Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.wuolah.com/student/MGS5
11843
ExamenesSeguridad.pdf
+21 paginas de Exámenes
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su
totalidad.
a64b0469ff35958ef4ab887a898bd50bdfbbe91a-614508
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Bloque 1
1. ¿De quién es la responsabilidad del gobierno de las T.I.?
2. ¿Cuáles son los cuatro objetivos de seguridad de la información?
3. Cite al menos cuatro instituciones de estandarización
4. ¿Qué son los Common Criteria y el ISO 15408?
5. ¿Qué es el ciclo PDCA?
6. ¿Qué conlleva una metodología de análisis de riesgos?
7. ¿Cómo establece una organización sus requisitos de seguridad?
8. ¿Qué diferencia hay entre metodologías cuantitativas y cualitativas?
9. Indique al menos cuatro medidas que disminuyan el riesgo de incendio
10. La calidad del suministro eléctrico, ¿puede ser considerada como una amenaza física?, ¿qué debe
hacerse?
Bloque 2
1. ¿Cuáles son las ventajas de tener en cuenta la seguridad desde el inicio de un proyecto informático?
2. Según los principios de diseño, ¿sería preferible alguna política por defecto para el filtrado de paquetes
de un cortafuegos? Razone la respuesta.
3. ¿Por qué la posibilidad de desbordamiento de memoria supone una amenaza a la seguridad de un
sistema?
4. Indique dos aspectos que favorecen la elección de diseño/código abierto frente a diseño/código secreto
5. ¿Cuáles son las principales diferencias entre un virus y un gusano?
6. Dada la siguiente firma de un virus 0400 B851 A20E 07BB ??02 33C9 8BD1 419C, escriba tres
secuencias de bytes que se equiparen con ella si están permitidas 2 diferencias.
7. ¿Cuáles son las cinco técnicas de detección de virus vistas en clase?
8. En el contexto de la asignatura, ¿qué es un retrovirus?
9. ¿En qué consiste un sistema de detección de intrusión basado en comportamiento?
10. Señale al menos tres ventajas de un sistema de detección de intrusión basado en red
a64b0469ff35958ef4ab887a898bd50bdfbbe91a-614508
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Bloque 2
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
1. Defina el concepto de vulnerabilidad en función del de amenaza.
2. Explique en qué consiste el principio de mediación completa.
3. Indique qué es el IDXP.
4. Anote tres desventajas de un cortafuegos.
5. Justifique cuántas pasarelas de aplicación serían necesarias en un sistema en el que se quiere emplear
este tipo de cortafuegos.
6. Señale cómo se pueden proteger las estructuras de datos y las funciones empleadas en un programa.
7. Describa la forma de actuar de un gusano.
8. Resuma los principios de diseño útiles para la seguridad vistos en clase.
9. Especifique las principales formas de ocultación de un virus.
10. Exponga los ataques a la seguridad ligados a la no distinción entre datos y código en una aplicación.
11. Apunte alguna medida que solucione, al menos en parte, que se produzcan intrusiones que consigan
eludir un sistema de detección de intrusiones mediante inserción o evasión.
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Bloque 2
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
1. Clasifique las siguientes oraciones según se puedan emplear en un SDPI basado en firmas o uno basado
en anomalías. Justifique su respuesta.
a. Los usuarios no deben leer archivos de directorios de otros usuarios
b. Los usuarios no hacen llamadas al sistema
c. El usuario luis utiliza Microsoft Word como procesador de texto
d. Sólo el usuario pepe puede hacer una llamada remota al servidor de correo
e. Un argumento muy grande en una función que maneja cadenas de caracteres es indicativo de un
ataque por desbordamiento de memoria
2. De entre los distintos tipos de SDPI explicados en la asignatura, ¿a cuál podría corresponder un antivirus
tipo monitor? Razone la respuesta.
3. ¿Qué diferencia un filtro con estado de uno sin estado?
4. Mencione tres tipos de antivirus y para cada uno, proporcione un ejemplo de falso positivo o falso
negativo que podría producirse
5. Para identificar el código malicioso encontrado durante el proceso de detección de un antivirus, este lo
compara con las copias de código malicioso que tiene en su base de datos para dar con una igual o
suficientemente parecida ¿Recomendaría este producto a alguien que necesita un antivirus? Razone la
respuesta.
6. ¿Quién(es) se puede(n) considerar víctima(s) en un ataque de tipo cross-site scripting (XSS)? Razone la
respuesta.
7. ¿Por qué el tiempo que se ejecuta un programa en un emulador es un factor determinante a la hora de
detectar si contiene o constituye código malicioso?
8. ¿Qué principios de programación ayudan a evitar la posibilidad de desbordamiento de memoria?
9. El término “virus antivirus” es ambiguo. Indique dos posible interpretaciones.
10. Describa las distintas estrategias de búsqueda de objetivo que se pueden aplicar a un gusano.
11. Dado el siguiente fragmento de código:
string sql = "select * from client where name = '" + inputname + "'",
proporcione una entrada equivalente a
Blake' or 1=1 --
de modo que no sea necesario emplear comentarios.
