SóProvas

ID
145312
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a firewalls e a sistemas de detecção de intrusão, julgue os itens a seguir.

Um sistema de detecção de intrusão poderia usar uma assinatura genérica de ataques de buffer overflow formada por sequências do byte 0x90 (hexadecimal).

Alternativas
Comentários

  • O item está correto

    Resumidamente, uma das técnicas de detecção de intrusão é a utilização de assinaturas conhecidas. No caso do buffer overflow, pode ser usada a detecção de sequências do byte 0x90 como assinatura.

    A explicação completa segue abaixo:

    Podem-se destacar três tipos de metodologias de detecção (que podem ser utilizadas separadamente ou em conjunto):

    Detecção baseada em assinatura: compara assinaturas conhecidas com eventos observados. Novos tipos de ataques que não possuem uma assinatura não podem ser detectados; Detecção baseada em comportamento anômalo: compara definições e perfis de qual atividade de rede é considerada normal contra eventos observados para determinar desvios de padrão. Utilizado para detectar novos tipos de ataques. Contudo, existem o problema da inclusão de atividade normal como atividade maliciosa; Análise de protocolo statefull: compara perfis pré determinados de definições geralmente aceitas de atividade de protocolos com desvios de eventos analisados. Ao contrário da metodologia 2, esta baseia-se em perfis universais.

    Fonte:http://svn.assembla.com/svn/odinIDS/Egio/artigos/IDS/deteccao-hibrida.pdf

    Buffer Overflow é uma técnica que é usada para descrever o ato de encher um pedaço de memória com mais dados do que ela suporta, permitindo muitas vezes a um atacante alterar o fluxo de execução de um programa.
    Muitos ataques de Buffer Overflows utilizam um payload (códigos que serão executados na máquina destino) denominado shellcodes. Shellcodes são pequenas instruções assembly que são usados para executar uma shell ou comandos shell, tipicamente como um resultado de um ataque de buffer overflow.
    Vejamos alguns exemplos de ataques de Buffer Overflows que visam se evadir da detecção de um NIDS com base em assinaturas.
    - Regras Contra NOPs (inclui NIDSFindShellcode);
    É muito comum um NIDS possuir regras para detecção de instruções vazias (NOPS)
    A instrução vazia (NOP) e seu representante em hexa na arquitetura Intel x86 é 0x90 (90H).
    Logo, uma base de dados de assinaturas de um NIDS pode conter regras para detectar tal instrução vazia.

    Read more: http://pc-hacker.blogspot.com/2010/10/como-funcionam-os-exploits.html#ixzz137SwEw00

     

  • Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


    Bibliografia:

    Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    Editora: Novatec