Segurança de Informaçãoapostilando.yolasite.com/resources/handbook_questo...senhas. (e).facilita a gerência e a administração centralizada de identidades. Solução: Single sing-on

Questões comentadas

Segurança de Informaçãopara concursos

Handbook de Questões de TI Comentadas para Concursos Volume questões de TI

Prefácio

O uso cada vez mais amplo e disseminado de sistemas informatizados para a realização dasmais diversas atividades é um fato determinante da Sociedade da Informação. Contudo, esteuniverso de conteúdos e continentes digitais está sujeito a várias formas de ameaças, físicas ouvirtuais, que comprometem seriamente a segurança das pessoas e das informações a elas perten-centes.

A tecnologia da informação é capaz de apresentar parte da solução a este problema, não sendo,contudo, capaz de resolvê-lo integralmente, e até mesmo contribuindo, em alguns casos, paraagravá-lo.

Nos ambientes organizacionais, a prática voltada à preservação da segurança é orientada pelasassim chamadas políticas de segurança da informação, que devem abranger de forma adequadaas mais variadas áreas do contexto organizacional, perpassando os recursos computacionais e deinfra-estrutura e logística, além dos recursos humanos.

Por isso, diz-se que a segurança é a base que fornece às empresas a possibilidade e a liberdadenecessária para a criação de novas oportunidades de negócio. É justamente por este motivo quediversos concursos na área de Tecnologia de Informação têm cobrado este tema, como formade examinar o conhecimento e a capacidade dos candidatos em adotar as melhores práticas desegurança.

Este volume foi preparado pelo Grupo Handbook de TI justamente para suprir esta lacuna,fornecendo uma série que questões de segurança de informação comentadas em detalhes paravocê.

Bons estudos,

Grupo Handbook de TI

Página 1 de 118www.handbookdeti.com.br

www.handbookdeti.com.br


Direitos Autorais

Este material é registrado no Escritório de Direitos Autorais (EDA) da Fundação BibliotecaNacional. Todos os direitos autorais referentes a esta obra são reservados exclusivamente aosseus autores.

Os autores deste material não proíbem seu compartilhamento entre amigos e colegas próxi-mos de estudo. Contudo, a reprodução, parcial ou integral, e a disseminação deste material deforma indiscriminada através de qualquer meio, inclusive na Internet, extrapolam os limites dacolaboração. Essa prática desincentiva o lançamento de novos produtos e enfraquece a comuni-dade concurseira Handbook de TI.

A série Handbook de Questões de TI Comentadas para Concursos � Além do Gabarito é umaprodução independente e contamos com você para mantê-la sempre viva.

Grupo Handbook de TI




Canais de Comunicação

O Grupo Handbook de TI disponibiliza diversos canais de comunicação para os concurseirosde TI.

Loja Handbook de TI

Acesse a nossa loja virtual em http://www.handbookdeti.com.br

Serviço de Atendimento

Comunique-se diretamente conosco através do e-mail [email protected]

Twitter do Handbook de TI

Acompanhe de perto promoções e lançamentos de produtos pelo nosso Twitter http://twitter.com/handbookdeti


http://[email protected]://twitter.com/handbookdetihttp://twitter.com/handbookdetiwww.handbookdeti.com.br


1. Assuntos relacionados: Gerenciamento de Identidades, Single Sign-On, Segurança daInformação,Banca: CESGRANRIOInstituição: BNDESCargo: Analista de SuporteAno: 2008Questão: 33

No âmbito de segurança, é INCORRETO a�rmar que o single sign-on

(a). permite que um usuário se autentique uma única vez para acessar múltiplos siste-mas e aplicações.

(b). é aplicável em sistemas WEB, mesmo que não se utilize certi�cação digital.

(c). é implantado mais facilmente em ambientes de Infra-estrutura homogênea do queheterogênea.

(d). reduz a complexidade da Infra-estrutura e di�culta ataques de força-bruta emsenhas.

(e). facilita a gerência e a administração centralizada de identidades.

Solução:

Single sing-on é um método de controle de acesso que habilita ao usuário a realizar o logonuma única vez e ganhar acesso a múltiplos recursos da rede sem a necessidade de se auten-ticar novamente. As soluções de single sign-on podem ser implementadas de várias formas,por exemplo, por meio do uso de smarts cards, certi�cados digitais e Kerberos.

Entre as principais vantagens das soluções de single sign-on está a utilização de um mé-todo único de autenticação, o que acaba por facilitar a administração. Além disso, o singlesign-on pode aumentar a produtividade e reduzir o número de problemas com a adminis-tração de senhas. A desvantagem mais clara do single sign-on refere-se a segurança dasinformações. Caso um atacante A venha a descobrir a senha de B, automaticamente eleterá acesso a todos os sistemas de B. Além disso, as soluções de single sign-on geralmentefazem uso de um repositório central de autenticação, o que representa um ponto único defalha e de invasão. Caso um atacante domine o repositório central, ele pode comprometer aautenticação de todos os sistemas da rede.

Para contornar o problema de ponto único de falha, muitas organizações optam por im-plantar soluções de sincronismo de senhas, ao invés de soluções de single sign-on. Assim,os usuários precisam decorar apenas uma senha, mas continuam precisando digitá-las nosdiversos sistemas da rede.

A complexidade da infraestrutura de soluções de single sign-on depende do ambiente emque se deseja realizar a implantação. Quanto maior o número de sistemas envolvidos e maisdiversas forem as tecnologias, mais complexa será a implantação do single sign-on.

Além disso, em soluções de single sing-on e de sincronismo de senha, a complexidade dapolítica de senhas geralmente é de�nida pelas capacidades do sistema menos restritivo. Ouseja, se um dos sistemas alvo do single sign-on só aceitar senhas alfanuméricas, a política desenha geral deverá comportar essa limitação, o que pode diminuir a segurança da rede comoum todo.




2. Assuntos relacionados: Segurança da Informação, Algoritmos de Criptogra�a, FunçãoHash, HTTPS,Banca: CESGRANRIOInstituição: BNDESCargo: Analista de SuporteAno: 2008Questão: 48

Uma determinada empresa implantou um sistema WEB para relacionamento com seus cli-entes e fornecedores pela Internet. O diretor dessa empresa determinou que o nível desegurança desse sistema fosse alto, e as seguintes medidas foram tomadas:

• utilização do protocolo HTTPS em qualquer tipo de acesso;• antes de serem armazenadas no banco de dados, as senhas dos usuários passam por umalgoritmo forte de hash;

• autenticação do usuário é realizada por login, senha e 2 perguntas aleatórias de umabase de dados composta por dados pessoais do usuário, tais como data de nascimento,nome do pai, número de telefone celular, local de nascimento etc.

Baseado nessa situação, tem-se que:

(a). a autenticação implementada por esse sistema é caracterizada como forte, umavez que existem 4 fatores questionados ao usuário.

(b). um atacante pode obter as senhas originais dos usuários, uma vez que possua oshashes das senhas, o algoritmo e a chave simétrica utilizada no hashing.

(c). para maior segurança, esse sistema pode ser evoluído para permitir, adicional-mente, o uso de certi�cados digitais ICP-Brasil na autenticação de cliente viaHTTPS.

(d). embora a autenticidade e integridade das conexões HTTPS sejam garantidas, nãoexiste con�dencialidade nesse tipo de tráfego.

(e). RIJNDAEL e DSA são exemplos de algoritmos de hash que poderiam ser utilizadosna geração do hash das senhas.

Solução:

(A) ERRADA

Autenticação fornece os meios de veri�car a identidade de um sujeito para garantir queuma identidade é válida. Ela pode ser baseada em três fatores básicos:

1. o que você sabe (que é o caso das senhas, logins, PINS, frases de segurança, etc.);

2. o que você possui (que é o caso de crachás, smartcards, tokens, chaves, etc.);

3. o que você é (mapeamento da retina, voz, impressão digital, etc.).

Uma autenticação é considerada forte quando ela se baseia na combinação de pelo menosdois dos fatores mencionados acima. Dessa forma, podemos concluir que o processo deautenticação adotado na empresa em questão não é caracterizado como forte, pois ele éconstruído a partir de um único fator (�o que você sabe�).




(B) ERRADA

Uma função hash é uma forma de conversão que tem como entrada texto, possivelmentede tamanho variável, e como saída uma mensagem cifrada de comprimento �xo. A saída detamanho �xo é um conjunto de bits que serve como uma única �impressão digital� para amensagem original.

Diz-se que as funções hash são de �sentido único�. Isso quer dizer que é fácil de calcu-lar o hash da mensagem, mas é muito difícil reverter a hash para a mensagem original(no caso desta questão, para a senha original). As características de uma função hash sãolistadas aqui:

• é praticamente impossível duas mensagens diferentes originarem a mesma mensagemcrifada. A alteração de um único caracter em uma mensagem irá produzir uma men-sagem crifada completamente diferente (em uma função de hash dita forte, a mudançade um bit na mensagem original resulta em um novo hash totalmente diferente);

• é praticamente impossível produzir uma mensagem cujo o hash seja desejado ou pre-de�nido;

• é praticamente impossível recuperar a mensagem o original (no nosso caso, a senha)a partir da mensagem cifrada. Isso porque uma mensagem cifrada poderia ter sidoproduzida por um número quase in�nito de mensagens;

• o algoritmo hash não precisa ser mantido em segredo. Ele é disponibilizado ao público.Sua segurança vem da sua capacidade para produzir hashes.

(C) CORRETA

ICP é a sigla no Brasil para PKI - Public Key Infrastructure. Trata-se de um conjuntode técnicas, práticas e procedimentos elaborados para suportar um sistema criptográ�cocom base em certi�cados digitais, por meio do qual consegue-se assegurar a identidade deum usuário de mídia eletrônica ou assegurar a autenticidade de um documento suportadoou conservado em mídia eletrônica.

