Interpreter_odpovedniku

Vliv přírody, zdrojů.
- Záměrný útok (sabotáž) zaměstnanců (i bývalých).
* Chyby (neúmyslné).
- Vnější útočníci.
- Škodlivý software.

Mezi bezpečnostní požadavky podle standardu pro hodnocení kryptografických
modulů FIPS 140-1/2 patří:
* Služby a autentizace
* Rozhraní modulu
- Elektromagnetická rezonance
* Správa klíčů
* Metody pro zmírnění jiných útoků
- Flexibilita modulu

Která z uvedených tvrzení jsou pravdivá?
- Symetrická kryptografie se využívá pouze pro šifrování, zatímco asymetrická
pouze k podepisování.
* Symetrická kryptografie využívá jeden klíč sdílený mezi dvěma a více
uživateli.
- Teoreticky lze použít asymetrickou kryptografii i k šifrování, ale v praxi se
toho nevyužívá.
- Pokud chceme využít asymetrickou kryptografii k šifrování, musí zůstat oba
klíče utajeny.

Odmítnutí služby (Denial of Service) je
* útok, který uvede server do stavu, kdy není schopen reagovat na požadavky
- stav, kdy server zjistí nedostatečnou autorizaci uživatele k operaci
- stav, kdy server včas zjistí útok a zamítne další komunikaci s útočníkem
- útok, kdy zpracování požadavku na webovém serveru nevyhnutelně skončí s HTTP
chybou 500

Cílem projektu Eternity server je
- poskytnout trvalé úložiště dat s operacemi uložit, nalézt a smazat
- navrhnout službu, která je odolná vůči útoku typu Denial of Service
* poskytnout trvalé úložiště dat
* vytvořit datové úložiště, které je odolné vůči výpadkům

K bezpečným metodám autentizace klienta bance v systému internetového
bankovnictví patří prokázání se
- heslem, které si klient zvolil při zakládání účtu
- kódem získaným vložením rodného čísla či uživatelského hesla do autentizační
- "kalkulačky"
- rodným číslem
* osobním klíčem uloženým bezpečně na čipové kartě, USB flashdisku či SD
kartě
* kódem získaným vložením výzvy (challenge) bankovního systému do autentizační
"kalkulačky"

Důvěryhodnost dat?
- Utajení obsažené informace.
* Data jsou v nezměněné podobě tak, jak byla vytvořena.
* Technicky se realizuje např. pomocí digitálního podpisu.
- Data získaná od důvěryhodného zdroje.

Základní metody autentizace uživatelů jsou založeny na něčem, co
- smím
* mám
* vím

Jak pracuje technika náhodného výběru ve statistických databázích?
* Výsledek dotazu je vyhodnocen na základě náhodně vybraných záznamů ze všech
existujících záznamů v databázi.
- Výsledek dotazu je vyhodnocen na základě mírně poupravených záznamů, které jsou
náhodně vybrány ze všech existujících záznamů v databázi.
- Výsledek dotazu je zaokrouhlen na hodnotu náhodně vybraného záznamu.
- Výsledek dotazu je zcela náhodný a nepředvídatelný.
- Žádná taková technika neexistuje.

Jak pracuje technika maximálního rozsahu dotazu ve statistických databázích?
* Žádná taková technika neexistuje.
- Pro vyhodnocení dotazu nesmí být použito více záznamu než je stanovená
maximální mez.
- Pro vyhodnocení dotazu může být použito pouze menší množství záznamů než je
stanovená maximální mez.

Bezpečnostní politika je
- dokument schválený členem představenstva a stanovující přesná pravidla pro
- zajištění technických i lidských zdrojů pro využití IT pro zajištění cílů
organizace
* soubor pravidel specifikující účinný způsob uplatňování opatření potřebných
k dosažení požadované minimální úrovně rizik
- soubor opatření a mechanizmů potřebných k dosažení požadované minimální
úrovně prevence a detekce zranitelností
- dokument schválený vrcholovým managementem a specifikující využití IT pro
zajištění cílů organizace

Kerckhoffsův princip v současnosti neplatí:
- Protože dokážeme účinně utajovat šifrovací algoritmy.
- Jelikož současné délky klíčů neumožňují efektivní útoky hrubou silou.
* Nesmysl, Kerckhoffsův princip platí i v současnosti.
- Anžto dokážeme hrubou silou prolomit klíče o délce větší než 80 bitů.

Které z následujících pojmů se vztahují ke Společným kritériím (CC).
- Profil prokazatelné bezpečnosti (Provable Protection Profile, PPP)
- Specifikace síťové bezpečnosti (Network Security Target, NST)
- Subjekt hodnocení (Subject of Evaluation, SOE)
* Specifikace bezpečnosti (Security Target, ST)
* Profil bezpečnosti (Protection Profile, PP)
* Předmět hodnocení (Target of Evaluation, TOE)

Která z těchto tvrzení jsou správná?
* Se snížením FAR se zvyšuje FRR.
- Se zvýšením FAR se zvyšuje FRR.
- Se snížením FAR se snižuje FRR.
* Se zvýšením FAR (False Acceptance Rate) se snižuje FRR (False Reject Rate).

