Písemka

ů
* Služby a autentizace
* Rozhraní modulu
Flexibilita modulu
* Metody pro zmírnění jiných útoků
48. Cibulové schéma používané např. v Onion Routing
* využívá symetrické i asymetrické kryptografie
používá pouze asymetrickou kryptografii
používá pouze symetrickou kryptografii, protože je rychlejší
kryptografie se nepoužívá vůbec, není potřeba
49. Která z těchto tvrzení, pokud mluvíme o biometrických systémech, jsou správná?
* Proces identifikace je náročnější než proces verifikace.
Na začátku procesu verifikace není identita známa.
* Na začátku procesu verifikace je identita známa.
Proces verifikace je náročnější než proces identifikace.
50. Co je cílem zajištění důvěrnosti dat?
Utajit existenci sémantiky dat před nedůvěryhodnými osobami
Zamezit změně sémantického obsahu dat neautorizovanými osobami
* Zabránit zjištění sémantického obsahu dat neutorizovanými osobami
51. Autentizace je
překlep - správně je "autorizace"
volitelná (ale obvykle přítomná) fáze procesu prokazování identity
* všechny ostatní možnosti jsou nepravdivé
proces nezbytný pro ustavení šifrované komunikace u bezdrátového spojení
52. Systém detekce průniku (IDS)
je možné použít buď v síti nebo na počítači
má smysl používat pouze jako síťový prvek, kdy detekuje a informuje o probíhajícím útoku
* je možné použít v síti i na počítači
poskytuje lepší ochranu než firewall
53. Které tvrzení je správné:
Při TLS/SSL "Handshake" se povinně kontrolují certifikáty obou stran.
"Record" protokol dovoluje předávat/ukládat nezabezpečená data pro potřeby vlády
USA, podle §708, odstavce 17 zákona o vnitřní bezpečnosti.
* TLS/SSL "Handshake" protokol slouží k ustavení zabezpečeného spojení,
"Record" protokol představuje základní vrstvu.
Při TLS/SSL "Handshake" se provádí autentizace uživatele heslem.
Použití TLS/SSL "Handshake" protokolu je volitelné v závislosti na požadavcích
klienta a serveru.
54. Podle čeho je určen počet kol/rund u algoritmu Rijndael.
Délka bloku
Délka klíče a bloku
Inicializační vektor
Inicializační vektor a délka bloku
Délka zprávy
* Délka klíče
55. Pseudonymita (podle A.Pfitzmanna - mixy) znamená:
* Používání pseudonymu jako identifikátoru (ID)
Bytí anonymním s možností zpětného zjistění skutečné identity
Bytí anonymním pouze vůči uživatelům systému, nikoli vůči administrátorům
56. Pod pojmem slabá integrita dat rozumíme
Data nesmí bez svolení autorizované osoby změnit svůj stav vůbec
* Data nesmí bez svolení autorizované osoby nepozorovaně změnit svůj stav
Data nesmí být bez svolení autorizované osoby zpracovávána na sémantické úrovni
57. Co jsou (z pohledu uživatele) dvě nejméně bezpečné součásti dnešních platebních
systémů?
* Čipová karta s magnetickým proužkem
Bankomat
* Platební terminál
Čipová karta
58. Jaký je v dnešních platebních systémech pro zákazníka největší bezpečnostní problém?
Banky už v 90. letech zavrhly používání bezpečného protokolu SET (Secure
Electronic Transaction).
Napěťové útoky jsou snadnou a efektivní cestou jak obejít bezpečnostní
mechanizmy čipu na platební kartě.
* Současný systém funguje tak, že zákazníkovi nezaručuje vazbu mezi
zobrazovanou a potvrzovanou transakcí.
Zákazníci sami se chovají nezodpovědně.
59. Co je to kritický dotaz ve statistické databázi?
* Dotaz, který databáze nesmí vyhodnotit, neboť by tím došlo ke zjištění informací
o jednotlivci nebo malé skupině osob.
Dotaz, jehož vyhodnocení trvá dlouhou dobu a vyžaduje veškerou výpočetní sílu
databáze, která se v tím může stát nedostupnou pro ostatní dotazy.
* Sekvence složená z legitimních dotazů na statistickou databázi s cílem získat
informace o jednotlivci nebo malé skupině osob.
Dotaz, který může být položen pouze v okamžiku, kdy v databázi neprobíhají žádné
aktualizace dat.
