Estratégias de Ataque e Defesa (Blue Team _ Red Team) (10)

Prévia do material em texto

3 / 3 ptsPergunta 1
Uma das certificações mais importantes para
um profissional que irá integrar o Red Team ou
o Blue Team é
a certificação GXPN (GIAC Exploit Researcher a
promovida pelo GIAC, que aborda os aspectos
relacionados ao teste de penetração,
empregando os recursos e técnicas avançadas
para realização destes testes. Assim, entre os
diversos tópicos cobrados nesta certificação,
temos o tópico “Manipulating the Network” que
irá cobrar o conhecimento sobre: 
 
Invasão dos equipamentos de rede, alterando a sua configuração e
obtendo o acesso aos demais dispositivos da rede
 
Invasão dos servidores de rede, para obter o acesso aos sistemas de
autenticação, permitindo o uso das credenciais de administrador
 
Manipulação dos algoritmos de configuração dos dispositivos de rede,
tais como roteadores e switches
 
Manipulação dos sistemas de rede para obter privilégios escalonados e
exploração dos sistemas
 
Manipulação dos protocolos de criptografia, para quebrar o acesso aos
sistemas de autenticação e obter as senhas de acesso
3 / 3 ptsPergunta 2
Na área de segurança da informação temos os
mais diversos indivíduos, que atuam com os
mais diverso objetivos, e assim temos
uma classificação empregada para identificar
estes indivíduos, de acordo com a forma da
atuação e dos objetivos de cada um
deles. Assim, o indivíduo classificado como
Cracker tem como principal objetivo: 
 
Causar a indisponibilidade dos mecanismos de segurança de acesso,
derrubando os servidores de autenticação
 
Obter o acesso indevido à rede, quebrando a senha do administrador
da rede, com a utilização de sniffers
 
Obter o acesso aos sistemas, quebrando a criptografia empregada para
o registro dos dados de usuários
 
Causar a indisponibilidade dos servidores, quebrando o acesso dos
usuários, com um ataque de negação de serviço
 
Obter o acesso indevido aos sistemas, quebrando os mecanismos de
segurança de acesso ou os mecanismos de criptografia
3 / 3 ptsPergunta 3
Como resultado da simulação de ataque e
defesa, com os jogos entre o Red Team e o
Blue Team, termos a detecção das possíveis
brechas de segurança que não estavam
cobertos pelos sistemas de segurança já
instalados. Assim, ima das medidas a serem
tomadas após a realização da simulação de
ataque será: 
 
Instalação de um sistema de monitoração em nuvem, em conjunto com
o sistema de IDS na entrada da rede
 
Instalar um sistema de detecção de intrusão (IDS) na entrada da rede,
que será configurado de acordo com o resultado da simulação do
ataque
 
Aplicar as devidas correções, que são os chamados patchings, para
minimizar as vulnerabilidades de rede e de sistemas
 
Contratação de um hacker ético, para que realize um novo ataque aos
sistemas, mapeando as novas vulnerabilidades
 
Desativar os sistemas de segurança, para ajustar os níveis de
segurança de acordo com o resultado da simulação do ataque
3 / 3 ptsPergunta 4
Uma das técnicas empregadas para a
implementação de um ataque de negação de
serviço (DoS - Denial of Service) é a
exploração do mecanismo de fragmentação de
pacotes IP, que faz parte do mecanismo de
transporte do protocolo IP. Assim, na
implementação deste ataque, o atacante irá: 
 
Realizar a invasão do equipamento de rede, alterando a sua
configuração, para que ele passe a fragmentar todos os pacotes da
rede
 
Capturar e fragmentar todas as conexões com um determinado
servidor, de modo que o servidor necessite fazer a remontagem de
todos estes pacotes
 
Enviar uma grande quantidade de pacotes IP fragmentados, sem o
envio dos pacotes complementares desta fragmentação
 
Infectar todos os clientes que estão conectados com um servidor, de
modo que todos eles passem a fragmentar os pacotes enviados para o
servidor
 
Realizar a invasão do servidor, para que ele passe a fragmentar todos
os pacotes enviados para os clientes conectados
3 / 3 ptsPergunta 5
Os ataques podem ser realizados nas diversas
camadas do processo de comunicação. E uma
das técnicas empregadas para a
implementação de um ataque de negação de
serviço (DDoS - Denial of Service), na camada
de aplicação, é o ataque chamado
de Slowloris, onde o atacante: 
 
Infectar todos os clientes que estão conectados com um servidor, de
modo que todos eles passem a enviar uma grande quantidade de
requisições para o servidor
 
Realizar a invasão do servidor, para que ele passe a alocar mais
recursos do que o necessário para cada conexão, até o seu
esgotamento
 