(D) ERRADA

HTTPS (Hypertext Transfer Protocol Secure) é a utilização do protocolo HTTP em con-junto com o protocolo SSL (Secure Socket Layer), o qual foi desenvolvido e especi�cadopara prover uma camada de segurança entre a camada de transporte (TCP) e os protocolosde aplicação de mais alto nível, tais como: HTTP, TELNET, FTP, NNTP, SMTP, etc. OSSL provê criptogra�a de dados (con�dencialidade), autenticação de servidor, integridade demensagem e, opcionalmente, autenticação de cliente para uma conexão TCP/IP, evitando,dessa forma, que a informação transmitida entre o cliente e o servidor, tanto na Internetquanto em intranets, seja visualizada por terceiros, como por exemplo no caso de comprasonline.

(E) ERRADA

O RIJNDAEL é um algoritmo de chave simétrica que cifra blocos de tamanhos variáveis,com chaves de tamanhos também variáveis. A natureza do algoritmo permite que os ta-manhos das chaves e dos blocos sejam múltiplos de 32 bits. A estrutura do algoritmo sebaseia em sucessivas rodadas, chamadas também de rounds, nas quais funções especí�cas




são aplicadas sobre o bloco de bits de entrada. O número de rodadas depende tanto donúmero de bits de entrada quanto do tamanho da chave utilizada.

O DSA (Digital Signature Algorithm) é um algoritmo de chave assimétrica, sobre o qual sebaseia o padrão DSS (Digital Signature Standard), de�nido pelo governo norte-americano.Padrões de assinatura digital exigem a utilização de criptogra�a assimétrica para garantira identidade e o não-repúdio por parte do assinante, que por de�nição deve ser o únicoportador da chave privada utilizada no processo de assinatura.




3. Assuntos relacionados: Segurança da Informação, Autenticação Forte,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - SuporteAno: 2008Questão: 52

Qual opção apresenta um conjunto de métodos que caracteriza uma autenticação forte?

(a). Utilização de senha, dados pessoais aleatórios e PIN.

(b). Reconhecimento de retina e impressão digital.

(c). Uso de crachá magnético, chave física e crachá com código de barras.

(d). Reconhecimento facial e de íris.

(e). Reconhecimento de padrão de voz e utilização de senha.

Solução:

O conceito mais amplamente aceito de autenticação forte está relacionado ao conceito deautenticação de múltiplos fatores (Multiple Factor Authentication).

Este tipo de autenticação exige o uso de, ao menos, dois fatores de autenticação de ca-tegorias diferentes para a veri�cação da identidade do usuário. Os fatores usados paraautenticação se dividem em três categorias, a saber:

• algo que o usuário saiba: nesta categoria estão incluídas todas as formas de autenticaçãoaonde sejam solicitadas informações que o usuário deve memorizar, tais como senhas,números PIN, dados pessoais, etc.;

• algo que o usuário possua: nesta categoria estão incluídas todas as formas de autenti-cação aonde o usuário seja solicitado a dar provas da posse de algum objeto, tais comoapresentar um smart card, informar dados gerados por um token, etc.;

• algo que o usuário seja: nesta categoria estão incluídas todas as formas de autenticaçãoonde o usuário seja solicitado a apresentar características físicas que o distingue dosdemais, tais como leitura de digitais, leitura de íris, etc.

Posto isto, podemos perceber que, apesar de todas as alternativas apresentadas na questãosolicitarem múltiplas informações ao usuário, apenas na alternativa (E) é solicitada infor-mações de duas categorias diferentes � o padrão que voz, que pertence a terceira categoria, ea senha, que pertence a primeira categoria � cumprindo as exigências para ser caracterizadacomo uma forma de autenticação forte.




4. Assuntos relacionados: Redes de Computadores, Gerenciamento de Redes, Gerencia-mento de Falhas, Gerenciamento de Con�gurações, Gerenciamento de Contas, Gerencia-mento de Performance, Gerenciamento de Segurança,Banca: ESAFInstituição: Agência Nacional de Águas (ANA)Cargo: Analista Administrativo - Tecnologia da Informação e Comunicação / Administra-ção de Redes e Segurança de InformaçõesAno: 2009Questão: 16

É função do gerenciamento de falhas:

(a). medir e analisar o desempenho dos componentes da rede.

(b). veri�car, a longo prazo, as demandas variáveis de tráfego e falhas ocasionais narede.

(c). tratamento de falhas transitórias da rede.

(d). controlar o acesso aos recursos da rede.

(e). contabilizar a utilização de recursos da rede.

Solução:

Como qualquer coisa de grande porte, é necessário que haja um gerenciamento, isso seestende para as redes. A grande complexidade das redes atuais faz com que a tarefa degerenciamento de todos os dispositivos não se resuma em veri�car se a rede esta ativa efuncionando, mas, além disso, prover o melhor desempenho possível.

O gerenciamento de rede possui cinco áreas comuns conhecidas como FCAPS, desenvol-vidas para o modelo de gerência OSI:

• F � Fault Management (Gerência de falhas): é o ponto chave do gerenciamento,possui o objetivo de detectar, localizar e corrigir os problemas de hardware e softwareem uma rede. O objetivo é a antecipação de falhas, utilizando rotinas de diagnósticoperiodicamente e a análise de Logs de equipamentos;

• C � Con�guration Mangement (Gerência de con�guração): é considerada aparte administrativa do gerenciamento de redes, dessa forma, ela é responsável porarmazenar e analisar os registros de inventário de hardware e software, histórico demodi�cação dos dispositivos, permitir a inicialização dos sistemas que compõem a rede,p.e. o sistema operacional e a con�guração de um roteador, além de manter registrosde topologia física, lógica e histórico de status dos dispositivos que compõe a rede;

• A � Accouting Management (Gerência de contas): possui a �nalidade de regis-trar a utilização da rede para contabilizar a utilização dos recursos da mesma. Normal-mente é usado por provedores de acessos (ISPs) (por motivos de tarifação de serviços)e redes corporativas;

• P � Performance Management (Gerência de performance): possui o objetivode estabelecer métricas para se analisar o desempenho da rede. Tais métricas são usadaspara medir informações como tempo de resposta, e vazão (throughput). É importantenotar que uma rede possui um bom desempenho quando ela supre as necessidades dasaplicações que a utilizam, sendo assim, uma rede de altíssima vazão pode ser ine�cientepara aplicações de baixo tempo de resposta e vice e versa;




• S � Security Management (Gerência de segurança): regula e administra o acessoaos recursos de rede e as determinadas informações. É fundamental para redes cor-porativas, pois com ela é possível de�nir níveis de privilégio de acesso a dados, dessaforma, protegendo dados con�denciais.

Dessa forma, a resposta mais adequada é a alternativa c.




5. Assuntos relacionados: Redes de Computadores, SNMP, Management Information Base(MIB),Banca: ESAFInstituição: Agência Nacional de Águas (ANA)Cargo: Analista Administrativo - Tecnologia da Informação e Comunicação / Administra-ção de Redes e Segurança de InformaçõesAno: 2009Questão: 17

Analise as seguintes a�rmações relativas aos recursos de segurança providos pelo protocoloSNMPv3:

I. O controle de acesso às informações de gerenciamento de redes é baseado em visões.

II. É usado o algoritmo DES no modo de endereçamento de blocos de cifras.

III. Há proteção contra ataques de reprodução, com base em um contador no receptor.

Indique a opção correta.

(a). Apenas as a�rmações I e II são verdadeiras.

(b). Apenas as a�rmações I e III são verdadeiras.

(c). Apenas as a�rmações II e III são verdadeiras.

(d). As a�rmações I, II e III são verdadeiras.

(e). Nenhuma das a�rmações é verdadeira.

Solução:

O gerenciamento (ou a administração) de uma rede de computadores é uma tarefa exigenteque pode ser tornar extremamente difícil à medida que as �dimensões� do sistema a ser mo-nitorado aumentam. A heterogeneidade das (inter)-redes existentes é um complicador paraa tarefa, já que, não raramente, utilizam-se componentes de hardware e de software fabrica-dos por múltiplos fornecedores. Além disso, a característica dos protocolos de comunicaçãoem rede de automaticamente detectar falhas e retransmitir pacotes (o que a princípio seapresenta como uma vantagem) con�gura-se como um empecilho para a atividade de geren-ciamento, pois pode encobrir problemas de rede geradores de retransmissão.

No escopo da família de protocolos TCP/IP, a gerência de redes é realizada no nível deaplicação. O Simple Network Management Protocol, versão 3 (SNMPv3), é o protocolopadrão para administrar uma (inter)-rede [RFC 2570]. Utilizando o termo �gerente� paraa entidade (aplicação de software) que gerencia os componentes da inter-rede e o termo�agente� para os componentes gerenciados, o SNMP faz uso de apenas dois comandos bá-sicos para realizar suas tarefas: carregar (fetch) e armazenar (store). A operação carregarpropicia a obtenção de informações referentes aos agentes, ao passo que a operação armaze-nar permite con�gurar valores nesses agentes.

As informações de gerenciamento são representadas por um conjunto de objetos que formamum banco virtual de informações conhecido como MIB (Management Information Base). Es-ses objetos variam de acordo com o elemento gerenciado, podendo representar desde a versãode um software de controle de um roteador até a quantidade de pacotes recebidos por umaplaca de rede. A de�nição dos tipos de dados, do modelo de objeto e das regras para acessaras informações armazenadas são feitas por uma linguagem de de�nição de dados chamada




SMI (Structure of Management Information). A versão 3 do SNMP aprimorou o protocoloao adicionar capacidades de segurança na administração das MIBs, fornecendo criptogra�a,autenticação, proteção contra ataques de reprodução e controle de acesso.

