Scribd Logo
Hochladen

Willkommen bei Scribd!

  • VSS Aufgabenblatt10

    Hochgeladen von

    michele.nergadse
    7 Ansichten2 Seiten

    Originaltitel

    VSS aufgabenblatt10

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    7 Ansichten2 Seiten

    VSS Aufgabenblatt10

    Hochgeladen von

    michele.nergadse

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 2

    Ausgabedatum: 13.06.

    2023

    Übungsblatt 10: IT-Sicherheit II


    Verteilte Systeme und Systemsicherheit · SoSe 2023
    Abgabe spätestens bis 20.06.2023 10:00
    Peer-Review spätestens bis 25.06.2023 23:59
    Besprechung am 20., 21. und 22.06.2023

    Vorbemerkung: Das Übungsblatt dient der Vertiefung und Anwendung des Stoffes im Kurs Verteilte Syste-
    me und Systemsicherheit. Wir erwarten, dass Sie die Aufgaben eigenständig bearbeiten. Im Übungsbetrieb
    werden die Aufgaben, deren Lösungen sowie die zugrundeliegenden Inhalte besprochen. Die Übungster-
    mine für dieses Blatt finden am 20., 21. und 22.06.2023 statt. Der Inhalt aller Aufgaben ist klausurrelevant.
    Der Besuch der Vorlesung ist für das Verständnis der Inhalte und die erfolgreiche Teilnahme an der Klausur
    essenziell. Die Termine finden Sie im Moodle-Kurs Verteilte Systeme und Systemsicherheit.
    Die Abgabe für dieses Blatt erfolgt unter: https://svs.informatik.uni-hamburg.de/abgabe/vss-ss23/10/. Einrei-
    chungen können bis zur Abgabefrist beliebig oft aktualisiert werden.

    Aufgabe 1 Sicherheit in Beispielanwendungen


    Welche Schutzziele sind für folgende Anwendungen typischerweise zu realisieren? Definieren Sie jeweils ein
    geeignetes Angreifermodell.
    a) Elektronische Archivierung von Unternehmensdaten,
    b) Vernetzte Personaldatenverarbeitung,
    c) Biometriedatenerfassung und -auswertung auf einer Intensivstation,
    d) Verbindung der internen Netze von Zweigstellen einer Bank,
    e) Realisierung eines elektronischen Personalausweises.

    Aufgabe 2 Aktive und passive Angreifer


    Angreifende können passiv oder aktiv vorgehen. Zu welcher dieser beiden Kategorien gehören die nachfol-
    genden Angriffe jeweils? Nennen Sie ein Schutzziel, das durch den jeweiligen Angriff verletzt werden kann.
    a) Man-in-the-Middle-Angriff,
    b) Denial-of-Service-Angriff.

    Aufgabe 3 Angreifermodell für den Geldautomaten


    Stellen Sie das Angreifermodell für das Abheben von Bargeld an Geldautomaten mit einer EC-Karte auf.

    Aufgabe 4 Informationsgewinn aufgrund von Kontextinformationen


    Unmittelbar vor der Durchführung eines militärischen Kampfeinsatzes steigt die Anzahl der Essenslieferungen
    (Pizza, Burger, Croques, Sushi etc.), die an die Adresse des Verteidigungsministeriums geliefert werden,
    massiv an. Diskutieren Sie, ob das System durch einen passiven oder einen aktiven Angreifer verwundbar ist
    und welche Schutzziele dadurch bedroht werden. Für welche Angriffsart bzw. Angriffsarten ist das System
    anfällig? Was wären mögliche Gegenmaßnahmen?

    Aufgabe 5 Brute-Force-Angriffe
    Für die Abgaben am Arbeitsbereich SVS wird ein Tool zur Einreichung von Übungsblättern verwendet, das
    unter https://svs.informatik.uni-hamburg.de/abgabe/demo-vss23-blatt10/1/ erreichbar ist. Nach dem Upload
    wird ein Sicherheitscode (ID) generiert und angezeigt, mit dem die überarbeitete Fassung aktualisiert werden
    kann.
    Bei der Entwicklung des Tools war der Schutz vor Brute-Force-Angriffen ein wichtiges Entwurfsziel. So soll
    verhindert werden, dass bereits hochgeladene fremde Lösungen eingesehen werden können. In dieser Auf-
    gabe sollen Sie (auf Basis Ihrer Beobachtungen des unter o. g. URL erreichbaren Demo-Kurses im Tool) eine
    möglichst genaue Abschätzung der effektiven Sicherheit des Sicherheitscodes durchführen.

    1
    a) Nehmen Sie an, dass das Tool die IDs mit einer Länge von 8 Zeichen aus einem Zeichenvorrat von 35
    Zeichen generiert und 80 Studierende bereits eine Lösung für das Übungsblatt über das Tool eingereicht
    haben. Sie wollen zufällig einen gültigen Sicherheitscode erraten. Wie groß ist die Wahrscheinlichkeit,
    dass Sie bei einem Versuch einen dieser 80 bereits vergebenen Sicherheitscodes erraten?
    Hinweis: Die hier genannten Werte entsprechen nicht den tatsächlich von dem Tool genutzten Parame-
    tern.
    b) Ermitteln Sie durch das Erstellen einiger Test-Abgaben im Demo-Blatt unter https://svs.informatik.
    uni-hamburg.de/abgabe/demo-vss23-blatt10/1/, wie die IDs vom Tool tatsächlich generiert werden. Wie
    lange würde es im Mittel dauern, bis Sie Zugriff auf die Lösung von mindestens einer anderen Gruppe
    hätten, wenn der Webserver konstant 1000 Anfragen pro Sekunde beantworten würde? Dokumentieren
    Sie, wo erforderlich, Ihre Annahmen.
    Hinweis: Bitte überlasten Sie den Server nicht mit einem Brute-Force-Angriff! Diese Aufgaben sind
    analytisch zu lösen. Erstellen Sie höchstens 20 Einreichungen im Demo-Blatt.

    Das könnte Ihnen auch gefallen