Interpreter_odpovedniku

vatelem není přímo banka)
- Obchodníkům
* Zákazníkům

Co je to "Security through obscurity"?
* Víra, že pouze dobře utajený algoritmus je bezpečný
- Souhrnný název pro bezpečnostní mechanizmy vybudované na teorii složitosti

Pro komunikaci mezi jednotlivými Onion Routery (OR) platí
- komunikace se šifruje pomocí asymetrické kryptografie.
- topologie uzlů připomíná hvězdici s pevně daným středem.
* seznam přeposlaných paketů se ukládá.
* komunikace se šifruje pomocí šifry se symetrickým klíčem.
* každý OR odstraní vrstvu paketu dešifrováním.

Které dvě z těchto biometrických technik jsou nejpohodlnější pro uživatele?
- vzor oční sítnice
- EKG
* vzor oční duhovky
* srovnání tváře

Protokoly SSL/TLS umožňují
- komunikovat anonymně
* kontrolu integrity přenášených dat
* autentizaci komunikujících stran (klient i server)
- autentizaci jen a pouze jedné strany
- zajistit nepopiratelnost

Pro osobní údaje dle české legislativy platí:
- dozor nad osobními údaji provádí Policie ČR
* jedná se o jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů.
- zpracovávání osobních údajů je zakázáno, vyjma případů pro osobní potřebu
* o osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů
nepřiměřené množství času nebo materiálních prostředků
* jde-li na základě jednoho či více osobních údajů přímo či nepřímo zjistit
identitu subjektu, považuje se subjekt údajů za určený nebo určitelný

Podle čeho je určen počet kol/rund u algoritmu Rijndael.
- Délka zprávy
* Délka klíče
- Inicializační vektor
- Délka bloku
- Inicializační vektor a délka bloku
- Délka klíče a bloku

Kdy je dosažen EER (Equal Error Rate) v biometrických systémech?
- Nastavení prahové hodnoty, pro kterou je FAR/FRR rovno 0.8.
- Nastavení prahové hodnoty, pro kterou je FRR roven 1.
* Nastavení prahové hodnoty, pro kterou FRR a FAR jsou stejné.
- Nastavení prahové hodnoty, pro kterou je FRR/FAR rovno 0.8.

Co je to veřejný pseudonym?
* Např. telefonní číslo ve Zlatých stránkách
- Pseudonym používaný uvnitř veřejně nedostupného systému
- Je znám veřejnosti za poplatek
- Pseudonym použitelný pouze na veřejnosti
* Je veřejně znám od počátku, např. v seznamu osob

Místa setkání a skryté služby TORu je/jsou:
* služba, která umožňuje anonymní provoz např. webového serveru.
- místa, kde se setkávají pouze anonymní uživatelé.
* je služba umožňující serveru kontrolovat anonymní příchozí požadavky.
- místa, kde uživatelé získavají anonymitu tak, že to ostatní nevidí.

Pokud existuje v systému zranitelnost a existuje útočník, který ji může využít, výsledný stav je nazýván:
- útok
- zranitelnost
* hrozba
- riziko

Poskytuje TOR testování integrity přenášených dat?
* Ano, je to obrana proti tagging útokům.
* Ano, je to vylepšení oproti původnímu návrhu Onion Routing systémů.
- Ne, proč bychom něco takového potřebovali, stačí zaručená anonymita.
- Ano, je to obrana proti mig-in-the-middle útokům.

V případě, že neoprávnění uživatelé jsou "menší zlo" než nespokojení uživatelé,
nastavíme biometrický systém tak, že bude mít FAR (False Acceptance Rate) a FRR (False Rejection Rate):
- vysokou hodnotu FRR a vysokou hodnotu FAR.
- nízkou hodnotu FRR a nízkou hodnotu FAR.
* vysokou hodnotu FAR a nízkou hodnotu FRR.
- vysokou hodnotu FRR a nízkou hodnotu FAR.

Systém detekce průniku (IDS)
* je možné použít v síti i na počítači
- poskytuje lepší ochranu než firewall
- je možné použít buď v síti nebo na počítači
- má smysl používat pouze jako síťový prvek, kdy detekuje a informuje o probíhajícím útoku

Anonymita (podle Společných kritérií) zajišťuje možnost použití zdrojů nebo služeb systému tak, že:
- specifikované entity jsou schopny určit skutečné uživatelské jméno spojene se specifikovanými subjekty, operacemi, objekty
* identita uživatele zůstane skryta specifickým uživatelům, pro specifické operace
- identita uživatele zůstane skryta, ale v případě potřeby ji lze zpětně zjistit

Pretty Good Privacy (PGP) umožňuje
- odeslat, přijmout a odpovědět na anonymní e-mail
- anonymně přistupovat k webu
* šifrovat a dešifrovat data
- chránit počítač před zneužitím
* digitálně podepsat data a ověřit podpis