A comunicação do �gerente� com as MIBs pode ser criptografada utilizando o algoritmoDES no modo encadeamento de bloco. A autenticação é efetuada por meio de uma funçãode hash, conhecida como HMAC (Hashed Message Authentication Codes), que utiliza umachave secreta compartilhada entre o �gerente� e o �agente�. Há proteção contra ataques dereprodução, na medida em que o �agente� exige que o �gerente� inclua em cada mensagemum valor baseado em um contador da MIB que re�ete um período de tempo. Tal valorserve de parâmetro para veri�car a validade da mensagem. O controle de acesso é baseadoem visões, controlando quais das informações podem ou não ser consultadas/alteradas pordeterminados usuários �gerentes�.

Pela teoria exposta, pode-se observar que as a�rmativas I e III estão corretas. Entretanto,a alternativa II busca induzir o candidato ao erro substituindo �encadeamento de blocos decifras� por �endereçamento de blocos de cifras�. Desta forma, a resposta para a questão é aopção b).




6. Assuntos relacionados: Segurança da Informação, DDoS, TCP SYN Flood,Banca: CESGRANRIOInstituição: BNDESCargo: Analista de SuporteAno: 2008Questão: 59

Uma empresa possui um link com a Internet de 10 Mbps (full-duplex), por meio de umdeterminado provedor. O site dessa empresa está hospedado em um servidor WEB naseguinte topologia:

Um ataque distribuído de negação de serviço (DDoS) externo está sendo disparado para essaempresa, tendo como alvo o servidor WEB. O link Internet apresenta, do ponto de vista daempresa, utilização máxima no tráfego de entrada e baixa utilização no tráfego de saída.Além disso, o servidor HTTP está sobrecarregado processando, em sua maioria, solicitaçõesde conexão (SYN) oriundas de endereços pertencentes a uma determinada sub-rede compre�xo /26.

De acordo com a situação exposta, é correto a�rmar que o(a)

(a). desempenho no acesso de usuários externos ao site não está comprometido, já queo tráfego de saída está livre.

(b). bloqueio de inundação UDP (UDP Flood) pode ser ativado no �rewall para impedira sobrecarga de conexões do servidor WEB.

(c). roteador de borda deve ser con�gurado para bloquear todos os endereços quesolicitam mais de uma conexão (SYN) por vez.

(d). redução do impacto desse ataque pode ser obtida junto ao provedor, com a con�-guração de bloqueios especí�cos de tráfego.

(e). instalação de um IDS entre o roteador e o �rewall para prevenção de ataques debu�er over�ow impediria o DDoS.

Solução:

A alternativa A está incorreta, pois embora o link de saída não esteja sobrecarregado, oservidor está sobrecarregado devido ao grande número de solicitações de conexão que estátendo que responder. Desse modo, o tempo de processamento das requisições oriundas deconexões legítimas será comprometido.

Já a grande quantidade de solicitações de conexão indica que o ataque é um SYN Floode, portanto, explora uma vulnerabilidade da implementação do protocolo TCP no servidoratacado. Logo, a alternativa B, que fala de UDP Flood, pode ser eliminada.




A alternativa C não é aplicável, pois a abertura de várias conexões simultâneas entre doiscomputadores é legítima e muito comum, principalmente em aplicações Web. Tipicamente,os browsers abrem várias conexões TCP, em paralelo, com o servidor HTTP para que apágina e seus respectivos objetos (�guras, vídeos, etc.) possam ser �baixados� mais rapida-mente.

Como o ataque se trata de um TCP SYN Flood, e não de um bu�er over�ow, pode-seeliminar também a alternativa E, embora a instalação de um IDS (Intrusion Detection Sys-tem) poderia ajudar na identi�cação mais rápida da anomalia no tráfego da rede.

Eliminadas as alternativas A, B, C e E, chegamos à alternativa D como resposta. Como olink de entrada da Internet está sobrecarregado e o link de saída apresenta baixa utilização,pode-se concluir que o ataque está partindo da Internet para dentro da rede. No entanto,ao analisar o tráfego percebeu-se que a faixa de endereçamento dos pacotes que compõe otráfego malicioso é da subrede interna de pre�xo /26.

A partir desses dados, pode-se concluir também que o atacante utilizou alguma técnicade spoo�ng com o objetivo de confundir ainda mais os administradores da rede e, possivel-mente, comprometer outras máquinas da subrede /26.

A�nal, se uma máquina está dentro da rede, é impossível que os pacotes por ela envia-dos cheguem de fora da rede. Tal situação conota um ataque de spoo�ng e, por isso, osprovedores utilizam uma convenção básica de bloqueio nas bordas das redes, de modo queos pacotes entrantes não tenham endereços de origem da própria rede interna.




7. Assuntos relacionados: Segurança da Informação, Técnicas de Ataque e Espionagem,Banca: FCCInstituição: TCE/CECargo: Analista de Controle Externo - Auditoria de Tecnologia da InformaçãoAno: 2008Questão: 84

Spoo�ng e Sni�ng são, respectivamente,

(a). uma característica de algoritmo de chave pública e uma forma de espionagem.

(b). um método biométrico e um método de criptogra�a assimétrica.

(c). um tipo de ataque de falsi�cação de IP e uma forma de espionagem.

(d). um método biométrico e um tipo de ataque de falsi�cação de IP.

(e). uma característica de algoritmo de chave privada e um método biométrico.

Solução:

Spoo�ng

O spoo�ng é um tipo de ataque em que um programa ou uma pessoa forja a identidadede outro com o objetivo de ganhar acesso a dados ou sistemas, ou ainda comprometer ousuário ou sistema que teve sua identidade forjada.

O IP spoo�ng é a variante mais conhecida dos ataques desse tipo, e consiste em forjaro endereço de origem de um pacote IP. No protocolo IP, o reencaminhamento de pacotes éfeito com base numa premissa muito simples: o pacote deverá ir para o destinatário e nãohá veri�cação do remetente. Assim, é relativamente simples forjar o endereço de origematravés de uma manipulação simples do cabeçalho do pacote IP.

A técnica de IP spoo�ng pode ser utilizada, por exemplo, para realizar um ataque dis-tribuído de negação de serviço (DDoS). Exemplo: A partir de um computador A, o atacantepode enviar pacotes fazendo-se passar pelo computador B para uma grande quantidade decomputadores da rede. Todos os computadores que receberem os pacotes forjados, responde-ram a B, e não ao computador A, verdadeiro remetente dos pacotes. Caso o computador Bseja um servidor web, por exemplo, os serviços por ele oferecidos poderão �car indisponíveisou apresentar lentidão, visto que B estará sobrecarregado respondendo a requisições falsas.

Sni�ng

Em inglês, sni� signi�ca farejar. No âmbito da segurança da informação, o sni�ng é ummétodo de espionagem baseado na interceptação de pacotes de dados transmitidos entre doiscomputadores através de uma rede. Comumente, o sni�ng é executado através de um ana-lisador de pacotes (packett sni�ng), que pode ser implementado via hardware ou software.Para executar sua missão, o analisador de pacotes deve ser posicionado na rede de modoque o tráfego que se deseja analisar possa ser interceptado.

Um atacante que tenha acesso a um segmento de rede por onde trafeguem informaçõessensíveis, pode utilizar um analisador de pacotes para �sni�ar� a rede e obter tais informa-ções. A proteção mais comum contra essa técnica de espionagem é a criptogra�a. Dessaforma, mesmo que as informações sejam interceptadas, o atacante não poderá (ou ao menos




terá mais di�culdade) em tirar proveito das mesmas.

É importante mencionar que os analisadores de pacotes são ferramentas que podem serusadas de forma legítima pelos administradores de redes, com o simples objetivo de identi-�car e resolver problemas na rede.




8. Assuntos relacionados: Segurança da Informação, Tipos de Ataque, Ataques DoS,Banca: FCCInstituição: TRT 15a RegiãoCargo: Analista Judiciário - Tecnologia da InformaçãoAno: 2009Questão: 29

O impedimento do acesso autorizado aos recursos ou o retardamento de operações críticaspor um certo período de tempo é um tipo de ataque denominado

(a). engenharia social.

(b). trojan horse.

(c). denial of service.

(d). backdoor.

(e). rootkit.

Solução:

A resposta da questão é a alternativa C, denial of service (negação de serviço), tambémcomo conhecido como ataque DoS.

Diferentemente da maioria dos ataques, um ataque de negação de serviço não visa inva-dir um computador para extrair informações con�denciais, como números de cartões decrédito e senhas bancárias, e nem para modi�car os dados armazenado neste computador.Tais ataques têm como objetivo tornar inacessíveis os serviços providos pela vítima a usuá-rios legítimos. Nenhum dado é roubado ou alterado, bem como não ocorre nenhum acessonão autorizado ao computador da vítima.

A vítima simplesmente para de oferecer o seu serviço aos clientes legítimos, enquanto tentalidar com a sobrecarga gerada pelo ataque. O resultado de um ataque de negação de serviçopode ser o congelamento ou a reinicialização do programa da vítima que presta o serviço,ou ainda o esgotamento completo de recursos necessários para prover o seu serviço.

Agora, vamos aproveitar também para falar um pouco das demais alternativas trazidasna questão.

• Engenharia Social

Engenharia Social é um termo utilizado para quali�car os tipos de intrusão não técnica,que coloca ênfase na interação humana e, freqüentemente, envolve a habilidade de en-ganar pessoas objetivando violar procedimentos de segurança. Um aspecto relevante éque a engenharia social vale-se do fato dos indivíduos, em grande parte das vezes, nãoestarem conscientes do valor da informação que eles possuem e, portanto, não terempreocupação em protegê-las. Além disso, a engenharia social prega que o elemento maisvulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentaise psicológicos que o torna susceptível a ataques. Exemplos de traços comportamentaisexplorados pela engenharia social são a vontade de ser útil e busca por novas amizades.




• Trojan Horse

Os trojan horses (cavalos de tróia) são programas que, além de executar funções paraas quais foram aparentemente projetados, executam também funções maliciosas semo conhecimento do usuário. Exemplos dessas funções são a alteração e destruição dearquivos, o furto de senhas e de números de cartões de crédito, a inclusão de backdo-ors etc. Sobre os cavalos de tróia ainda é importante ressaltar que os mesmos não sereplicam e não infectam outros arquivos, os que os difere dos vírus e dos worms.

