Professional Documents
Culture Documents
CONFIDENTIAL
BITS 3423
SUBJECT CODE
BITS3423
MAT APELAJARAN
KESELAMAT AN TEKNOLOGI
MAKLUMAT
SUBJECT
PENYELARAS
COORDINATOR
KURSUS
3 BITS
COURSE
MASA
2JAM
TIME
2HOURS
TARIKH
11 JANUARI 2015
DATE
11 JANUARY2015
TEMP AT
KOMPLEKS SUKAN
VENUE
SPORTS COMPLEX
SULIT
CONFIDENTIAL
SULIT
(BITS 3423)
PART A (40 MARKS)
Answer ALL questions.
QUESTION 1 (20 MARKS)
a) Briefly describe the Business Impact Analysis (BIA) and its components.
(6 Marks)
b) Explain the purpose of disaster recovery and why in practice, data processing (DP) recovery
involves the restoration of DP applications and data.
(8 Marks)
c) What is Service Level Agreement (SLA) and why is this agreement important?
(6 Marks)
QUESTION 2 (20 MARKS)
a) The principal threats to wireless transmission are eavesdropping, altering or inserting messages,
and disruption. Explain TWO (2) types of countermeasures that are appropriate to deal with
eavesdropping.
(8 Marks)
b) IEEE 802.11 i defines two schemes for protecting data transmitted in 802.11 MAC Service Data
Unit (MPDUs) which are the Temporal Key Integrity Protocol (TKIP), and the Counter ModeCBC MAC Protocol (CCMP). Briefly describe TWO (2) services that are provided by TKIP
andCCMP.
(6 Marks)
c) Describe the main threat that involve wireless access points and the principal approach in
preventing the threat.
(6 Marks)
-2-
SULIT
SULIT
(BITS 3423)
PART B (60 MARKS)
Answer ALL questions.
Security principles for building secure systems are important elements to have a secure systems
and also allow us to examine existing systems to understand their security properties. The example
of these principles are defense in depth and complete mediation. Thus, for each following scenarios,
identify the security principle illustrated by the scenario and give a brief justification of your
answer.
a) Bike lock manufacturers tend to have a range of different kinds oflocks for customers to choose
from. The high-end ones are advertised for high-crime areas and the low-end options are
advertised for low to moderate crime areas.
(5 Marks)
b) Some paranoid people will equip their houses with high fences, a gate that only opens with a
password, a home security system, and a panic room.
(5 Marks)
c) A company called NR&R makes electronic voting machines for use in public elections. A
special password is needed to upload software updates to their voting machines. This password
is identical for every NR&R machine throughout the country, hard-coded in the code, and
cannot be changed. The password is documented in manuals given to election officials who
need to update the software on their voting machines.
(5 Marks)
d) The FTMK Hall elevator requires an access card to go to the 3th floor. The door connecting the
west stairwell and the 3th floor can be opened without the access card.
(5 Marks)
-3SULIT
SULIT
(BITS 3423)
QUESTION 2 (20 MARKS)
An anti-spam company, MailCleaner, uses a vigilante approach for fighting spam. MailCleaner's
customers report their spam to Mail Cleaner, and the company then automatically visits the websites
advertised by the URLs in the spam messages and leaves complaints about those websites. For each
spam that a user reports, MailCleaner leaves a generic complaint. MailCleaner operates with the
assumption that as the community grows, the flow of complaints from hundreds of thousands of
computers will apply enough pressure on spammers and their clients to convince them to stop
spamming. After a short while of operation, Mail Cleaner's public website comes under a massive
DDoS attack that uses SYN flooding.
a) Explain the type of traffic that an attacker sends to launch a SYN flooding attack and how this
attack can cause a denial-of-service.
(6 Marks)
b) Can MailCleaner use a packet-filter firewall to defend itself against the DDoS that uses SYN
flooding? If so, describe what sort of rule or rules the firewall would need to apply, and what
"collateral damage" the rules would incur. If not, explain why not.
(6 Marks)
c) Briefly describe how the MailCleaner service could itself be used to mount aDoS attack.
(4 Marks)
d) Briefly describe one approach that can be used by victims to defend themselves against the
attack you sketched.
(4 Marks)
-4-
SULIT
SULIT
(BITS 3423)
QUESTION 3 (20 MARKS)
Ethical Case:
Alifworks as a programmer for a large software company. He writes and tests utility
programs such as compilers. His company operates two computing shifts that are a)
during daytime, program development and online applications are run, and b) at night
batch production jobs are completed. Alifhas access to workload data and learns that the
evening batch runs are complementary to daytime programming tasks. Thus, the adding
programming work during the night shift would not adversely the computer performance
of other users.
1. "
Alif comes back after normal hours to develop a program to manage his own stock
portfolio. His drain on the system is minimal and he uses very few expendable supplies
such as a printer paper.
c) Would it affect the ethics if Alif s employer knew of other employees doing similar things and
tacitly approved by not seeking to stop them? Explain your answer.
(5 Marks)
-END-
-5SULIT
SULIT
(BITS 3423)
BAHAGIAN A (40 MARKAH)
Jawab SEMUA soalan.
SOALAN 1 (20 MARKAH)
a) Terangkan secara ringkas Business Impact Analysis (BIA) dan komponennya.
(6 Markah)
b) Terangkan tujuan pemulihan bencana dan mengapa dalam amalan, pemulihan pemprosesan
data (DP) pemulihan melibatkan pemulihan aplikasi DP dan data.
(8 Markah)
c) Apakah Service Level Agreement (SLA) dan mengapa perjanjian ini penting?
