Simulado 2 AV - SEGURANÇA CIBERNÉTICA

Prévia do material em texto

Disc.: SEGURANÇA CIBERNÉTICA   
	
	
	Acertos: 9,0 de 10,0
	
		1a
          Questão
	Acerto: 1,0  / 1,0
	
	Uma empresa está realizando cálculos para entender como os vários tipos de ameaças cibernéticas, caso causem incidentes em vários dos ativos do ciberespaço que possui, poderão afetá-la financeiramente. Em uma das hipóteses de incidente, uma ameaça cibernética poderia exfiltrar todos os dados críticos e impedir o funcionamento da empresa por alguns dias, causando um prejuízo estimado em R$ 245.000,00. Diante disso, qual fórmula final e justificativa correspondem ao cálculo para foi utilizada para chegar-se a esse valor?
		
	
	EF (fator de exposição), pois representa a porcentagem da perda provocada por uma ameaça.
	
	SLE (expectativa de perda única), pois representa a perda baseando-se no efeito de longo período causado pela ameaça.
	
	ALE (expectativa de perda singular), pois representa o valor esperado para a perda.
	 
	SLE (expectativa de perda singular), pois representa a perda baseando-se em apenas um evento de uma ameaça específica.
	
	ALE (expectativa de perda anual), pois representa a perda baseando-se no efeito de longo período causado pela ameaça.
	
	
	Explicação:
A SLE (expectativa de perda singular) representa a perda estimada baseando-se apenas em uma ameaça específica. A EF (fator de exposição) representa a perda em porcentagem, o que não é o apresentado pelo enunciado. A ALE (expectativa de perda anual) representa a perda no período de um ano, o que também não é visualizado no enunciado, pois o período está representado em dias.
	
		2a
          Questão
	Acerto: 1,0  / 1,0
	
	Um estabelecimento comercial está analisando o risco associado a todos seus serviços hospedados em nuvem. Diante disso, determinou que o grupo de trabalho responsável pelas implementações das medidas de segurança cibernética realizasse com todos os funcionários a proposição de problemas simulados relacionados à cibersegurança e seu impacto na quebra da confidencialidade de dados sigilosos, bem como calculasse o valor do prejuízo financeiro, de acordo com valores da moeda local, para cada dia que seus serviços permanecessem indisponíveis na Internet, em caso de ataques cibernéticos. Em relação a essas duas atividades, pode-se dizer que cada uma, respectivamente, no contexto da atividade de Análise de Riscos, é denominada de qual forma?
		
	
	Análise Subjetiva e Análise Objetiva.
	
	Análise Quantitativa e Análise Objetiva.
	 
	Análise Qualitativa e Análise Quantitativa.
	
	Análise Qualitativa e Análise Subjetiva.
	
	Análise Quantitativa e Análise Qualitativa.
	
	
	Explicação:
A Análise Quantitativa adota critérios objetivos e baseados em valores monetários, frente a riscos que possam tornar-se incidentes. A Análise Qualitativa cunha os valores das perdas, em decorrência do risco, de forma subjetiva. Por essa razão, o custo do prejuízo financeiro, calculado na moeda local, relativo aos dias em que os serviços da organização possam ficar indisponíveis na Internet é obtido por meio de técnicas da Análise Quantitativa, ao passo em que a proposição de problemas relacionados à quebra da confidencialidade é uma técnica da Análise Qualitativa, pois não é possível quantificar exatamente o montante da perda financeira decorrente desse risco. Os demais tipos de análise abordados nas outras alternativas não fazem parte do escopo da atividade de Análise de Riscos.
	
		3a
          Questão
	Acerto: 1,0  / 1,0
	
	Os ataques de negação de serviço tem como objetivo tornar indisponível um servidor. Avalie as afirmativas a seguir a respeito de ataques de negação de serviço.
 
I. Em UDP reflection, o atacante envia pacotes com origem falsa para um servidor UDP que não é o alvo. Esse servidor UDP, envia as respostas desses pacotes para o alvo.
 
II. O fator de ampliação é a razão entre a quantidade de bytes recebida pelo servidor alvo e a quantidade de bytes enviadas pelo atacante.
 
III. Assim como o ataque de SYN Flood, o UDP reflection completa o 3-way handshake.
 
É correto o que se afirma em:
		
	
	I e III
	
	Apenas II.
	
	Apenas III.
	
	Apenas I.
	 
	I e II
	
	
	Explicação:
O UDP reflection não completa o 3-way handshape. Ou UDP reflection envia pacotes UDP para um servidor externo para que as respostas sejam enviadas para o alvo.
	