• Backdoor

Para explicar o conceito de backdoor, vamos recorrer a de�nição apresentada na cartilhade segurança da informação do CERT.BR (Centro de Estudos, Resposta e Tratamentode Incidentes de Segurança no Brasil).

Normalmente, um atacante procura garantir uma forma de retornar a um computadorcomprometido, sem precisar recorrer aos métodos utilizados na realização da invasão.Na maioria dos casos, também é intenção do atacante poder retornar ao computadorcomprometido sem ser notado. A esses programas que permitem o retorno de um in-vasor a um computador comprometido, utilizando serviços criados ou modi�cados paraeste �m, dá-se o nome de backdoor.

E no trecho a seguir, a cartilha de segurança do CERT enumera algumas formas usuaisde inclusão de backdoors em sistemas computacionais.

A forma usual de inclusão de um backdoor consiste na disponibilização de um novo ser-viço ou substituição de um determinado serviço por uma versão alterada, normalmentepossuindo recursos que permitam acesso remoto. Pode ser incluído por um invasor ouatravés de um cavalo de tróia ... Uma outra forma é a instalação de pacotes de software,tais como o BackOri�ce e NetBus, da plataforma Windows, utilizados para administra-ção remota. Se mal con�gurados ou utilizados sem o consentimento do usuário, podemser classi�cados como backdoors.

• Rootkit

Um rootkit é um software ou um conjunto de softwares que têm por objetivo esconderou obscurecer o fato de que um sistema tenha sido comprometido por um atacante.Ao contrário do que seu nome parece indicar, um rootkit não garante ao atacante pri-vilégios de root (privilégios administrativos) no sistema. Um atacante pode usar umrootkit, por exemplo, para substituir arquivos importantes do sistema, os quais podemser utilizados para esconder processos ou arquivos que tenham sido instalados pelo ata-cante.

A título de curiosidade, o termo rootkit refere-se originalmente a um conjunto maliciosode ferramentas administrativas de sistemas operacionais da família Unix. No entanto,é importante ressaltar que também existem rootkits para sistemas Windows, Mac OSe outros.




9. Assuntos relacionados: Segurança da Informação, IP Spamming, MAC Flooding, Smurf,Scamming,Banca: CesgranrioInstituição: IBGECargo: Analista de Sistemas - SuporteAno: 2010Questão: 55

Os hackers possuem diversas formas de ataques contra as redes de computadores. Sobre osataques gerados por hackers, é correto a�rmar que

(a). IP Spamming é uma técnica de disseminação de vírus na rede mundial de compu-tadores por meio de tecnologia de voz sobre IP.

(b). MAC Flooding é uma técnica empregada para comprometer a segurança da redede switches, e, como resultado deste ataque, o switch �ca em um estado chamadomode de falha aberta.

(c). Ataque Smurf é uma técnica destinada a quebrar senhas e códigos criptografadosque estejam armazenados no computador da vítima.

(d). Ataque Sni�er é uma técnica de negação de serviços no qual o hacker envia umarápida sequência de solicitações ping para um endereço de broadcast.

(e). Scamming é uma técnica na qual o hacker �ca monitorando o tráfego da porta 80do seu alvo, antes de realizar o ataque.

Solução:

(A) ERRADA

Spamming é o ato de enviar abusivamente mensagens eletrônicas não solicitadas (spam)para diversos destinatários simultaneamente. Em geral, essas mensagens têm conteúdo co-mercial e sua forma mais comumente conhecida é o spam de e-mail. A alternativa (A) buscaconfundir o candidato ao mesclar os termos IP e Spamming para �criar� um novo termo quedesignaria um técnica de disseminação de vírus. Incorreta, portanto.

(B) CORRETA

Os switches Ethernet mantêm uma tabela de endereços MAC das máquinas conectadasem suas portas para enviar pacotes de forma individual aos seus destinatários, melhorandoo desempenho das transmissões de dados em uma rede, comparativamente a um Hub quereplica os pacotes recebidos para todas as suas portas indiscriminadamente. Assim os dadosserão entregues apenas ao computador de destino. Em um ataque do tipo MAC Flooding,o switch é inundado por pacotes que contêm diferentes destinos de endereço MAC com a in-tenção de consumir sua limitada memória reservada armazenar a tabela de endereços físicos.Com isso, o equipamento deixa o seu estado normal de funcionamento e passa a trabalharem um estado chamado modo de falha aberta (failopen mode). Isto é, ele passa a atuarcomo um Hub, replicando cada pacote recebido para todas as demais portas. Um usuáriomalicioso, utilizando um sni�er, pode capturar os pacotes destinados a outras máquinas. Aalternativa (B) está correta.




(C) ERRADA

O ataque Smurf (ataque por re�exão) consiste no envio de sequências ping para um en-dereço de difusão (broadcast), sendo que o endereço de origem é substituído (spoo�ng) peloendereço da vítima. Desta forma, as repostas às sequências ping serão encaminhadas paraa máquina possuidora do endereço maliciosamente fornecido. O fato de se utilizar um en-dereço de difusão potencializa o ataque, pois todas as máquinas participantes da sub-rederesponderão às solicitações para a máquina da vítima. Não há qualquer relação desta técnicacom as diversas técnicas de quebra de senhas. Desta forma, a alternativa (C) está incorreta.

(D) ERRADA

O ataque DoS (Denial of Service � Negação de Serviço) consiste no envio de várias e rá-pidas sequências de ping para um mesmo servidor (e não em broadcast) com o intuito deconsumir-lhe os recursos. Por outro lado, sni�er é um programa que permite, através douso do modo promíscuo de uma placa de rede, a captura de pacotes de dados destinados aoutras máquinas. Assim, a alternativa (D) está incorreta.

(E) ERRADA

Scamming, ou Phishing Scam, é uma forma de fraude eletrônica caracterizada pela ten-tativa de obtenção de informações sigilosas através de mensagens eletrônicas enviadas àvítima em nome de pessoa e/ou empresa con�ável, não mantendo qualquer relação commonitoração de portas em computadores. A alternativa (E) está incorreta.




10. Assuntos relacionados: Segurança da Informação, Firewall, Protocolo TCP, Three-WayHandshake, DRDoS, DDoS,Banca: CesgranrioInstituição: PetrobrasCargo: Analista de Sistemas - InfraestruturaAno: 2008Questão: 41

A técnica de Defesa em Profundidade utiliza camadas de segurança mantidas por várioscomponentes que se complementam para formar um quadro de segurança completo. Um dosprincipais componentes é o �rewall com estado que, diferente do �ltro de pacote estático,é capaz de bloquear pacotes SYN/ACK gerados por pacotes SYN forjados por estaçõeslocalizadas na rede externa. Que tipo de ataque é formado por pacotes SYN/ACK?

(a). Distributed Re�exion Denial of Service (DRDoS)

(b). Distributed Denial of Service (DDoS)

(c). Smurf

(d). Nuke

(e). Teardrop

Solução:

Muito embora os conceitos sobre �rewall não sejam estritamente necessários para se resolveresta questão de forma segura, por esse ser um assunto importante, vale a pena uma expli-cação, mesmo que sucinta.

Firewall pode ser conceituado, de forma breve e direta, como sendo um sistema ou com-binação de sistemas de hardware e/ou software que protege a fronteira entre duas ou maisredes. Um �rewall pode ser stateful (com estado) ou stateless (sem estado - �ltro de paco-tes). Atualmente, o tipo stateless é mais comuns, apesar do tipo stateful ser mais so�sticado.

Um �rewall do tipo stateless analisa cada pacote que passa por ele e para decidir o quefazer com cada pacote, ele não utiliza informações sobre eventuais conexões já estabeleci-das. Ou seja, cada pacote é analisado individualmente. Em �rewalls de camada três, porexemplo, para se decidir o que fazer com pacotes, geralmente leva-se em consideração osendereços de origem e destino e/ou o tipo de transporte utilizado (UDP, TCP, etc.).

Já em um �rewall do tipo stateful, é possível construir regras para que o estado de conexãoseja levado em consideração. Dessa forma, os pacotes deixam de ser analisados de formaindividualizada. Em um �rewall de camada quatro, pode-se construir regras de forma quesegmentos TCP com �ags SYN/ACK setadas somente passem pelo �rewall caso a conexãoTCP, na porta desejada, já esteja estabelecida. Perceba que essas regras seriam su�cientespara se eliminar ataques do tipo descrito no enunciado.

Agora vamos entender melhor o que é realmente necessário para se resolver esta questão.

Quando o enunciado menciona �pacotes SYN/ACK� (na verdade deveria ser �segmentosSYN/ACK�) temos que entender que é o protocolo TCP que está sendo utilizado. Ele é oprotocolo de transporte orientado a conexão de uso mais comum na Internet. Aberturasde conexão são feitas com o mecanismo Three-Way Handshake (aperto de mão triplo) que




utiliza as �ags SYN e ACK do cabeçalho do próprio protocolo. Um Three-Way Handshakeé necessário porque os números de sequência da origem e do destino não são vinculados aum relógio global na rede e as implementações do protocolo TCP em cada ponta podemter mecanismos diferentes para captar o ISN (Initial Sequence Number). Dessa forma, oreceptor do primeiro SYN não tem meios para saber se este é um segmento antigo atrasado,a menos que tenha registrado o último número de sequência usado na conexão. Contudo,nem sempre é possível lembrar esse número.