(6 Markah)
SOALAN 2 (20 MARKAH)
a) Ancaman utama kepada transmisi tanpa wayar adalah mencuri dengar, mengubah atau
menyelitkan mesej, dan memberi gangguan. Terangkan DUA (2) jenis langkah-langkah
tindakan yang sesuai untuk menangani ancaman mencuri dengar.
(8 Markah)
b) IEEE 802.11i mentakrifkan dua skim untuk melindungi data yang dihantar dalam 802.11 MAC
Unit Data Service (MPDUs) yang merupakan Temporal Key Integrity Protocol (!'KIP), dan
Counter Mode-CBC MAC Protocol (CCMP). Terangkan secara ringkas DUA (2) Perkhidmatan
yang disediakan oleh TKIP dan CCMP.
(6 Markah)
c) Huraikan ancaman utama yang melibatkan titik capaian tanpa wayar dan pendekatan utama
dalam mencegah ancaman tersebut.
(6 Markah)
-6-
SULIT
;("
I
SULIT
(BITS 3423)
a) Pengeluar kunci basikal cenderung mempunyai pelbagai jenis kunci untuk pelanggan untuk
dipilih. Jenis kunci berteknologi tinggi diiklankan di kawasan yang mempunyai kadar jenayah
yang tinggi dan jenis kunci yang berteknologi rendah diiklankan di kawasan yang mempunyai
kadar jenayah yang sederhana.
(5 Markah)
b) Sesetengah orang yang paranoid akan melengkapkan rumah mereka dengan pagar tinggi, pintu
pagar yang hanya dibuka dengan kata laluan, sistem keselamatan rumah dan bilik panik.
(5 Markah)
c) Sebuah syarikat yang dikenali sebagai NR&R membuat mesin pengundian elektronik untuk
digunakan dalam pilihan raya umum. Katalaluan khas diperlukan untuk memuat naik perisian
kemas kini untuk mesin mengundi mereka. Katalaluan ini adalah sama bagi setiap mesin
keluaran NR&R di seluruh negara, berkod keras, dan tidak boleh diubah. Katalaluan ini
didokumenkan di dalam buku manual dan diberikan kepada pegawai-pegawai pilihan raya yang
memerlukan bagi mengemaskini perisian pada mesin mengundi mereka.
(5 Markah)
d) Lif dewan FTMK memerlukan kad akses utama untuk pergi ke tingkat tiga. Pintu yang
menghubungkan tangga barat dan tingkat 3 boleh dibuka tanpa menggunkan kad akses.
(5 Markah)
-7-
SULIT
SULIT
(BITS 3423)
SOALAN 2 (20 MARKAH)
Sebuah syarikat anti-spam, Mai!Cleaner, menggunakan pendekatan pelindung untuk memerangi
spam. Pelanggan Mai!Cleaner ini melaporkan spam mereka untuk Mai!Cleaner, dan syarikat itu
kemudian secara automatik melawat Iaman-laman web yang diiklankan oleh URL dalam mesej
spam dan meninggalkan aduan mengenai Iaman web tersebut. Bagi setiap spam yang dilaporkan
oleh pengguna, Mai!Cleaner meninggalkan aduan umum. Mai!Cleaner beroperasi berdasarkan
andaian masyarakat berkembang, aliran aduan daripada beratus dari ribuan komputer, spammer
dan pelanggan mereka akan dikenakan tekanan yang cukup untuk meyakinkan mereka
menghentikan spam. Selepas operasi dijalankan dalam masa yang singkat, Iaman web awam
Mai!Cleaner berada di bawah serangan DDoS besar-besaran yang menggunakan SYN flooding.
a) Terangkan jenis lalu lintas yang menghantar penyerang untuk melancarkan serangan SYN
flooding dan bagaimana serangan ini boleh menyebabkan denial-of-service.
(6 Markah)
(6 Markah)
c) Terangkan secara ringkas bagaimana perkhidmatan Mail Cleaner sendiri boleh digunakan untuk
melancarkan serangan DoS.
(4 Markah)
d) Terangkan secara ringkas satu pendekatan yang boleh gunakan oleh mangsa untuk
mempertahankan diri terhadap serangan yang dilakarkan.
(4 Markah)
-8SULIT
SULIT
(BITS 3423)
SOALAN 3 (20 MARKAH)
Kes Etika:
Alifbekerja sebagai pengaturcara untuk sebuah syarikat perisian yang besar. Beliau
menulis dan menguji program utiliti seperti pengkompil. Syarikatnya beroperasi dalam
dua syif pengkomputeran iaitu a) semasa di siang hari, pembangunan program dan
aplikasi dalam talian dikendalikan, dan b) pada waktu malam, pengeluaran kelompok
selesai. Alif mempunyai capaian kepada data beban kerja dan mendapat tahu bahawa
kelompok yang dilaksanakan pada sebelah petang merupakan pelengkap kepada tugas
pengaturcaraan pada waktu siang. Oleh itu, penambahan kerja yang dilakukan pada syif
malam tidak akan memberi kesan negatif terhadap prestasi komputer pengguna yang lain.
Alif kembali selepas waktu biasa untuk membangunkan satu program untuk
menguruskan portfolio sahamnya sendiri. Salurannya kepada sistem adalah minimum
dan dia menggunakan sedikit bekalan seperti kertas pencetak.
b) Beri dan terangkan prinsip-prinsip etika yang terlibat di dalam kes ini.
(12 Markah)
c) Adakah ia memberi kesan terhadap etika sekiranya majikan Alif tahu pekerja lain juga
melakukan perkara yang sama dan memberikan kelulusan dengan cara tidak berusaha untuk
menghalang mereka? Terangkanjawapan anda.
(5 Markah)
-TAMAT
-9SULIT