		4a
          Questão
	Acerto: 1,0  / 1,0
	
	Bob, um funcionário da empresa Tecnologia & Comunicações, recentemente instalou um novo serviço de FTP em um sistema Linux. Como ele acreditava que já estava seguro com o serviço, deixou as configurações de FTP da forma padrão. Que vulnerabilidade Bob deixou em seu servidor?
		
	
	Bind shell.
	
	Vulnerabilidade 0-day.
	 
	Erros em configuração de serviços.
	
	Buffer overflow.
	
	Reverse Shell.
	
	
	Explicação:
Erros na configuração de serviços ocorrem quando o responsável não configura tudo o que é necessário para manter o código seguro.
	
		5a
          Questão
	Acerto: 1,0  / 1,0
	
	Algumas das Vulnerabilidades Web apresentadas no OWASP Top 10 de 2021 estão apresentadas em:
		
	
	Injeção, Quebra de Criptografia, Força Bruta.
	 
	Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.
	
	Injeção, Quebra de Autenticação e Ataque de Força Bruta.
	
	Exposição de dados sensíveis, Man-in-the-Middle, Injeção.
	
	Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting.
	
	
	Explicação:
As vulnerabilidades de aplicações web previstas no OWASP Top Ten de 2021 são as mais comumente encontradas de acordo com pesquisa realizada pela própria OWASP, com exceção da desserialização insegura, sugerida na lista por pesquisa realizada na industria de TI. Dessa forma, as vulnerabilidades de aplicações de web apresentadas pela OWASP em 2021 são: injeção, quebra de autenticação, exposição de dados sensíveis, entidades enternas de XML, quebra de controle de acesso, configurações de segurança incorretas, cross-site scripting, desserialização insegura, uso de componentes comhecidamente vulneráveis (não apresentada) e registro e monitoração insuficientes.
	
		6a
          Questão
	Acerto: 1,0  / 1,0
	
	Na exploração da vulnerabilidade de Entidades Externas do XML, supondo que o atacante adicionou a uma requisição XML legítima uma referência a uma entidade externa DOCType de forma que a requisição ficasse da seguinte forma:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE delete [ <!ENTITY user SYSTEM "file:///etc/os-release"> ]>
<userList><userId>&user;</userId></userList>
Qual das alternativas abaixo é verdadeira, considerando que o invador obteve sucesso na exploração:
		
	
	O invasor apagou o registro do usuário user.
	
	O invasor terá acesso como usuário user do sistema
	 
	O invasor terá acesso ao conteúdo do arquivo /etc/os-release do sistema operacional onde se encontra o servidor
	
	O invasor apagou o arquivo do sistema /etc/os-release utilizando o usuário user
	
	O invasor adicionou o usuário user à lista de usuários (userList) do sistema
	
	
	Explicação:
A entidade externa "user" do DOCType denominado "delete" faz referência a uma a um arquivo no caminho /etc/os-release . Ao chamar a entidade externa com &user; o processador de XML processar a entidade externa e solicitar um usuário do sistema utilizando um userId que é o conteúdo do arquivo os-release (ao invés de um número inteiro). Como não é possível realizar esta pesquisa, o processador de XML retorna para o requisitante (invasor) uma mensagem de erro dizendo, por exemplo, que o userId de número não foi encontrado. Assim, o invasor teve acesso a este conteúdo.
	
		7a
          Questão
	Acerto: 1,0  / 1,0
	
	Na internet atual, os usuários não precisam memorizar os endereços dos servidores que desejam acessar, graças ao serviço global DNS (Domain Name System), que entre outras coisas, faz a tradução das URL digitadas em endereços IP de forma transparente.
Sobre a importância do DNS e a Segurança da Informação,avalie as assertivas a seguir e a relação entre elas:
I - Ataques de poisoning às caches de servidores DNS podem ser evitados com a adoção do DNSSEC.
PORQUE
II - O uso de certificados digitais permite a autenticação das mensagens recebidas e enviadas.
A respeito dessas assertivas, assinale a opção correta:
		
	 
	As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I.
	
	As assertivas I e II são proposições verdadeiras, mas II não é uma justificativa correta para a I.
	
	A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira.
	
	A assertiva I é uma proposição verdadeira, mas II é uma proposição falsa.
	
	As assertivas I e II são proposições falsas.
	
	
	Explicação:
Gabarito: As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I.
Justificativa: O poisoning (envenenamento) de uma cache ocorre quando um agente malicioso consegue "informar" uma correspondência mal-intencionada entre uma URL e o seu correspondente IP, direcionando requisições para um outro servidor onde, possivelmente, está se fazendo pharming (site falso para coletar informações privadas). Para se evitar esse e vários outros ataques existe o DNSSEC, onde as inserções em cache são feitas exclusivamente se tiverem a sua origem verificada através de assinaturas digitais. Para isso, o DNSSEC usa certificação digital. Desta forma, ambas as assertivas estão corretas e a segunda é uma justificativa para a primeira.
	