Firewall je
* umělá překážka před potenciálně nebezpečným okolím
- software pro detekci a blokaci podezřelých aktivit v systému
- spolehlivou ochranou před zneužitím počítačů ve vnitřní síti

Systémy měnící tok a výskyt dat na komunikačním kanálu se nazývají
- mutexy
- minmaxy
* anonymitní
* mixy
- minixy

Chybovost biometrických systémů vyjádřená pomocí FTE (Fail to Enroll) je:
- Podíl počtu uživatelů, které systém neverifikoval, ku počtu všech pokusů uživatelů o přihlášení do systému.
* Žádná z těchto odpovědi není správná.
- Podíl počtu uživatelů, které systém zaregistroval na více než jeden pokus, ku počtu všech uživatelů systému.
- Podíl počtu uživatelů, které systém zaregistroval, ku počtu uživatelů systému, které systém nezaregistroval.

Jaký je v dnešních platebních systémech pro zákazníka největší bezpečnostní problém?
- Banky už v 90. letech zavrhly používání bezpečného protokolu SET (Secure Electronic Transaction).
* Současný systém funguje tak, že zákazníkovi nezaručuje vazbu mezi zobrazovanou a potvrzovanou transakcí.
- Napěťové útoky jsou snadnou a efektivní cestou jak obejít bezpečnostní mechanizmy čipu na platební kartě.
- Zákazníci sami se chovají nezodpovědně.

Kerckhoffsův princip říká, že:
- Klíč není třeba utajovat, pokud použitý algoritmus je také tajný
- Klíč není třeba utajovat, pokud je použitý algoritmus veřejně znám
* Použitý algoritmus je veřejně znám, utajován je pouze klíč
- Použitý algoritmus je přístupný pouze autorizovaným osobám, klíč je utajován

Které z následujích bodů lze zařadit mezi obecné principy pro bezpečnost IT?
* Usilujte o jednoduchost.
- Nepoužívejte klíče s délkou < 128 bitů.
- Nikdy nezveřejňujte kritické bezpečnostní algoritmy.
* Externí zdroje pokládejte za nebezpečné.
* Fyzicky nebo logicky oddělte kritické zdroje.

Co je to perturbační technika používaná ve statistických databázích?
* Technika stavějící např. na zaokrouhlování mezivýsledků dotazů.
* Přidávání pseudonáhodného "šumu" k množině záznamů, na jejichž základě se vyhodnotí dotaz.
- Žádná taková technika neexistuje.
- Pro vyhodnocení dotazu nesmí být použito více záznamu než je stanovená maximální (perturbační) mez.
* Technika umožňující zjistit konzistentní, ale ne spolehlivé odpovědi na sérii podobných dotazů.
- Pro vyhodnocení dotazu může být použito pouze menší množství záznamů než je stanovená maximální (perturbační) mez.

Které z následujících možností obsahují relevantní bezpečnostní funkce systémů pro ochranu inf. soukromí?
- neslučitelnost, nepozorovatelnost, anonymita, pseudonymita
- nezjistitelnost, nespojitelnost, anonymita, identita
- nespojitelnost, nepozorovatelnost, anonymita, pseudonymita, identita
* nespojitelnost, nepozorovatelnost, anonymita, pseudonymita

Klasické odemykání zámku na dveřích klíčem
- nespadá pod autentizaci (klíč není ani něco, co znám, vím, ani něco, co "jsem")
- spadá pod autentizační procedury, ale jen když klíč do zámku pasuje
* spadá pod autentizační procedury

Nepozorovatelnost (podle Společných kritérií) zajišťuje možnost
použití zdrojů nebo služeb systému tak, že:
- ostatní uživatelé systému nemohou pozorovat používání daného zdroje nebo
služeb, ale v případě potřeby lze toto chování zpětně spojit s konkrétním uživatelem
- uživatelé nejsou zodpovědní za své chování v systému
- ostatní uživatelé, s výjimkou administrátorů, nemohou pozorovat
používání daného zdroje nebo služeb
* specifikované entity nejsou schopny pozorovat specifikované operace
prováděné specifikovanými entitami na specifikovaných objektech
* ostatní uživatelé (ani administrátoři) systému nemohou pozorovat
používání daného zdroje nebo služeb
- specifikované entity jsou schopny pozorovat specifikované operace
prováděné specifikovanými entitami na nespecifikovaných objektech

Ke zneužitím mobilního telefonu operátorem patří:
* poloha mobilního telefonu může být sledována
* SMS posílané z mobilu na mobil mohou být jednoduše ukládány
- žádná z těchto odpovědí není správná, protože celá komunikace je bezpečně šifrována