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Bloque 1
1. ¿Cuáles son los objetivos del gobierno de las T.I.(Tecnologías de la Información)?
2. ¿Cuáles son las principales actividades implicadas en la Seguridad de la Información?
3. ¿Qué debería proporcionar el gobierno de la seguridad de las T.I.?
4. La norma ISO 27001 ¿qué fases establece para la certificación?
5. Magerit ¿en qué 3 bloques se presenta?
6. ¿Qué es la BS 25999?
7. Indique qué 5 aspectos diferentes recoge el código penal sobre la seguridad de las T.I.
8. En líneas generales, ¿qué establece el Reglamento de Evaluación y Certificación de la Seguridad de las
T.I.?
9. ¿Cuáles son las medidas a tomar contra los riesgos de inundación de un Centro de Cálculo?
10. ¿Cuáles son las medidas a tomar contra el riesgo de incendio en un Centro de Cálculo?
Bloque 2
1. ¿Qué diferencia una amenaza de un ataque?
2. Enumere tres principios de diseño que ayuden a producir un sistema seguro y explique en qué consiste
cada uno (1 punto por principio)
3. Indique un principio de programación que puede ayudar a evitar un ataque por inyección de código.
Razone la respuesta.
4. En su opinión, ¿en qué instante del ciclo de vida de un proyecto software conviene empezar a tener en
cuenta los aspectos que tienen que ver con su seguridad? Razone la respuesta.
5. Explique qué es una bomba lógica en el contexto del código malicioso.
6. En general los antivirus suelen hacer comprobaciones de su integridad ¿Qué razones pueden motivar
esto?
7. ¿En qué sentido un antivirus de tipo escáner al que se añadieran heurísticas podría mejorar su
rendimiento?
8. A la hora de elegir un sistema de detección de intrusiones, ¿influiría el hecho de saber que señala
muchos falsos positivos? Razone la respuesta.
a64b0469ff35958ef4ab887a898bd50bdfbbe91a-614508
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Respuestas valoradas con 1 punto
1. ¿Para qué pueden emplearse los factores biométricos en un sistema de seguridad?
2. ¿Por qué en PGP es necesario incluir el identificador de la clave en los mensajes que se envíen
firmados digitalmente?
3. ¿Qué significa que el flujo de la información es hacia arriba en el modelo Bell-LaPadula?
4. Dos individuos que nunca se han encontrado físicamente y que no tienen posibilidad de hacerlo
quieren comunicarse de manera confidencial empleando cifrado simétrico. Indique dos soluciones
que les permitan compartir la clave secreta de modo seguro.
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Bloque 2
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
1. Indique tres motivos que pueden llevar a un empleado a hacer un ataque interno (a su empresa)
Point out three motives for an employee to carry out an internal attack
2. A la hora de establecer la seguridad de un sistema, ¿considera que sería suficiente con tener en cuenta los
ataques que se pudieran producir y su probabilidad de éxito? Razone la respuesta.
When establishing a system’s security, would it be enough to take into account the possible attacks and
their probability to succeed? Justify your answer.
3. ¿Cuál es la diferencia principal entre un ataque de tipo cross-site scripting (XSS) y uno de tipo cross-site
request forgery (CSRF)?
What is the main difference between cross-site scripting (XSS) and cross-site request forgery (CSRF)?
4. Explique qué es un troyano en el contexto del código malicioso.
Explain what a trojan is in the domain of malware.
5. De los sistemas generales de defensa vistos en clase, indique dos que involucren un proceso de toma de
decisión. Razone su respuesta (Explique qué deciden).
Out of the general defense systems explained in class, point out two that involve a decision making
process
6. ¿Cuáles son las ventajas y desventajas de los antivirus dinámicos frente a los estáticos?
What are the advantages and disadvantages of dynamic viruses vs. static ones?
7. ¿Es posible que aunque cada máquina de la red que se quiere proteger tenga un cortafuegos, pueda verse
afectada por un ataque interno? Razone la respuesta.
Can a network where each machine to protect has a firewall suffer an internal attack? Justify your
answer.
8. ¿Cuáles son los principios de diseño más relacionados con (las características de) un bastión?
What design principles are most related to a bastion?
9. En un sistema de prevención y detección de intrusiones, ¿qué diferencia un perfil estático de uno
dinámico?
What differences a static profile from a dynamic one?
10. ¿Qué tipos de sensores se pueden distinguir en un sistema de prevención y detección de intrusiones
basado en red (cableada)? ¿Qué caracteriza cada uno?
What kinds of sensors can a network-based prevention and detection system use?
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Respuestas valoradas con 1 punto
1. Cuáles son los tres elementos principales que hay que tener en cuenta en el control de acceso
2. ¿Qué es una matriz de acceso y que particularidad tienen las matrices de acceso asociadas al control
de acceso discrecional?
