SEGURANÇA CIBERNÉTICA AVD

Prévia do material em texto

SEGURANÇA CIBERNÉTICA
	Período: 2021.2
		Seja bem-vindo!
Nosso objetivo é ter um diagnóstico sobre o seu desempenho e o desenvolvimento das competências exigidas pelo mercado.
Isso o ajudará também a conhecer como está o seu aproveitamento nos estudos.
Boa sorte!!
	
	
		1,25 pts.
	
		1.
		O alvo do ataque de desserialização insegura são aplicações da web que serializam e desserializam dados. Serialização é uma forma de transformar objetos (estrutura de dados) de uma aplicação e convertê-los em um formato que pode ser usado para armazenar os dados, ou fazer streaming. A desserialização é o processo contrário: Os dados serializados são convertidos em objetos que podem ser usados pelas aplicações. Um ataque de desserialização insegura ocorre no processo de desserialização, ou seja, antes que os dados sejam transformados em objetos e possam ser usados pelos aplicativos. Esse tipo de ataque é o resultado da desserialização de dados de fontes não confiáveis. As consequências podem ser ataques de negação de serviço (DDoS) e de execução remota de código. Entre as medidas que podem evitar esse tipo de ataque estão: Monitoramento da desserialização, verificações de tipos e proibição de desserialização de dados de fontes não confiáveis.
Para evitar desserializações inseguras, a recomendação é não aceitar objetos serializados de fontes não confiáveis. Além disso, a OWASP também dá a seguinte recomendação (INSECURE DESERIALIZATION, 2020):
	
	
	
	
	Com o objetivo de impedir a criação de objetos com riscos de segurança, ou a violação de dados, deve-se implementar verificações de integridade, como assinaturas digitais em qualquer objeto serializado;
	
	
	Não impor restrições de tipo durante a desserialização dos dados antes da criação do objeto, pois a aplicação foi desenvolvida para receber um conjunto de dados com tipos pré-definidos;
	
	
	Sempre que possível, executar código que desserializa dados em ambientes de alto privilégio;
	
	
	Restringir a conectividade de rede, somente de entrada de servidores que desserializam;
	
	
	Monitorar o comportamento de usuários que raramente fazem desserialização;
	
	
		1,25 pts.
	
		2.
		Aplicações web são o principal alvo de ataques de Agentes Maliciosos (hackers ilegais e crackers), devido à possibilidade de alcance rápido de altos ganhos, e ao baixo risco de exposição do criminoso.
Dados de cartões de crédito, informações de clientes e de operações da empresa, roubos de identidades e outros dados sigilosos, informações sobre a infraestrutura de dados e vários outros podem ser usados para compor cenários de ataques com alto impacto.
Segundo o Instituto Gartner (2009), mais de 75% dos problemas com segurança na internet são devidos a falhas exploráveis a partir das aplicações web.
A maior parte das páginas web são naturalmente vulneráveis devido às tecnologias adotadas em sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da integração de outros sistemas, na medida em que são priorizados os aspectos funcionais que atendem a área de negócios, enquanto os requisitos de segurança ficam em segundo plano.
Disponível em: < https://www.redesegura.com.br/clientes-e-parceiros/o-risco-de-ataques-pela-web/>. Acesso em: 01 set. 2021.
Aplicações WEB desenvolvidas sem preocupação com certos critérios de segurança, podem apresentar em seu código, diversos problemas e falhas de segurança, e podem em certos casos expor informações até mesmo sobre suas próprias configurações, sobre os processos internos da própria aplicação ou mesmo permitir que a privacidade possa ser violada, sem que necessariamente precise haver qualquer intenção. Pessoas mal intencionadas como os Crackers, por exemplo, podem fazer uso desta fragilidade para conseguir informações sensíveis ou até mesmo planejar ataques mais direcionados e bem elaborados. Esse tipo de vulnerabilidade é classificado pela OWASP como sendo
	
	
	
	
	Uma falha de Cross Site Scripting (XSS)
	
	
	Uma falha de Falha de Restrição de Acesso à URL
	
	
	Uma falha de injeção SQL
	
	
	Uma falha de Referência Insegura Direta a Objetos
	
	
	Uma falha de Vazamento de Informações e Tratamento de Erros Inapropriado
	
	
		1,25 pts.
	
		3.
		Qual a consequência do uso de softwares cujo ciclo de vida terminou?
	
	
	
	
	Exposição a vulnerabilidades, pois o fabricante não é mais obrigado a corrigi-las
	
	
	Pode acarretar apenas danos à imagem de empresa, que será vista como ultrapassada
	
	
	Economia de recursos
	
	
	Lentidão de acesso
	
	
	Significa que existe uma boa gestão de recursos computacionais na empresa
	
	
		1,25 pts.
	
		4.
		Ataques na internet são as tentativas de criminosos cibernéticos de destruir, danificar ou tornar indisponível uma rede de sistemas. Tais infrações podem fazer com que dados sigilosos sejam roubados ou expostos, causando a extorsão e exposição de informações confidenciais armazenadas.
Estes ataques geralmente ocorrem com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede acessível pela Internet pode ser alvo de um ataque, da mesma forma que também qualquer computador com acesso à Internet pode participar de um ataque. Existem muitas razões para os criminosos lançarem ataques na Internet, desde simples entretenimento a atividades ilegais. Suas motivações geralmente estão relacionadas à exibição de poder, prestígio, finanças, ideologia e motivações empresariais.
Disponível em: < https://wcsconectologia.com.br/blog/ataques-ciberneticos-o-que-sao-e-como-se-proteger/>. Acesso em: 01 set. 2021.
Existem aplicações WEB onde, credenciais utilizadas para realização de acessos, ou mesmo tokens de sessão não possuem proteção adequada, ou não possuem critérios de proteção analisados com uma frequência adequada. Com isso os Crackers, script kiddies entre outros atacantes, podem comprometer as senhas, chaves, tokens ou outros mecanismos de autenticação, dessa forma podem a assumir a identidade de usuários legítimos e comprometer algum dos pilares da segurança da informação. Os ataques que fazem uso dessa falha são classificados pela OWASP como sendo:
	
	
	
	
	Um ataque de Cross Site Scripting (XSS).
	
