Завдання № 1

Відомо, що Національний інститут стандартів і технологій США (National Institute of Standards and Technology, NIST) використовує дані системи оцінки поширених уразливостей (Common Vulnerability Scoring System, CVSS), які є у відкритому доступі за посиланням - https://nvd.nist.gov/vuln-metrics/cvss

В таблиці 1 наведено приклади URL-посилань з описами вразливостей програмного забезпечення (ПЗ) або програмних бібліотек, які пов’язані з аутентифікацією.

Таблиця 1 – Приклади описів вразливостей ПЗ або програмних бібліотек, які пов’язані з аутентифікацією.

№	Приклади URL-посилань з описами вразливостей
9	https://nvd.nist.gov/vuln/detail/CVE-2022-37932

Розглянувши приклад, номер якого співпадає з номером вашого варіанту виконання лабораторних робіт, надайте відповіді на наступні запитання.

Запитання № 1.1 (1 бал)

Опишіть ПЗ або програму бібліотеку, в яких знайдено вразливість:

назва ПЗ або програмної бібліотеки, URL-посилання в інтернеті (знайти через пошукову систему);
призначення ПЗ або програмної бібліотеки та приклади споживачів, які можуть бути зацікавлені у їх використанні;

Запитання № 1.2 (1 бал)

Опишіть знайдену вразливість , переклавшу на українську мову розділ Description.

Запитання № 1.3 (1 бал)

Наведіть фрагменти прикладів уразливого програмного коду, розглянувши розділ References to Advisories, Solutions, and Tools.

Завдання № 2

Відомо, що Національний інститут стандартів і технологій США (National Institute of Standards and Technology, NIST) для створення механізмів ідентифікації/аутентифікації рекомендує враховувати рекомендації із документу «NIST Special Publication 800-63B. Digital Identity Guidelines. Authentication and Lifecycle Management», який доступний за посиланням https://pages.nist.gov/800-63-3/sp800-63b.html. В документі є таблиця з прикладами вразливостей аутентифікації, яка доступна за посиланням - https://pages.nist.gov/800-63-3/sp800-63b.html#63bSec8-Table1

В таблиці 2 наведено приклади погроз аутентифікації, які взято із вказаної таблиці документу NIST.

Таблиця 2 – Приклади погроз аутентифікації, взяті із документу NIST

№	Приклад погроз аутентифікації
9	Software PKI authenticator (private key) copied.

Оберіть приклад погрози аутентифікації, враховуючи номер вашого варіанту, та виконайте наступні завдання.

Запитання № 2.1 (1 бал)

Опишіть погрозу аутентифікації у вигляді історії взаємовідносин між зловмисником та користувачем.

Запитання № 2.2 (1 бал)

Надайте рекомендації щодо зниження ймовірності виникнення погрози аутентифікації.

Завдання № 3 (2 бали)

За адресою https://www.researchgate.net/ існує науковий портал та соціальна мережа ResearchGate як засіб співробітництва між науковцями з будь-яких наукових дисциплін.

На порталі необхідно виконати пошук наукових публікацій, пов’язаних з темою лабораторної роботи No 10, наприклад, за такими ключовими словами: «Broken Authentication», «Digital Identity», «Multi-Factor Authentication», «Identification and Authentication Failures».

Після узгодження з викладачем обраної публікацію, яка доступна для завантаження, перекладіть українською узгоджений з викладачем розділ.

Завдання №1

Запитання №1.1

Назва ПЗ - hpe officeconnect 1820;
URL - https://www.hpe.com/psnow/doc/c04518995?jumpid=in_hpesitesearch;
Призначення ПЗ - Пристрої серії HPE OfficeConnect 1820 Switch - це базові комутатори Gigabit Ethernet 2-го рівня з інтелектуальним керуванням і фіксованою конфігурацією призначені для малих підприємств, яким потрібні ключові функції в простому в адмініструванні рішенні. Ця серія є частиною портфоліо OfficeConnect портфоліо мережевих продуктів Hewlett Packard Enterprise для малого бізнесу.
Користувачі ПЗ - малий бізнес, системні адміністратори.

Запитання №1.2

У мережевих комутаторах Hewlett Packard Enterprise OfficeConnect 1820, 1850 та 1920S виявлено потенційну уразливість. Вразливість може бути використана віддалено для обходу автентифікації.

Завдання №2

Запитання №2.1

Дії користувача:

Користувач створює пару ключів: приватний та відкритий ключі.
Приватний ключ залишається на його пристрої, а відкритий ключ може розповсюджуватися як частина публічного ключевого інфраструктурного сертифікату (Public Key Infrastructure, PKI).
Користувач використовує свій приватний ключ для автентифікації в різних сервісах та системах.

Дії зловмисника:

Зловмисник використовує методи атаки, такі як фішинг, соціальний інжиніринг, або використання шкідливих програм для отримання доступу до системи користувача.
Після отримання доступу до пристрою зловмисник копіює приватний ключ користувача.
Зловмисник використовує скопійований приватний ключ для автентифікації на тих же сервісах, на які підключений користувач.
Зловмисник може використовувати скопійований приватний ключ для отримання доступу до інших систем та ресурсів, до яких використовується цей ключ.

Запитання №2.2

Користувач повинен зберігати свій приватний ключ в безпечному місці, захищеному паролем або іншими методами аутентифікації.
Використання систем моніторингу та реєстрації подій для виявлення невизначених чи підозрілих дій на пристрої користувача.
Регулярне оновлення ПЗ та використання найновіших технологій безпеки для уникнення вразливостей.

oleksandrblazhko / ai-191-nikitin

CW9 #24