60. Pro anonymitní komunikační sítě platí:
dosažená anonymita je aplikačně nezávislá
obsah posílaných zpráv není mezi uzly šifrován
* mohou být náchylné vůči analýze provozu
* vstupy nelze jednoduše spojit s výstupy
61. Projekt AN.ON poskytuje stejné služby jako
Mixmaster.
* Onion routing.
Mixminion.
* TOR.
62. Které z následujících metod lze využít k analýze rizik?
Metoda AES (Advanced Evaluation Standard)
* Metoda ALE (Annual Loss Expentancy)
Metoda ARO (Annualized Rate of Occurence)
* Metoda BPA (Business Process Analysis)
Metoda RSA (Risk System Analysis)
63. Certifikát veřejného klíče (nař. X.509) vydaný důvěryhodnou certifikační autoritou umožňuje
* Získat veřejný klíč konkrétního uživatele
Zabránit ztrátě privátního klíče
* Ověřit identitu předkladatele veřejného klíče
Získat přístup k šifrovaným datům konkrétního uživatele v kritické situaci oprávněnou organizací
64. Který z následujících protokolů brání tomu, aby se ten komu jednou prokážete znalost tajné informace
nemohl později vydávat za vás:
* protokol, založený na důkazu nulového rozšíření znalosti (zero-knowledge).
protokol, který používá šifrování pro zabezpečení přenosu autentizačních dat.
protokol typu výzva-odpověď (challenge-response), který využije asymetrickou kryptografii jen pro
podpis, nikoliv ale pro šifrování.
65. Jak ověříme pravost certifikátu vydaného důvěryhodnou certifikační autoritou?
Využijeme meta-certifikátu certifikační autority.
Ověříme zda se shoduje název certifikační autority s názvem uvedeným na daném certifikátu.
* Ověříme zda je certifikát podepsán danou certifikační autoritou.
Ověříme, zda je haš certifikátu shodná s haší uvedenou v certifikátu.
66. Pokud existuje v systému zranitelnost a existuje útočník, který ji může využít, výsledný stav je nazýván:
* hrozba
zranitelnost
útok
riziko
67. Pojmem tranzitivita důvěry označujeme:
* důvěru cizího uživatele X v náš veřejný klíč, pokud mu důvěřuje uživatel Y, kterému kterým důvěřuje
uživatel X.
důvěru uživatele X v náš veřejný klíč, pokud my důvěřujeme jeho veřejnému klíči.
takový termín neexistuje.
* důvěru ve veřejný klíč uživatele X, kterému důvěřuje uživatel Y, kterému důvěřujeme my.
důvěru v propagaci našeho veřejného klíče od uživatele X na uživatele Y.
68. Proč platební karty s čipem mají magnetický proužek?
* Kvůli zpětně kompatibilitě.
Čip provádí kryptografické operace nad daty uloženými na magnetickém proužku.
Žádná z těchto odpovědí není správná.
69. Kdy je dosažen EER (Equal Error Rate) v biometrických systémech?
Nastavení prahové hodnoty, pro kterou je FAR/FRR rovno 0.8.
Nastavení prahové hodnoty, pro kterou je FRR/FAR rovno 0.8.
* Nastavení prahové hodnoty, pro kterou FRR a FAR jsou stejné.
Nastavení prahové hodnoty, pro kterou je FRR roven 1.
70. Povinnosti správce osobních údajů:
archivovat data kódovaně, není-li řečeno jinak
* uchovávat data pouze po dobu nezbytnou k jejich zpracování
* shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro
naplnění stanoveného účelu.
vkládat falešné záznamy, aby v případě krádeže dat nebylo možné snadno posoudit jejich validitu
* uchovávat data pouze po dobu nezbytnou k jejich zpracování
71. Povinnosti spravce osobnich udaju:
vkladat falesne zaznamy, aby v pripade kradeze dat nebylo mozne snadno posoudit jejich
validitu
neposkytovat data tretim stranam pred sepsanim Smlouvy o poskytnuti osobnich datech
* stanovit prostredky a zpusob zpracovavani osobnich udaju
archivovat data kodovane, nenili urceno jinak
72. Která technika není platná pro anonymitní komunikační sítě:
přeuspořádávání zpráv v rámci uzlu
* šifrování zpráv mezi uzly algoritmem RSA s délkou klíče závislou na počtu uzlů
pozastavování přijatých zpráv
v čase nedeterministické odesílání přijatých zpráv
* využívání minixů pro přeposílání zpráv
73. K čemu se používají systémy řízení identity (IMS)?
Systém pro správu veřejných klíčů s identifikátory
* K návrhu a správě atributů identity
K dlouhodobé archivaci odcizených identifikačních průkazů
74. Mezi obvykla bezpecnostni politiky patri:
Interaplikační bezpečnostni politika
Integrovana bezpecnostni politika
Horizontalní bezpecnostni politika
* Celkova bezpecnostni politika
* Systemova bezpecnostni politika
75. Problém živosti pro vstupní zařízení
spočívá v tom, že:
Žádná z těchto odpovědi není správná.
