Exerccios Marcos Cesar Setembro 2008 Exerccios Segurana 1
Exercícios Marcos Cesar Setembro/ 2008
Exercícios Segurança 1 s. (PETRO-08) Um administrador UNIX precisa fazer uma varredura na sua rede e descobrir quais servidores dão suporte ao FTP e qual é o sistema operacional destes servidores. Para realizar essa tarefa, o administrador poderia utilizar o comando: (A) finger (B) grep (C) nmap (D) pwck (E) who
Exercícios Segurança 2 s. (PETRO-08) Os principais serviços oferecidos por uma Infra-estrutura de Chaves Públicas (ICP) são: (i) privacidade, que permite manter o sigilo das informações; (ii) integridade, que permite verificar se as informações foram adulteradas; e (iii) autenticidade, que permite identificar quem produziu a informação. Se os serviços de ICP estiverem sendo utilizados, para verificar se a informação recebida de um emissor está íntegra e é autêntica, o receptor deve desencriptar a assinatura digital da informação recebida com (A) a chave pública do emissor para recuperar o hash original calculado pelo emissor com a função hash e, em seguida, calcular o hash atual da informação recebida com a mesma função hash; se o hash original for igual ao hash atual, então, a informação recebida está íntegra e é autêntica. (B) a chave pública do emissor para recuperar o hash original calculado pelo emissor com a função hash e, em seguida, calcular o hash atual da informação recebida com a função hash inversa; se o hash original for igual ao hash atual, então, a informação recebida está íntegra e é autêntica.
Exercícios Segurança (C) sua chave pública para recuperar o hash original calculado pelo emissor com a função hash e, em seguida, calcular o hash atual da informação recebida com a mesma função hash; se o hash original for igual ao hash atual, então, a informação recebida está íntegra e é autêntica. (D) sua chave privada para recuperar o hash original calculado pelo emissor com a função hash e, em seguida, calcular o hash atual da informação recebida com a mesma função hash; se o hash original for igual ao hash atual, então, a informação recebida está íntegra e é autêntica. (E) sua chave privada para recuperar o hash original calculado pelo emissor com a função hash e, em seguida, calcular o hash atual da informação recebida com a função hash inversa; se o hash original for igual ao hash atual, então, a informação recebida está íntegra e é autêntica.
Exercícios Segurança 3 s. (PETRO-08) A técnica de Defesa em Profundidade utiliza camadas de segurança mantidas por vários componentes que se complementam para formar um quadro de segurança completo. Um dos principais componentes é o firewall com estado que, diferente do filtro de pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes SYN forjados por estações localizadas na rede externa. Que tipo de ataque é formado por pacotes SYN/ACK? (A) Distributed Reflexion Denial of Service (DRDo. S) (B) Distributed Denial of Service (DDo. S) (C) Smurf (D) Nuke (E) Teardrop
3 s - Comentários Conexão TCP EMISSOR SY RECEPTOR N N Y S K C -A AC K
3 s - Comentários • Denial of service (Do. S) - saturar o alvo com solicitações de conexão até que ele não possa mais responder aos solicitantes legítimos (várias formas de implementar). • DDo. S - ataque Do. S utilizando várias máquinas, normalmente zumbis, direcionadas para o mesmo alvo.
3 s - Comentários • Tear. Drop - ataque antigo baseado numa vulnerabilidade do mecanismo de fragmentação do TCP. • Nuke - outro ataque antigo baseado no ICMP (ping) • Smurf - também baseado no ICPM, com a peculiaridade de utilizar um endereço de broadcast forjado.
3 s - Comentários DRDo. S: Um servidor recebe um pacote SYN responde com um SYN / ACK - estas são as duas primeiras etapas para estabelecer uma conexão TCP. Um atacante pode enviar um pacote SYN com um endereço IP falsificado (spoofing) - neste caso, o IP da vítima. Agora o destinatário do SYN irá gerar um SYN / ACK e enviá-lo para a vítima. Desta forma o servidor é usado pelo atacante para refletir pacotes para o alvo que pretende atacar, em vez de enviar pacotes diretamente para este alvo.
Exercícios Segurança 4 s. (PETRO-08) Uma empresa está adquirindo um novo software para implantar uma VPN entre as suas filiais e a matriz. Sabe-se que cada uma das filiais está conectada à Internet através de um roteador NAT próprio, sem a utilização de um firewall, e que a matriz está conectada à Internet através de um firewall de filtragem de pacote. Com base nesta configuração e nas características dos componentes envolvidos, é correto afirmar que (A) a VPN irá impedir que as filiais realizem ataques de cavalo de tróia na matriz. (B) as VPNs não mantêm links permanentes entre os pontos de término da comunicação, otimizando a utilização da largura de banda.
