Prévia do material em texto
3 / 3 ptsPergunta 1 Uma das certificações mais importantes para um profissional que irá integrar o Red Team ou o Blue Team é a certificação GXPN (GIAC Exploit Researcher a promovida pelo GIAC, que aborda os aspectos relacionados ao teste de penetração, empregando os recursos e técnicas avançadas para realização destes testes. Assim, entre os diversos tópicos cobrados nesta certificação, temos o tópico “Manipulating the Network” que irá cobrar o conhecimento sobre: Invasão dos equipamentos de rede, alterando a sua configuração e obtendo o acesso aos demais dispositivos da rede Invasão dos servidores de rede, para obter o acesso aos sistemas de autenticação, permitindo o uso das credenciais de administrador Manipulação dos algoritmos de configuração dos dispositivos de rede, tais como roteadores e switches Manipulação dos sistemas de rede para obter privilégios escalonados e exploração dos sistemas Manipulação dos protocolos de criptografia, para quebrar o acesso aos sistemas de autenticação e obter as senhas de acesso 3 / 3 ptsPergunta 2 Na área de segurança da informação temos os mais diversos indivíduos, que atuam com os mais diverso objetivos, e assim temos uma classificação empregada para identificar estes indivíduos, de acordo com a forma da atuação e dos objetivos de cada um deles. Assim, o indivíduo classificado como Cracker tem como principal objetivo: Causar a indisponibilidade dos mecanismos de segurança de acesso, derrubando os servidores de autenticação Obter o acesso indevido à rede, quebrando a senha do administrador da rede, com a utilização de sniffers Obter o acesso aos sistemas, quebrando a criptografia empregada para o registro dos dados de usuários Causar a indisponibilidade dos servidores, quebrando o acesso dos usuários, com um ataque de negação de serviço Obter o acesso indevido aos sistemas, quebrando os mecanismos de segurança de acesso ou os mecanismos de criptografia 3 / 3 ptsPergunta 3 Como resultado da simulação de ataque e defesa, com os jogos entre o Red Team e o Blue Team, termos a detecção das possíveis brechas de segurança que não estavam cobertos pelos sistemas de segurança já instalados. Assim, ima das medidas a serem tomadas após a realização da simulação de ataque será: Instalação de um sistema de monitoração em nuvem, em conjunto com o sistema de IDS na entrada da rede Instalar um sistema de detecção de intrusão (IDS) na entrada da rede, que será configurado de acordo com o resultado da simulação do ataque Aplicar as devidas correções, que são os chamados patchings, para minimizar as vulnerabilidades de rede e de sistemas Contratação de um hacker ético, para que realize um novo ataque aos sistemas, mapeando as novas vulnerabilidades Desativar os sistemas de segurança, para ajustar os níveis de segurança de acordo com o resultado da simulação do ataque 3 / 3 ptsPergunta 4 Uma das técnicas empregadas para a implementação de um ataque de negação de serviço (DoS - Denial of Service) é a exploração do mecanismo de fragmentação de pacotes IP, que faz parte do mecanismo de transporte do protocolo IP. Assim, na implementação deste ataque, o atacante irá: Realizar a invasão do equipamento de rede, alterando a sua configuração, para que ele passe a fragmentar todos os pacotes da rede Capturar e fragmentar todas as conexões com um determinado servidor, de modo que o servidor necessite fazer a remontagem de todos estes pacotes Enviar uma grande quantidade de pacotes IP fragmentados, sem o envio dos pacotes complementares desta fragmentação Infectar todos os clientes que estão conectados com um servidor, de modo que todos eles passem a fragmentar os pacotes enviados para o servidor Realizar a invasão do servidor, para que ele passe a fragmentar todos os pacotes enviados para os clientes conectados 3 / 3 ptsPergunta 5 Os ataques podem ser realizados nas diversas camadas do processo de comunicação. E uma das técnicas empregadas para a implementação de um ataque de negação de serviço (DDoS - Denial of Service), na camada de aplicação, é o ataque chamado de Slowloris, onde o atacante: Infectar todos os clientes que estão conectados com um servidor, de modo que todos eles passem a enviar uma grande quantidade de requisições para o servidor Realizar a invasão do servidor, para que ele passe a alocar mais recursos do que o necessário para cada conexão, até o seu esgotamento Envia solicitações