Mezi bezpečnostní požadavky podle standardu pro hodnocení
kryptografických modulů FIPS 140-1/2 patří:
* Bezpečnost O/S
- Testování GUI modulu
* Rozhraní modulu
* Služby a autentizace
- Odolnost vůči lidskému faktoru
* Fyzická bezpečnost

PIN je u kreditních karet vyžadován, aby
- zajistil absolutní ochranu peněz před jakýmkoli útokem na bezpečnost karty
* karta po okopírování šla obtížněji zneužít
* člověk, který kartu zcizí, ji nemohl snadno použít k platbám
- celý systém plateb kartami vypadal bezpečněji (ve skutečnosti však
bezpečnost vůbec nezvedá - je zde jen pro psychologický efekt)
- karta šla hůře okopírovat

IEEE - principy SW inženýra stanoví např.
* vykonávat svou činnost v souladu s veřejným zájmem
- zastávat pouze takové pozice, na které má nárok a schopnosti
- povinnost žít čestně, zdravě a podle pravidel IEEE tak, aby na něj mohla
být společnost hrdá
* zajistit čestnost a nezávislost ve svých odborných odhadech
- povinnost používat pouze software, za který nebylo prokazatelným způsobem zaplaceno

Digitální podpis zajišťuje
- Důvěrnost podepisovaných dat
* Integritu podepisovaných dat
- Obnovu privátního klíče při jeho ztrátě
- Autorizaci podepisovaných dat

Pro zajištění prokazatelné zodpovědnosti (accountability)?
- Je prováděna archivace dat pro udržení schopnosti správy účtu.
* Je na začátku práce v systému obvykle prováděna autentizace nebo identifikace.
* Je prováděna archivace dat umožňujících propojení činnosti s
konkrétní osobou tak, že daná osoba se nemůže zříci zodpovědnosti za svoji činnost.
- Ja na začátku práce v systému obvykle prováděno dešifrování dat pro práci s účtem.

Onion Routing systémem označujeme
* systém poskytující své služby pro různé protokoly
- systém fungující po vrstvách (např. TCP/IP)
- rezistentní systém pro anonymitní komunikační sítě
* systém pro anonymní komunikaci při použití veřejné sítě

Mezi základní pravidla bezpečnostního modelu Bell-LaPadula patří:
- Procesy nesmějí číst/zapisovat data z/do nižsí úrovně.
* Procesy nesmějí zapisovat data do nížší úrovně.
- Procesy nesmějí číst data na nižší úrovni.
- Procesy nesmějí zapisovat data do vyšší úrovně.
* Procesy nesmějí číst data na vyšší úrovni.


Citlivé osobní údaje dle české legislativy vypovídají mj. o:
- majetkových poměrech státních úředníků
- postoji k trestné činnosti jiných
* sexuální orientaci

Bezpečnostní politika zahrnuje
* Požadavky, pravidla a postupy určující způsob ochrany a zacházení s hodnotami společnosti
- Specifikaci technologických opatření kterými budou prosazovány bezpečnostní požadavky společnosti
- Seznam konkrétních osob, které mají povoleno přistupovat k citlivým datům společnosti
 
Obvykle nejméně bezpečným bodem během průběhu autentizace v internetovém bankovnictví je:
* autentizace banky
- autentizace klienta
- autentizace počítače klienta
 
Pod pojmem asymetrická kryptografie rozumíme
- Kryptografie s využitím klíče, který je výstupem kvalitní hašovací funkce.
- Kryptografie s algoritmem, který je opakem symetrické kryptografie a nepoužívá žádný klíč.
* Kryptografie s využitím dvojice soukromého a veřejného klíče.
- Nic z ostatních uvedených možností.
 
Mezi bezpečnostní požadavky podle standardu pro hodnocení kryptografických modulů FIPS 140-1/2 patří:
* Metody pro zmírnění jiných útoků
* Správa klíčů
* Služby a autentizace
* Rozhraní modulu
- Flexibilita modulu
- Elektromagnetická rezonance
 
Poskytuje TOR testování integrity přenášených dat?
- Ne, proč bychom něco takového potřebovali, stačí zaručená anonymita.
* Ano, je to obrana proti tagging útokům.
* Ano, je to vylepšení oproti původnímu návrhu Onion Routing systémů.
- Ano, je to obrana proti mig-in-the-middle útokům.

Analýza a hodnocení hrozeb zahrnuje:
* Rozvahu, co všechno by mělo být chráněno.
* Vyhodnocení, jaké hrozby hrozí ochraňovaným hodnotám.
- Pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
- Techniky pro implementaci bezpečnostních funkcí chránících ochraňované hodnoty.
 
Mezi bezp. funkce systémů pro ochranu inf. soukromí nepatří:
- pseudonymita
- nepozorovatelnost
* integrita
- nespojitelnost
* neslučitelnost
* identita