Exercícios Segurança (C) o firewall de filtragem de pacote deverá ser substituído por um firewall de inspeção de pacote com informações de estado, uma vez que este tipo de equipamento não permite a utilização de VPNs. (D) os firewalls de filtragem de pacote analisam o conteúdo dos pacotes, tornando possível o bloqueio de usuários da sua rede que acessam sites da Web com conteúdo não autorizado. (E) os roteadores NAT deverão ser substituídos por firewalls de filtragem de pacote, uma vez que este tipo de equipamento não permite a utilização de VPNs.
Exercícios Segurança 5 s. (PETRO-08) Em geral, a infra-estrutura de chaves pública e privada (ICP) utiliza algoritmos para colocar uma assinatura em uma mensagem e para criptografar a mensagem. Um algoritmo utilizado para assinar e outro para criptografar uma mensagem, são: (A) MD 5 e 3 DES (B) RC 4 e SHA-1 (C) SHA-1 e MD 5 (D) RC 4 e 3 DES (E) 3 DES e RC 4
Exercícios Segurança 6 s. (PETRO-08) Um administrador de rede percebeu que um dos componentes de software do kernel do seu servidor Web está apresentando um comportamento estranho. Após realizar um checksum no componente ele percebeu que o teste falhou e que a solução para o problema seria reinstalar todo o sistema operacional, pois, outros componentes do kernel também apresentaram o mesmo problema. Com base neste teste, conclui-se que o servidor sofreu um ataque do tipo (A) spyware. (B) rootkit. (C) spoofing. (D) adware. (E) keylog.
6 s - Comentários • Rootkit - Um rootkit é um programa (ou da combinação de vários programas) projetado para assumir o controle do sistema operacional (daí o nome, root). Tipicamente, rootkits agem para ocultar sua presença no sistema operacional, como Trojans. As técnicas utilizadas para realizar esta tarefa pode incluir a ocultação de processos em execução ou esconder arquivos do SO. • Rootkits existem para uma variedade de sistemas operacionais, tais como Microsoft Windows, Linux, Mac OS e Solaris, podendo muitas vezes modificá-los instalando drivers e módulos.
Exercícios Segurança 7 s. (PETRO-06) Entre os aspectos importantes relativos à segurança de sistemas de informação, incluem-se: I - a existência de um plano de recuperação de desastres associado a uma estratégia de backups freqüentes; II - a utilização de firewalls para oferecer proteção contra ataques originados de dentro e de fora da rede que estão protegendo, associada a mecanismos de detecção de intrusão; III - a proteção de dados utilizando senhas e criptografia forte e algoritmos de chave simétrica que utilizam senhas diferentes para encriptação e desencriptação. Está(ão) correto(s) item(ns): (A) I, apenas. (B) II, apenas. (C) III, apenas. (D) I e II, apenas. (E) I, II e III.
Exercícios Segurança 8 s. (PETRO-06) Em uma das reuniões iniciais para a definição da Política de Segurança da Informação de uma empresa, os participantes estão discutindo afirmativas que foram feitas. I - A política deve, sempre que possível, indicar alguma forma de punição para aqueles que a desrespeitarem ou, do contrário, ela simplesmente será ignorada. Por exemplo, as punições previstas para o não-cumprimento da política devem respeitar as leis de contrato de trabalho da organização, como a CLT, que prevê desde simples advertências até o desligamento por justa causa. II - As pessoas, como ativos de informação, também possuem vulnerabilidades, entre as quais não conhecer as normas, não saber os limites, não saber o que é confidencial ou não, entre muitas outras. A política deve endereçar esse tipo de vulnerabilidade, diminuindo o risco de que ameaças consigam explorar as vulnerabilidades das pessoas.
Exercícios Segurança III - A política regula o comportamento sobre o uso da informação em diversos níveis e meios. Sempre que for aplicável, ela deve apontar o responsável pela informação e a forma correta de uso, podendo estabelecer, por exemplo, que o sistema de correio eletrônico deve ser utilizado exclusivamente para fins profissionais relacionados com a empresa em questão. IV - A classificação dos ativos de informação é uma etapa importante no processo de garantia de segurança da informação. Classificar envolve, por exemplo, inventariar, definir o grau de relevância e identificar esses ativos de informação. Esse processo, além de estruturar e permitir uma gestão mais eficiente dos ativos, contribui significativamente para a análise e tratamento de riscos de segurança da informação. Com base nos aspectos relacionados à Política de Segurança da Informação em uma empresa estão corretos apenas os conjuntos de afirmativas: (A) I e III. (B) II e III. (C) I, II e IV. (D) II, III e IV. (E) I, III e IV.
