1 EJERCICIOS PROPUESTOS 1- En caso de tener acceso al archivo /etc/shadow de un equipo local, y conteniendo éste las siguientes líneas: Alumno1: $1$zmDCo$pP/Rrln2jTy3OeTvjL8Mg0:14544:0:99999:7::: root:$1$bm36inxg$nlckzvsvjy.z42atf5p6n.:11585:0:99999:7::: Qué contraseña poseen los usuarios: root y alumno1? Alumno1 tiene la contraseña: alumno Root tiene la contraseña: jfr
2 En qué tiempo has sido capaz de descifrar las contraseñas? La contraseña de Alumno1 la ha sacado en 0 segundos, ha sido instantánea y la de root la ha sacado en 19 segundos Qué algoritmo de cifrado poseen cada uno de los campos que componen cada línea del archivo? Ambas contraseñas poseen un algoritmo de cifrado md5 2- Lee el siguiente artículo sobre el uso de cuentas limitadas y administrador en sistemas Windows: http://www.inteco.es/seguridad/observatorio/estudios_e_informes/notas_y _Articulos/cuenta_administrador_vs_limitada Qué perfiles tipo y limitaciones de uso existen en las cuentas de usuario en sistemas Windows? Hay dos tipos de perfiles o cuentas en sistemas Windows: Administrador y Limitada. Si trabajamos con una cuenta Administrador podremos realizar las siguientes funciones: Instalación del sistema y del hardware y software inicial. Parametrización de preferencias y reparación de problemas. Acción de nuevo software y hardware Todas las tareas que permite una cuenta limitada: uso de procesadores de texto, navegadores web, etc. Crear, modificar y eliminar cuentas. Tener acceso a todos los archivos del sistema. Si trabajamos con una cuenta Limitada podremos realizar estas funciones: Crear, modificar o eliminar archivos de la propia cuenta Programas cotidianos de tratamiento de datos: procesadores de texto, hojas de cálculo, bases de datos, navegador, programas de descarga, lectores de correo electrónico, reproductores de video y audio, edición de fotografías, etc. Ver archivos de la carpeta Documentos compartidos Guardar documentos, leer documentos del propio usuario. Cambiar o quitar sus propias contraseñas. Cambiar su imagen, tema y otras configuraciones de su escritorio. Con qué tipo de cuenta utilizarías normalmente el sistema? Depende de la tarea que vayamos a realizar. La persona encargada de la administración, mantenimiento y tareas más especializadas debería tener dos cuentas: una con privilegios de administrador, para la gestión del sistema e instalación de software; y otra cuenta con permisos reducidos, para su uso
3 cotidiano. El resto de usuarios deberían trabajar con cuenta Limitada, por seguridad. Qué tipo de limitaciones tendrías? Si trabajamos como Administrador no tendríamos ninguna limitación pero si trabajamos con cuenta Limitada no podremos realizar cambios que afecten a otros usuarios del sistema ni realizar ninguna tarea de gestión del sistema ni instalación de software. Para qué sirve el comando runas? Como en las cuentas Limitadas apenas tenemos privilegios podemos utilizar este comando para ejecutar programas, cosa para lo cual necesitaríamos privilegiso de Administrador. 3- Desde un usuario con rol administrador, agregar la posibilidad a la cuenta limitada creada anteriormente de cambiar la fecha/hora e instalar controles de dispositivo y revocarle el privilegio de acceso al CD-ROM. Activar el archivo de sucesos o log de sucesos asociados a esos privilegios. Acceder como usuario rol-limitado y verificar privilegios y limitaciones. Acceder como usuario rol-administrador y verificar el archivo de suceso o log. Los usuarios con cuenta limitada pueden acceder a la configuración de directivas locales? No, no pueden ni deben hacerlo. Es lógico? Si, esto es por motivos de seguridad. Sólo el usuario Administrador debe tener acceso a los archivos críticos y debe ser el único que pueda realizar modificaciones que afecten a todo el sistema operativo o al resto de los usuarios. 4- Investiga sobre la finalidad y opciones de uso de la aplicación Windows SteadyState. Qué opciones de configuración segura facilita? Windows SteadyState permite gestionar estos ordenadores y devolverlos a su estado original una vez han sido utilizados. Se trata del sucesor de Shared Computer Toolkit, una herramienta ya existente, a la que se le han añadido diversas nuevas opciones. Esta aplicación nos permite gestionar diversos perfiles de usuario, modificando su configuración de forma agrupada, definiendo los permisos para cada uno de
4 ellos, por lo que podremos limitar el acceso a ciertas opciones, como el panel de control o la gestión de red. Una vez realizadas estos bloqueos, será facilitar devolver el ordenador al estado inicial, simplemente reiniciándolo, aunque también podemos definir cuanto tiempo se mantendrán los cambios en el disco. Por ejemplo, en un aula de informática se podrían resetear cada vez que haya nuevos alumnos. Windows SteadyState funciona con Windows XP con el SP2 instalado y su descarga y uso son gratuitos. Configuración de privacidad: - No mostrar los nombres de usuario en el cuadro de diálogo "Iniciar sesión en Windows": Con esta opción evitamos que todos los usuarios salgan listados al iniciar del sistema de tal forma que el usuario sólo podrá acceder a aquellas cuentas que conoce y le restringe a la hora de poder acceder a cuentas menos restrictivas en cuanto a permisos (Administrador ). - Impedir que inicien sesión los perfiles de usuario móviles o bloqueados que no se encuentren en el equipo: Con esta opción impedimos que el usuario pueda acceder a una cuenta de red o una existente que NO tenga perfil creado (el perfil suele crearse al iniciar