Vstupní zařízení není schopno určit, zda vzorek je právě od osoby, která stojí u vstupního zařízení.
* Vstupní zařízení není schopno určit, zda vzorek je od živé osoby.
Osoba, která se přihlašuje u vstupního zařízení není schopná určit kam její vzorek bude přeposláno.
76. Pokud neautorizovaná osoba zjistí sémantický obsahu chráněných dat, jedná se o narušení
* důvěrnosti
integrity
dostupnosti
prokazatelné zodpovědnosti
77. Obvykle nejmene bezpecnym bodem behem prubehu autentizace v internetovem bankovnictvi je:
* autentizace banky
autentizace pocitace klienta
autentizace klienta
78. Cílem projektu Eternity server je
navrhnout službu, která je odolná vůči útoku typu Denial of Service
* poskytnout trvalé úložiště dat
poskytnout trvalé úložiště dat s operacemi uložit, nalézt a smazat
* vytvořit datové úložiště, které je odolné vůči výpadkům
79. Jaký je v dnešních platebních systémech pro zákazníka největší bezpečnostní problém?
Zákazníci sami se chovají nezodpovědně.
Banky už v 90. letech zavrhly používání bezpečného protokolu SET (Secure Electronic Transaction).
Napěťové útoky jsou snadnou a efektivní cestou jak obejít bezpečnostní mechanizmy čipu na platební
kartě.
* Současný systém funguje tak, že zákazníkovi nezaručuje vazbu mezi zobrazovanou a potvrzovanou
transakcí.
80. PGP umožňuje nastavit úroveň důvěry pro konkrétní veřejný klíč. Toto nastavení se používá pro:
filtrování zpráv, které mohou být poslány danému uživateli.
* indikaci důvěry v původ dat podepsaných vlastníkem odpovídajícího privátního klíče.
indikaci důvěry v původ dat podepsaných daným veřejným klíčem.
kontrolu skupiny lidí, které může být distribuován náš veřejný klíč.
indikaci důvěry v klíč na základě jeho bitové velikosti.
81. Která z těchto tvrzení jsou správná?
* Kopírování měřených biologických charakteristik člověka není sice triviální, ale ani nemožné.
Biometrická data jsou tajná.
Biometriky po analýze s využitím kryptogragie o subjektu zprávy vypovídají.
* Biometriky v ideálním případě určují identitu člověka přesně a lze tak spojovat jednotlivě jeho činy.
82. Existuje nějaký útok na službu TOR, který sníží anonymitu uživatelů?
* Ano, existuje útok, který může snížit anonymitu uživatelů.
Ano, existuje útok, který stoprocentně "odanonymizuje" všechny uživatele.
Ne, TOR je navržen tak, aby odolal všem znamým i neznámým typům útoků.
Ne, žádný takový útok zatím není znám.
83. Která z těchto tvrzení, pokud mluvíme o biometrických systémech,
jsou správná?
Proces verifikace je náročnější než proces identifikace.
Na začátku procesu verifikace není identita známa.
* Na začátku procesu verifikace je identita známa.
* Proces identifikace je náročnější než proces verifikace.
84. Kerckhoffsův princip v současnosti neplatí:
Anžto dokážeme hrubou silou prolomit klíče o délce větší než 80 bitů.
Jelikož současné délky klíčů neumožňují efektivní útoky hrubou silou.
Protože dokážeme účinně utajovat šifrovací algoritmy.
* Nesmysl, Kerckhoffsův princip platí i v současnosti.
85. Kerckhoffsův princip říká, že:
* Použitý algoritmus je veřejně znám, utajován je pouze klíč.
Klíč není třeba utajovat, pokud je použitý algoritmus veřejně znám.
Použitý algoritmus je přístupný pouze autorizovaným osobám, klíč je utajován.
Klíč není třeba utajovat, pokud použitý algoritmus je také tajný.
86. Projekt AN.ON poskytuje stejné služby jako
* Onion routing.
Mixmaster.
Mixminion.
* TOR.
87. Co je to statistická databáze?
Databáze, která umožňuje získávat statistické informace o jednotlivcích.