Exercícios Segurança 9 s. (BNDES-07) Um administrador de redes instalou um novo servidor Linux e disponibilizou para você um acesso SSH por usuário e senha. Sua estação de trabalho Windows XP (endereço IP 192. 168. 1. 10/26) e o servidor (endereço IP 192. 168. 1. 40/26) se conectam à rede por meio de um switch ethernet nível 2. Um usuário X (endereço IP 192. 168. 1. 34/26), não administrador e mal-intencionado, está conectado no mesmo switch que você. Considerando que você efetuará uma conexão SSH a esse servidor, observe as afirmativas abaixo. I − Como o tráfego SSH é criptografado, ataques do tipo man-in-the-middle jamais podem ser bem sucedidos. II − Seria necessário que a rede fosse interligada por um HUB para que, pelo menos, X pudesse observar o tráfego criptografado. III − É imprescindível que o fingerprint da chave pública SSH recebida do servidor seja checado, para garantia de autenticidade. IV − Uma vez que X consiga invadir o default gateway da sub-rede do servidor, sua senha será exposta. Está(ão) correta(s), apenas, a(s) afirmativa(s) (A) I. (B) III. (C) I e IV. (D) II e III. (E) II e IV.
9 s - Comentários • Funcionamento do switch ØAtaques (ARP poisoning e MAC flooding) ØSSH (Secure Shell) ØIdêntico ao HTTPS, porem não existe AC. ØFingerprint (é a chave pública) • Máscara de sub-rede
9 s - Comentários • No ARP poisoning, o atacante envia pacotes com respostas forjadas para requisições ARP. Os pacotes forjados fazem com que os outros micros passem a enviar seus pacotes para o micro do atacante, que é configurado para capturar as transmissões e retransmitir os pacotes originais para os destinatários corretos. A rede continua funcionando normalmente, mas agora o atacante tem chance de logar todo o tráfego. • Os ataques de MAC flooding, tem como alvo o switch da rede e trabalham dentro de um princípio bastante simples. O switch possui uma área limitada de memória para armazenar a tabela com os endereços MAC dos micros da rede (que permite que ele encaminhe as transmissões para as portas corretas), de forma que, ao receber um grande número de pacotes com endereços MAC forjados, a tabela é completamente preenchida com os endereços falsos, não deixando espaço para os verdadeiros. • Nessa situação, ou o switch simplesmente trava, derrubando a rede, ou abandona o uso da tabela de endereços e passa a trabalhar em modo failopen, da mesma forma que um hub burro, permitindo que o atacante capture todo o tráfego da rede (até que o switch seja reiniciado).
Máscara de sub-rede • Há dois tipos de endereços IP: de hosts e de redes. • Endereços IP são agrupados em redes por meio de máscaras. • As máscaras são números entre 0 e 32 (número de bits de um endereço IP).
Máscara de sub-rede • Compreender: – Com é feita a divisão? – Endereços de broadcast, de rede e disponíveis para hosts dentro da rede
Exercícios Segurança 10 s. (BNDES-07) Qual opção apresenta um conjunto de métodos que caracteriza uma autenticação forte? (A) Utilização de senha, dados pessoais aleatórios e PIN. (B) Reconhecimento de retina e impressão digital. (C) Uso de crachá magnético, chave física e crachá com código de barras. (D) Reconhecimento facial e de íris. (E) Reconhecimento de padrão de voz e utilização de senha.
10 s - Comentários • Autenticação forte? Os processos de autenticação podem basearse em algo que você conhece (ex. : nome/senha), algo que você possui (ex. : um cartão de banco para acessar o caixa eletrônico) ou algo que você é (ex. : reconhecimento de impressão digital). A autenticação forte está baseada na utilização de mais de um desses. Exemplo: acesso aos caixas eletrônicos, com uso do cartão magnético e o conhecimento da senha.
Exercícios Segurança 11 s. (BNDES-07) João possui um certificado digital ICP-Brasil do tipo A 1 que utiliza para autenticar-se em determinados sites governamentais, a partir de seu próprio computador de casa. Um usuário mal-intencionado M persuadiu João a clicar em um anexo de e-mail malicioso, e, imediatamente, foram instalados um keylogger e um backdoor em sua máquina. Diante do exposto, assinale a afirmativa correta. (A) M poderá roubar a senha de João e gerar outro par de chaves em sua própria máquina para se autenticar como João nos sites mencionados. (B) Embora a identidade de João possa ser forjada por M, a autenticidade dos sites governamentais é garantida no acesso SSL via browser por João, uma vez que a cadeia de certificação recebida é confiável. (C) M não poderá forjar, localmente, em seu computador, a identidade de João, já que no certificado consta um fingerprint com informações de hardware. (D) Como a chave privada encontra-se em um dispositivo externo ao computador e é protegida por acesso biométrico, M não conseguirá se fazer passar por João. (E) A chave privada de João, armazenada em sua própria estação de trabalho, está comprometida e é importante revogar o certificado digital associado.
