SóProvas

ID
2624323
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

      Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.


I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.


O requisito I é uma descrição do teste de penetração do tipo black-box, que pode ser realizado com ferramentas de descoberta de vulnerabilidade para a obtenção das informações iniciais sobre o sistema e a organização de fontes públicas.

Alternativas
Comentários

  • Gabarito Certo

    Teste de caixa branca

    O analista de testes tem acesso ao código fonte, conhece a estrutura interna do produto sendo analisado e possibilita que sejam escolhidas partes específicas de um componente para serem avaliadas. Esse tipo de teste, também conhecido como teste estrutural , é projetado em função da estrutura do componente e permite uma averiguação mais precisa do comportamento dessa estrutura. Perceba que o acesso ao código facilita o isolamento de uma função ou ação, o que ajuda na análise comportamental das mesmas.

     

    Teste de caixa preta

    O analista não tem acesso ao código fonte e desconhece a estrutura interna do sistema. É também conhecido como teste funcional , pois é baseado nos requisitos funcionais do software. O foco, nesse caso, é nos requisitos da aplicação, ou seja, nas ações que ela deve desempenhar.

    Para mostrar quais problemas que esse tipo de teste rastreia, podemos citar alguns exemplos:

    Data de nascimento preenchida com data futura;

    Campos de preenchimento obrigatório que não são validados;

    Utilizar números negativos em campos tipo valor a pagar;

    Botões que não executam as ações devidas;

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Mais uma mancada da Cespe


    Informações iniciais são com ferramentas de OSINT como Maltego e pesquisa no google  que consultam fontes públicas sobre a orgnização.

  • Um teste de invasão pode ser feito de duas maneiras. Uma delas é com uma visão externa à companhia, ou seja, como se o ataque viesse de alguém que não tem qualquer contato com a empresa. A outra forma é a partir da empresa, ou seja, como se um funcionário fizesse a invasão. Esses modelos são chamados respectivamente de black box e white box e abaixo explicamos melhor sobre como funciona cada um deles.

    Black Box

    Do inglês, caixa preta. O pentester, ou seja, a pessoa responsável pela execução do teste, faz a análise como se o sistema fosse uma espécie de “caixa vedada”, que protegesse informações sobre infraestrutura e sistemas da rede auditada.

    Há aqui uma análise inicial um pouco mais prolongada que no modelo White Box, onde é necessário uma pesquisa sobre a empresa e suas características, diretores, filiais, serviços prestados, softwares adotados por ela, arquitetura da rede e outros fatores que ajudem a identificar as variáveis para o teste de invasão.

    Geralmente o intuito do teste de invasão do tipo Black Box é simular um ataque hacker por alguém externo à empresa, ou seja, alguém que realmente não tenha um acesso fácil às informações da mesma. É um teste “às cegas” em relação aos dados fornecidos antecipadamente, mas que pode identificar as vulnerabilidades que poderiam facilitar esse tipo de invasão.

     

    White Box

    Do inglês, caixa branca. Neste caso, a pessoa que faz o teste tem conhecimento prévio de toda a infraestrutura analisada: mapeamento de rede, IPs, firewalls, roteadores e outras informações da empresa.

    Neste formato de teste de invasão, o auditor possui um grande nível de informações para analisar todos os serviços que puder e focar seus esforços em identificar e explorar vulnerabilidades, sem ter que descobrir informações básicas.

    O intuito do White Box costuma ser o de identificar vulnerabilidades que podem ser exploradas de dentro da empresa, por um colaborador ou consultor com objetivos questionáveis. A intenção é entender que tipo de informações confidenciais poderiam ser roubadas e evitar os ataques.

    Para que uma visão interna seja ainda mais nítida, o auditor pentester pode receber um acesso de usuário do sistema interno ou ainda uma conta de e-mail comumente usada por um colaborador da empresa.

    fonte: https://blog.siteblindado.com/teste-de-invasao-o-que-e-white-box-e-black-box/

  • Existem vários tipos de pentest (Teste de Penetração, em tradução literal), dentre os quais mais comuns são:

    White box: Testes White Box mais conhecidos são aqueles realizados para analisar aplicações web, onde a configuração do servidor e o próprio código-fonte são analisados abertamente em busca de falhas de segurança que possam comprometer o serviço.

    Black box: É o tipo de análise mais próximo de uma ataque externo, pois nenhuma informação vinda do cliente é fornecida ao analista de teste. Sendo assim, todo e qualquer tipo de informação para a realização de um teste Black Box é adquirida através de técnicas específicas de hacking sobre os serviços disponíveis do alvo, identificando assim as vulnerabilidades e os possíveis danos causados por um ataque mal intencionado.