HOJA 1 - DEFIB

Anuncio
Facultat d’Informàtica de Barcelona – SSI
NOMBRE:
Examen final – 23/1/2006
APELLIDOS:
Duración: 2h
HOJA 1
NOTA IMPORTANTE: En cada pregunta puede haber 0, 1 ,2, 3 ó 4 afirmaciones ciertas. Una
pregunta con todas las afirmaciones correctamente contestadas vale 0,5 puntos. Si una opción
está incorrectamente contestada, el valor de la pregunta es de 0,25 puntos. Si hay dos o más
opciones incorrectamente contestadas, el valor de la respuesta es de 0 puntos. Contestad en la
plantilla del final MARCANDO CON UNA CRUZ AQUELLAS AFIRMACIONES QUE
CONSIDERÉIS CIERTAS.
Pregunta 1.1.(0,5 puntos)
A ) Al realizar un análisis de riesgos, los servicios que una organización ofrece (a sus usuarios o a
terceros) deben incluirse en el inventario de activos.
B ) Al realizar el análisis de riesgos de una organización deben incluirse en el inventario de activos,
dentro de la categoría “Personal”, los proveedores relacionados con los sistemas de
información.
C ) El listado de salvaguardas a implantar para contrarrestar los riesgos identificados forma parte
de los resultados que se obtienen al realizar un Análisis de Riesgos.
D ) Al llevar a cabo la Gestión de Riesgos se realiza, implícitamente, un análisis coste-beneficio.
Pregunta 1.2. (0,5 puntos)
A ) El activo “Código fuente” pertenece a la categoría “Aplicaciones (SW)”.
B ) El activo “Sistema de gestión de base de datos” depende del activo “datos de interés comercial”.
C ) El activo “Administrador de BBDD” depende del activo “Sistema de gestión de base de datos”.
D ) La salvaguarda “copias de respaldo” para la protección del activo “datos de interés comercial”
es Curativa.
Pregunta 1.3.(0,5 puntos)
A ) En un archivo CSR figuran los datos del titular (sea una persona, un equipo, etc) que queremos
que consten en el certificado, junto a la clave pública que hemos generado.
B ) Cuando se quiere llevar a cabo un ataque Man in The Middle, al realizar un Envenenamiento
ARP queremos interceptar las conexiones que se establecen entre equipos que están en la
misma red que el atacante y equipos que se encuentren en otra red.
C ) Cuando se quiere llevar a cabo un ataque Man in The Middle, al realizar un Envenenamiento
DNS queremos interceptar las conexiones que se establecen entre equipos que están en la
misma red que el atacante.
1.1.1
1.1.2
RESPUESTAS:
A
1.1
1.2
1.3
B
C
D
NOTA IMPORTANTE: Como en página anterior.
Pregunta 1.4. (0,5 puntos)
A ) A una firma electrónica se le considera el mismo valor que a una firma manuscrita.
B ) A una firma electrónica reconocida se le considera el mismo valor que a una firma manuscrita.
C ) A una firma electrónica avanzada se le considera el mismo valor que a una firma manuscrita.
Pregunta 1.5.(0,5 puntos)
A ) Un servidor web puede disponer de un certificado reconocido.
B ) Un ciudadano puede disponer de un certificado reconocido.
C ) Una empresa (persona jurídica) puede disponer de un certificado reconocido, expedido a un
apoderado.
D ) Un empleado público puede disponer de un certificado reconocido.
Pregunta 1.6.(0,5 puntos)
A ) Si en el campo key usage de mi certificado personal aparecen los valores: digitalSignature,
dataEncyphermen, no es recomendable que cifre documentos con él.
B ) Si en el campo key usage de mi certificado personal aparecen los valores: digitalSignature,
keyEncypherment, no podré cifrar documentos con él.
C ) Si en el campo key usage de mi certificado personal aparecen los valores: digitalSignature,
keyAgreement, keyEncypherment, es probable que la EC ofrezca un servicio de recuperación de
claves de firma.
Pregunta 1.7.(0,5 puntos)
A ) Un par <Nombre de usuario, Contraseña> puede considerarse firma electrónica, de acuerdo a
la ley 59/2003 de firma electrónica.
B ) Una firma electrónica de formato PKCS#7 puede considerarse firma electrónica avanzada, de
acuerdo a la ley 59/2003 de firma electrónica.
C ) Una firma electrónica de formato ETSI TS 101 733 (Advanced Electronic Signatures) puede
considerarse firma electrónica avanzada, de acuerdo a la ley 59/2003 de firma electrónica.
D ) Una firma electrónica de formato ETSI TS 101 903 (XAdES – XML Advanced Electronic
Signatures) puede considerarse firma electrónica avanzada, de acuerdo a la ley 59/2003 de
firma electrónica.
Pregunta 1.8.(0,5 puntos)
A ) Hoy necesito comprobar la validez de una firma que tiene un sello de tiempo que indica que el
documento fue firmado el 15 de julio de 2005. Consulto la CRL vigente; veo que contiene el nº
de serie del certificado con el cual se generó la firma, e indica que éste fue revocado el 22 de
enero de 2006. Por tanto, la firma no es válida.
B ) Es práctica habitual que las CRLs se regeneren cada vez que se revoca un certificado.
C ) Es práctica habitual que las CRLs se regeneren en el instante de tiempo indicado en el campo
nextUpdate de la CRL vigente si antes no se ha revocado algún certificado.