Um Three-Way Handshake se desenrola da seguinte forma:

• um host (A) inicia uma solicitação de abertura de conexão enviando um segmento SYNpara outro host (B), indicando que o seu ISN é X: A �> B SYN, seq de A = X;

• B recebe o segmento, grava que a ISN de A é X, responde com um ACK de (X + 1), eindica que seu ISN = Y. O ACK de (X + 1) signi�ca que B já recebeu todos os bytesaté o byte X e que o próximo byte que ele espera é o (X + 1): B �> A SYN, ACK =(X + 1), seq de B = Y;

• por �m, A recebe o segmento de B, �ca sabendo que a sequência de B é Y, e respondecom um ACK de (Y + 1): A �> B ACK = (Y + 1).

O enunciado fala sobre SYN forjado, mas o que é isso? Uma boa explicação pode ser feitapor meio de um cenário �ctício. Imagine dois equipamentos E1 (externo à rede) e I1 (internoà rede). Quando E1 realiza spoo�ng, ou seja, envia pacotes com endereço de origem dife-rente do seu próprio endereço, e envia segmentos SYN na rede, ele está enviando segmentosSYN forjados. O que acontecerá depois desse tipo de envio? Imagine que E1 envie diversossegmentos SYN como se fosse I1 (a vítima). Quem receber essas solicitações de abertura deconexão TCP responderá ao I1 com um segmento SYN/ACK. Como não foi o I1 que iniciouo processo de abertura de conexão, ele poderá �se atrapalhar� com os diversos segmentosinoportunos que estão chegando para ele.

Vamos agora comentar sobre cada conceito (ou tecnologia) que aparece nas alternativas.

• Nuke: tipo de ataque em que um atacante envia a uma vítima diversos pacotes ICMPcorrompidos. A vítima vulnerável a esse tipo de ataque não consegue lidar com essetipo de pacote corrompido e trava, causando indisponibilidade dos serviço oferecidos;

• Teardrop: tipo de ataque em que um atacante envia a uma vítima diversos pacotesIP adulterados: grandes payload e números de sequência inapropriados. Dessa forma,realizar reassembly desse pacotes é impossível. A vítima vulnerável a esse tipo deataque não consegue lidar com o problema e trava, causando indisponibilidade dosserviço oferecidos;

• Distributed Denial of Service (DDoS): tipo de ataque caracterizado pelo fato dediversos sistemas atuarem de forma coordenada como atacante;

• Distributed Re�exion Denial of Service (DRDoS): é um tipo especializado deDDoS, onde se utiliza também spoo�ng. O que determina a especialização é o fatodo ataque não ser feito de forma direta à vítima. Ao invés disso, o atacante (ou osatacantes) �força� outro sistema (ou sistemas) a executar o ataque à vítima. Ou seja,o ataque acontece via re�exão (Re�exion);

• Smurf : é um tipo especí�co de ataque que se enquadra como DDoS e que tambémpode ser considerado do tipo DRDoS. Nesse tipo de ataque, pings são enviados parao endereço de broadcast da rede. Em uma rede vulnerável a esse tipo de ataque, asmáquinas respondem aos pings, já que também foram endereçadas (broadcast), o queacarreta em inundação da rede.




Tendo em vista as explicações acima, pode-se concluir que a letra a é a alternativa correta.

Um candidato desatento poderia acreditar que a resposta correta fosse a letra b. Con-tudo, perceba que um ataque com segmentos SYN/ACK não necessariamente acontece deforma distribuída, mas acontece necessariamente via re�exão. É justamente por isso que setrata de um DRDoS.




11. Assuntos relacionados: Segurança da Informação, Tipos de Ataque, Cavalo de Tróia,Spoo�ng, Ataques DoS, Phishing, Sni�ng,Banca: ESAFInstituição: Agência Nacional de Águas (ANA)Cargo: Analista Administrativo - Tecnologia da Informação e Comunicação / Administra-ção de Redes e Segurança de InformaçõesAno: 2009Questão: 37

O(A) __________________ representa um ataque que compromete diretamentea disponibilidade.

Assinale a opção que completa corretamente a frase acima.

(a). cavalo de tróia

(b). falsi�cação

(c). negação de serviço

(d). phishing

(e). sni�ng

Solução:

Mesmo sem conhecimento pleno de todos os conceitos exibidos nesta questão, é possível,ao candidato atento, inferir qual a opção correta (opção c, negação de serviço) através daanálise das opções, como veremos durante esta solução.

Antes de mais nada, é importante relembrar a de�nição de disponibilidade. Segundo odicionário Michaelis, ela é de�nida como �Qualidade daquele ou daquilo que é ou está dis-ponível�. Na tecnologia, o conceito é semelhante e, normalmente, representa o grau em queum sistema ou equipamento está operável no início de uma missão em tempo aleatório. Emoutras palavras, a disponibilidade pode ser entendida como a probabilidade do sistema estaroperando em um determinado tempo t.

Estando certos de que a disponibilidade de um sistema se relaciona com seu tempo defuncionamento, podemos analisar as opções e deduzir a alternativa correta:

Cavalo de Tróia

Um cavalo de tróia é �um programa aparentemente útil que contém funções escondidasque podem ser usadas para explorar os privilégios do usuário que executa o programa, re-sultando em uma falha de segurança. Um cavalo de tróia realiza ações pelo usuário sem queele as queira realizar. [Summers]�

�Os cavalos de tróia dependem de usuários para instalá-los, ou podem ser instalados porintrusos que tenham obtido acesso ao sistema por outros meios. Portanto, para que umintruso possa subverter um sistema através de um cavalo de tróia, ele depende que alguémo execute.�

Ora, da de�nição acima podemos perceber que o objetivo dos cavalos de tróia está ligado àexploração do sistema sem derrubá-lo e, portanto, os cavalos de tróia não afetam a disponi-bilidade do sistema, tornando sua alternativa equivalente, a, incorreta.




Fontes:http://www.cert.org/advisories/CA-1999-02.html. Acessado em 19/06/2010.[Summers] Summers, Rita C. Secure Computing Threats and Safeguards, McGraw-Hill,1997.

Falsi�cação

Segundo o dicionário Michaelis de língua portuguesa, a falsi�cação é de�nida como �1 Atoou efeito de falsi�car. 2 Alteração fraudulenta de fatos, documentos etc. 3 Alteração frau-dulenta de substâncias alimentícias, medicamentos etc.; adulteração. 4 Imitação, contrafac-ção.�

Em redes, os ataques de falsi�cação (spoo�ng) �são tentativas de algo, ou alguém, de sefazer passar por outra pessoa. Esse tipo de ataque é normalmente considerado um ataquede acesso. Atualmente, os ataques de spoo�ng mais populares são os de IP spoo�ng e DNSspoo�ng. No IP spoo�ng, o objetivo é fazer com que os dados pareçam ter vindo de um hostcon�ável quando o mesmo não ocorreu (logo, falsi�cando o endereço IP do host de envio).Já no DNS spoo�ng, é passada informação ao servidor DNS sobre um servidor de nomesque é considerado legítimo, mas não é. Isso pode fazer com que usuários sejam enviados aum site diferente daquele que queriam ir, por exemplo.� Fonte: CompTIA Security+ StudyGuide: Exam SY0-201, Emmett Dulaney.

Das de�nições apresentadas acima podemos concluir que ataques de falsi�cação não prejudi-cam, diretamente, a disponibilidade de um sistema e, portanto, sua alternativa equivalente,b, está incorreta.

Negação de Serviço

Uma �negação de serviço (do inglês Denial of Service, ou DoS) acontece quando um hostremoto ou rede remota é desabilitado(a), de modo que os serviços de rede não possam maisfuncionar.� Quando tentativas deliberadas de causar negações de serviço são realizadas, écaracterizado um ataque de negação de serviço. Na Internet há diversas ferramentas quepodem facilitar esses ataques. �Por ser possível dispará-los remotamente, detectar o culpadoé difícil e o ataque também pode ser usado como uma distração para ocultar outra atividade,como uma intrusão.� Fonte: Network security: a practical guide, Owen Poole.

As consequências de um ataque de negação de serviço dependem do serviço provido peloservidor ou rede atacado. No caso de um serviço que represente importância estratégica paraos negócios de uma empresa, esse tipo de ataque pode gerar custos imensuráveis. Devido aoimpacto potencial desse tipo de ataque, é importante que organizações possuam esquemasde alta disponibilidade e planos de contenção e reação a ataques desse tipo.

Como seu próprio nome já diz, os ataques de negação de serviço afetam diretamente adisponibilidade de sistemas e, portanto, a alternativa equivalente a essa opção, c, respondecorretamente à questão. Mesmo sem conhecer os termos da questão, o candidato atento écapaz de inferir que esta é a alternativa correta, dadas as opções na questão.




Phishing

O termo phishing é usado para �descrever técnicas para enganar indivíduos para que dispo-nibilizem informação con�dencial, como números de contas, ou dados �nanceiros.� Com essainformação con�dencial, criminosos são capazes de se passar pela vítima para realizar açõescomo se fossem a vítima, como retirar dinheiro de contas bancárias, vender investimentos etransferir fundos. Um problema associado ao phishing é o roubo de identidade.

O �Roubo de identidade ocorre quando o criminoso usa a identidade de vítima para ga-nho �nanceiro. Fingir ser outra pessoa para conseguir empréstimos, adquirir serviços detelecomunicação ou criar cartões de crédito são objetivos comuns. Os ladrões de identidadesão capazes de obter essas informações de diversas maneiras, como revirar o lixo em buscade dados �nanceiros� ou outras formas de busca de informação para fazer com que a vítimarevele detalhes através de ataques de phishing. Fonte: The De�nitive Guide to ControllingMalware, Spyware, Phishing, and Spam, Dan Sullivan.

Simpli�cando, o objetivo do phishing é roubar credenciais para abuso de alguma forma.Por não atacar a disponibilidade do sistema, sua opção correspondente, d, também é incor-reta.

