SóProvas

ID
1848964
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsequente a respeito das tecnologias de firewalls, IDS (intrusion detection system) e virtualização.

Em sistemas virtualizados, escape to host ou guest-to-host virtual machine escape são ataques em que o atacante explora vulnerabilidades normalmente associadas ao virtualizador, rompendo o isolamento das máquinas virtuais e acessando o host.

Alternativas
Comentários

  • 1.6 - Vulnerabilidades da Virtualização

    Falhas e erros de segurança são comuns em qualquer sistema, porém, existem certas falhas que ocorrem apenas nas máquinas virtuais, algumas destas falhas ocorrem devido a configurações, outras devido à arquitetura. A seguir, a definição de algumas falhas encontradas nas VMs:

     
    1.6.1 - VM Escape

    Este erro está relacionado ao isolamento existente entre as VMs e entre as VMs e a máquina host. No VM Escape esse isolamento é totalmente comprometido, uma aplicação que está sendo executada em uma máquina virtual pode ignorar a camada virtual e ter acesso diretamente à máquina host, tendo acesso a maquina host ele foge das restrições às máquinas virtuais, resultando em uma quebra de segurança. Para solucionar esse problema e evitar esse problema de segurança, é necessário realizar uma configuração detalhada dos privilégios e restrições das máquinas virtuais.

     

    1.6.2 - Monitoramento de VM por outra VM

    Este erro também está relacionado ao isolamento entre as VMS. Ele ocorre quando uma VM consegue ter acesso às informações de recursos de outra VM e monitorá-los. Um exemplo é quando uma VM consegue rastrear e redirecionar os pacotes de rede de outra máquina guest utilizando um ataque ARP-Poisoning. Esse tipo de ataque envia uma resposta falsa ARP a uma solicitação ARP original, com essa resposta falsa o aparelho responsável pela transmissão dos pacotes de rede pode enviar os dados que estariam direcionados ao guest 1 para o guest 2, tendo assim o guest 2 acesso às informações particulares do guest 1 (VIEIRA, 2008). Autenticar o tráfego de rede, inclusive entre as VMs, é uma solução para evitar este tipo de erro.

  • 1.6.3 - Negação de Serviço

    Erro relacionado ao compartilhamento de recursos entre as máquinas virtuais e a máquina física. Quando uma máquina guest está consumindo a maioria ou todos os recursos do sistema em que está hospedado, e outra máquina guest solicita a utilização de recursos, ocorre então à negação de serviço, isso porque não há recursos disponíveis para serem utilizados. Para evitar a negação de serviço é necessária uma correta configuração das máquinas virtuais, para evitar que uma VM consuma todos os recursos disponíveis.

     

    1.6.4 - Ataque guest para guest

    É um ataque que consegue possuir o privilégio de administrador do hardware, com isso, ele consegue se transferir de uma VM para outra após quebrar o framework de segurança.

     

    1.6.5 - Modificações externas do hypervisor

    O funcionamento correto do hypervisor garante o isolamento e a segurança necessária para a execução de aplicações nas máquinas virtuais. Uma alteração realizada de maneira incorreta ou o mau funcionamento dele faz com que haja uma quebra na segurança do sistema e possa afetar o funcionamento de algumas aplicações. A utilização de hypervisors seguros, não permitir alterações do hypervisor não autorizadas e solicitar uma validação do hypervisor pelas máquinas virtuais são algumas das soluções para evitar este erro (SAHOO; MOHAPATRA; LATH, 2010).

    Fonte: http://aberto.univem.edu.br/bitstream/handle/11077/981/tcc%20corrigido.doc

  • Falhas de segurança em maquinas virtuais

     

    Virtual machine escape is the process of breaking out of a virtual machine and interacting with the host operating system.

     

    Ataque guest para guest É um ataque que consegue possuir o privilégio de administrador do hardware, com isso, ele consegue se transferir de uma VM para outra após quebrar o framework de segurança.

     

    Modificações externas do hypervisor  O funcionamento correto do hypervisor garante o isolamento e a segurança necessária para a execução de aplicações nas máquinas virtuais. Uma alteração realizada de maneira incorreta ou o mau funcionamento dele faz com que haja uma quebra na segurança do sistema e possa afetar o funcionamento de algumas aplicações.

     

    Negação de Serviço Um guest solicita recursos que estão sendo utilizados por outro guest.

     

    Monitoramento de VM por outra VM Este erro também está relacionado ao isolamento entre as VMS. Ele ocorre quando uma VM consegue ter acesso às informações de recursos de outra VM e monitorá-los. Um exemplo é quando uma VM consegue rastrear e redirecionar os pacotes de rede de outra máquina guest utilizando um ataque ARP-Poisoning. Esse tipo de ataque envia uma resposta falsa ARP a uma solicitação ARP original, com essa resposta falsa o aparelho responsável pela transmissão dos pacotes de rede pode enviar os dados que estariam direcionados ao guest 1 para o guest 2, tendo assim o guest 2 acesso às informações particulares do guest 1 (VIEIRA, 2008). Autenticar o tráfego de rede, inclusive entre as VMs, é uma solução para evitar este tipo de erro.

  • Gabarito CERTO p/ não assinantes.

  • GABARITO: CERTO.

  • Intrusion Detection System (IDS)

     Do Português - Sistema de Detecção de Intrusão - é um sistema que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede.

    • IDS -> Intruso Detectado no Sistema > alerta o usuário, somente!
    • (Late, porém não morde! rsrs)

     Em outras palavras, é um software que automatiza o processo de detecção de intrusão.

    [...]

    Pra que ele serve?

    É usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

    [...]

    Como ele funciona?

    O sistema analisa o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos.

     Além disso, compara flags definidas em um cabeçalho TCP com boas e más combinações conhecidas de flags.

    [...]

    Onde ele deve ser instalado?

    IDS é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

    [...]

    Questões Cespianas:

    1} Um IDS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias. (CERTO)

    2} Os sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas. (CERTO)

    3} Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DoS, de inundação de largura de banda, de worms e de vírus. (CERTO)

    4} Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    [...]

    ____________

    Fontes: Universidade Federal do RJ; Questões da CESPE; Colegas do QC.

  • GAB. CERTO

    Em sistemas virtualizados, escape to host ou guest-to-host virtual machine escape são ataques em que o atacante explora vulnerabilidades normalmente associadas ao virtualizador, rompendo o isolamento das máquinas virtuais e acessando o host.

  • Sei nem errar.

  • Pois eu errei.

  • O melhor comentário é a própria questão.