A2 SEGURANÇA DE SISTEMAS OPERACIONAIS

Prévia do material em texto

GRA1455 SEGURANÇA DE SISTEMAS OPERACIONAIS 
· Pergunta 1
1 em 1 pontos
	
	
	
	Leia o texto a seguir:
"Um sistema de IDS baseado em modelo não é o único tipo. Muitos IDSs fazem o uso de um conceito chamado chamariz, que é um desvio configurado para atacar e pegar crackers e malware. Ele normalmente é uma máquina isolada com poucas defesas e um conteúdo aparentemente valioso pronto para ser roubado.[...] Alguns IDSs colocam seus chamarizes em máquinas virtuais para evitar danos ao sistema real subjacente.“
 
TANENBAUM A.S., Sistemas Operacionais Modernos, 3 ed. - São Paulo: Pearson Prentice Hall, 2009. p.435
 
Referente ao uso da tecnologia IDS (também chamadas de IDPS - Intrusion Detection and Prevention System ), assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
IDPS são ferramentas essenciais para o trabalho dos administradores de segurança, pois conseguem identificar que um ataque está próximo de acontecer.
	Resposta Correta:
	 
IDPS são ferramentas essenciais para o trabalho dos administradores de segurança, pois conseguem identificar que um ataque está próximo de acontecer.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois muitos IDPSs identificam atividades de reconhecimento, o que pode indicar que um ataque é iminente. Um IDPS pode ser capaz de bloquear o reconhecimento e notificar os administradores de segurança, que podem tomar medidas, se necessário, para alterar os controles de segurança para evitar incidentes relacionados.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Eventos de segurança precisam ser gerenciados. Este trabalho prescreve duas abordagens: o SIM e o SEM. Para os dias atuais, fez sentido a junção destas duas abordagens. Para isto possuímos o SIEM ( Security Information and Event Management) .
 
Sobre SIEM analise as alternativas a seguir e assinale a que está correta:
	
	
	
	
		Resposta Selecionada:
	 
SIEM ajuda na análise e reação a incidentes de segurança de maneira centralizada.
	Resposta Correta:
	 
SIEM ajuda na análise e reação a incidentes de segurança de maneira centralizada.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois devido à crescente quantidade de fontes diferentes de dados de log e outros eventos relevantes à segurança, e a subsequente necessidade crescente de analistas de segurança bem treinados, a demanda por um nível mais alto de automação aumenta. Dessa forma, o SIEM pode ajudar a analisar e reagir automaticamente a incidentes de segurança de maneira centralizada.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	A tecnologia IDPS ( Intrusion Detection and Prevention System ) serve para identificar atividades de reconhecimento, o que pode indicar que um ataque aquele sistema operacional é iminente. Por exemplo, algumas ferramentas de ataque e formas de malware, particularmente worms, realizam reconhecimento das atividades como varreduras de host e porta para identificar alvos para ataques subsequentes.
 
Considerando o texto apresentado sobre uso da tecnologia IDPS ( Intrusion Detection and Prevention System ), analise as afirmativas a seguir sobre detecção baseada em anomalias:
 
I. Baseia-se na observação entre uma atividade corrente e um conjunto de atividades normais a fim de detectar algo anormal.
II. A abordagem de detecção baseada em anomalias possui a capacidade de detectar novas intrusões.
III. Utiliza um conjunto de perfis e comportamentos aceitáveis como meio comparativo para detectar possíveis anomalias.
IV. O abordagem de detecção baseada em anomalias prevê consultas às unidades de trilha de auditoria do sistema operacional.
 
Está correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	 
I, II e III, apenas.
	Resposta Correta:
	 
I, II e III, apenas.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a detecção baseada em anomalias observa a diferença entre uma determinada atividade e um conjunto de atividades normais. Essa detecção tenta caracterizar uma atividade através de um conjunto de perfis que possuem as caracterizações de  comportamentos aceitáveis. A vantagem da detecção baseada em anomalias reside na capacidade de apontar novas intrusões. A detecção baseada em anomalias geralmente tem pouca informação sobre uma intrusão e dificilmente pode agir como uma resposta após a descoberta de qualquer intrusão.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Em um computador, com sistema operacional instalado, eventuais incidentes de segurança podem ocorrer. O uso não autorizado de privilégios do sistema, acesso não autorizado a dados confidenciais e a execução de malware que destroem dados do computador são exemplos de incidentes de segurança. A fim de evitar estes incidentes, aconselha-se adotar políticas que respondam a necessidade de tratativas para cada incidente.
 
