Examen de SPI - I*38 - Junio 2007
!!!
-
Utilizando "openssl des-ecb" sobre una imagen de patrones repetitivos, el resultado es una imagen con
los colores cambiados, pero que se "interpreta correctamente". Si repetimos varias veces el comando
que produce este efecto, sin cambiar la contraseña ni ningún parámetro, observemos que cada vez los
colores cambian. ¿A qué se debe? El comando es:
openssl des -des-ecb -k jajaja -in imagen.rgb
%%%
Por defecto openssl usa un "salt" para el cifrado, lo que introduce un componente de aleatoriedad.
Si quiesiéramos evitarlo, deberíamos usar -nosalt
Nota: Este tema ha sido visto en prácticas y comentado en clase en la revisión de prácticas.
%%%
-
En tu cuenta de anubis,
¿Te parece razonable usar como contraseña maestra de Firefox la misma que del Thunderbird?
¿Y te parece razonable que sea la misma que la contraseña del e-ujier?
%%%
Tanto la de Firefox como la de Thunderbird protegen las llaves privadas de mis certificados.
A no ser que los certificados instalados en uno y en otro tengan niveles de seguridad muy distintos,
no veo problema en que sea la misma.
Pero que sea la misma que la del e-ujier no parece muy razonable, pues si alguien me averigua la
contraseña del e-ujier, podrá usar mis certificados, acción que puede tener consecuencias legales
que trascienden la UJI.
Nota: La contraseña de Firefox puede emplearse para proteger contraseñas de servidores a los que se
ha accedido. La de Thunderbird para proteger las contraseñas de las cuentas de correo y noticias.
Si es empleada para esto, que no se ha visto en clase, sería conveniente que fueran diferentes
pues protegen información diferente.
%%%
-
Explica lo más detalladamente posible por qué es necesario instalar el software del clauer (u
otro dispositivo, como el DNI electrónico) si quieres usar los certificados y llaves en él
instalados con Firefox o Internet Explorer.
%%%
Tanto Firefox (con módulos PKCS11) como IExplorer (a través de CAPI) utilizan los certificados
y llaves guardados en diversos "almacenes". Normalmente emplean el almacén "por defecto" que
es el disco duro. Si se quiere agregar un almacén, en este caso, el clauer, es necesario
añadir el software correspondiente que lo gestione, construido según requiera el programa
cliente, es decir, un módulo PKCS11 para Firefox y un CSP+CertStoreProvider para CAPI.
Exactamente lo mismo sucede para cualquier dispositivo y en particular para el DNI electrónico.
Al instalar el soft del clauer para windows, los componentes de CAPI se instalan
automáticamente, pero en Firefox, tanto para windows, como para linux, el PKCS11 se instala desde
una página web que contiene javascript.
Nota: Explicado literalmente en clase.
%%%
-
Tienes un script php que funciona en un servidor web compartido con otros usuarios, como podría
ser un servidor instalado en anubis, es decir que tu tienes tus páginas web con php y otros compañeros
también. El php tiene una instalación por defecto. Tu script necesita usar constantemente
una password para acceder a una cuenta privada tuya. Discute si hay una forma de asegurar de
forma razonable tu password, para que no la copien otros.
%%%
Si el php está en "safe mode" basta con que el usuario y grupo con que corre el servidor web
no sean los de los usuarios "humanos". Pondré la password dentro del script y éste lo protegeré
con permisos rw----r-- de modo que sólo el servidor web lo podrá leer.
Si el php no está en "safe mode", que es "la instalación por defecto", cualquier usuario que pueda
construir un script php, podrá abrir para lectura mi script y ver mi contraseña. Si el script
necesita la password constantemente, el problema no tiene solución. Si la necesitara esporádicamente,
podría introducirla yo manualmente vía web cuando hicera falta enseñar la web a alguien.
Nota: Es la misma pregunta que la nº 2 del examen de Septiembre de 2006, que aparecía resuelta
en esta web antes del examen.
%%%
-
Un cierto programa setuid propiedad del root tiene un bug de seguridad por el cual puedo ejecutar
el comando que deseo. Ejecuto de ese modo passwd root pero me dice que no soy root. Después ejecuto
el shell (bash) pero no adquiero los privilegios de root. Explica lo que esta pasando en ambos casos.
%%%
Ambos comandos se ejecutan con euid=0 y ruid="el mío".
Es lo mismo que sucede al ejecutar passwd desde la línea de comandos, por lo que
no hay diferencia en ejecutarlo de esta manera o directamente. Al ejecutar el bash, éste comprueba
que euid y ruid son diferentes y cambia euid, dándole el valor de ruid.
Nota: Visto en prácticas.
%%%