3. Qué significa que el flujo de la información es hacia abajo en el modelo Biba
4. En un protocolo de seguridad además de las partes que se comunican puede participar una tercera
parte. Describa en qué consiste y las posibilidades que existen.
5. ¿Cuáles son las dos diferencias fundamentales entre PGP y S/MIME?
6. ¿Qué procedimiento se ha de seguir si se quiere mandar con S/MIME un mensaje a varios
destinatarios y no se puede seleccionar un algoritmo común de cifrado para todos ellos? ¿Influye
esto en la confidencialidad del mensaje?
7. Juan envía a Pedro el siguiente texto en claro, incluyendo su firma digital con PGP: "Hola Pedro.
Nos vemos en el cine a las nueve". Más tarde se da cuenta de que se ha equivocado y le manda otro
mensaje que dice: "Hola Pedro. Nos vemos en el cine a las diez", también firmado. ¿Son ambas
firmas iguales o diferentes? ¿Por qué?
8. Describa la arquitectura de TLS
9. Defina los conceptos de sesión y conexión en TLS
10. Supongamos que se está empleando un protocolo de distribución de clave que sigue el algoritmo de
Diffie-Hellman ¿Es susceptible de algún tipo de ataque? En caso afirmativo, indique alguna forma
de hacerlo más seguro.
11. Cuáles son los participantes considerados en SET
12. En qué consiste la firma dual de SET y para qué se utiliza
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Duración del examen: 1 hora
Lea detenidamente los enunciados y conteste únicamente a lo que se pregunta. En las respuestas puede
utilizar abreviaturas y siglas siempre que no sean ambiguas y se hayan empleado en clase.
Ejercicio 1 (1 punto). Tanto Kerberos como TLS pueden proporcionan servicio de autenticación en una
arquitectura cliente-servidor. Señale qué entidades se autentican obligatoriamente en cada uno, y cuáles
opcionalmente. Ponga un ejemplo de una situación en el mundo real en la que interesaría incluir la
autenticación de las opcionales.
Ejercicio 2 (1 puntos). Explique qué diferencia basar el tratamiento de los certificados en una jerarquía de
autoridades de certificación de en una red de confianza.
Ejercicio 3 (1 punto). Describa brevemente qué caracteriza cada una de las tres políticas de control de
acceso basadas en la identidad.
Ejercicio 4 (2 puntos). Defina los siguientes conceptos: certificado, autenticación, lista de control de acceso,
sesión TLS,
Ejercicio 5 (2 puntos). ¿Qué clave(s) usa S/MIME para proporcionar confidencialidad? ¿Cómo la(s)
emplea? Indique al menos una particularidad de S/MIME con respecto a esta(s) clave(s) que la(s) diferencia
de la(s) de PGP.
Ejercicio 6 (3 puntos + 1). Juan desea pasar al Pedro un texto B relacionado con un texto A, pero no quiere
que conozca A. Así decide mandar a Pedro el texto B al que adjuntaría una firma calculada siguiendo el
esquema de la siguiente representación gráfica:
|| = concatenación
Lea detenidamente los enunciados y conteste únicamente a lo que se pregunta. En las respuestas puede
utilizar abreviaturas y siglas siempre que no sean ambiguas y se hayan empleado en clase.
Ejercicio 1 (1 punto). Tanto Kerberos como TLS pueden proporcionan servicio de autenticación en una
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
arquitectura cliente-servidor. Señale qué entidades se autentican obligatoriamente en cada uno, y cuáles
opcionalmente. Ponga un ejemplo de una situación en el mundo real en la que interesaría incluir la
autenticación de las opcionales.
Obligatorio Opcional
Kerberos Cliente Servidor
TLS Servidor Cliente
Kerberos: Aut de banco
TLS: Aut de cliente de correo
Ejercicio 2 (1 puntos). Explique qué diferencia basar el tratamiento de los certificados en una jerarquía de
autoridades de certificación de en una red de confianza.
Cert de red de confianza puede estar firmado por cualquiera, uno decide de quién fiarse.
ACs se consideran fialbes, usuario no puede firmar cert.
Ejercicio 3 (1 punto). Describa brevemente qué caracteriza cada una de las tres políticas de control de
acceso basadas en la identidad.
CA discrecional: Usuario (generalmente el propietario) determina acceso
CA obligatorio: Política general determina acceso
CA basado en papeles: Papel de usuario determina acceso
Ejercicio 4 (2 puntos). Defina los siguientes conceptos: certificado, autenticación, lista de control de acceso,
sesión TLS.
Certificado: Elemento digital que asocia una clave pública con su entidad correspondiente. Está firmado por
una autoridad de certificación generalmente y tiene un tiempo de validez. En ocasiones se indica su uso.
