluitend b, d en f uitsluitend b en a uitsluitend b
OUN
233
Security en IT
22
Wat geldt voor de volgende beweringen over Woods Hole architectures? De distributed architecture maakt gebruik van een trusted DBMS. De integrity lock architecture maakt gebruik van een trusted front end. I
II
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 23
Als voorbereiding op een aanval probeert een hacker zoveel mogelijk informatie over een doelwit te verzamelen. Welke van de onderstaande beweringen is niet waar? De hacker kan informatie over het doelsysteem inzamelen door a een port scan uit te voeren om daarmee te achterhalen wat het besturingssysteem van het doelsysteem is en welke poorten openstaan b social engineering te gebruiken om daarmee de gebruikersnaam van een gebruiker van het doelsysteem te achterhalen c een packet sniffer te gebruiken om daarmee een keystroke logger op het doelsysteem te plaatsen d wiretapping te gebruiken om daarmee het password af te luisteren van een gebruiker van het doelsysteem.
24
Een hacker voert een port scan uit met de tool nmap en ziet onderstaande uitvoer op zijn beeldscherm verschijnen. Starting nmap (http://insecure.org/nmap/) Interesting ports on 192.168.240.3: (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 53/tcp open domain 70/tcp closed gopher 80/tcp open http Apache httpd 2.0.52 ((Fedora)) 113/tcp closed auth Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11
De hacker probeert aan de hand van deze informatie conclusies te trekken. Welke van de onderstaande conclusies is niet waar? Op het doelsysteem draait a een SSH-client die poort 22 gebruikt b mogelijk een personal firewall die poort 60 afschermt c een Apache-webserver die poort 80 gebruikt d een Linux-besturingssysteem dat poort 90 afschermt.
234
OUN
Eindtoets
25
Welke van de onderstaande aanvallen is geen denial-of-service-aanval? a b c d
26
Een hacker bouwt een masquerade van de website van de Rabobank en probeert klanten van de Rabobank naar zijn website te lokken. Als een klant inlogt op de masquerade website, gebruikt de hacker deze gegevens om in te loggen op de website van de Rabobank. Welke van de volgende termen is hierbij niet van toepassing? a b c d
27
session hijack smurf attack syn flood traffic redirection
man-in-the-middle phishing server-side include spoofing
Wat geldt voor de onderstaande twee beweringen over de beveiliging van een ActiveX control met behulp van een digitale handtekening? I De digitale handtekening maakt het mogelijk om de herkomst van de ActiveX control te verifiëren. II De digitale handtekening garandeert dat de ActiveX control veilig uitgevoerd kan worden.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 28
Welke van de onderstaande beweringen over link encryptie en end-toend encryptie is waar? Bij toepassing van a link encryptie kunnen berichten in netwerkrouters als klare tekst gelezen worden b link encryptie is IP address spoofing mogelijk c end-to-end encryptie zijn segmenten uit de transportlaag vercijferd d end-to-end encryptie zijn de berichten van alle applicaties vercijferd.
29
Wat geldt voor de twee onderstaande beweringen over VPN? De berichten die hosts via een VPN uitwisselen, zijn vercijferd. De berichten die hosts via een VPN uitwisselen, worden door een denkbeeldige tunnel vervoerd. I
II
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar.
OUN
235
Security en IT
30
Wat geldt voor de onderstaande twee beweringen over authenticatie in computernetwerken? I In een challenge-responsesysteem ontvangt de gebruiker een challenge van een server. De gebruiker beschikt over een device waarop hij zijn pincode en de ontvangen challenge invoert, waarna het device een response genereert. Deze response dient als een one-time password waarmee de gebruiker zich authenticeert aan de server. II In het Kerberos systeem verleent de ticket-granting server een ticket waarmee de client zich kan authenticeren aan de Kerberos authentication server.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 31
Een intranet is met behulp van een firewall afgeschermd van het internet. Welke van de onderstaande beweringen is waar? a De firewall beschermt de hosts in het intranet tegen een aanval die vanuit het intranet wordt uitgevoerd. b De firewall als application proxy gateway kan gebruikers in het intranet toegang onthouden tot bepaalde websites in het world wide web. c De firewall beschermt de integriteit van berichten die vanuit een host in het intranet naar een host in het internet worden verstuurd. d De firewall dient een screening router te zijn om te voorkomen dat TCP-verbindingen vanuit een host in het internet naar een host in het intranet worden opgezet.