A respeito da estrutura desta política, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Métricas para medir a capacidade de resposta devem estar descritos na política de resposta a incidentes.
II. ( ) O roteiro descritivo de resposta a incidentes deve estar presente neste documento de segurança.
III. ( ) Números telefônicos dos bombeiros devem estar descritos na política de resposta a incidentes.
IV. ( ) A missão, estratégia e objetivo para tratar incidentes devem estar descritos na política de resposta a incidentes.
 
Assinale a alternativa que apresenta a sequência correta:
	
	
	
	
		Resposta Selecionada:
	 
V, V, F, V.
	Resposta Correta:
	 
V, V, F, V.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois o documento de política a respostas a incidentes é um documento que possui uma estrutura base. Este documento deve conter a missão, estratégia e objetivo organizacionais frente aos incidentes. Além disso, descrever quais métricas serão usadas para medir a capacidade de resposta frente a um incidente. E por fim, deve existir um roteiro descritivo visando amadurecer a capacidade de resposta aos incidentes. Este documento é aprovado pela gerência e é validado pelo menos uma vez ao ano com eventuais atualizações.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Leia o trecho a seguir:
“A detecção de intrusão, como o nome sugere, se esforça para detectar intrusões tentadas ou realizadas nos sistemas computadorizados e para iniciar respostas apropriadas às intrusões. A detecção de intrusão compreende uma grande variedade de técnicas que variam por diversos eixos.”
 
SILBERCHATZ, A.S., GALVIN, P.B., GAGNE, G., Sistemas Operacionais com Java, 6 ed. - São Paulo: Campus, 2004. p.503
 
Considerando o texto sobre detecção de intrusão, analise as afirmativas a seguir sobre detecção baseada em uso indevido:
 
I. Utiliza um conjunto de comportamentos aceitáveis para detectar usos indevidos.
II. Utiliza dados estatísticos do Sistema de Detecção e Alerta de Intrusão.
III. Utiliza uma coleção de padrões de todos os intrusivos conhecidos.
IV. Comumente usada na detecção baseada em rede.
 
Está correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	 
III e IV, apenas.
	Resposta Correta:
	 
III e IV, apenas.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a detecção baseada em uso indevido geralmente consiste de uma coleção de padrões de todos os intrusivos conhecidos (que geram as atividades). O método exato varia do padrão simples (correspondente) ao nível mais alto dos modelos de cenário de intrusão.A correspondência de padrões é comumente usada na detecção baseada em rede. Ela identifica uma intrusão, procurando assinaturas específicas nas trilhas de auditoria.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Leia o trecho a seguir:
“O contínuo crescimento e diversificação da Internet está sendo acompanhado pelo aumento no número de incidentes de segurança. A devida resposta aos incidentes de segurança é um processo complexo e dispendioso para as equipes de segurança da informação.”
 
CERON, J., BOOS, A.J., MACHADO, C., MARTINS, F., REY, L. O processo detratamento de incidentes de segurança da UFRGS, Universidade Federal do Rio Grande do Sul, Porto Alegre, RS. Disponível em: http://www.ufrgs.br/tri/files/ifis.pdf. Acesso em: 21 jan. 2020.
Referente aos incidentes de segurança, assinale a alternativa correta:
	
	
	
	
		Resposta Selecionada:
	 
Um evento de segurança é uma atividade adversa num sistema ou rede que gera dano.
	Resposta Correta:
	 
Um evento de segurança é uma atividade adversa num sistema ou rede que gera dano.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois um evento é qualquer ocorrência observável em um sistema ou rede. Eles podem ser normais ou anormais. Os eventos anormais são considerados adversos e geram consequências negativas no quesito segurança, como falhas no sistema, inundações de pacotes, uso não autorizado de privilégios do sistema, entre outras situações.
	
	
	
· Pergunta 7
0 em 1 pontos
	
	
	
	Leia o trecho a seguir:
“Uma investigação forense digital [...] é o processo de se responder perguntas sobre estados e eventos digitais. Tais respostas são obtidas de uma maneira forense, onde os procedimentos e técnicas utilizados irão permitir que os resultados possam ser utilizados em um tribunal.”
 
MACEDO, G.M., Investigação Forense Digital de Rootkits em Sistemas Unix, Monografia submetida para obtenção do título de Graduado em Ciência da Computação pela Universidade Federal do Rio Grande do Sul. Porto Alegre, 2010. Disponível em: https://www.lume.ufrgs.br/handle/10183/26345. Acesso em: 21 jan. 2020.
 
A respeito da metodologia de análise digital forensics, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( )  A coleta e a preservação são elementos chaves para esta metodologia.
II. ( )  Para realizar a análise digital forense, prevê o uso de métodos científicos.
III. ( )  A investigação consiste em identificar evidências somente nos meios digitais.
IV. ( ) Esta análise visa promover a reconstrução de eventos considerados criminais.
 
