SóProvas

ID
2624320
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

      Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.


I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.


O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.

Alternativas
Comentários

  • Os testes de intrusão podem ser realizados de várias maneiras.[1] A diferença mais comum é a quantidade de detalhes da implementação do sistema a ser testado, que estão disponíveis para os testadores.

    O teste da caixa preta assume que não existe qualquer conhecimento prévio da infraestrutura a ser testada. Sendo que o primeiro teste deve determinar a localização e extensão dos sistemas antes de iniciar a análise.

    O teste da caixa branca assume que o testador possui total conhecimento da infraestrutura a ser testada, incluindo o diagrama da rede, endereçamento IP e qualquer informação complementar.

    Teste de caixa preta simulam um ataque de alguém que esteja familiarizado com o sistema, enquanto um teste de caixa branca simula o que pode acontecer durante o expediente de um trabalho ou depois de um "vazamento" de informações, em que o invasor tenha acesso ao código fonte, esquemas de rede e, possivelmente, até mesmo de algumas senhas.

  • Gabarito Errado

    Não foi feito teste de penetração do tipo white-box, pois o atacante só tinha  informações parciais e limitadas sobre os detalhes internos do programa.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Foi realizado teste Grey-Box, pois o pentester tinha apenas informações parciais.

  • Para melhor entendimento sobre o assunto em questão:

    TESTE DE ATAQUE E PENETRAÇÃO é o que Empresas de TI fornecem ou as proprias empresas (internamente) fazem para testar a segurança do seus dados. 

    sendo >> Conjunto de técnicas e metodologias para testar a conformidade com as diretivas de segurança e para detectar vulnerabilidades desconhecidas , Limitar os pontos de exposição e restringir a capacidade de invasores desconhecidos consegurem entrar

    Alguns desses testes são:

    Teste Caixa Preta: Assume que NÃO existe conhecimento prévio da infra estrutura a ser testada

    Teste Caixa Branca: Testador possui TOTAL conhecimento da infra estrutura a ser testada

    Teste Caixa Cinza: Mescla Teste Caixa Preta e Branca > conhece a infra estrutura(Branca), mas a execução ignora esse aspecto (Preta)

     

    FONTE: http://aulas.goldstep.com.br/tecnologia-da-informacao/testes-de-penetracao/924/

    Espero ter esclarecido, porque eu não tinha entendido esse assunto ;) #ConhecimentoRECÍPROCO

  • I teste caixa preta

    II teste caixa cinza

  • GAB: ERRADO

    Black Box como já podemos imaginar, são testes realizados quase sem informações, ÀS ESCURAS.

    Gray Box é um teste onde o atacante pode ter acesso às informações de forma parcial.

    White Box todas as informações sobre o sistema são conhecidas, e isso torna o ataque bem mais profundo.

  • GABARITO: ERRADO.

  • GRAYZIN BOX.

    .

    APROVEITANDO O FIO DA MEADA:

    .

    Gray Hat: ao encontrar uma vulnerabilidade no sistema de uma empresa, o gray hat observa os dados ali inseridos, por vezes até os divulga, sem cometer crime. Contudo, não informa a empresa sobre a existência da vulnerabilidade. Desta forma, “ficam em cima do muro”, eis que não cometem crimes, como os white hats, mas não repassam a existência de vulnerabilidade à empresa, como os black hats.

  • Teste De Invasão (Pentest): é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa, os três tipos:

    Quem está avaliando o sistema pode ter três tipos de informação:

    White Box : TODAS informações.

    Black Box : NENHUMA informação.

    Grey Box LIMITADAS / PARCIAIS as informações.

    fonte: colega do qc

  • Existem vários tipos de pentest, dentre os quais mais comuns são:

     

    Todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso aos mesmos, são fornecidas para que possam ser realizados testes extensivos e com mais abrangência.

    Testes White Box mais conhecidos são aqueles realizados para analisar aplicações web, onde a configuração do servidor e o próprio código-fonte são analisados abertamente em busca de falhas de segurança que possam comprometer o serviço.

     

    É o tipo de análise mais próximo de uma ataque externo, pois nenhuma informação vinda do cliente é fornecida ao analista de teste.

    Sendo assim, todo e qualquer tipo de informação para a realização de um teste Black Box é adquirida através de técnicas específicas de hacking sobre os serviços disponíveis do alvo, identificando assim as vulnerabilidades e os possíveis danos causados por um ataque mal intencionado.

     

    Esse tipo de análise pode ser considerado um mix dos anteriores, pois o analista de teste recebe alguma informação do cliente, como: dados da infraestrutura da rede ou acesso à determinado serviço web.

    Um bom exemplo de teste Grey Box são aqueles direcionados para analisar possíveis falhas de segurança em uma aplicação vinda através de um usuário credenciado, como níveis de permissões de acesso e alterações não autorizadas.

    A questão fala do White Box:

     Logo, o intuito do White Box costuma ser o de identificar vulnerabilidades que podem ser exploradas de dentro da empresa, por um colaborador ou consultor com objetivos questionáveis. A intenção é entender que tipo de informações confidenciais poderiam ser roubadas e evitar os ataques.

  • Gray Box: é um teste onde o atacante pode ter acesso às informações de forma parcial, sendo necessário explorar a partir delas para conseguir mais dados e realizar o ataque.

    Este tipo de teste fica entre os testes White Box e Black Box, portanto pode ser considerado um meio termo na execução dos testes.