SóProvas

ID
208924
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ataques a redes de computadores e de incidentes de
segurança, julgue os itens de 81 a 85.

O incidente denominado DDoS deve ser tratado de maneira diferente de outros tipos de incidente de segurança, pois dificilmente um firewall ou IDS gerará log. Sua notificação de incidente deve informar o cabeçalho e o conteúdo completos da mensagem recebida pelo usuário.

Alternativas
Comentários

  • Em um ataque distribuído de negação de serviço (também conhecido como DDoS, um acrônimo em inglês para Distributed Denial of Service), um computador mestre (denominado 'Master') pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis). Repare que nestes casos, as tarefas de ataque de negação de serviço são distribuídas a um 'exército' de máquinas escravizadas.
    O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como servidores web possuem um número limitado de usuários que pode atender simultaneamente ("slots"), o grande e repentino número de requisições de acesso esgota esse número de slot, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
    Vírus conhecidos criados para a distribuição de rotinas de ataque de negação de serviço incluem "Codered", "Slammer", "MyDoom" e "MyPenis", "MyBalls" , que escravizam o infectado. Ferramentas conhecidas de ataques DDos incluem 'Fabi' (1998), 'Blitznet', 'Trin00' (jun/1999), 'TFN' (ago/1999), 'Stacheldraht' (set/1999), 'Shaft', 'TFN2K' (dez/1999), 'Trank'.
    Sistemas de detecção de intrusão mais modernos incluem assinaturas que permitem detectar ataques DDoS e comunicação entre o atacante, o master DDoS e o agente DDoS. É possível também aplicar filtros anti-spoofing tanto no firewall quando nos roteadores para gerar log desse tipo de ataque.

  • Como informar na notificação o cabeçalho e o conteúdo completos da mensagem recebida pelo usuário, se o IDS não foi capaz de gerar o log ?
  • A questão trata do incidente causado por phishing/scam.

    Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois não necessariamente haverá logs gerados por um firewall ou IDS, por exemplo.
    O phishing/scam é uma mensagem de e-mail que procura induzir o usuário a fornecer dados pessoais e financeiros. Desta forma, uma notificação de incidente deste tipo deve conter o cabeçalho e conteúdo completos da mensagem recebida pelo usuário.

    Fonte: Cartilha CERT, versão 3.1, 2006

  • Prezados,

    Primeiramente, o DDoS ( distributed denial of service ) é um tipo de ataque, e não um incidente, dai o uso do DDoS irá provocar um ou mais incidentes. Segundo, seria inviável para um ataque de DDoS, onde o ambiente é inundado por inúmeras mensagens, que a notificação seja dada com o cabeçalho e o conteúdo completo da mensagem recebida pelo usuário, portanto , questão falsa.

    Para reforçar o aprendizado, o DDoS é uma atividade maliciosa, coordenada e distribuída pela qual um conjunto de computadores e/ou dispositivos móveis é utilizado para tirar de operação um serviço, um computador ou rede conectada à internet. 


    A alternativa correta é : ERRADO.

  • Para quem já sofreu sabe que é muito pelo contrário. Em ataques de negação de serviços as ferramentas na borda são inundadas de eventos de requisição (caso de DoS em camada 4, com o mesmo valendo para o servidor de aplicação ou OS em camada 7)

  • GABARITO: ERRADO.