Facultat d’Informàtica de Barcelona – SSI NOMBRE: Examen final – 23/1/2006 APELLIDOS: Duración: 2h HOJA 1 NOTA IMPORTANTE: En cada pregunta puede haber 0, 1 ,2, 3 ó 4 afirmaciones ciertas. Una pregunta con todas las afirmaciones correctamente contestadas vale 0,5 puntos. Si una opción está incorrectamente contestada, el valor de la pregunta es de 0,25 puntos. Si hay dos o más opciones incorrectamente contestadas, el valor de la respuesta es de 0 puntos. Contestad en la plantilla del final MARCANDO CON UNA CRUZ AQUELLAS AFIRMACIONES QUE CONSIDERÉIS CIERTAS. Pregunta 1.1.(0,5 puntos) A ) Al realizar un análisis de riesgos, los servicios que una organización ofrece (a sus usuarios o a terceros) deben incluirse en el inventario de activos. B ) Al realizar el análisis de riesgos de una organización deben incluirse en el inventario de activos, dentro de la categoría “Personal”, los proveedores relacionados con los sistemas de información. C ) El listado de salvaguardas a implantar para contrarrestar los riesgos identificados forma parte de los resultados que se obtienen al realizar un Análisis de Riesgos. D ) Al llevar a cabo la Gestión de Riesgos se realiza, implícitamente, un análisis coste-beneficio. Pregunta 1.2. (0,5 puntos) A ) El activo “Código fuente” pertenece a la categoría “Aplicaciones (SW)”. B ) El activo “Sistema de gestión de base de datos” depende del activo “datos de interés comercial”. C ) El activo “Administrador de BBDD” depende del activo “Sistema de gestión de base de datos”. D ) La salvaguarda “copias de respaldo” para la protección del activo “datos de interés comercial” es Curativa. Pregunta 1.3.(0,5 puntos) A ) En un archivo CSR figuran los datos del titular (sea una persona, un equipo, etc) que queremos que consten en el certificado, junto a la clave pública que hemos generado. B ) Cuando se quiere llevar a cabo un ataque Man in The Middle, al realizar un Envenenamiento ARP queremos interceptar las conexiones que se establecen entre equipos que están en la misma red que el atacante y equipos que se encuentren en otra red. C ) Cuando se quiere llevar a cabo un ataque Man in The Middle, al realizar un Envenenamiento DNS queremos interceptar las conexiones que se establecen entre equipos que están en la misma red que el atacante. 1.1.1 1.1.2 RESPUESTAS: A 1.1 1.2 1.3 B C D NOTA IMPORTANTE: Como en página anterior. Pregunta 1.4. (0,5 puntos) A ) A una firma electrónica se le considera el mismo valor que a una firma manuscrita. B ) A una firma electrónica reconocida se le considera el mismo valor que a una firma manuscrita. C ) A una firma electrónica avanzada se le considera el mismo valor que a una firma manuscrita. Pregunta 1.5.(0,5 puntos) A ) Un servidor web puede disponer de un certificado reconocido. B ) Un ciudadano puede disponer de un certificado reconocido. C ) Una empresa (persona jurídica) puede disponer de un certificado reconocido, expedido a un apoderado. D ) Un empleado público puede disponer de un certificado reconocido. Pregunta 1.6.(0,5 puntos) A ) Si en el campo key usage de mi certificado personal aparecen los valores: digitalSignature, dataEncyphermen, no es recomendable que cifre documentos con él. B ) Si en el campo key usage de mi certificado personal aparecen los valores: digitalSignature, keyEncypherment, no podré cifrar documentos con él. C ) Si en el campo key usage de mi certificado personal aparecen los valores: digitalSignature, keyAgreement, keyEncypherment, es probable que la EC ofrezca un servicio de recuperación de claves de firma. Pregunta 1.7.(0,5 puntos) A ) Un par <Nombre de usuario, Contraseña> puede considerarse firma electrónica, de acuerdo a la ley 59/2003 de firma electrónica. B ) Una firma electrónica de formato PKCS#7 puede considerarse firma electrónica avanzada, de acuerdo a la ley 59/2003 de firma electrónica. C ) Una firma electrónica de formato ETSI TS 101 733 (Advanced Electronic Signatures) puede considerarse firma electrónica avanzada, de acuerdo a la ley 59/2003 de firma electrónica. D ) Una firma electrónica de formato ETSI TS 101 903 (XAdES – XML Advanced Electronic Signatures) puede considerarse firma electrónica avanzada, de acuerdo a la ley 59/2003 de firma electrónica. Pregunta 1.8.