SóProvas

ID
2734108
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A equipe de segurança da informação de determinado órgão identificou uma tentativa de ataque com as seguintes características:

• IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45)
• IP de origem: identificado na aplicação web (200.20.30.45)
• payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  
Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP. Identificaram também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos perfis das credenciais e do range de IPs internos da rede corporativa.


Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.

O referido atacante utilizou uma máquina comprometida localizada na rede interna do órgão, conhecida como máquina zumbi, controlando-a remotamente, na tentativa de listar os usuários e as senhas do servidor.

Alternativas
Comentários

  • O gabarito é Errado.

     

    No meu entendimento, as máquinas zumbis são utilizadas predominantemente para forjar ataques em massa, como o DDoS, não para roubar dados do servidor.

  • Gabarito Errado

    Máquinas zumbis são para ataques do tipo DDOS.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Marquei (Errado) imaginando que o IP detectado [200.x.x.x] no ataque não é um IP privado e, portanto, a origem do ataque é externa à rede. Será que tô viajando? 

  • Nada haver com Dos, DDoS, Bots, Botnet etc.

  • Creio que isso seja tentativa de sql injection ------ > HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  

  • Identificada no roteador, logo fora

     

  • Hélder, é nada A VER e não nada haver.

  • Endereço publico (200.20.30.45) não tem como ser da parte interna da rede do orgão. Para ser tinha que está na faixa de endereçamento privado.

  • Concordo com o colega Eduardo, tentativa de SQL injetion. O comando dado nao busca obter senhas e sim autorizar acesso como administraor apartir de um comando injetado.

  • Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP.

    Por aí já da para matar a charada!

  • GABARITO: ERRADO.

  • O IP é público e não da rede interna, Máquinas zumbis = ataque DDoS

    E

  • Ipv4:

    10.x.x.x

    172.x.x.x

    192.x.x.x

    = Intranet (rede interna)

  • Na minha visão o IP público mostra que o ataque vem de fora da rede interna, ademais o "controle" mencionado na questão é a partir da porta HTTP atacando o navegador da máquina, e não a máquina em si. Sem falar no que já foi citado pelos colegas, sobre o ataque de redes zumbis serem utilizados em ataques de negação de serviço DDoS

  • DDoS - Distributed Denial of Service

    ↳ É um ataque no qual um computador mestre pode gerenciar até milhões de computadores, chamados de zumbis.

    [...]

    Objetivo:

    ↳ Um ataque DDoS visa tornar um servidor, serviço ou infraestrutura indisponível. O ataque pode assumir várias formas:

    ☛ uma sobrecarga da largura de banda do servidor para o tornar indisponível

    • Ou,

    ☛ um esgotamento dos recursos de sistema da máquina, impedindo-a de responder ao tráfego legítimo.

    [...]

    Como é o procedimento?

    ↳ Por meio do DDoS, o computador mestre escraviza várias máquinas e as fazem acessar um determinado recurso em um determinado servidor todos no mesmo momento.

    ↳ Assim, todos os zumbis acessam juntamente e de maneira ininterrupta o mesmo recurso de um servidor!!!...

    DDoS - Várias máquinas deferem o ataque

    DOS - Apenas uma máquina defere o ataque

    ↳ Levando em consideração que os servidores web possuem um número limitado de usuários que se podem atender ao mesmo tempo, esse grande número de tráfego impossibilita que o servidor seja capaz de atender a qualquer pedido. O servidor pode reiniciar ou mesmo ficar travado dependendo do recurso que foi vitimado.

    ↳ No momento de um ataque DDoS, é enviada uma série de pedidos ao mesmo tempo a partir de vários pontos da web. A intensidade deste “fogo cruzado” torna o serviço instável, e, no pior dos casos, indisponível.

    [...]

    Questões Cespianas:

    1} Os ataques DDoS de camada de aplicação são caracterizados por explorar aspectos de arquitetura das aplicações e dos serviços para obstruir a comunicação; além disso, são difíceis de detectar e podem ser efetivos com poucas máquinas e taxas de tráfego não muito altas. (CERTO)

    2} Um ataque DDoS que utiliza protocolo DNS caracteriza-se por usar servidores de nomes para transformar consultas pequenas em cargas úteis muito maiores na resposta redirecionada à vítima. (CERTO)

    3} Em um ataque de DDoS, que objetiva deixar inacessível o recurso computacional para os usuários legítimos, um computador mestre controla milhares de computadores zumbis que acessam um sistema ao mesmo tempo (um servidor web, por exemplo), com o objetivo de esgotar seus recursos. (CERTO)

    4} DDOS (distributed denial of service) é um tipo de ataque que tem a finalidade de inviabilizar o funcionamento de um computador. Para isso, a partir de vários computadores, é enviada grande quantidade de requisições a determinado serviço, a fim de consumir os recursos do computador alvo do ataque. (CERTO)

    5} Ataques DDoS são causados por vários dispositivos, também chamados de botnet. (CERTO)

    [...]

    ____________

    Fontes: Wikipédia; CanalTech; Ovh; Questões da CESPE.

  • Gabarito: Errado.

    Não se trata de DDoS. Acredito que se trata de SQL injection.

    Bons estudos!

  • Gab. ERRADO

    BOT

    Controla remotamente o computador do usuário sem que o seja percebido. (DISCRETO) Chamado também de ZUMBI

    ·        Se comunica com o invasor ou foi automatizado.

    ·        Botnet é uma rede formada por centenas ou milhares de computadores infectados com bots.

    ·        Usados em ataques como de negação de serviço DoS ou DDoS. (RESPOSTA)

    ·        A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios

  • REDES PRIVADAS

    10.0.0.0 ATÉ 10.255.255.255 → qualquer uma que comece com 10. (primeira classe)

    172.16.0.0 ATÉ 172.31.255.255 → que comece com 172.16 até 172.31 (segunda classe)

    192.168.0.0 ATÉ 192.168.255.255 → qualquer uma com 192.168.(terceira classe)

    ------------------------------------------------------

    Lembrando que:

    CLASSES IP

    1ª classe → 1 a 127 (R.H.H.H)

    2ª classe → 128 a 191 (R.R.H.H)

    3ª classe → 192 a 223 (R.R.R.H)

    224 a 239 → multicast

    240 a 255 → experimental

  • Detalhe colegas, uma maquina zumbi (BOT) é mais comumente utilizada em ataques de negação de serviço, mas isso não significa que não possa ser usada com a finalidade de furtar informões sensíveis da vitíma, apesar dessa função ser normalmente asssociada a um spyware