Mezi bezp. funkce systémů pro ochranu inf. soukromí patří:
- identita
- nezjistitelnost
* pseudonymita
* anonymita
* nepozorovatelnost
* nespojitelnost

Které z následujících metod lze využít k analýze rizik?
- Metoda ARO (Annualized Rate of Occurence)
* Meroda CRAMM (CCTA Risk Analysis and Management Method)
- Metoda RSA (Risk System Analysis)
* Metoda ALE (Annual Loss Expentancy)
- Metoda AES (Advanced Evaluation Standard)

Nespojitelnost (podle Společných kritérií) zajišťuje možnost opakovaného použití zdrojů:
- tak, že identita uživatele zůstane skryta specifickým uživatelům,
pro specifické operace bez prozrazení identity uživatele, ale v případě
potřeby lze identitu zpětně zjistit
- tak, že pouze administrátoři uvidí, že ve skutečnosti toto použití
inicioval tentýž uživatel
* tak, že ostatní si tato použití nebudou schopni spojit bez prozrazení
identity uživatele

Pod pojmem hybridní kryptosystémy rozumíme například
- Data jsou před šifrováním algoritmem symetrické kryptografie hašována,
šifrována je pouze výsledná haš
- Data jsou před podpisem zašifrována algoritmem asymetrické kryptografie
* Data jsou šifrována náhodným symetrickým klíčem, ten je šifrován veřejným
klíčem příjemce

Pod pojmem symetrická kryptografie rozumíme:
* Kryptografie s využitím stejného klíče pro šifrování i dešifrování.
- Kryptografie s takovým algoritmem, jehož všechny operace splňují matematickou
vlastnost symetrie nad danou grupou.
- Kryptografie s takovým algoritmem, který umožňuje komukoli symetricky ověřit
pravost podpisu.
- Kryptografie s využitím klíče, který je na binární úrovni symetrický.

Co je výsledkem hodnocení systému podle Společných kritéríí (CC)?
* Diskrétní hodnocení (ano/ne) daných požadavků na hodnocený systém
- Popis, jakým způsobem je v hodnoceném systému dosaženo daných vlastností
- Subjektivní (ze strany hodnotitele) hodnocení bezpečnosti systému
- Sada doporučení, jak hodnocený systém zabezpečit

Mezi vlastnosti Onion Routingu (OR) rozhodně patří
- závislost na specializovaném hardwaru
- využívá se zejména v privátních sítích
* zpoždění komunikace by měla být co nejmenší
* aplikace mohou s OR fungovat bez nutnosti jejich modifikace
- neumožňuje komunikaci klient-server

Které tvrzení je správné:
* TLS/SSL "Handshake" protokol slouží k ustavení zabezpečeného spojení, "Record"
protokol představuje základní vrstvu.
- "Record" protokol dovoluje předávat/ukládat nezabezpečená data pro potřeby
vlády USA, podle §708, odstavce 17 zákona o vnitřní bezpečnosti.
- Použití TLS/SSL "Handshake" protokolu je volitelné v závislosti na požadavcích
klienta a serveru.
- Při TLS/SSL "Handshake" se povinně kontrolují certifikáty obou stran.
- Při TLS/SSL "Handshake" se provádí autentizace uživatele heslem.

Co jsou (z pohledu uživatele) dvě nejméně bezpečné součásti dnešních platebních systémů?
* Platební terminál
* Čipová karta s magnetickým proužkem
- Bankomat
- Čipová karta

Typické operace na firewallu jsou
- hašovat
* zakázat
- porovnat
* povolit

Šifrování v PGP probíhá tak, že se data šifrují
- symetricky, symetrický klíč se zašifruje soukromým klíčem příjemce a přiloží k datùm
- asymetricky, klíče se zašifrují veřejným klíčem příjemce a přiloží k datům
* symetricky, symetrický klíč se zašifruje veřejným klíčem příjemce a přiloží k datùm
- asymetricky, klíče se zašifrují soukromým klíčem příjemce a přiloží k datùm

Chybovost biometrických systémù vyjádřená pomocí FRR (False Rejection Rate) je:
- Podíl počtu akceptovaných pokusů o přihlášení legitimních uživatelů
ku počtu všech pokusů o verifikaci legitimních uživatelù.
- Podíl počtu všech pokusů o přihlášení legitimních i nelegitimních uživatelů
ku počtu všech pokusù o přihlášení legitimních uživatelů.
- Podíl počtu akceptovaných pokusů o přihlášení legitimních uživatelů
ku počtu odmítnutých pokusů o přihlášení legitimních uživatelů.
* Podíl počtu odmítnutých pokusů o přihlášení legitimních uživatelů ku počtu všech pokusů o přihlášení.