		8a
          Questão
	Acerto: 1,0  / 1,0
	
	Uma das opções de segurança no ambiente TCP/IP é o IPSEC. Assinale a opção correta acerca do IPSEC.
		
	
	Através de negociação, os pares de uma comunicação em IPSEC definem uma "associação de segurança" com parâmetros únicos válidos para as mensagens em ambas as direções.
	 
	A implementação do IPSEC oferece confidencialidade e autenticidade/integridade para todas as aplicações instaladas.
	
	No IPSEC, caso haja demanda de confidencialidade, autenticidade e integridade, basta usar o cabeçalho ESP para confidencialidade e o AH para a autenticidade/integridade.
	
	O IPSEC é uma solução de segurança adicional, devendo ser instalada e configurada tanto para o IPv4 quanto para o IPv6.
	
	Na operação do IPSEC com ESP em modo túnel não se garante anonimidade, o que ocorre em modo transporte.
	
	
	Explicação:
Gabarito: A implementação do IPSEC oferece confidencialidade e autenticidade/integridade para todas as aplicações instaladas.
Justificativa: Opções erradas - Associações de Segurança são UNIDIRECIONAIS, ou seja, são criadas para cada sentido da comunicação. No modo TÚNEL do IPSEC ESP, um novo cabeçalho é acrescentado com os endereços dos gateways, ocultando os endereços de origem e destino dos pacotes e consequentemente garantindo a anonimidade. No modo TRANSPORTE não há esse encapsulamento, logo, não há anonimidade. O cabeçalho dá opção de autenticação adicionalmente à criptografia, logo, não há necessidade de uso simultâneo dos dois cabeçalhos. O IPSEC é uma funcionalidade PADRÃO do IPv6 e adicional ao IPv4, logo, não é preciso ser "instalada" para o IPv4. A opção certa decorre do fato da segurança com o IPSEC ser implementada na camada de REDE, fazendo com que todas as aplicações em execução se beneficiem disso, de forma transparente.
	
		9a
          Questão
	Acerto: 1,0  / 1,0
	
	Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser usado pelo crime organizado para armazenar informações roubadas de cartão de crédito. Um analista forense é instruído a seguir a ordem de volatilidade. Qual das fontes de dados deve ser coletada primeiro?
		
	 
	Memória RAM
	
	Disco Rígido
	
	Unidade USB
	
	Swap Files
	
	Slack Space
	
	
	Explicação:
Gabarito: Memória RAM
Justificativa: Os dados da memória de acesso aleatório (RAM) são perdidos, em teoria, quando o dispositivo é desligado. Portanto, a RAM deve ser coletada corretamente primeiro. Uma unidade flash USB manterá seus dados quando a energia for removida. Um disco rígido manterá seus dados quando a alimentação for removida. Um swap file é uma extensão da memória e é armazenado no disco rígido, portanto, é menos volátil do que a RAM. Slak space é o espaço fragmentado em disco rígido, correspondente a unidades de alocação não totalmente utilizadas.
	
		10a
          Questão
	Acerto: 0,0  / 1,0
	
	A maior fonte de renda empresa XPTO é sua loja online. A loja é hospedada por diversos servidores distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na segunda-feira às 9:00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O administrador, no entanto, digitou errado os comandos e apagou de forma incorreta todos os dados em discos. Isso derrubou a loja para todos os clientes mundialmente.
Fatos adicionais importantes sobre o evento incluem:
· Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21:00h.
· A organização determinou previamente que uma perda de dados de transação se estendendo por mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes insatisfeitos a requer reembolsos.
· Todos os servidores requerem uma reinicialização completa para completarem o processo de restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o dano e conclui que esse processo levará uma média de 8 horas para cada servidor.
· No geral, a XPTO acredita que pode recuperar a loja online completamente em aproximadamente 2 dias.
· Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 dias.
Dado o cenário, responda qual é o tempo médio para reparo (MTTR) de cada servidor afetado?
		
	 
	3 dias
	
	2 dias
	
	4 dias
	 
	8 horas
	
	6 horas
	
	
	Explicação:
Gabarito: 8 horas
Justificativa: MTTR é o tempo médio necessário para que um dispositivo seja recuperado de um incidente. O MTTR de um componente deve ser menor que o RTO se o dispositivo for relevante para esse esforço de recuperação. A equipe de disaster recovery da XPTO avaliou que pode recuperar cada servidor em até 8h, sendo este o MTTR de cada dispositivo.