32
Een firewall is met iptables geïmplementeerd. De onderstaande tabel bevat informatie over de forward chain. Chain FORWARD (policy DROP) rule
target
protocol
incoming interface
outgoing interface
source
destination
1 2 3 4
ACCEPT ACCEPT ACCEPT ACCEPT
all icmp tcp ftp
eth1 eth0 eth0 eth2
* * * *
0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
0.0.0.0/0 0.0.0.0/0 120.0.0.0/24 120.0.0.0/24
Welke van de onderstaande beweringen over deze firewall is onjuist? De firewall laat a alle ICMP-pakketten door die binnenkomen op interface eth1 b sommige TCP-pakketten door die binnenkomen op interface eth0 c alle TCP-berichten door die binnenkomen op interface eth1 d alle FTP-berichten door die binnenkomen op interface eth0.
236
OUN
Eindtoets
33
Welke van de onderstaande beweringen over een intrusion detection system (IDS) is onjuist? a Een signature-based IDS bevat een database met kenmerken van aanvallen. b Een anomaly-based IDS bevat een beschrijving van normaal, verwacht berichtenverkeer. c Een firewall is onderdeel van een IDS. d Een IDS opereert in stealth mode.
34
Alice verstuurt een e-mail naar Bob en beveiligt dit met S/MIME. Welke van de onderstaande beweringen is waar? a Alice plaatst een digitale handtekening bij het bericht met behulp van haar publieke sleutel. b Alice vercijfert het bericht en de digitale handtekening met behulp van een geheime sessiesleutel. Ze vercijfert deze geheime sessiesleutel met behulp van haar privésleutel. c Bob gebruikt zijn privésleutel om de sessiesleutel te ontcijferen. d Bob gebruikt zijn publieke sleutel om de digitale handtekening te ontcijferen.
35
Welke van de onderstaande beweringen over beveiliging van e-mail is waar? a Publieke sleutels worden in S/MIME uitgewisseld volgens het principe van web of trust. b Message integrity van e-mail wordt verkregen door e-mail te voorzien van een digitale handtekening. c Receiver authenticity wordt verkregen door e-mail te voorzien van een digitale handtekening. d Een e-mail die beveiligd is met PGP bevat geen bijlagen met malware.
36
Een hacker heeft toegang gekregen tot het computersysteem van een bedrijf en daarbij essentiële bestanden gewijzigd. Een team binnen het bedrijf gaat uitzoeken wat de hacker precies heeft gedaan en hoe herhaling kan worden voorkomen. Welk plan biedt volgens het cursusmateriaal het team de meeste ondersteuning? a b c d
securityplan intrusion detection plan incident response plan business continuïteitsplan
OUN
237
Security en IT
37
De kans op onbevoegde toegang tot een systeem is 5 % per jaar, met € 120.000,– aan kosten als dat gebeurt. Verder is er een kans van 30 % per jaar op ongeoorloofd gebruik van het systeem, met € 50.000,– aan kosten. Door een maatregel te nemen is de kans op onbevoegde toegang terug te brengen tot 1 %, nu met € 100.000,– aan kosten om de schade te herstellen. De kans op ongeoorloofd gebruik van het systeem is dan te reduceren tot 10 % met € 50.000,– aan kosten. Wat is de reductie in risicoblootstelling voor deze maatregel? a b c d
38
Een project van drie jaar kent een initiële investering van € 45.000,– en in het derde jaar een extra investering van € 10.220,–. De baten voor de verschillende jaren van het project zijn respectievelijk € 18.000,–, € 28.800,– en € 27.500,–. Wat is de IRR (internal rate of return) van dit project? a b c d
39
€ 3000,– € 14.200,– € 15.000,– € 22.000,–
5% 10 % 13,77 % 20 %
Wat geldt voor de volgende beweringen over cybersecurity? I Bedreigingen en risico’s op gebied van cybersecurity zijn moeilijk te kwantificeren. II Het is noodzakelijk dat bedrijven alles in het werk stellen om schade op het gebied van cybersecurity te voorkomen.
a Alleen I is waar. b Alleen II is waar. c I en II zijn beide waar. d I en II zijn geen van beide waar. 40
In het tekstboek wordt een aantal uitspraken gedaan over privacy. Welke van de onderstaande beweringen is in strijd met het tekstboek? a Bij privacy is het bij uitstek van belang waarom een persoon iets als gevoelig beschouwt. b Privacy betreft gecontroleerde openbaarmaking. c Privacy heeft een prijs. d Ook informele groepen hebben zaken die ze als privé beschouwen.