(0,5 puntos) A ) Hoy necesito comprobar la validez de una firma que tiene un sello de tiempo que indica que el documento fue firmado el 15 de julio de 2005. Consulto la CRL vigente; veo que contiene el nº de serie del certificado con el cual se generó la firma, e indica que éste fue revocado el 22 de enero de 2006. Por tanto, la firma no es válida. B ) Es práctica habitual que las CRLs se regeneren cada vez que se revoca un certificado. C ) Es práctica habitual que las CRLs se regeneren en el instante de tiempo indicado en el campo nextUpdate de la CRL vigente si antes no se ha revocado algún certificado. D ) Para comprobar la validez de una firma hay que verificar la integridad de los datos firmados y validar los certificados de las ECs del Camino de Certificación. Y sólo sería necesario validar las firmas de las CRLs consultadas o de las respuestas OCSP recibidas durante el proceso si éstas no hubieran sido generadas por una EC en la que se confía. RESPUESTAS: A 1.4 1.5 B C D 1.6 1.7 1.8 Facultat d’Informàtica de Barcelona – SSI NOMBRE: Examen final – 23/1/2006 APELLIDOS: Duración: 2h HOJA 2 NOTA: Responder brevemente a las siguientes preguntas, en el espacio reservado a cada una de ellas. Pregunta 2.1 (0,5 puntos) ¿En Que consiste el DNS Poisoning (envenenamiento)? Para que se usa? Pregunta 2.2 (0,5 puntos) ¿Que es la OSSTMM? - Pregunta 2.3 (0,5 puntos) ¿Cuáles son los 3 módulos que constituyen un virus? Pregunta 2.4 (0,25 puntos) ¿Còmo se acreditan los usuarios en una red WLAN (Wi-Fi) usando el Extensive Authentication Protocol (EAP)? O, dicho de otra forma, ¿Qué elemento de control de acceso a las redes se usa? Pregunta 2.5 (0,5 puntos) ¿Qué normas nacionales e internacionales de gestión de la seguridad informática conoces? - - Pregunta 2.6 (0,25 puntos) ¿Qué método de prevención o detección de virus permite protegerse contra virus desconocidos Pregunta 2.7 (0,5 puntos) ¿Qué normas de auditoría de políticas de seguridad de entidades (autoridades) de certificación conoces? Pregunta 2.8 (0,5 puntos) ¿Qué tipos de controles de seguridad evalúan los auditores de sistemas de gestión de seguridad informática? (según la fase de un potencial ataque sobre la que actúen) Pregunta 2.9 (0,5 puntos) ¿Cuáles son las áreas de los controles de las normas de gestión de seguridad informática? - - Facultat d’Informàtica de Barcelona – SSI NOMBRE: Examen final – 23/1/2006 APELLIDOS: Duración: 2h HOJA 3 NOTA IMPORTANTE: En cada pregunta puede haber 0,1,2,3 ó 4 afirmaciones ciertas. Una pregunta con todas las afirmaciones correctamente contestadas vale 0,5 puntos. Si una opción está incorrectamente contestada, el valor de la pregunta es de 0,25 puntos. Si hay dos o más opciones incorrectamente contestadas, el valor de la respuesta es de 0 puntos. Contestad en la plantilla del final MARCANDO CON UNA CRUZ AQUELLAS AFIRMACIONES QUE CONSIDERÉIS CIERTAS. Pregunta 3.1 (0,5 puntos) a. Las firmas PKCS#7 y CMS estandarizan cómo gestionar la firma de varios documentos usando una sola estructura . b. Las firmas PKCS#7 y CMS no permiten firmar documentos XML. c. Existen algunos casos en los que, para un mismo documento, el hash previo al al cifrado con la clave privada final, arrojará resultados diferentes según se genere una firma PKCS#7 o CMS. d. En las firmas PKCS#7, el cifrado con la clave privada final a veces se calcula sobre el resultado de calcular el hash del campo contentInfo y a veces se calcula sobre el resultado de calcular el hash sobre los authenticatedAttributes. Pregunta 3.2 (0,5 puntos) a) El estándar de firma XML solo permite firmar documentos XML. b) El estándar de firma XML está orientado exclusivamente a gestionar firmas en la infraestructura PKI basada en certificados X.509. c) Cuando se usa la firma XML, canonicalizar el documento a firmar es imprescindible para asegurar la interoperabilidad entre aplicaciones distintas sea cual sea el tipo de documento a firmar. d) El estándar de firma XML permite firmar segmentos de un único documento XML si se desea. Pregunta 3.3 (0,5 puntos) a) Los tres estándares de firmas vistos en clase permiten, mediante los mecanismos de extensión, incluir una firma dentro de otra firma. b) En las firmas avanzadas de ETSI pueden añadirse sellos de tiempo de los documentos firmados como atributos firmados y sellos de tiempo de la propia firma como atributos no firmados. c) Para obtener firmas de larga duración se aseguran las firmas y el material criptográfico utilizado en su verificación mediante sellos de tiempo. d) En las firmas avanzadas de ETSI pueden añadirse sellos de tiempo de la propia firma como atributos no firmados. Pregunta 3.4 (0,5 puntos) a) Los estándares de firma XML y CMS definen estructuras estándares para identificar a diferentes firmantes de unos mismos documentos. b) Los estándares de firma XML y CMS permiten la existencia de firmas “detached” (firmas separadas de los documentos de los que son firmas) y habilitan mecanismos estandarizados para su gestión. c) CMS define un formato que no transporta firmas sino certificados y CRLs. El estándar de firma XML no lo hace. d) Es al tratar con documentos XML cuando el estándar XML presenta un mayor rango de prestaciones que el estándar CMS. 1.1.3 RESPUESTAS: A 3.1 3.2 3.3 3.4 B C D