11 s - Comentários • Certificados de pessoa física e jurídica (CPF e CNPJ) e de servidor (domínio) • Certificados A 1 e A 3: ØNo certificado tipo A 1 o par de chaves pública/privada é gerado em seu computador, no momento da solicitação de emissão do certificado. O certificado tipo A 3 oferece maior segurança, justamente porque o par de chaves é gerado em hardware, isto é num cartão inteligente que não permite a exportação ou qualquer outro tipo de reprodução ou cópia da chave privada.
Exercícios Segurança 12 s. (PETRO-08) O protocolo HTTP (Hypertext Transfer Protocol) é utilizado em conjunto com o Secure Socket Layer (SSL) para troca de mensagens entre o cliente e o servidor Web, quando se deseja garantir a segurança das informações trafegadas. No entanto, a maioria dos sistemas executa a fase de autenticação do servidor e não executa a fase de autenticação do cliente durante o processo de handshake do SSL. Isso acontece porque a fase de autenticação do cliente (A) requer que o mesmo tenha um certificado digital emitido pelo servidor Web contactado. (B) requer que o mesmo tenha um certificado digital emitido por uma autoridade certificadora confiável pelo servidor. (C) requer que o mesmo tenha uma assinatura digital emitida pelo servidor Web contactado. (D) requer que o mesmo tenha uma assinatura digital emitida por uma autoridade certificadora aceitável pelo servidor. (E) só pode ocorrer quando a fase de autenticação do servidor não ocorre.
Exercícios Segurança 13 s. (PETRO-08) Integridade, confidencialidade e disponibilidade das informações constituem alguns dos aspectos que orientam a análise, o planejamento e a implementação da segurança dentro das empresas. Dentro deste contexto, pode-se afirmar que (A) a disponibilidade das informações está intimamente relacionada à tolerância a falhas dos sistemas, sendo a investigação das razões das falhas uma das principais atividades do Gerenciamento da Capacidade do ITIL. (B) o COBIT não trata de aspectos relacionados à segurança de sistemas e de informações. (C) uma boa prática na elaboração do documento que define a Política de Segurança da empresa consiste na inclusão de todos os aspectos técnicos de implementação dos mecanismos de segurança. (D) segundo a ISO 27001: 2005, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a empresa. (E) se a integridade de uma informação armazenada em um servidor for afetada por um programa mal configurado, houve um comprometimento da segurança física.
Exercícios UNIX 1 u. (PETRO-08) Configurar o TCP/IP em um servidor UNIX exige a modificação do conteúdo de vários arquivos, de modo que as informações de configuração necessárias possam ser adicionadas. Para os arquivos de configuração, é INCORRETO afirmar que (A) /etc/networks contém uma lista de nomes de rede e seus endereços. (B) /etc/exports contém uma lista dos shells que devem ser exportados para os usuários. (C) /etc/services contém informações sobre todos os serviços de TCP e UDP suportados. (D) /etc/inetd. conf contém a lista de todos os processos que são iniciados pelo daemon de inetd durante a inicialização do sistema. (E) /etc/hosts. equiv contém uma lista dos hosts e usuários confiáveis.
Exercícios UNIX 2 u. (PETRO-08) O NFS é um protocolo que fornece aos usuários acesso transparente aos arquivos compartilhados em uma rede utilizando o protocolo TCP/IP. Para que o NFS funcione, alguns serviços devem estar em execução no servidor NFS. Dos serviços abaixo, qual é fornecido pelo daemon mountd? (A) Atender as requisições dos clientes NFS. (B) Executar as solicitações repassadas pelo nfsd. (C) Fornecer números de porta nas quais os clientes podem se vincular. (D) Monitorar o status dos servidores e clientes para recuperá-los de bloqueios NFS. (E) Gerenciar os sistemas bloqueados para evitar modificações de dados por vários clientes ao mesmo tempo.
Exercícios UNIX 3 u. (BNDES-07) Uma pequena empresa disponibiliza um site na Internet em uma infra-estrutura própria. O servidor de DNS apresenta problemas de sobrecarga devido a um grande número de consultas realizadas. Considerando-se que não há mudanças freqüentes de endereços IP e que as consultas, oriundas de usuários legítimos, são relacionadas ao servidor WEB, que alteração pode ser feita na configuração do servidor DNS para reduzir consideravelmente sua sobrecarga? (A) Forçar que respostas sejam enviadas sempre via UDP. (B) Aumentar o TTL para respostas positivas. (C) Colocar o IP do default gateway como uma entrada estática no ARP. (D) Eliminar o excesso de registros do tipo A. (E) Criar um registro CNAME e PTR para o servidor WEB.
Gabarito 1 s. C 2 s. A 3 s. A 4 s. B 5 s. A 6 s. B 7 s. A 8 s. E 9 s. B 10 s. E 11 s. E 12 s. B 13 s. D 1 u. C 2 u. B 3 u. B
- Slides: 32