238
OUN
Eindtoets
TERUGKOPPELING
Uitwerking van de opgaven 1 2 3 4 5 6 7
8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
c leereenheid 1, pagina 6-7, tekstboek c leereenheid 2a, paragraaf 2.2 en 2.3, cursusboek b leereenheid 2a, pagina 55-56, tekstboek a leereenheid 2a, paragraaf 2.2 en 2.3, cursusboek d leereenheid 2b, pagina 72-75, tekstboek c leereenheid 2b, paragraaf 2.7, cursusboek; 27 is 128, delen door 65 geeft rest 63. c leereenheid 3a, paragraaf 3.2 en leereenheid 3b paragraaf Veilig programmeren, cursusboek; de taal C is zo ontworpen dat programmeurs hun eigen geheugenbeheer kunnen doen. Daarom wordt in C niet automatisch getest of er gerefereerd wordt buiten de buffer. Programmeurs kunnen deze test zelf doen, maar laten dit vaak na. c leereenheid 3a, pagina 116, tekstboek b leereenheid 3a, pagina 131-132, tekstboek a leereenheid 3b, pagina 174, tekstboek c leereenheid 3b, pagina 175-176, tekstboek c leereenheid 4a, zie zelftoetsopgave 1 d leereenheid 4a, paragraaf 3.6, boek Gollmann d leereenheid 4b, paragraaf 4.5.2, boek Gollmann b leereenheid 5, pagina 243-245, tekstboek en paragraaf 5.1, cursusboek d leereenheid 5, pagina 250-251, tekstboek a leereenheid 5, pagina 265-266, tekstboek b leereenheid 6a, pagina 324-325, tekstboek en paragraaf 6.2, cursusboek a leereenheid 6a, pagina 330-332, tekstboek c leereenheid 6a, paragraaf 6.5, cursusboek c leereenheid 6b, paragraaf 6.6, cursusboek b leereenheid 6b, paragraaf 6.7, cursusboek c leereenheid 7a, pagina 404-409, tekstboek en paragraaf 2 van bijlage 7a.2, cursusboek d leereenheid 7a, paragraaf 2 van bijlage 7a.2, cursusboek a leereenheid 7b, pagina 419-420 en 428-430, tekstboek c leereenheid 7b, pagina 418-420 en 427, tekstboek a leereenheid 7b, pagina 437, tekstboek a leereenheid 7c, pagina 445-446, tekstboek; zie ook opgave 3 van de zelftoets, cursusboek c leereenheid 7c, pagina 449-450, tekstboek a leereenheid 7c, paragraaf 7.3, sectie Strong Authentication, cursusboek b leereenheid 7d, pagina 474-484, tekstboek d leereenheid 7d, paragraaf 2 en paragraaf 4.2 van bijlage 7d.1, cursusboek c leereenheid 7d, pagina 484-490, tekstboek c leereenheid 7e, paragraaf 7.6, sectie Designs, cursusboek b leereenheid 7e, pagina 494-496, tekstboek en paragraaf 7.6, sectie Example Secure E-mail Systems, cursusboek
OUN
239
Security en IT
36 37
c leereenheid 8, paragraaf 8.1; de term intrusion detection plan komt in het cursusmateriaal niet voor. c leereenheid 8, paragraaf 8.2, met name Stap 6: Project Savings, cursusboek REreductie = REvoor − REna 2
2
i =1
i =1
= ∑ P(UOvoor,i ) × L(UOvoor,i ) − ∑ P(UOna,i ) × L(UOna,i ) = (0,05 × 120 000 + 0, 30 × 50 000) − (0,01 × 100 000 − 0,10 × 50 000) = (6000 + 15 000) − (1000 + 5000) = 15 000
240
38
d leereenheid 9, paragraaf 9.1, cursusboek
39 40
a leereenheid 9, pagina 578-579, tekstboek a leereenheid 10, pagina 606, tekstboek
OUN