Autenticación: Servicio de seguridad que asocia una entidad con una identidad, ya sea mediante verificación
o mediante identificación
LCA: Estructura que para objeto indica los sujetos que tienen acceso a él y con qué derechos
Sesión TLS: Asociación entre cliente y servidor caracterizada por un identificador, el certificado del otro, un
método de compresión, un algoritmo de cifrado, de hash y sus parámetros, un secreto maestro y la indicación
de si es reanudable. Se establece durante el protocolo de acuerdo y sus características determinan lo que
empleará el protocolo de registro para proporcionar confidencialidad e integridad.
Ejercicio 5 (2 puntos). ¿Qué clave(s) usa S/MIME para proporcionar confidencialidad? ¿Cómo la(s)
emplea? Indique al menos una particularidad de S/MIME con respecto a esta(s) clave(s) que la(s) diferencia
de la(s) de PGP.
Usa una clave de sesión para cifrar el mensaje y la clave pública del receptor para cifrar esa clave de sesión.
La forma de calcular las claves de sesión difiere en cada caso, S/MIME no establece un mecanismo
específico mientras que PGP la calcula a partir básicamente de lo que teclea el usuario (tras pedírselo) y
cómo lo hace. En lo que respecta a las claves públicas, PGP las almacena en una tabla, mientras que a
S/MIME siempre hay que suministrárselas. Además los certificados de estas claves han de seguir el estándar
X.509,y se tiene que establecer con qué ACs se va a trabajar, mientras que en PGP, es el usuario quien
decide en quién confiar.
Ejercicio 6 (3 puntos + 1). Juan desea pasar al Pedro un texto B relacionado con un texto A, pero no quiere
que conozca A. Así decide mandar a Pedro el texto B al que adjuntaría una firma calculada siguiendo el
esquema de la siguiente representación gráfica:
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
|| = concatenación
a) Cualquiera [que disponga de los dos hash de los textos, o bien de alguno de los textos y el hash
del otro, o bien de los dos textos] puede autenticar al firmante. Para ello basta con usar la clave
pública de Juan para descifrar la firma [y ver si el resultado coindice con la concatenación de los
dos hash. En el caso de Pedro habría que pasarle el hash del texto A, puesto que el de B lo puede
calcular].
b) Sirve para establecer que los dos textos están relacionados de alguna forma, que el uso de uno
está ligado al del otro, sin que sea necesario conocer ambos textos para poder verificar el hash de
su concatenación.
c) Ayuda a proporcionar integridad. basta con usar la clave pública de Juan para descifrar la firma y
ver si el resultado coindice con la concatenación de los dos hash. En el caso de Pedro habría que
pasarle el hash del texto A, puesto que el de B lo puede calcular.
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Bloque 1
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
1. ¿Cuáles son los objetivos del gobierno de los T.I.?
2. ¿Cuáles son los 4 objetivos de seguridad de la información?
3. ¿Qué es un standard?
4. ¿Qué es y en qué consiste la norma ISO 27001?
5. ¿Qué es y en qué consiste Magerit 2.1?
6. ¿Qué es y en qué consiste BS 25999?
7. ¿Qué 5 aspectos de Seguridad de las TIC se recogen en el Código Penal?
8. La LOPD y en su caso el Reglamento (1720/2007) que la desarrolla, ¿qué obligaciones impone a las
empresas?
9. ¿Cuán es la diferencia fundamental entre las Metodologías de Análisis de Riesgos y las Auditorias
Informáticas?
10. ¿Qué haría Vd. en un Centro de Cálculo para evitar los cortes de luz y las sobretensiones?
Bloque 2
11. ¿Qué es un ataque?
12. ¿Cómo influyen las estructuras de los datos de un sistema/procedimiento en las vulnerabilidades que
estos presenten?
13. ¿Qué tres elementos y en qué sentido se han de considerar con respecto a la seguridad a la hora de
diseñar un sistema?
14. ¿Qué factores tendría en cuenta para cumplir el principio de privilegio mínimo en el diseño de un
sistema?
15. Exponga un razonamiento a favor del diseño abierto y otro a favor del diseño cerrado con respecto a la
posibilidad de conocer los algoritmos empleados para los mecanismos de seguridad
16. De entre los distintos tipos de antivirus vistos en clase, ¿cuáles no pueden detectar nuevos virus?
17. ¿Es posible que un antivirus basado en la comprobación de integridad dé lugar a falsos positivos?
Razone la respuesta.
18. Indique al menos cuatro objetivos de un sistema de detección y prevención de intrusiones.
19. ¿Cuáles son las principales desventajas de un sistema de detección y prevención de intrusiones basado en
firmas?
20. ¿Qué diferencia hay entre un cortafuegos de tipo filtro con estado y uno sin estado?
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Lea detenidamente los enunciados y conteste únicamente a lo que se pregunta. En las respuestas puede
utilizar abreviaturas y siglas siempre que no sean ambiguas y se hayan empleado en clase.
Responda brevemente
1. ¿Se puede considerar el ser humano una vulnerabilidad con respecto a la seguridad de un sistema?