por primera sesión en una cuenta y contiene todos los archivos para que dicha cuenta funcione correctamente; por defecto se guarda en C:/Documents and settings/nombre_cuenta_usuario en Windows XP y en C:/Users/nombre_cuenta_usuario en Windows Vista y 7). Un ejemplo de este tipo de cuentas es la cuenta de Invitado, creada al instalar Windows pero carece de perfil hasta que un usuario accede por primera vez. - No almacenar en caché copias de perfiles móviles o bloqueados de usuarios que iniciaron sesión anteriormente en el equipo: Con esta opción hacemos que los dos tipos de cuentas comentadas en el anterior punto (en red y sin perfil) en el caso de que sean accedidas no conserven ningún dato en el disco duro (el perfil de la cuenta existirá de forma local durante el uso de la misma, una vez cerrada la sesión todos esos datos desaparecerán). Configuración de seguridad: - Quitar el nombre de usuario Administrador de la pantalla de bienvenida: Está opción es parecida a la primera configuración de privacidad que hemos visto (No mostrar los nombres ) pero con dos diferencias; sólo se aplica a la cuenta de administrador y sólo para la pantalla de bienvenida. - Quitar las opciones Apagar y Desactivar del cuadro de diálogo "Iniciar Sesión en Windows" y la pantalla de bienvenida: Con esta opción imposibilitamos el apagado, hibernación, etc del diálogo Iniciar Sesión en Windows y la pantalla de bienvenida. - No permitir que Windows calcule y almacene contraseñas con valores hash de LAN manager: El hash de LAN Manager es el cifrado que utilizan Windows Xp
5 y Vista para asegurar la compatibilidad con versiones anteriores de Windows. Si se activa esta opción se aumentará la seguridad del sistema. - No almacenar nombres de usuario o contraseñas empleadas para iniciar sesión en Windows Live ID o en el dominio: Activar esta opción supone un aumente de seguridad en el sistema ya que al no quedarse guardadas los credenciales de Windows Live ni los del usuario en el dominio se evita que los usuarios conozcan los datos de los usuarios que previamente han estado conectados en el equipo. - Impedir que los usuarios creen carpetas y archivos en la unidad C:: Activar esta opción supone un aumento de la seguridad ya que en C: suelen ubicarse los archivos de programa y del sistema operativo y de esta forma se garantiza que no se realizarán cambios (ya sea por malware o por el mal uso del usuario) en dichos archivos. - Impedir que los usuarios abran documentos de Microsoft Office desde Internet Explorer: Aumenta la seguridad al permitir únicamente abrir archivos de Office desde el propio programa. - Impedir el acceso de escritura a los dispositivos de almacenamiento USB: Activar esta opción aumenta la seguridad ya que evita que un usuario pueda llevarse información/documentos de otro usuario. Bloquea la opción de escritura en el dispositivo pero no el de lectura. Otras configuraciones: - Activar la pantalla de bienvenida (Windows XP únicamente): Nos permite establecer si queremos usar la pantalla de bienvenida como método de acceso al sistema por parte de los usuarios. 5- Investiga sobre las opciones de configuración de contraseña y cifrado de acceso a archivos ofimáticos (doc, xls, odt, pdf, ppt, odp...), comprimidos (zip,rar,...) etc. Es posible en caso de olvidar la contraseña recuperarlas? En la mayoría de los casos si En qué casos de los anteriormente descritos?.doc y.xls -> si, es posible recuperar las contraseñas con algunos programas como Word/Excel Password Recovery.pdf -> si, es posible recuperar las contraseñas con algunos programas como PDF Restriction Remover..ppt -> si, es posible recuperar las contraseñas con algunos programas como PowerPoint Password Recovery..odt -> si, es posible recuperar las contraseñas con algunos programas como OpenOffice Writer Password Recovery.
6.zip -> si, es posible recuperar las contraseñas con algunos programas como Zip Password Recovery Master..rar -> si, es posible recuperar las contraseñas con algunos programas como RarCrack. 6- Investiga sobre la finalidad y opciones de uso de la aplicación Keepass Password Safe. Qué opciones de configuración segura facilita? La seguridad del gestor de contraseñas depende de varios parámetros: La robustez de la clave maestra elegida. La seguridad del algoritmo de cifrado utilizado. La calidad del código fuente de la aplicación. La forma de almacenar la clave cuando el usuario la solicita. La existencia de virus u otro tipo de malware en nuestro ordenador. La solidez de la clave maestra y del gestor de contraseñas sirven de poco si tenemos un keylogger instalado. Es posible recordar las contraseñas de sitios web y acceder sin teclearlas? Si es posible recordar las contraseñas de sitios web y acceder sin teclearlas. La mayoría de los navegadores de Internet actuales, como Firefox o Internet Explorer, llevan incorporado un gestor de contraseñas en forma de plugin que opcionalmente se puede proteger mediante una contraseña maestra. De esta manera cuando visitamos una página web que requiere autenticación, el navegador escribe automáticamente el usuario y la clave en los campos correspondientes sin necesidad de que el usuario intervenga. También existen aplicaciones independientes del navegador de Internet que tienen el mismo cometido y a menudo son más seguras, como KeePass Password Safe (open source). Una opción especialmente conveniente es instalar el programa en una memoria USB para llevarlo con nosotros. Esto sólo es posible si el gestor de contraseñas elegido dispone de una versión portátil.