Segurança da informação Flashcards
Cite mecanismos de proteção lógica e proteção física
Proteção Lógica: compreende um conjunto de medidas e procedimentos adotados pela empresa ou intrínsecos aos sistemas utilizados. O objetivo é proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas
Proteção física: visa impedir que ativos de informação sejam expostos de forma não autorizada. Esses sistemas são compostos por elementos tais como cercas, barreiras, sensores e pessoal de segurança.
Qual a função do sistema de detecção de intrusão?
Apenas alerta o usuário, nenhuma ação será tomada ‘por conta dele’. Não são eficientes na detecção de novas formas de ataque (na variante mais comum, “signature-based”).
Um serviço VPN (virtual private network) que utilize o IPSEC possui recursos para se verificar a confidencialidade e a integridade dos pacotes?
Sim
Como um sistema de detecção de intrusão (IDS) pode verificar anomalias em outras portas de um switch?
Utilizando o recurso conhecido como port mirror do switch, que faz o espelhamento dos pacotes trafegados em outras portas para a porta em que o IDS estiver conectado.
Cite algumas funções que podem ser desempenhadas por um firewall para proteger uma rede
Firewalls inspect the datagram and segment header fields, denying suspicious data-grams entry into the internal network.
For example, a firewall may be configured to block all ICMP echo request packets, thereby preventing an attacker from doing a traditional ping sweep across your IP address range.
Firewalls can also block packets based on source and destination IP addresses and port numbers.
Additionally, firewalls can be configured to track TCP connections, granting entry only to datagrams that belong to approved connections.
Qual a proteção fornecida por um IDS (Intrusion Detection System)?
An IDS, typically situated at the network boundary, performs “deep packet inspection,” examining not only header fields but also the payloads in the datagram (including application-layer data).
An IDS has a database of packet signatures that are known to be part of attacks. This database is automatically updated as new attacks are discovered. As packets pass through the IDS, the IDS attempts to match header fields and payloads to the signatures in its signature database. If such a match is found, an alert is created.
Qual a principal diferença entre um IPS (Intrusion Prevention System) e um IDS (Intrusion Detection System)?
Um IPS pode bloquear pacotes além de criar alertas como o IDS
Os protocolos de quais protocolos um filtro de pacotes (tradicional “stateful”) é capaz de inspecionar?
IP, TCP, UDP e ICMP
Quais são os dois tipos de IDS (intrusion detectition system) e suas características principais?
IDS systems are broadly classified as either signature-based systems or anomaly-based systems.
A signature-based IDS maintains an extensive database
of attack signatures. Each signature is a set of rules pertaining to an intrusion activity. A signature may simply be a list of characteristics about a single packet (e.g., source and destination port numbers, protocol type, and a specific string of bits in the packet payload), or may relate to a series of packets.
An anomaly-based IDS creates a traffic profile as it observes traffic in normal operation. It then looks for packet streams that are statistically unusual, for example, an inordinate percentage of ICMP packets or a sudden exponential growth in port scans and ping sweeps.
Sobre um modelo de backup não estruturado:
- Qual a riqueza de informações sobre o que foi amazenado?
- Qual o nível de dificuldade de implementação?
- Qual a dificuldade de recuperação das informações caso necessário?
- São armazenadas informações mínimas sobre o que e quando foi armazenado;
- A implementação é simples;
- A recuperação das informações é difícil
Em um modelo de proteção contínua dos dados, o sistema registra cada mudança nos dados, isso é feito por diferenças de bytes (ou blocos de bytes) OU diferença de arquivos?
diferença de bytes (ou blocos de bytes)
é recomendável que cada sistema crítico para uma organização tenha pelo menos duas cópias, Quais os locais e objetivos dessas duas cópias mínimas?
Uma em local próximo, para recuperação imediata e outra em local distante, para permitir a recuperação em caso de desastres com maiores dimensões.
Qual a diferença entre o backup diferencial e o incremental?
O BACKUP INCREMENTAL baseia-se no último backup realizado (completo, incremental, qualquer um). Logo, se um usuário cria um backup normal no dia 1 e incrementais a cada dia posterior se der um problema no dia 6 ele terá que recuperar o arquivo do dia 1 (normal) e os arquivos incrementais dos dias 2, 3, 4 e 5 em seqüência.
O BACKUP DIFERENCIAL baseia-se no último backup completo realizado. Logo, se um usuário cria um backup normal no dia 1 e diferenciais a cada dia posterior se der um problema no dia 6 ele terá que recuperar o arquivo do dia 1 (normal) e o arquivos diferencial do dia 5, descartando os diferenciais anteriores.
Um backup pode ser completo, incremental ou diferencial, qual desses produz cópias maiores?
Backup completo, pois tanto o incremental quanto o diferencial precisam copiar apenas os arquivos alterados em relação a cópias anteriores.
O que é um backup de cópia?
Um backup de cópia copia todos os arquivos selecionados, mas não os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo não é desmarcado). A cópia é útil caso você queira fazer backup de arquivos entre os backups normal e incremental, pois ela não afeta essas outras operações de backup.
O que é backup diário?
Um backup diário copia todos os arquivos selecionados que foram modificados no dia de execução do backup diário. Os arquivos não são marcados como arquivos que passaram por backup (o atributo de arquivo não é desmarcado).