Razone la respuesta: Las personas constituyen una de las principales debilidades involucradas en los
sistemas computacionales, puesto que, por ejemplo, en muchas ocasiones tienen el conocimiento que
necesitan los atacantes para poder llevar a cabo sus actividades y si no tienen la formación suficiente
pueden ser persuadidos fácilmente para proporcionarlo.
2. Proporcione dos razones para optar por un diseño abierto: Permite que la seguridad no dependa de la
ignorancia del atacante, como aconseja un principio de diseño. Al ser algo conocido y disponible puede
estar sometido a escrutinio público, y si no se descubren vulnerabilidades puede dar más garantía de su
seguridad que uno que ha sido menos estudiado.
3. Señale tres modos de verificar y validar un programa: Revisión manual, herramientas de análisis estático
(del contenido de archivos de programa), herramientas de análisis dinámico (del programa en ejecución)
4. ¿Cuál es la principal diferencia entre XSS y CSRF? El XSS se aprovecha de la confianza del cliente en
el servidor mientras que el CSRF lo hace del servidor en el cliente
5. Indique cuatro métodos de escaneo que puede emplear un gusano para la búsqueda de objetivos: Escaneo
aleatorio, escaneo localizado, escaneo de máquinas de una lista, escaneo de permutación, escaneo
topológico, escaneo pasivo
6. Apunte la principal ventaja de un antivirus tipo escáner: La identificación precisa del virus encontrado.
7. Enumere las principales desventajas de un antivirus tipo emulador: Puede parar antes de que se revele el
virus, puede requerir mucho tiempo si es necesario repetir la emulación varias veces para contemplar
distintas condiciones, el virus detectado no es identificado ni desinfectado.
8. Explique cómo podría un atacante evitar su detección por un SDI basado en anomalías y con perfiles
dinámicos: Si el atacante realiza sus actividades a una velocidad suficientemente lenta, el SDI podría
pensar que cada actividad maliciosa es normal e incluirla en el perfil correspondiente con lo que el
ataque no se detectaría.
Responda brevemente a las cuestiones que se plantean. Lea detenidamente los enunciados y conteste
únicamente a lo que se pregunta. En las respuestas puede utilizar abreviaturas y siglas siempre que no sean
ambiguas y se hayan empleado en clase.
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
2. El modelo control de acceso de Bell-LaPadula se emplea para garantizar principalmente un servicio de
seguridad ¿Cuál? Razone su respuesta.
3. En el modelo de control de acceso de la muralla china es necesario tener un registro histórico de los
accesos que se han llevado a cabo ¿Qué información sobre esos accesos es imprescindible que contenga
ese registro? Razone su respuesta.
4. ¿Qué información contiene el anillo de claves privadas de PGP?
5. ¿Es más seguro un certificado encontrado en una página web cualquiera o uno obtenido de una base de
datos protegida? Razone su respuesta.
6. Indique para cada uno de los siguientes elementos si forma parte de la caracterización del estado de una
sesión o del de una conexión: certificado, algoritmo de cifrado, clave de escritura de servidor
7. ¿Sería posible teóricamente utilizar SET y TLS a la vez? Razone su respuesta.
8. ¿Para que sirve garantizar la frescura de un mensaje?
9. ¿En qué tres aspectos se puede basar fundamentalmente un sistema de autenticación? De entre todos
ellos, ¿cuál(es) emplea Kerberos?
10. ¿Qué diferencia un modelo basado en una jerarquía de autoridades de certificación de uno basado en
una red de confianza?
Pregunta 1 (2 puntos)
¿Cuáles son las propiedades que debe satisfacer una función hash para tener interés
criptográfico?
Solución:
Son aquellas funciones que cumplen lo siguiente:
- La descripción de H( ) debe ser pública y no requiere ninguna información secreta.
- El argumento x puede ser de longitud arbitraria y el resultado, H(x), debe ser de
longitud fija con n bits (n ≥ 160).
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
- Dados H( ) y su argumento x, el cálculo de H(x) debe ser fácil (complejidad
polinómica).
- La función debe ser de Sentido Único.
- Debe ser Resistente a colisiones; encontrar dos mensajes distintos, x y x’, que tengan el
mismo valor hash H(x) = H (x’), debe ser difícil.
Pregunta 2 (4 puntos)
EFTAD HLHDF AIIGI GGMSR EBLNH OLNVP FDLAN KBKMB MOMOR FMOIQ KCFBS
KADXA UMMTP TVHHU MDELE FTQDH TFHQC AMXFM EW 1
Solución:
1
Cifrado don el algoritmo Playfair con con la clave BLACKCARD.
Pregunta 3 (1 punto)
¿Qué características debe cumplir el Cifrado Vernam para poder considerarlo irrompible?
Solución:
El cifrado Vernam es absolutamente irrompible si se satisfacen las siguientes condiciones:
1. La longitud de la clave tiene que ser de longitud igual a la del mensaje que quiere cifrar.
2. La clave debe ser aleatoria y estar uniformemente distribuida sobre todos sus símbolos.
3. La clave sólo puede utilizarse una sola vez.
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Pregunta 4 (2 puntos)
¿ESAMS RONNA EAMAC TSINS NUILO AEIQS NNDBT EOIDN UTS 2?