Assinale a alternativa que apresenta a sequência correta:
	
	
	
	
		Resposta Selecionada:
	 
V, V, F, F.
	Resposta Correta:
	 
V, V, F, V.
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, a forense digital está amparada por 4 elementos chaves que são o uso de métodos científicos, coleta e preservação, validação, e documentação e apresentação. O objetivo da forense digital é conseguir reconstruir o um evento criminoso já ocorrido. Esta investigação é feita em diversos meios, pois não faz sentido somente focar num canal específico (por exemplo, o digital).
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	Os computadores pessoais, servidores e smartphones
costumam estar conectados numa grande rede chamada internet. Muitos destes dispositivos estão desprotegidos e sem nenhuma política de segurança configurada, estando assim vulneráveis a possíveis ataques. Mesmo os computadores protegidos, podem sofrer eventuais ataques e por isto faz-se necessário existir um meio para responder possíveis incidentes de segurança.
 
Analise as afirmativas a seguir sobre a necessidade de resposta aos incidentes de segurança:
 
I. Responder de forma sistêmica a incidentes de segurança ajuda a minimizar a perda ou o roubo de informações.
II. Políticas de resposta a incidentes costumam ser altamente individualizadas, pois cada organização possui uma particularidade.
III. A política de resposta a incidentes é um documento que não sofre alterações até que ocorra um ataque de negação de serviço.
IV. Numa política de resposta a incidentes encontramos as diretrizes para comunicações externas e compartilhamento de informações.
 
Está correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	 
I, II e IV, apenas.
	Resposta Correta:
	 
I, II e IV, apenas.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois ter uma política de como responder a incidentes de segurança ajuda identificarmos e tratarmos de forma sistêmica um incidente. Neste documento deve estar descrito as ações que precisam ser tomadas caso um incidente aconteça. Este documento é atualizado com frequência (pelo menos anual), mesmo que incidentes não estejam acontecendo. Como cada organização possui uma característica é comum cada política ser específica, mas um conjunto de informações base precisam ser descritas, dentre elas, como deve ser o compartilhamento de informações (internamente e externamente).
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Leia o trecho a seguir:
“Após se ter indícios ou a confirmação de que o sistema foi invadido, a investigação forense digital entra em cena para descobrir e interpretar as evidências da invasão, correlacionando-as, para apresentar o que aconteceu, como aconteceu, quem fez e o porquê. Com resultados obtidos na investigação forense digital, os investigadores podem levar as evidências a um tribunal[...].”
 
MACEDO, G.M., Investigação Forense Digital de Rootkits em Sistemas Unix, Monografia submetida para obtenção do título de Graduado em Ciência da Computação pela Universidade Federal do Rio Grande do Sul. Porto Alegre, 2010. Disponível em: https://www.lume.ufrgs.br/handle/10183/26345. Acesso em: 21 jan. 2020.
 
Sobre forense digital, assinale a alternativa que apresenta a resposta correta:
	
	
	
	
		Resposta Selecionada:
	 
A tecnologia e os dispositivos digitais costumam evoluir mais rápido que a forense digital.
	Resposta Correta:
	 
A tecnologia e os dispositivos digitais costumam evoluir mais rápido que a forense digital.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a forense digital é a aplicação de princípios científicos no processo de descoberta de informações de um dispositivo digital. Ela pode ser aplicada em qualquer dispositivo digital, por exemplo smart tvs, telefones celulares e computadores pessoais.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	A detecção de intrusão é o processo em que devemos acompanhar as ações que ocorrem e analisá-los quando existem sinais de possíveis incidentes, que são violações ou ameaças iminentes das políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão.
 
Referente aos sistemas de detecção de intrusão no nível do sistema operacional, assinale a alternativa que apresenta a resposta correta.
	
	
	
	
		Resposta Selecionada:
	 
Através de um protótipo, aplicado em ambiente UNIX, foi possível incluir os conceitos de detecção de intrusão no nível do sistema operacional.
	Resposta Correta:
	 
Através de um protótipo, aplicado em ambiente UNIX, foi possível incluir os conceitos de detecção de intrusão no nível do sistema operacional.
	Comentário da resposta:
	 Resposta correta. A alternativa está correta, pois em 1995, houve a publicação de um estudo que relatou a criação de um protótipo UNIX do STAT que aplica o princípio de detecção de intrusão em nível de sistema operacional. Baseado neste estudo, outros pesquisadores aplicaram novas melhorias em sistemas UNIX. Ambos projetos e pesquisas experimentaram conseguiram sugerir a possibilidade de posicionar um sistema de detecção de intrusão no nível do sistema operacional.