D ) Para comprobar la validez de una firma hay que verificar la integridad de los datos firmados y
validar los certificados de las ECs del Camino de Certificación. Y sólo sería necesario validar
las firmas de las CRLs consultadas o de las respuestas OCSP recibidas durante el proceso si
éstas no hubieran sido generadas por una EC en la que se confía.
RESPUESTAS:
A
1.4
1.5
B
C
D
1.6
1.7
1.8
Facultat d’Informàtica de Barcelona – SSI
NOMBRE:
Examen final – 23/1/2006
APELLIDOS:
Duración: 2h
HOJA 2
NOTA: Responder brevemente a las siguientes preguntas, en el espacio reservado a cada una
de ellas.
Pregunta 2.1 (0,5 puntos)
¿En Que consiste el DNS Poisoning (envenenamiento)? Para que se usa?
Pregunta 2.2 (0,5 puntos)
¿Que es la OSSTMM?
-
Pregunta 2.3 (0,5 puntos)
¿Cuáles son los 3 módulos que constituyen un virus?
Pregunta 2.4 (0,25 puntos)
¿Còmo se acreditan los usuarios en una red WLAN (Wi-Fi) usando el Extensive
Authentication Protocol (EAP)? O, dicho de otra forma, ¿Qué elemento de control de
acceso a las redes se usa?
Pregunta 2.5 (0,5 puntos)
¿Qué normas nacionales e internacionales de gestión de la seguridad informática
conoces?
-
-
Pregunta 2.6 (0,25 puntos)
¿Qué método de prevención o detección de virus permite protegerse contra virus
desconocidos
Pregunta 2.7 (0,5 puntos)
¿Qué normas de auditoría de políticas de seguridad de entidades (autoridades) de
certificación conoces?
Pregunta 2.8 (0,5 puntos)
¿Qué tipos de controles de seguridad evalúan los auditores de sistemas de gestión de
seguridad informática? (según la fase de un potencial ataque sobre la que actúen)
Pregunta 2.9 (0,5 puntos)
¿Cuáles son las áreas de los controles de las normas de gestión de seguridad
informática?
-
-
Facultat d’Informàtica de Barcelona – SSI
NOMBRE:
Examen final – 23/1/2006
APELLIDOS:
Duración: 2h
HOJA 3
NOTA IMPORTANTE: En cada pregunta puede haber 0,1,2,3 ó 4 afirmaciones ciertas. Una
pregunta con todas las afirmaciones correctamente contestadas vale 0,5 puntos. Si una opción
está incorrectamente contestada, el valor de la pregunta es de 0,25 puntos. Si hay dos o más
opciones incorrectamente contestadas, el valor de la respuesta es de 0 puntos. Contestad en la
plantilla del final MARCANDO CON UNA CRUZ AQUELLAS AFIRMACIONES QUE
CONSIDERÉIS CIERTAS.
Pregunta 3.1 (0,5 puntos)
a. Las firmas PKCS#7 y CMS estandarizan cómo gestionar la firma de varios
documentos usando una sola estructura .
b. Las firmas PKCS#7 y CMS no permiten firmar documentos XML.
c.
Existen algunos casos en los que, para un mismo documento, el hash previo al al
cifrado con la clave privada final, arrojará resultados diferentes según se genere
una firma PKCS#7 o CMS.
d.
En las firmas PKCS#7, el cifrado con la clave privada final a veces se calcula sobre
el resultado de calcular el hash del campo contentInfo y a veces se calcula sobre el
resultado de calcular el hash sobre los authenticatedAttributes.
Pregunta 3.2 (0,5 puntos)
a) El estándar de firma XML solo permite firmar documentos XML.
b) El estándar de firma XML está orientado exclusivamente a gestionar firmas en la
infraestructura PKI basada en certificados X.509.
c) Cuando se usa la firma XML, canonicalizar el documento a firmar es imprescindible
para asegurar la interoperabilidad entre aplicaciones distintas sea cual sea el tipo
de documento a firmar.
d) El estándar de firma XML permite firmar segmentos de un único documento XML si
se desea.
Pregunta 3.3 (0,5 puntos)
a) Los tres estándares de firmas vistos en clase permiten, mediante los mecanismos
de extensión, incluir una firma dentro de otra firma.
b) En las firmas avanzadas de ETSI pueden añadirse sellos de tiempo de los
documentos firmados como atributos firmados y sellos de tiempo de la propia firma
como atributos no firmados.
c) Para obtener firmas de larga duración se aseguran las firmas y el material
criptográfico utilizado en su verificación mediante sellos de tiempo.
d) En las firmas avanzadas de ETSI pueden añadirse sellos de tiempo de la propia
firma como atributos no firmados.
Pregunta 3.4 (0,5 puntos)
a) Los estándares de firma XML y CMS definen estructuras estándares para identificar
a diferentes firmantes de unos mismos documentos.
b) Los estándares de firma XML y CMS permiten la existencia de firmas “detached”
(firmas separadas de los documentos de los que son firmas) y habilitan
mecanismos estandarizados para su gestión.
c) CMS define un formato que no transporta firmas sino certificados y CRLs. El
estándar de firma XML no lo hace.
d) Es al tratar con documentos XML cuando el estándar XML presenta un mayor
rango de prestaciones que el estándar CMS.
1.1.3
RESPUESTAS:
A
3.1
3.2
3.3
3.4
B
C
D
Descargar