Descifrar el enunciado, indicar cuál es la tabla del descifrado y responder a la pregunta.
Solución:
V E R N A M
6 2 5 4 1 3 ¿EN QUE CONSISTIAN LAS DENOMINADAS NUMBER
----------- STATIONS?
E N Q U E C Eran emisiones de radio de gran potencia en las frecuencias de Onda
O N S I S T
Corta en las que se oía la voz de un hombre, una mujer, y algunas veces
I A N L A S
D E N O M I de un niño, leer series de números en distintos idiomas (inglés, ruso,
N A D A S N español, alemán, chino, etc.)
U M B E R S Su función era transmitir mensajes cifrados a los agentes y espías que
T A T I O N
tuvieran desplazados en territorio enemigo.
S - - - - -
Pregunta 5 (3 puntos)
Considérese el doble cifrado Vigenere; es decir, cifrar los mensajes primero con la clave k1 y,
lo que salga, con la clave k2. ¿Es este doble cifrado más resistente que un solo cifrado frente al
método de Kasiski para el descubrimiento de la longitud de la clave? Razona la respuesta.
Solución:
El efecto de componer dos sustituciones consecutivas es una sustitución sencilla con una
clave distinta. Componer dos cifrados Vigenere da lugar a otro cifrado Vigenere con una
efectiva clave más larga que las dos claves empleadas. La longitud de la clave resultante
será aquel múltiplo de ambas que coincida (mínimo común múltiplo). La longitud de la clave
resultante será máxima cuando ambas longitudes sean primos relativos.
La aparición de repeticiones en el criptograma denota repeticiones en el texto en claro que
quedan alineadas de la misma forma con la clave por lo que, para claves efectivas más
largas, es más difícil la aparición de repeticiones en una misma cantidad de criptograma.
El doble cifrado no invalida el método Kasiski, pero si aumenta la longitud efectiva de la clave
y se precisa más criptograma para que pueda tener efecto el ataque.
2
Cifrado con una Transposición Columnar Sencilla con la clave VERNAM
BLOQUE IV
1. Se considera que tanto Kerberos como TLS sirven para autenticar ¿En qué se parecen y en qué se diferencian los
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
servicios de autenticación que proporcionan?
2. Dos personas quieren intercambiarse 10Mb de información. Dada la naturaleza de esa información, no desean que
nadie más la pueda leer, por lo que han decidido transmitirla cifrada. Cada uno posee una clave privada con su
correspondiente clave pública, pero el sistema que emplean tiene una restricción sobre el cifrado asimétrico que lo
limita a un máximo de 1Mb
a) ¿Cómo se llama el servicio de seguridad que necesitan?
b) Indique una manera de conseguirlo sin fragmentar la información.
3. ¿Qué información contiene el anillo de claves públicas de PGP? Describa brevemente cada uno de los componentes.
4. ¿Cuál de los protocolos que conforman TLS se lleva a cabo en primer lugar? Razone la respuesta
5. Juan envía mediante S/MIME a Pedro el siguiente texto en claro: "Hola Pedro. Nos vemos en el cine a las nueve",
junto con su firma digital. Más tarde se da cuenta de que se ha equivocado y le manda otro mensaje que dice: "Hola
Pedro. Nos vemos en el cine a las diez", también firmado. Conteste a las siguientes preguntas:
a) ¿Son ambas firmas iguales o diferentes? ¿Por qué?
b) ¿Podrían leer el mensaje enviado por Juan otras personas? ¿Es necesario que tengan instalado para ello
S/MIME?
6. Se dispone de un sistema con los siguientes niveles de seguridad: supersecreto, secreto, confidencial y público,
ordenados de mayor a menor, y dos categorías: nuclear y convencional. El sistema tiene cuatro sujetos:
el presidente, que tiene autorización de supersecreto para nuclear y convencional
el coronel, que tiene autorización de secreto para nuclear y convencional
el cabo, que tiene autorización de confidencial para convencional
el soldado que tiene autorización de público para nuclear
y los siguientes objetos:
el número de unidades de convencional, con nivel confidencial
el número de unidades de nuclear, con nivel confidencial
el coste del programa nuclear, con nivel público
el coste del programa convencional, con nivel público
el código nuclear con nivel supersecreto
Suponiendo que se sigue el modelo Bell-LaPadula, responda, razonando su respuesta, a las siguientes preguntas:
a) ¿Puede el presidente calcular el coste total (nuclear+convencional)?
b) ¿Puede el cabo calcular el número total de unidades? ¿Y el coronel?
c) ¿Puede el cabo cambiar el código nuclear? ¿Y el soldado?
d) Teniendo en cuenta el sentido común, ¿se puede considerar que algunas de las cuestiones anteriores supone algún
problema de seguridad?