* Databáze, která obsahuje informace o jednotlivcích, ale povoluje pouze statistické dotazy, tj. nedovolí
získat informace o jednotlivcích.
Databáze, která je dohledována Českým statistickým úřadem.
88. Analýza a hodnocení hrozeb zahrnuje:
* Rozvahu, co všechno by mělo být chráněno.
Pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
Techniky pro implementaci bezpečnostních funkcí chránících ochraňované hodnoty.
* Vyhodnocení, jaké hrozby hrozí ochraňovaným hodnotám.
89. Bezpečnostní politika je
Dokument schválený vrcholovým managementem a specifikující využití IT pro zajištění cílů organizace.
Soubor opatření a mechanizmů potřebných k dosažení požadované minimální úrovně prevence a
detekce zranitelností.
Dokument schválený členem představenstva a stanovující přesná pravidla pro zajištění technických
i lidských zdrojů pro využití IT pro zajištění cílů organizace.
* Soubor pravidel specifikující účinný způsob uplatňování opatření potřebných k dosažení požadované
minimální úrovně rizik.
90. Klasické odemykání zámku na dveřích klíčem
* spadá pod autentizační procedury.
nespadá pod autentizaci (klíč není ani něco, co znám, vím, ani něco, co "jsem").
spadá pod autentizační procedury, ale jen když klíč do zámku pasuje.
91. Jakým způsobem je prováděna analýza rizik metodou CRAMM?
Infrastrukturní přístup: identifikace a ocenění hodnot zohledňující zejména investice a rizika infrastruktury
Nestrukturovaný přístup: vytvoření tabulky rizik a zranitelností na základě spirálového modelu.
Nestrukturovaný přístup: inkrementální odhad hrozeb a zranitelností hodnot na základě rozšířeného
spirálového modelu.
* Strukturovaný přístup: i. identifikace a ocenění hodnot; ii. odhad
hrozeb a zranitelností hodnot; iii. výběr vhodných protiopatření.
Strukturovaný přístup: i. odhad hrozeb a zranitelností hodnot; ii.
naprogramování vhodných protiopatření.
Adhoc přístup: odhad hrozeb a zranitelností hodnot na základě běžného
seznamu aktiv (metoda lze paralelizovat).
92. Pro emailové zprávy posílané pomocí systému Mixminion platí
* jsou anonymní.
* je možné na ně v určitém časovém rámci odpovědět.
* uživatel specifikuje cestu po síti.
odpovědi jsou v systému doručovány odlišně od normálních emailů.
hlavičky mailů nejsou modifikovány.
jsou pseudonymní.
93. Tvrzení "Využití služby pro neautorizovaný přístup" by mohlo označovat
riziko.
zranitelnost.
* hrozbu.
útok.
bezpečnostní politiku.
94. Podezřelé chování v síti zjistíte
antivirovým programem.
* honeypotem.
antispyware programem.
* IDS.
* firewallem.
95. Jaký je rozdíl mezi termíny security a safety?
Je to to samé, čeština používá jen jeden termín - bezpečnost
Safety - stav ochrany IS proti ztrátám; security - nedojde k ohrožení lidského života
• Security - stav ochrany IS proti ztrátám; safety - nedojde k ohrožení lidského života
•
96. Proč platební karty s čipem mají magnetický proužek?
Čip provádí kryptografické operace nad daty uloženými na magnetickém proužku.
* Kvůli zpětně kompatibilitě.
Žádná z těchto odpovědí není správná.
97. Co je to agregace dat?
* Seskupování (osobních) dat do rozsáhlých databází.
Odvozování nových (typicky citlivějších) informací, na základě
zpracování informací s nižší úrovní citlivosti.
"Pročišťování" velkých databází.
Zálohování dat jako obrana proti živelným pohromám.
98. Pod pojmem asymetrická kryptografie rozumíme
Kryptografie s algoritmem, který je opakem symetrické kryptografie a nepoužívá žádný klíč.
Kryptografie s využitím klíče, který je výstupem kvalitní hašovací funkce.
* Kryptografie s využitím dvojice soukromého a veřejného klíče.
Nic z ostatních uvedených možností.
99. Ke zneužitím mobilního telefonu operátorem patří:
* SMS posílané z mobilu na mobil mohou být jednoduše ukládány.
* poloha mobilního telefonu může být sledována.
žádná z těchto odpovědí není správná, protože celá komunikace je bezpečně šifrována.
100. Co jsou (z pohledu uživatele) dvě nejméně bezpečné součásti dnešních platebních