parciais do HTTP (Hypertext Transfer Protocol), mas não as completa, até que nenhuma nova conexão possa ser feita pelo servidor Realizar a invasão do roteador da rede, alterando a sua configuração, para que ele passe a desviar todos os pacotes do servidor Captura e falsifica todas as conexões com um determinado servidor, de modo que o servidor reserve mais recursos para estas solicitações falsas 3 / 3 ptsPergunta 6 Um dos tipos de ataques cibernéticos que são amplamente empregados pelos atacantes é o ataque de negação de serviço, também chamado de DoS (Denial of Service). E este tipo de ataque tem como objetivo: Capturar as conexões dos usuários a um determinado serviço, realizando o seu desvio para o equipamento do atacante, tornando o acesso indisponível Causar a indisponibilidade dos terminais dos usuários, enviando requisições falsas, como ser fosse um servidor legítimo Causar a indisponibilidade de determinadas aplicações, tal como um site, tornando indisponível o serviço WEB Falsificar as requisições dos usuários, obtendo o acesso aos sistemas e alterando as credenciais dos usuários, que não conseguirão mais acessar o sistema Bloquear o acesso dos usuários aos serviços ou dispositivos de rede, de modo que os serviços se tornem indisponíveis 3 / 3 ptsPergunta 7 Uma das formas de garantir que os profissionais que irão participar do Red Tem ou do Blue Team tenham as habilidades e conhecimentos necessários são as certificações profissionais. E entre as certificações de mercado, uma das certificações que avalia os conhecimentos relacionados aos ataques relacionados às aplicações WEB é: WSPT: GIAC Web Servers Penetration Tester, promovida pela CERT GWAPT: GIAC Web Application Penetration Tester, promovida pela SANS GAWN: GIAC Assessing Wireless Networks, promovida pela SANS GWSPT: GIAC Web Servers Penetration Tester, promovida pela SANS 3 / 3 ptsPergunta 8 Os aplicativos web necessitam de controles de acesso, para permitir que os usuários, com privilégios variados, utilizem os recursos do aplicativo. Assim, temos diversas metodologias para a elaboração controle de acesso, que deverão ser as mais adequadas para cada tipo de aplicação. E um destes modelos é o RBAC (Role- Based Access Control), onde: A aplicação da política de segurança organizacional não depende da conformidade voluntária do usuário dos aplicativos O banco de dados dos usuários é criptografado, e os dispositivos de rede e servidores realização esta consulta empregando um acesso seguro As decisões de acesso são baseadas nas funções e responsabilidades de um usuário dentro da organização, ou em uma base de usuários A restrição do acesso a informações é realizada com base na identidade dos usuários e/ou na sua associação à determinados grupos O controle de acesso ao sistemas é realizado por um protocolo de autenticação baseado em tokens, necessariamente 3 / 3 ptsPergunta 9 Para a preparação dos profissionais que desejam realizar as diversas provas de certificação da GIAC, uma das opções é a realização dos cursos preparatórios ofertados pelo SANS, disponíveis nas modalidades presencial e online. E para a realização da certificação GXPN (GIAC Exploit Researcher an o curso preparatório recomendado é o: SEC617 - Web App Ethical Hacking, Penetration Testing, and Defense SEC617 - Ethical Hacking, Penetration Testing, and Defense. SEC660 - Advanced Penetration Testing, Exploits, and Ethical Hacking SEC542 - Advanced Penetration and Defense. SEC660 - Web AppPenetration Testing and Defense 3 / 3 ptsPergunta 10 Um ataque bastante comum é o ataque de injeção de SQL, devido ao predomínio significativo desta vulnerabilidade e da sua atratividade, sendo inclusive cobrado na prova de certificação GWAPT (GIAC Web Application Penetration Tester). E o mecanismo básico de operação deste tipo de ataque consiste em: Alterar a sequência de processamento dos dados, do banco de dados SQL, causando uma falha do sistema Realizar a injeção de dados falsos no banco de dados SQL, de modo que o resultado d processamento destes dados cause uma falha do sistema Alterar o código do programa que gerencia o banco de dados, com a injeção de novas linhas de código Realizar a injeção de comandos SQL no plano de dados, a fim de efetuar a execução de comandos SQL predefinidos Realizar a injeção de credenciais falsificadas no banco de dados, permitindo o acesso do atacante aos demais sistemas Pontuação do teste: 30 de 30