7. Explique los siguientes conceptos: control de acceso basado en papeles, certificado, sesión de TLS, ticket de Kerberos
8. ¿Qué mecanismos se pueden emplear para garantizar la frescura de un mensaje?
BLOQUE V
1. Explique qué debería contener una Política de Seguridad de la Información.
2. Describa las normas ISO 27000.
3. Especifique en qué consiste la metodología MAGERIT.
4. Comente la legislación sobre Administración Electrónica.
a64b0469ff35958ef4ab887a898bd50bdfbbe91a-614508
Lea detenidamente los enunciados y conteste únicamente a lo que se pregunta. En las respuestas puede
utilizar abreviaturas y siglas siempre que no sean ambiguas y se hayan empleado en clase.
BLOQUE IV
1. Señale los tipos de elementos en los que se puede basar un servicio de autenticación. Justifique cuál sería más
recomendable emplear.
2. Considere un sistema de control de acceso de muralla china en el que las empresas y clases de conflictos de interés
(CI) son los siguientes:
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
Clase de CI1 con Empresa1, Empresa2, Empresa3
Clase de CI2 con Empresa*, Empresa’
Clase de CI3 con EmpresaA, EmpresaB, EmpresaC
Indique razonadamente si las siguientes oraciones son verdaderas o falsas:
a) Empresa A puede leer datos de Empresa1 y de EmpresaC
b) Empresa’ puede escribir en Empresa2 sólo si no ha leído de Empresa1 y Empresa3
3. Explique cómo formará S/MIME un mensaje de modo que únicamente el destinatario pueda acceder a su contenido y
cualquiera pueda verificar su integridad y autenticación. Puede emplear un esquema o dibujo, pero sólo como apoyo a
la explicación.
4. Describa el intercambio de mensajes que se realizaría entre cliente y servidor durante el protocolo de acuerdo de TLS
cuando están listos para establecer una conexión usando una sesión existente.
5. Explique los siguientes conceptos: matriz de control de acceso, autoridad de certificación, anillo de claves privadas de
PGP, Kerberos.
NOMBRE Y APELLIDOS:________________________________________________________________________
Lea detenidamente los enunciados y conteste únicamente a lo que se pregunta. En las respuestas puede utilizar
abreviaturas y siglas siempre que no sean ambiguas y se hayan empleado en clase. Si considera que para contestar alguna
cuestión necesita más información de la suministrada en el enunciado, haga las suposiciones que considere necesarias e
indíquelas.
BLOQUE IV
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
1. Defina los siguientes conceptos en el contexto de la asignatura (1 punto por definición):
Control de acceso
Servidor de concesión de tickets de Kerberos
Red de confianza
Mensaje ClientHello en TLS
2. Un sistema de control de acceso (CA), ¿puede combinar una política de CA obligatorio con una de CA basado en
papeles? En caso afirmativo, explique su respuesta ideando y exponiendo un ejemplo (sencillo) de sistema de CA con
esa combinación; en caso negativo explique las razones y dé un ejemplo de cada una de las dos políticas. (1 punto)
3. Indique para qué sirve el concepto de frescura y qué mecanismos se pueden emplear para conseguirlo. (1 punto)
4. ¿Puede garantizar el uso de Kerberos autenticación con no repudio? Razone la respuesta. (1 punto)
5. Describa el proceso de verificación de la firma en S/MIME para un mensaje de tipo datos firmados. Indique
claramente en esa descripción qué hay que cifrar/descifrar/calcular, y qué claves se han de emplear y de dónde se
obtienen. (1 punto)
6. Uno de sus amigos le dice que dado que se comunica con su banco utilizando TLS nadie puede robarle sus datos.
¿Tiene razón o está equivocado? Razone la respuesta. (1 punto)
7. Cuando un cliente quiere establecer por primera vez una conexión con un servidor utilizando TLS, ¿Qué algoritmos
utiliza en su protocolo de registro? Justifique la respuesta. (1 punto)
R.- Crear valor mediante empleos de las tecnologías de la información y preservar el valor administrando
los riesgos relacionados con las tecnologías de la información.
R.- Disponibilidad (La información debe estar siempre disponible cuando se necesite, las maquinas
deben ser resistentes a ataques y la información de recupera en caso de algún fallo), Confidencialidad (
La información es accesible solo por aquel que tenga derecho legitimo), Integridad ( La información es
inmune a modificaciones sin autorización), Autenticidad y no repudio ( Las transacciones comerciales y
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
el intercambio de información en general entre empresas deben ofrecer la confianza necesaria).
R.- Es una publicación que recoge el trabajo de distintos fabricantes, consumidores, delegaciones de
gobierno, etc. Que define los requisitos técnicos y funcionan como guía, definición de conceptos, para
las necesidades de la sociedad y tecnología.
8.-La LOPD y en su caso el reglamento (1720/2007) que la desarrolla, ¿Que obligaciones impone a las
empresas?
9.- ¿Cual es la diferencia fundamental entre las metodologías de análisis de riesgo y las auditorias
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
informáticas?
