Examen de SPI - I*38 - Junio 2007

!!!
  1. Utilizando "openssl des-ecb" sobre una imagen de patrones repetitivos, el resultado es una imagen con los colores cambiados, pero que se "interpreta correctamente". Si repetimos varias veces el comando que produce este efecto, sin cambiar la contraseña ni ningún parámetro, observemos que cada vez los colores cambian. ¿A qué se debe? El comando es:
    openssl des -des-ecb -k jajaja -in imagen.rgb %%% Por defecto openssl usa un "salt" para el cifrado, lo que introduce un componente de aleatoriedad. Si quiesiéramos evitarlo, deberíamos usar -nosalt
    Nota: Este tema ha sido visto en prácticas y comentado en clase en la revisión de prácticas. %%%
  2. En tu cuenta de anubis, ¿Te parece razonable usar como contraseña maestra de Firefox la misma que del Thunderbird? ¿Y te parece razonable que sea la misma que la contraseña del e-ujier? %%% Tanto la de Firefox como la de Thunderbird protegen las llaves privadas de mis certificados. A no ser que los certificados instalados en uno y en otro tengan niveles de seguridad muy distintos, no veo problema en que sea la misma. Pero que sea la misma que la del e-ujier no parece muy razonable, pues si alguien me averigua la contraseña del e-ujier, podrá usar mis certificados, acción que puede tener consecuencias legales que trascienden la UJI.
    Nota: La contraseña de Firefox puede emplearse para proteger contraseñas de servidores a los que se ha accedido. La de Thunderbird para proteger las contraseñas de las cuentas de correo y noticias. Si es empleada para esto, que no se ha visto en clase, sería conveniente que fueran diferentes pues protegen información diferente. %%%
  3. Explica lo más detalladamente posible por qué es necesario instalar el software del clauer (u otro dispositivo, como el DNI electrónico) si quieres usar los certificados y llaves en él instalados con Firefox o Internet Explorer. %%% Tanto Firefox (con módulos PKCS11) como IExplorer (a través de CAPI) utilizan los certificados y llaves guardados en diversos "almacenes". Normalmente emplean el almacén "por defecto" que es el disco duro. Si se quiere agregar un almacén, en este caso, el clauer, es necesario añadir el software correspondiente que lo gestione, construido según requiera el programa cliente, es decir, un módulo PKCS11 para Firefox y un CSP+CertStoreProvider para CAPI. Exactamente lo mismo sucede para cualquier dispositivo y en particular para el DNI electrónico. Al instalar el soft del clauer para windows, los componentes de CAPI se instalan automáticamente, pero en Firefox, tanto para windows, como para linux, el PKCS11 se instala desde una página web que contiene javascript.
    Nota: Explicado literalmente en clase. %%%
  4. Tienes un script php que funciona en un servidor web compartido con otros usuarios, como podría ser un servidor instalado en anubis, es decir que tu tienes tus páginas web con php y otros compañeros también. El php tiene una instalación por defecto. Tu script necesita usar constantemente una password para acceder a una cuenta privada tuya. Discute si hay una forma de asegurar de forma razonable tu password, para que no la copien otros. %%% Si el php está en "safe mode" basta con que el usuario y grupo con que corre el servidor web no sean los de los usuarios "humanos". Pondré la password dentro del script y éste lo protegeré con permisos rw----r-- de modo que sólo el servidor web lo podrá leer. Si el php no está en "safe mode", que es "la instalación por defecto", cualquier usuario que pueda construir un script php, podrá abrir para lectura mi script y ver mi contraseña. Si el script necesita la password constantemente, el problema no tiene solución. Si la necesitara esporádicamente, podría introducirla yo manualmente vía web cuando hicera falta enseñar la web a alguien.
    Nota: Es la misma pregunta que la nº 2 del examen de Septiembre de 2006, que aparecía resuelta en esta web antes del examen. %%%
  5. Un cierto programa setuid propiedad del root tiene un bug de seguridad por el cual puedo ejecutar el comando que deseo. Ejecuto de ese modo passwd root pero me dice que no soy root. Después ejecuto el shell (bash) pero no adquiero los privilegios de root. Explica lo que esta pasando en ambos casos. %%% Ambos comandos se ejecutan con euid=0 y ruid="el mío". Es lo mismo que sucede al ejecutar passwd desde la línea de comandos, por lo que no hay diferencia en ejecutarlo de esta manera o directamente. Al ejecutar el bash, éste comprueba que euid y ruid son diferentes y cambia euid, dándole el valor de ruid.
    Nota: Visto en prácticas. %%%