Envia solicitações parciais do HTTP (Hypertext Transfer Protocol), mas
não as completa, até que nenhuma nova conexão possa ser feita pelo
servidor
 
Realizar a invasão do roteador da rede, alterando a sua configuração,
para que ele passe a desviar todos os pacotes do servidor
 
Captura e falsifica todas as conexões com um determinado servidor, de
modo que o servidor reserve mais recursos para estas solicitações
falsas
3 / 3 ptsPergunta 6
Um dos tipos de ataques cibernéticos que são
amplamente empregados pelos atacantes é o
ataque de negação de serviço, também
chamado de DoS (Denial of Service). E este
tipo de ataque tem como objetivo:
 
Capturar as conexões dos usuários a um determinado serviço,
realizando o seu desvio para o equipamento do atacante, tornando o
acesso indisponível
 
Causar a indisponibilidade dos terminais dos usuários, enviando
requisições falsas, como ser fosse um servidor legítimo
 
Causar a indisponibilidade de determinadas aplicações, tal como um
site, tornando indisponível o serviço WEB
 
Falsificar as requisições dos usuários, obtendo o acesso aos sistemas
e alterando as credenciais dos usuários, que não conseguirão mais
acessar o sistema
 
Bloquear o acesso dos usuários aos serviços ou dispositivos de rede,
de modo que os serviços se tornem indisponíveis
3 / 3 ptsPergunta 7
Uma das formas de garantir que os
profissionais que irão participar do Red Tem ou
do Blue Team tenham as habilidades e
conhecimentos necessários são as
certificações profissionais. E entre as
certificações de mercado, uma das
certificações que avalia os conhecimentos
relacionados aos ataques relacionados às
aplicações WEB é: 
 
WSPT: GIAC Web Servers Penetration Tester, promovida pela CERT 
 
GWAPT: GIAC Web Application Penetration Tester, promovida pela
SANS
 GAWN: GIAC Assessing Wireless Networks, promovida pela SANS 
 
GWSPT: GIAC Web Servers Penetration Tester, promovida pela SANS 
3 / 3 ptsPergunta 8
Os aplicativos web necessitam de controles de
acesso, para permitir que os usuários, com
privilégios variados, utilizem os recursos do
aplicativo. Assim, temos diversas
metodologias para a elaboração controle de
acesso, que deverão ser as mais adequadas
para cada tipo de aplicação. E um destes
modelos é o RBAC (Role-
Based Access Control), onde: 
 
A aplicação da política de segurança organizacional não depende da
conformidade voluntária do usuário dos aplicativos
 
O banco de dados dos usuários é criptografado, e os dispositivos de
rede e servidores realização esta consulta empregando um acesso
seguro
 
As decisões de acesso são baseadas nas funções e responsabilidades
de um usuário dentro da organização, ou em uma base de usuários
 
A restrição do acesso a informações é realizada com base na
identidade dos usuários e/ou na sua associação à determinados grupos
 
O controle de acesso ao sistemas é realizado por um protocolo de
autenticação baseado em tokens, necessariamente
3 / 3 ptsPergunta 9
Para a preparação dos profissionais que
desejam realizar as diversas provas de
certificação da GIAC, uma das opções é a
realização dos cursos preparatórios ofertados
pelo SANS, disponíveis nas modalidades
presencial e online. E para a realização da
certificação GXPN (GIAC Exploit Researcher an
o curso preparatório recomendado é o: 
 
SEC617 - Web App Ethical Hacking, Penetration Testing, and Defense 
 SEC617 - Ethical Hacking, Penetration Testing, and Defense. 
 
SEC660 - Advanced Penetration Testing, Exploits, and Ethical Hacking 
 SEC542 - Advanced Penetration and Defense. 
 SEC660 - Web AppPenetration Testing and Defense 
3 / 3 ptsPergunta 10
Um ataque bastante comum é o ataque de
injeção de SQL, devido ao predomínio
significativo desta vulnerabilidade e da sua
atratividade, sendo inclusive cobrado na prova
de certificação GWAPT (GIAC
Web Application Penetration Tester). E o
mecanismo básico de operação deste tipo de
ataque consiste em: 
 
Alterar a sequência de processamento dos dados, do banco de dados
SQL, causando uma falha do sistema
 
Realizar a injeção de dados falsos no banco de dados SQL, de modo
que o resultado d processamento destes dados cause uma falha do
sistema
 
Alterar o código do programa que gerencia o banco de dados, com a
injeção de novas linhas de código
 
Realizar a injeção de comandos SQL no plano de dados, a fim de
efetuar a execução de comandos SQL predefinidos
 
Realizar a injeção de credenciais falsificadas no banco de dados,
permitindo o acesso do atacante aos demais sistemas
Pontuação do teste: 30 de 30