Sni�ng

Sni�ng é o termo normalmente usado para monitoramento de tráfego em uma rede. Seuobjetivo é o de encontrar vulnerabilidades em redes. O sni�ng é usado por um usuário jápresente na rede da qual quer obter mais informações. Um sni�er é uma ferramenta quepermite visualizar todos os pacotes que estão passando pela rede, seja ela com �os ou sem�os. Essa técnica, muito útil para diagnosticar problemas de redes, pode ser usada porusuários maliciosos para observar senhas, emails, ou qualquer outro tipo de dados enviadosem criptogra�a. Uma das ferramentas mais comuns para sni�ng é o tcpdump, comumenteusado em conjunto com uma interface grá�ca, como o wireshark.

Pelo mesmo motivo das outras questões, como ataques com sni�ng não apresentam proble-mas à disponibilidade do sistema, a alternativa e não responde corretamente à questão.




12. Assuntos relacionados: Segurança da Informação,Banca: CESGRANRIOInstituição: BNDESCargo: Analista de SuporteAno: 2008Questão: 66

Há dois meses foi anunciada uma vulnerabilidade, que permite exploração remota com di-reitos administrativos, em um determinado produto que implementa o serviço de DNS. Oservidor primário DNS de uma empresa que vende produtos pela Internet utiliza esse pro-duto. Os administradores, por descuido, não instalaram a atualização lançada na épocapara corrigir essa vulnerabilidade e perceberam, hoje, a situação de risco. Após veri�caçãodetalhada dos mapas DNS, os administradores concluíram que estão corretos e guardaramuma cópia. Além disso, veri�caram a existência de um processo nesse servidor escutando naporta 31337 (TCP).

Sobre a situação exposta, observe as a�rmativas abaixo.

I O bloqueio no �rewall externo do acesso à porta 31337 desse servidor impede queusuários maliciosos efetuem controle remoto nesse servidor.

II A instalação de correções de segurança é um procedimento importante em servidoresque atuam na Internet.

III É recomendável que um novo servidor de DNS seja instalado e os mapas DNS restau-rados a partir da cópia salva pelos administradores.

Está(ão) correta(s) SOMENTE a(s) a�rmativa(s)

(a). II

(b). III

(c). I e II

(d). I e III

(e). II e III

Solução:

Na a�rmativa I, o bloqueio da porta 31337 apenas impedirá que os atacantes externos ex-plorem a vulnerabilidade em questão. No entanto, essa medida pode não ser su�ciente paraimpedir ataques por parte de usuários maliciosos internos.

A existência de um processo de instalação de correções de segurança, mencionada no itemII, é fundamental para manutenção da segurança de servidores. No caso de servidores queatuam na Internet, isso é ainda mais válido, já que esses estão mais expostos a ataques.

Quanto às atualizações de segurança, o documento �Práticas de Segurança para Admi-nistradores de Redes Internet�, elaborado pelo CERT BR (Centro de Estudos, Respostae Tratamento de Incidentes de Segurança do Brasil), faz ainda as seguintes observações:

�A maioria dos fornecedores de software libera correções para problemas de segurança quesejam descobertos em um sistema, sem que se tenha de esperar pela sua próxima versão ...Nem sempre todas as correções disponíveis precisam ser instaladas. Restrinja-se àquelas que




corrigem problemas em componentes que estejam efetivamente instalados no seu sistema.Em caso de dúvida, recorra ao suporte técnico do seu fornecedor. A instalação indiscrimi-nada de atualizações pode enfraquecer a segurança do sistema ao invés de fortalecê-la.�

A medida III, por sua vez, é a mais efetiva para garantir que o servidor de DNS estejalivre da vulnerabilidade em questão. A presença de um processo desconhecido no servidorde DNS aponta para a possibilidade do servidor estar com a segurança comprometida. Ouseja, assim como foi detectada a presença de um processo malicioso, con�gurações de segu-rança podem ter sido alteradas. Como o serviço de DNS seja crítico, é recomendável queum novo servidor seja preparado �do zero�, assegurando-se que todas as con�gurações desegurança sejam aplicadas.




13. Assuntos relacionados: Segurança da Informação, Firewall, Algoritmos de Criptogra�a,Criptogra�a Simétrica, Backup,Banca: CesgranrioInstituição: PetrobrasCargo: Analista de Sistemas Pleno - ProcessosAno: 2006Questão: 35

Entre os aspectos importantes relativos à segurança de sistemas de informação, incluiem-se:

I - a existência de um plano de recuperação de desastres associado a uma estratégia debackups frequentes;

II - a utilização de �rewalls para oferecer proteção contra ataques originados de dentro ede fora da rede que estão protegendo, associada a mecanismos de detecção de intrusão;

III - a proteção de dados utilizando senhas e criptogra�a forte e algoritmos de chavesimétrica que utilizam senhas diferentes para encriptação e desencriptação.

Está(ão) correto(s) o(s) item(ns):

(a). I, apenas.

(b). II, apenas.

(c). III, apenas.

(d). I e II, apenas.

(e). I, II e III.

Solução:

Item I: CORRETO

Um ponto importante nos sistemas computacionais é a possibilidade de recuperação dainformação e a manutenção dos processos no caso de falhas dos componentes de hardwareou software. Aplicativos em empresas geram grandes quantidades de informações e armaze-nar estas informações periodicamente em locais seguros é uma boa prática de segurança dainformação. Este procedimento é chamado de backup (cópia de segurança) uma tendênciaatual ao crescimento contínuo de dados.

Podemos distinguir dois tipos de backup, os backups físicos e os backups lógicos. Os bac-kups físicos são os locais onde estão guardadas todas as informações do banco de dados.Geralmente essas unidades são chamadas de ��tas de backup�, apresentando uma grande ca-pacidade de armazenamento físico, podendo ser reposto a qualquer momento. Já o backuplógico é apenas o �salvamento� dos dados do banco de dados, porém não será armazenadoem forma física, e sim virtual.

O Recovery é a recuperação dos arquivos do sistema. Ao fazer um backup, dispomos deuma cópia dos dados em outro local, seja ele físico ou virtual. Através do recovery os dadossão recuperados e repostos no sistema no formato anterior ao problema ou do erro fatalocorrido no banco de dados. Nenhuma estratégia de backup atende a todos os sistemas,para isso, existe a necessidade de um plano de recuperação. Um plano de recuperação que éadequado para um sistema poderá ser impróprio para outro sistema. O administrador devedeterminar com precisão a estratégia que melhor se adéqua a cada situação.




O plano de recuperação de desastres é a capacidade de recuperar uma empresa que so-freu algum tipo de problema (ataque hacker ou desastres físicos) no funcionamento do seucentro de dados com maior precisão e e�ciência possível. Um plano de recuperação nãoconsiste apenas em fazer backup, mas no conjunto de atividade para a recuperação do sis-tema computacional. Ao elaborar um plano, foi tomado o primeiro passo da recuperação dedesastres. O plano de recuperação de desastres determina todas as etapas do processo derecuperação. Os planos de recuperação de desastres frequentemente servem o propósito dejuntar todos os detalhes. Este nível de detalhe é vital porque no caso de uma emergência, oplano pode ser a única coisa que restou do seu centro de dados anterior (além dos backupsexternos) para ajudá-lo na reconstrução e restauração das operações, fazendo parte de umimportante aspecto da segurança de sistemas computacionais.

Item II: ERRADO

Os �rewalls são sistemas ou programas que restringem o acesso entre a rede e a Internet,ou entre várias redes como apresentado na Figura 1. Assim, se algum hacker ou programasuspeito tenta fazer uma conexão ao seu computador o �rewall irá bloquear.

Figura 1: exemplo de interligação de �rewall: entre a rede interna e a Internet.

O projeto de um �rewall passa primeiro pela escolha da sua arquitetura. Entre as principaisarquiteturas existentes temos: Dual-homed host, screened host e screened subnet. Emtodas as arquiteturas listadas acima encontramos uma entidade chamada Bastion Host, quepode ser de�nida como um gateway entre as duas redes usado como medida de segurança. OBastion Host serve para defender a rede interna contra ataques da rede externa. Dependendo




da complexidade e da con�guração da rede Bastion Host, pode-se proteger ou fazer parte deum sistema de segurança muito mais complexo com várias camadas de proteção. A seguirvamos fazer uma breve descrição sobre as arquiteturas de �rewall:

• Dual-Homed Host: é uma arquitetura montada sobre um computador com no mí-nimo duas interfaces de rede. Este computador age então como um roteador entre asredes que estão conectadas às suas placas de rede. É possível então usar este compu-tador como um �rewall;

• Screened Host: prove serviços para hosts ligados a várias redes, mas com o serviçode roteamento desligado. A arquitetura Screened Host prove serviços somente para oshosts que estão ligados na rede interna, usando para isso um roteador separado;

• Screened Subned (ou DMZ): adiciona uma camada extra de segurança à arquite-tura Screened Host. Esta rede perimetral é adicionada com o �m de proteger a redeinterna da Internet.

Como pode ser observado, o �rewall em todas as arquiteturas oferece proteção contra ata-ques externo à rede onde foi implantado o mesmo, e não contra ataques internos.

Item III: ERRADO

Na sua essência, a cifra é o processo através do qual se protege (encripta) um conjuntode dados, de modo a que este apenas possa ser desprotegido (desencriptado) por alguémque conheça um determinado segredo. Utilizando um algoritmo de cifra e adicionando-lheuma chave (palavra ou frase secretas), gera-se uma operação matemática de substituiçãodos dados a proteger por outros elementos. O algoritmo é tanto mais poderoso (e e�ciente)quanto melhor for à utilização que faz dessa chave e quanto mais resistente for à criptoanálise(processo que tenta descobrir o conteúdo cifrado pelo algoritmo sem necessitar de qualquerchave).

Os algoritmos de criptogra�a baseados em chave simétrica utilizam uma única chave, tantopara o procedimento de cifragem quanto para o procedimento de decifragem de uma infor-mação. Assim, as principais vantagens da criptogra�a simétrica são:

• velocidade, pois os algoritmos são muito rápidos;• as chaves são relativamente pequenas e simples, permitindo a construção de algoritmosde criptogra�a mais elaborados;

• atinge aos objetivos de con�dencialidade e de privacidade, mantendo os dados seguros.