Como o backup diferencial modifica a marcação que indica se um arquivo foi modificado?
Embora o backup diferencial copie apenas os arquivos que sofreram mudança desde o último backup completo (usando essa marcação), não altera esse atributo.
Diferentemente, no backup incremental essa marcação é alterada após o backup.
Qual o tamanho do resumo gerado pelo algoritmo de hash SHA-1?
160 bits (20 bytes)
Como o becape incremental utiliza a cópia completa dos dados (becape normal/completo)?
Durante a criação do becape incremental apenas os arquivos modificados são copiados, assim tendo havido uma cópia completa anterior, apenas os arquivos modificados desde então serão copiados.
No momento da recuperação o becape completo precisa recuperar o backup normal em primeiro lugar, para depois recuperar os arquivos que foram salvos no referido becape incremental.
Qual becape é preciso realizar antes de poder-se realizar um becape legitimamente incremental?
O becape incremental precisa inicialmente de um becape completo, a partir do qual apenas os arquivos modificados serão realizados no becape incremental.
Cite alguns tipos de programas spyware
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador.
Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado.
Adware: projetado especificamente para apresentar propagandas.
O que é um spyware?
Um malware que age no computador capturando as ações e as informações do usuário.
O que são worms?
Um programa semelhante ao vírus, mas se diferenciam por se espalharem sem a intervenção do usuário e se distribuem através de replicação automática, sem necessidade de infectar outros programas, algumas vezes com mutações para dificultar sua identificação. constituem-se em vetores perfeitos de vírus e outras ameaças, carregando-as consigo nas suas viagens.
Do que os vírus precisam para se alastrar
Vírus necessitam de programas hospedeiros para se alastrarem
O que é um cavalo de tróia?
É um programa de computador que parece ser útil, mas na verdade causa danos. Alastra-se quando a pessoa é seduzida a abrir um programa por pensar que ele vem de uma fonte legítima.
O que é um adware?
Um software especificamente projetado para apresentar propagandas, quer por intermédio de um browser quer por meio de algum outro programa instalado.
O que é um rootkit?
A rootkit is a program or set of programs and files that attempts to conceal its existence, even in the face of determined efforts by the owner of the infected machine to locate and remove it. Usually, the rootkit contains some malware that is being hidden as well. Rootkits can be installed by any of the methods discussed so far, including viruses, worms, and spyware, as well as by other ways.
O que é um “kernel rootkit”? (atualmente o tipo de rootkit mais comum)
It is one that infects the operating system and hides in it as a device driver or loadable kernel module. The rootkit can easily replace a large, complex, and frequently changing driver with a new one that contains the old one plus the rootkit.
O que é um “firewall appliance”?
Um firewall implementado sobre uma combinação hardware e software, cuja função é tratar as regras de comunicação entre computadores de redes distintas, em especial entre as redes locais e as de longa distância.
O procotolo IPsec atua em qual camada do modelo OSI?
Na camada 3, de rede (network).
Cite limitações de segurança do protocolo de e-mail SMTP (sem extensões).
SMTP não inclui autenticação, assim campos como FROM, que deveria indicar o emissor do e-mail podem ser modificados, e de fato o são por spammers querendo se passar por outras entidades (spoofing).
Também por essa falta de autenticação, SMTP não oferece nenhuma medida que garanta a privacidade das mensagens
Qual a diferença de um filtro de pacotes tradicional (firewall) para um filtro de pacotes sensível a estados (stateful packet filter/firewall)?
In a traditional packet filter, filtering decisions are made on each packet in isolation. Stateful filters actually track TCP connections, and use this knowledge to make filtering decisions.
Stateful filters track all ongoing TCP connections in a connection table. This is possible because the firewall can observe the beginning and the end of a connection (through the SYN, SYNACK, ACK and FIN packets). The firewall can also (conservatively) assume that the connection is over when it hasn’t seen any activity over the connection for, say, 60 seconds.
O protocolo de autenticação Kerberos utiliza chaves simétricas ou assimétricas?
O protolo Kerberos utiliza diversas chaves simétricas (dos usuários, do Ticket-Granting Server, de sessões, etc.)
O que é PKI (Public Key Infrastructure)?
É um estrutura hierárquica de servidores (RAs - Regional Authorities) com a função de certificar terceiros utilizando uma estrutura de chaves assimétricas.
IPSs (Intrusion Preventio Systems) realizam um nível de inspeção no pacote muito profundo, até que cama do modelo OSI vai essa inspeção?
A inspeção vai até a camada de aplicação do modelo OSI (Camada 7)
Segundo a cartilha do Cert.BR, O que é um Trojan Banker ou Bancos?
É um tipo de trojan (cavalo de tróia) que coleta dados bancários do usuário, através da instalação de programas spyware que são ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy porém com objetivos mais específicos.
Segundo a cartilha do Cert.BR, o que é um Trojan Spy?
É um tipo de trojan (cavalo de tróia) que instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão de crédito, e enviá-las ao atacante.
O que é um “Computer Security Incident Response Team (CSIRT)”?
É uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Um CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, como uma empresa, um órgão governamental ou uma organização acadêmica. Um CSIRT também pode prestar serviços para uma comunidade maior, como um país, uma rede de pesquisa ou clientes que pagam por seus serviços.