Jaké jsou faktory přímo ovlivňující pravděpodobnost neoprávněného (vy)užití informací?
* Úroveň bezpečnostních mechanizmů.
- Výše trestu těm, kdo s daty neoprávněně manipuluje.
- Výše trestu těm, kdo data hlídali a zajistili restriktivní manipulaci.
- Výše trestu těm, kdo data neohlídali a spolupodíleli se na jejich úniku.
- Kódování dat.

Podle českého zákona o e-podpisu (227/2000) je zaručený elektronický podpis:
- Elektronický podpis, který je proveden nad zaručeně korektními daty
- Nic takového dle českého zákona neexistuje
* Elektronický podpis, který je jednoznačně spojen s podepisující osobou
- Elektronický podpis, který je připojen ke zprávě tak, aby ho bylo možné zaručeně ověřit

Typické operace na firewallu jsou
- hašovat
* přeložit
- změnit
* zakázat

Je vůbec možné, aby mělo vnější prostředí (teplota atp.) nějaký vliv na bezpečnost čipových karet?
- ne, není to možné
* ano, je to možné

Bylo by možné spolehlivě autentizovat studenta MU na základě trojice celých čísel výška[cm] : váha[kg] : věk[roky]?
- Ano, jde o fyzickou vlastnost (biometrika).
* Ne, MU studentů příliš mnoho, aby toto bylo spolehlivé.
- Ano, jde o údaje cizím lidem neznámé.

Zákon o ochraně osobních údajů:
- vztahuje se na zabezpečení zpracovávaných osobních údajů v případě automatizovaných prostředků dodávaných ze zemí mimo EU
- nevztahuje se na data poskytovaná dobrovolně státním institucím
* nevztahuje se na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní spotřebu
* vztahuje se na veškeré zpracování osobních údajù, ať k němu dochází automatizovaně nebo jinými prostředky
* nevztahuje se na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány, nebo pokud nejsou pro podnikání

Pod pojmem prokazatelná zodpovědnost rozumíme
* Za veškeré své činy v systému jsou uživatelé zodpovědní vůči majiteli dat
- Uživatelé se musí před použitím systému autentizovat vůči jeho majiteli
- U každé činnosti lze jednoznačně prokázat, kdo je za ni zodpovědný.
- Uživatelé systému jsou zodpovědní za činy, které lze jednoznačně prokázat

Magnetický proužek standardní platební karty obsahuje:
- údaje o částce, kterou držitel této karty naposledy vybral nebo platil
* údaje o kartě
- údaje o posledních 3-5 transakcích s kartou
* údaje o majiteli

Problém živosti pro vstupní zařízení spočívá v tom, že:
* Vstupní zařízení není schopno určit, zda vzorek je od živé osoby.
- Žádná z těchto odpovědí není správná.
- Vstupní zařízení není schopno určit, zda vzorek je právě od osoby, která stojí u vstupního zařízení.
- Osoba, která se přihlašuje u vstupního zařízení není schopná určit kam její vzorek bude přeposlán.

Digitální podpis v PGP probíhá tak, že se
- vytvoří haš zprávy, který se podepíše veřejným klíčem odesílatele
- zpráva se podepisuje přímo klíčem dle volby uživatele
* vytvoří haš zprávy, který se podepíše soukromým klíčem odesílatele
- vytvoří haš zprávy, který se podepíše veřejným klíčem příjemce
- vytvoří haš zprávy, který se podepíše soukromým klíčem příjemce

Nespojitelnost nezohledňuje identitu uživatele ale
- Rozsah služeb a zdrojů, které jsou v systému aktuálně využívané
- Jeho pseudonymitu a nesledovatelnost
* Rozsah služeb a zdrojů, které byly použity jedním uživatelem
- Rozsah služeb a zdrojů, které byly použity různými uživateli

Pokud neautorizovaná osoba zjistí sémantický obsahu chráněných dat, jedná se o narušení
- prokazatelné zodpovědnosti
- dostupnosti
- integrity
* důvěrnosti

Zabezpečení provozu na úrovni IP dosáhnu pokud zvolím:
- IPv4s
- PGP
* IPv6
* IPsec
- Stunnel

Bezpečnost je založena především na
- správném nastavení bezpečnosti sítě i koncových stanic
- aktualizovaném antiviru a správně nastaveném firewallu, příp. i využití PGP
- dohodě s uživateli
* prevenci, detekci a reakci na možné problémy

Komu v platebních systémech poskytují současné tokeny nejnižší ochranu?
- Bankám
- Provozovatelům sítě bankomatů (v případě, že provozo