Enquanto as desvantagens são:

• a chave secreta deve ser compartilhada, portanto, a gerência da chave deve ser cuida-dosa;

• não permite autenticação do remetente, uma vez que qualquer pessoa poderá enviaruma mensagem criptografada com qualquer chave que esteja em seu domínio.

Concluindo, criptogra�a com chave simétrica utiliza as mesmas chaves para criptografar edescriptografar, ao invés, de chaves diferentes. Portanto, a resposta correta é alternativa A.




14. Assuntos relacionados: Segurança da Informação, Firewall, Intrusion Detection System(IDS), Intrusion Prevention System (IPS),Banca: CespeInstituição: PetrobrasCargo: Analista de Sistemas Júnior - InfraestruturaAno: 2007Questão: 142�145

Com relação a �rewalls, proxies e IDS, julgue os itens seguintes.

142 Firewalls são embasados em sni�ng do tráfego, que é inspecionado e confrontado compadrões;

143 Um IDS executa a �ltragem de tráfego embasado na inspeção de pacotes focada emcabeçalhos nos vários níveis da arquitetura de uma rede;

144 Proxies têm funções idênticas a �rewalls, mas, enquanto os proxies operam nas camadasTCP/IP 3 e 4, os �rewalls atuam no nível da aplicação;

145 Os �rewalls por �ltros de pacote têm desempenho superior aos �rewalls stateful.

Solução:

Antes de analisarmos cada uma das assertivas trazidas pela questão, vamos falar um poucosobre as seguintes tecnologias de segurança de rede: Firewall, IDS e IPS.

Firewall

Firewall pode ser de�nido como sendo um sistema ou combinação de sistemas de hard-ware e/ou software que tem por objetivo proteger a fronteira entre duas ou mais redes. Estaproteção é feito pode meio do estabelecimento de regras de controle de acesso entre as re-des. O funcionamento dos �rewalls, portanto, consiste na execução de tais regras de acesso,permitindo ou não que uma comunicação aconteça entre duas redes.

Geralmente, os �rewalls operam nas camadas 3 (rede) e 4 (transporte) do modelo OSI.No que se refere a implementação dos �rewalls, operar em tais camadas signi�ca dizer queas regras de proteção podem ser de�nidas em termos das informações de endereçamento econtrole dos protocolos destas camadas, como o IP, no caso da camada de rede, e o TCP eo UD, no caso da camada de transporte.

Os �rewalls podem ser classi�cados, basicamente, em duas categorias: �rewalls stateful(com estado) e stateless (sem estado), este também conhecidos como �rewalls de �ltro depacotes.

Um �rewall do tipo stateless analisa cada pacote que passa por ele e para decidir o quefazer com cada pacote, ele não utiliza informações sobre eventuais conexões já estabeleci-das. Ou seja, cada pacote é analisado individualmente. Em �rewalls de camada três, porexemplo, para se decidir o que fazer com pacotes, geralmente leva-se em consideração osendereços IP de origem e destino e/ou o tipo de protocolo de transporte utilizado (UDP,TCP etc.). Repare que esta última informação refere-se à camada 4, e não à camada 3.No entanto, é possível fazer estas �ltragem em �rewalls de camada 3 pois o cabeçalho dodatagrama IP contém a informação de qual protocolo foi utilizado na 4. Ou seja, analisandoo cabeçalho do datagrama IP é possível determinar se os dados contidos no datagrama estão




sendo transportados via TCP ou UDP, por exemplo.

Já em um �rewall do tipo stateful, é possível construir regras para que o estado de co-nexão seja levado em consideração. Dessa forma, os pacotes deixam de ser analisados deforma individualizada. Em um �rewall de camada quatro, por exemplo, pode-se construirregras de forma que segmentos TCP com �ags SYN/ACK setadas somente passem pelo�rewall caso a conexão TCP, na porta desejada, já esteja estabelecida. Uma das aplicaçõesmais diretas para �rewalls stateful é o controle de quem pode iniciar as conexões TCP, jáque esse processo se dá por meio do famoso three-way handshake, processo que se baseia nos�ags SYN/ACK.

IDS e IPS

Muito embora a questão não mencione o termo IPS (Intrusion Prevention System), va-mos aproveitar a oportunidade para falar também sobre ele, tendo em vista o seu forterelacionamento com o IDS (Intrusion Detection System).

Os IDS são sistemas que analisam o tráfego de rede e geram alertas quando atividadesmaliciosas ou suspeitas são identi�cadas. Os IDS, geralmente, são capazes de resetar co-nexões TCP (enviando pacotes especialmente modi�cados para tal) assim que identi�ca oinício de um ataque. Alguns IDS também são capazes de se integrarem com �rewalls e, assimque identi�cam um ataque, podem escrever ou modi�car as regras de controle de acesso nos�rewalls, impedindo a continuidade do ataque. Embora os IDS possam fazer algo mais quedetectar ataques, todas as suas ações são reativas, uma vez que são baseados em tecnologiasde sni�ng de pacotes.

Os IPS, por sua vez, executam as mesmas análises que os IDS, mas, pelo fato de seremposicionados de forma serial (ou in-line) entre os componentes de rede, de modo que todo otráfego de rede passa pelo IPS, que pode decidir se permite ou não o seu encaminhamentopara o destinatário. É esta característica que permite aos IPS atuarem de forma proativa.

Adiante, portanto, analisemos a corretude de cada uma das assertivas apresentadas na ques-tão.

142 ERRADO

O funcionamento dos �rewalls é baseado na análise das informações contidas nos ca-beçalhos dos protocolos, e as regras que permitem ou não a comunicação entre duasredes são de�nidas em termos de tais informações, e não em padrões de tráfego.

Quando tratamos de tecnologias de segurança de redes, temos que ter cuidado comos termos padrão e comportamento, pois tais aspectos só podem ser determinados pormeio da análise de �uxos de comunicação completos, históricos de tráfego, formaçãodos payloads dos pacotes, por exemplo. Tais análises podem ser realizadas pelos IDS eIPS, mas não pelos �rewalls.

143 ERRADO

É verdade que as análises feitas pelo IDS se baseiam na inspeção dos cabeçalhos deprotocolos de vários níveis da rede. No entanto, a assertiva está errada porque os IDS




são baseados em sni�ng de pacotes, e não são capazes de �ltrar o tráfego da rede. A�ltragem à qual se refere a assertiva só poderia ser feita por um IPS.

144 ERRADO

Os proxies são dispositivos que realizam alguma espécie de intermediação em um pro-cesso de comunicação de rede. Eles funcionam recebendo requisições de clientes e asrepassando adiante. Quando recebem as respostas, as repassam para os clientes queoriginaram as solicitações.

Podemos usar o exemplo de um proxy Web de uma rede local. Os usuários da redelocal, quando desejam acessar uma página HTML na Internet, enviam esta solicitaçãopara o proxy Web. Este, por sua vez, encaminha o pedido para a o servidor que hospedaa página HTML, que responde a solicitação para o proxy. Após receber a resposta, oproxy a encaminha ao usuário que gerou a solicitação.

Por atuar como um intermediário na comunicação, os proxies podem adicionar fun-cionalidades de controle de acesso a Internet ou à páginas especí�cas, e mecanismosde cache, que podem ajudar a melhorar o desempenho das resposta às solicitações dosusuários.

Embora, �sicamente, os �rewalls também estejam no meio do caminho entre os parescomunicantes, eles não oferecem serviços de intermediação, mas apenas de �ltragem.Portanto, esta assertiva está errada.

145 ERRADO

Os �rewalls stateful são aqueles que executam controles baseados no estado das co-nexões. Em termos de implementação, tais estados são armazenadas em uma estruturade dados (uma tabela, por exemplo) que precisa ser constantemente consultada e atu-alizada pelo �rewall. Estas operações de consulta e atualização da tabela de estadosdos �rewalls stateful adiciona um overhead ao processo de �ltragem, em troca da capa-cidade de execução de controles mais apurados que os oferecidos pelo �rewalls stateless.

Desta forma, o processamento de um pacote individual pode ser mais custoso em ter-mos de tempo se utilizado um �rewall stateful, quando comparado ao tempo necessáriopara processar um pacote no �rewalls stateless (�ltros de pacotes). Se a métrica de aná-lise de desempenho for o tempo de processamento dos pacotes, faria sentido, portanto,dizer que os �ltros de pacotes possuem maior desempenho que os �rewalls stateful.

No entanto, o gabarito o�cial da questão considera a assertiva errada. Esta inter-pretação pode se dever ao fato de que o elaborador da questão considera a comparaçãode desempenho entre os �rewalls stateless e stateful inadequada, uma vez que elesoferecem serviços distintos em alguns aspectos.




15. Assuntos relacionados: Segurança da Informação, TCP/IP, Intrusion Detection System(IDS), Firewall, Virtual Private Network (VPN), Virtual Local Area Network (VLAN), Ga-teway de Aplicação,Banca: ESAFInstituição: Agência Nacional de Águas (ANA)Cargo: Analista Administrativo - Tecnologia da Informação e Comunicação / Administra-ção de Redes e Segurança de InformaçõesAno: 2009Questão: 36

O mecanismo de controle de acesso adequado para bloquear segmentos UDP e conexõesFTP, em uma rede, é o(a)

(a). sistema de detecção de intrusos (SDI).

(b). �rewall de �ltragem de pacotes.

(c). rede privada virtual (VPN).

(d). gateway de aplicação.

(e). rede local virtual (VLAN).