	
	Um ataque de Autenticação falha e Gerenciamento de Sessão.
	
	
	Um ataque de Referência Insegura Direta a Objetos.
	
	
	Um ataque de execução maliciosa de arquivos.
	
	
	Um ataque de Cross Site Request Forgery (CSRF).
	
	
		1,25 pts.
	
		5.
		A quebra de autenticação pode permitir que um invasor obtenha o controle parcial, ou mesmo completo, sobre o sistema da vítima. Ela está relacionada a problemas no mecanismo de autenticação da aplicação, como, por exemplo, um gerenciamento de sessões malfeito em que é possível fazer a enumeração de nomes de usuários até encontrar nomes válidos através do uso de técnicas de força bruta. As recomendações técnicas da OWASP para evitar essa vulnerabilidade são (BROKEN AUTHENTICATION, 2020):
I. Usar a autenticação multifator;
II. O acesso padrão aos recursos deve ser restrito;
III. Não disponibilizar a aplicação com credenciais pré-definidas;
IV. Seguir as recomendações do guia NIST 800-63 B na secção 5.1.1 (GRASSI et al, 2017);
V. Implementar mecanismos de controle de acesso uma única vez e reutilizá-los ao longo da aplicação;
Marque a opção que apresenta as afirmações corretas.
	
	
	
	
	I, IV e V
	
	
	I, II e III
	
	
	II, III e IV
	
	
	I, III e IV
	
	
	II e V
	
	
		1,25 pts.
	
		6.
		O objetivo principal do OWASP TOP 10 é educar desenvolvedores, designers, arquitetos e organizações a respeito das conseqüências das vulnerabilidades mais comuns encontradas em aplicações WEB. O TOP 10 provê métodos básicos para se proteger dessas vulnerabilidades - um ótimo começo para a codificação segura de um programa de segurança.
 Disponível em: < https://owasp.org/www-pdf-archive/OWASP_TOP_10_2007_PT-BR.pdf>. Acesso em: 01 set. 2021.
Aplicações WEB desenvolvidassem preocupação com certos critérios de segurança, podem apresentar em seu código, uma ou várias referências a certos tipos de conteúdos que, em principio deveriam ser protegidos, essa falha pode ocorrer caso os desenvolvedores dessas aplicações, deixem expostas algum tipo de referência a conteúdos implementados internamente, como por exemplo: Arquivos, diretórios ou até mesmo registros de base de dados entre outros, que a principio não deveria ser acessado sem as devidas permissões. Comumente essas referências podem estar expostas na forma de uma URL ou algum parâmetro de formulários presentes na aplicação. Essa falha pode auxiliar os Crackers a estarem manipulando estas referências, dessa forma podem ganhar acesso outros conteúdos sem autorização. Esse tipo de vulnerabilidade é classificado pela OWASP como sendo
	
	
	
	
	Uma falha de Falha de Restrição de Acesso à URL.
	
	
	Uma falha de Cross Site Scripting (XSS).
	
	
	Uma falha de Referência Insegura Direta a Objetos.
	
	
	Uma falha de injeção SQL.
	
	
	Uma falha de Vazamento de Informações e Tratamento de Erros Inapropriado.
	
	
		1,25 pts.
	
		7.
		Os ataques que exploram a vulnerabilidade de quebra de controle de acesso restringem a quantidade de seções ou páginas que os visitantes podem acessar. O controle de acesso é uma segmentação de responsabilidades em que administradores e os demais usuários devem ter direitos distintos sobre as funcionalidades e dados dos sistemas. No entanto, muitos sistemas não trabalham dessa forma, como, por exemplo, alguns dos principais sistemas de gerenciamento de conteúdo (JERKOVIC; SINKOVIC, 2017). Alguns exemplos que precisam de controle para acessar são:
1. Servidores via FTP/SFTP/SSH;
2. Painel administrativo de um site;
3. Aplicativos do servidor;
4. Sites de Navegação;
5. Bancos de dados;
Marque a alternativa abaixo que contém todos os exemplos, da lista acima, que precisam de controle:
	
	
	
	
	I, II, III e V
	
	
	I, III, IV e V
	
	
	II, III, IV e V
	
	
	II, IV e V
	
	
	I, II e III
	
	
		1,25 pts.
	
		8.
		Risco de segurança ocorre sempre que uma aplicação inclui dados não-confiáveis numa nova página web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web existente com dados enviados por um utilizador através de uma API do browser que possa criar JavaScript. O XSS permite que atacantes possam executar scripts no browser da vítima, os quais podem raptar sessões do utilizador, descaracterizar sites web ou redirecionar o utilizador para sites maliciosos (Adaptado OWASP Top 2017) é conhecido como:
	
	
	
	
	Desserialização Insegura.
	
	
	Cross-Site Scripting (XSS).
	
	
	Configurações de Segurança da Informação.
	
	
	Utilização de Componentes Vulneráveis.
	
	
	Registro e Monitorização Insuficiente.