R.- El análisis de riesgo facilita la evaluación de los riesgos mientras que la auditoria informática
identifica el nivel de exposición por falta de controles
R.- Los common criteria son productos de seguridad y el ISO 15408 es un estandar que establecer una
base técnica comprensible, común y flexible. Describe los requisitos de seguridad de productos de las
tecnologías de la información y evalúa las características de seguridad de las T.I
R.- Es conocido como el ciclo de Deming, sus siglas corresponden a Plan-Do-Check-Act, se utiliza para la
gestión de riesgo
R.- La diferencia es que las cuantitativas consisten en un método matemático numérico para el análisis
de riesgos, mientras que las cualitativas consisten en la subjetividad y raciocinio humano.
R.- Definición de principios básicos, Definición de roles, Diseñar e implementar marco de control,
Implantación de una solución, Establecer medidas de monitorización, Difusión, formación y educación
a64b0469ff35958ef4ab887a898bd50bdfbbe91a-614508
Proporcionar valor
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
20.- Magerit ¿En que 3 bloques se presenta?
Bloque 2
Las respuestas que se proporcionan aquí constituyen un ejemplo de cómo se pueden contestar las cuestiones
planeadas.
1. Indique tres motivos que pueden provocar que un empleado realice un ataque interno (a su empresa)
Soborno, desconocimiento y metedura de pata consecuente, envidia/rencor/ … hacia jefe/compañero/ …,
engaño mediante ingeniería social, etc.
2. A la hora de establecer la seguridad de un sistema, ¿considera que sería suficiente con tener en cuenta los
ataques que se pudieran producir y su probabilidad de éxito? Razone la respuesta.
No bastaría con eso, sino que habría que considerar también el impacto de esos ataques y el coste que
conllevaría intentar evitarlos.
3. ¿Cuál es la diferencia principal entre un ataque de tipo cross-site scripting (XSS) y uno de tipo cross-site
request forgery (CSRF)?
En el primer caso el ataque se aprovecha de que el usuario (su navegador) se fía de un sitio (servidor)
web, mientras que el segundo se basa en que el sitio web se fía de lo que le llega procedente del usuario
Reservados todos los derechos. No se permite la explotación económica ni la transformación de esta obra. Queda permitida la impresión en su totalidad.
porque lo ha reconocido como autorizado previamente.
4. Explique qué es un troyano en el contexto del código malicioso.
Es un tipo de código malicioso que se caracteriza porque está oculto (como parásito) en una aplicación
(anfitriona) aparentemente útil para la víctima. Así, cuando se ejecuta el anfitrión, se realizan también las
instrucciones del código malicioso. Además, no se autorreplica.
5. De los sistemas generales de defensa vistos en clase, indique dos que involucren un proceso de toma de
decisión. Razone su respuesta (Explique qué deciden).
Los antivirus y los SPDI: Los procesos de detección (e identificación) de los antivirus determinan si hay
código malicioso o no (y de qué virus se trata) y los sistemas de detección de intrusiones señalan si ha
habido o hay actividades maliciosas.
6. ¿Cuáles son las ventajas y desventajas de los antivirus dinámicos frente a los estáticos?
Los antivirus dinámicos monitorizan las aplicaciones durante su ejecución lo que permite eliminar parte
de la ofuscación que se haya podido utilizar para ocultar el código malicioso, incluido el cifrado, cosa
que no es posible con los estáticos. Por contra, pueden ralentizar la ejecución de las aplicaciones, puesto
que se están ejecutando a la vez y consumen recursos.
7. ¿Es posible que aunque cada máquina de la red que se quiere proteger tenga un cortafuegos, pueda verse
afectada por un ataque interno? Razone la respuesta.
Si es posible. Por ejemplo, los cortafuegos no evitarían que un usuario con los permisos adecuados
copiara información secreta en un dispositivo móvil como un CD y se lo llevara.
8. ¿Cuáles son los principios de diseño más relacionados con (las características de) un bastión?
Dado que un bastión ha de tener únicamente los servicios esenciales para desempeñar su función y ha de
evitarse en la medida de lo posible que acceda al resto de la red interna, los principios de diseño más
relacionados con él son el del mecanismo de lo mínimo común y el de privilegios mínimos.
9. En un sistema de prevención y detección de intrusiones, ¿qué diferencia un perfil estático de uno
dinámico?
Un perfil estático se actualiza periódicamente o a petición del usuario, mientras que uno dinámico se
ajusta a medida que se observan nuevas actividades.
10. ¿Qué tipos de sensores se pueden distinguir en un sistema de prevención y detección de intrusiones
basado en red (cableada)? ¿Qué caracteriza cada uno?
Los sensores en línea están ubicados en una línea de la propia red, por lo que el tráfico pasa a través de
ellos, lo que permite bloquear posibles ataques inmediatamente. Los sensores pasivos monitorizan una
copia del tráfico de la red por lo que son poco eficaces para bloquearlo.