Solução:

A família de protocolos TCP/IP é um conjunto de padrões que especi�cam os detalhes decomo os computadores se comunicam, especi�cando também um conjunto de convençõespara a interconexão de redes e para o encaminhamento de tráfego. A tecnologia TCP/IPrecebe esse nome em referência aos dois principais protocolos que a compõem: o IP (InternetProtocol) e o TCP (Transport Control Protocol). No nível de rede, o TCP/IP oferece doisgrandes tipos de serviço:

• Serviço de Entrega de Pacote Sem Conexão. Encaminhamento de pequenasmensagens de um computador para outro com base na informação de endereço trans-portada na mensagem. Não há garantia de entrega con�ável em ordem, pois cadapacote segue sua rota individualmente;

• Serviço Con�ável de Transporte de Fluxo. Estabelecimento de conexão entreaplicações de computadores distintos e posterior envio de grande volume de dados.Existe recuperação automática de erros de transmissão, pacotes perdidos ou falhas doscomutadores (switches).

As principais características desses serviços são a independência da tecnologia de rede (nãovínculo a qualquer tipo de hardware especí�co), a interconexão universal (qualquer par decomputadores pode se comunicar), as con�rmações �m-a-�m (há con�rmações entre origeme destino, e não entre máquinas intermediárias) e os padrões de protocolo de aplicação (mui-tas aplicações comuns, como e-mail e login remoto, estão de�nidas).

O protocolo que de�ne o mecanismo de entrega não-con�ável, sem conexão, é denominadoInternet Protocol. Sua unidade de transferência básica é o datagrama IP. O formato geraldesse datagrama é um cabeçalho+dados. A área de dados pode encapsular segmentos TCPou datagramas UDP. O Transmition Control Protocol (TCP) concretiza o serviço de entregacon�ável de �uxo, ao passo que o User Data Protocol (UDP) oferece o serviço sem conexãoe não-con�ável.




O UDP fornece um serviço de entrega sem conexão utilizando o IP para transportar men-sagens entre as máquinas. Ele usa o IP, mas acrescenta a capacidade de distinguir entrevários destinos dentro de determinada máquina. Esta distinção é feita através do número deporta utilizado no cabeçalho do pacote. Desta forma, uma aplicação baseada em UDP podeser identi�cada através o endereço IP e da porta UDP utilizados. Por exemplo, a aplicaçãode DNS (Domain Name Server) executa na porta UDP 53. Semelhantemente, aplicaçõesbaseadas em TCP podem ser identi�cadas pela porta utilizada. As aplicações de FTP (FileTransport Protocol), por exemplo, utilizam as portas TCP 20 e 21.

Como o número de porta, em geral, fornece subsídios para a identi�cação de aplicações,ele pode ser utilizado para bloquear o tráfego relativo a determinados programas. A transfe-rência de arquivos via FTP, por exemplo, pode ser identi�cada (e bloqueada) pela veri�caçãoda porta TCP utilizada para trafegar os dados. Semelhantemente, datagramas UDP podemser identi�cados (e bloqueados) analisando-se o cabeçalho IP em busca da informação dotipo de protocolo encapsulado (campo Type of Service do IP).

Essa identi�cação (e bloqueio) é proporcionada por um programa conhecido como �rewall(ou �ltro de pacotes), que atua veri�cando cada datagrama IP (sainte ou entrante) e permi-tindo ou não a continuidade do tráfego, segundo regras pré-de�nidas. Na presença de umaregra de bloqueio para segmentos TCP utilizando as portas 20 e 21, por exemplo, uma redenão conseguiria utilizar o serviço de FTP através de seu roteador.

Apesar de compor um sistema de segurança de redes baseado em �ltragem de pacotes,um SDI � Sistema de Detecção de Intrusos (Intrusion Detection System � IDS) tem comofoco a descoberta de acessos não-autorizados aos recursos da rede, deixando de ser a ferra-menta adequada para impedir conexões FTP e tráfego de segmentos UDP. Assim, a opçãoa) não se con�gura como resposta para a questão apresentada.

Tradicionalmente, as Redes Virtuais Privadas, ou VPNs (Virtual Private Network), sãoredes de comunicação sobrepostas às redes de telecomunicações públicas, cujo objetivo étornar transparente para as aplicações (e, consequentemente, para os usuários) as distânciasgeográ�cas que separam as unidades operacionais de uma empresa. Uma abordagem quevem se popularizando é a implementação de VPNs diretamente sobre a Internet através dotunelamento seguro de dados com o uso de �rewalls em cada unidade, agregando o tráfegoentre dois escritórios por meio de autenticação e criptogra�a. Entretanto, tal solução nãovisa o bloqueio de tráfego FTP e de segmentos UDP, deixando de ser a opção verdadeirapara questão.

A �ltragem de pacotes atua examinando os cabeçalhos IP/TCP/UDP. Desta forma, nú-meros de porta e endereços IP são alvos de uma �auditoria� que monitora o �uxo de dadosconstantemente (como é o caso de um �rewall). Diversas regras podem ser elaboradas, ba-seadas, inclusive, em informações de direção do �uxo (conexões saintes podem ser liberadas,ao mesmo tempo em que conexões entrantes podem ser bloqueadas, por exemplo). Entre-tanto, a análise das conexões não permite, pelo mecanismo empregado, �ltrar um conjuntode usuários identi�cados por login e senha (haja vista não estarem tais informações presentesnos cabeçalhos analisados). Essa tarefa pode ser executada por um Gateway de Aplicação,que é um servidor especí�co de uma aplicação pelo qual todos os dados devem trafegar. Comisso, um usuário que deseje acessar uma determinada aplicação precisará, primeiramente,autenticar-se no gateway de aplicação. Assim, um gateway de aplicação poderia bloquearconexões FTP a uma rede negando o acesso ao serviço independentemente do usuário solici-




tante. Semelhantemente, qualquer segmento UDP poderia ser interpretado como integrantede uma aplicação e ser bloqueado pelo gateway de aplicação. Contudo, estas duas situaçõesnão poderiam ser implementadas simultaneamente, pois cada aplicação necessita de um ga-teway (de aplicação) dedicado. Este fato, torna falsa a opção d), dado o comando da questão.

Uma forma adotada para virtualizar em software o cabeamento de uma rede de compu-tadores foi através de VLANs (Virtual Local Area Network). Com o uso de switches e/oupontes com essa funcionalidade, diversos computadores podem estar interligados �sicamenteno mesmo equipamento e, ainda assim, serem considerados �invisíveis� uns para os outrospela simples con�guração de LANs virtuais nos equipamentos. Os pacotes que chegam aesses equipamentos são adequadamente �ltrados para uma difusão controlada, direcionadaapenas às máquinas pertencentes à mesma VLAN. Contudo, não há qualquer �ltragem adi-cional baseada em conteúdo, com o que inviabiliza qualquer tentativa de bloqueio do tráfegoUDP e/ou FTP. Portanto, a opção e) não é apresenta a resposta procurada.

Consoante a teoria exposta, a resposta para a questão é a opção b).




16. Assuntos relacionados: Segurança da Informação, Rootkits,Banca: CesgranrioInstituição: BNDESCargo: Analista de Sistemas - SuporteAno: 2008Questão: 62

Um usuário mal-intencionado M instalou um rootkit em um servidor S, Windows 2000, apósdes�gurar o site Internet hospedado por S, que não é protegido por �rewall. A esse respeito,é correto a�rmar que

(a). a partir do prompt de comando desse Windows 2000, pode-se utilizar o comandonetstat para detectar as portas TCP abertas e assim garantir que não há nenhumbackdoor, desde que este utilize o TCP como protocolo de transporte.

(b). a detecção desse rootkit deve ser feita gerando-se hashes SHA-1 ou SHA-256 dosarquivos do Kernel do Windows 2000, a partir do prompt de comando, os quaisdevem ser comparados com hashes de um backup anterior à invasão.

(c). os logs de segurança desse sistema operacional contêm informações con�áveis sobrea origem do ataque e devem ser usados para rastrear M, a não ser que o endereçoIP de origem tenha sido forjado.

(d). nenhum rootkit poderia ser instalado, caso o �rewall nativo do Windows 2000estivesse habilitado e com a proteção para Bu�er Over�ow ativada.

(e). M pode controlar S por meio de comandos encapsulados via ICMP para dispararataques de Denial of Service contra outros servidores, mesmo que o tráfego TCPe UDP seja bloqueado no roteador de borda.

Solução:

Um rootkit é um conjunto de um ou mais softwares que tem como principal objetivo ofuscardeterminadas ocorrências do sistema em que se encontra.

Como o nome pode levar a crer, as ferramentas que compõem o rootkit não são usadaspara obter acesso privilegiado (root ou Administrator) em um computador, mas sim paramantê-lo. Uma vez instalado o rootkit, não será necessário recorrer novamente aos métodosutilizados na realização da invasão e as atividades a partir daí serão escondidas dos usuáriosdo computador.

Segundo a cartilha do CERT.br (Centro de Estudos, Resposta e Tratamento de Inciden-tes de Segurança no Brasil), um rootkit pode fornecer programas com as mais diversasfuncionalidades. Dentre eles, podem ser citados:

• programas para esconder atividades e informações deixadas pelo invasor (normalmentepresentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões derede, etc;

• backdoors, para assegurar o acesso futuro do invasor ao computador comprometido(presentes na maioria dos rootkits);

• programas para remoção de evidências em arquivos de logs;• sni�ers, para capturar informações na rede onde o computador está localizado, comopor exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método decriptogra�a;




• scanners, para mapear potenciais vulnerabilidades em outros computadores;• outros tipos de malware, como cavalos de tróia, keyloggers, ferramentas de ataque denegação de serviço, etc.

Aos programas que permitem o retorno de um invasor a um computador comprometido,utilizando serviços criados ou modi�cados para este �m, dá-se o nome de backdoor.

A forma mais usual de inclusão de um backdoor consiste na disponibilização de um novoserviço ou substituição de um determinado serv

Documents

Segurança de Informaçãoapostilando.yolasite.com/resources/handbook_questo...senhas. (e).facilita a gerência e a administração centralizada de identidades. Solução: Single sing-on