Академический Документы
Профессиональный Документы
Культура Документы
TECNOLOGIA DA INFORMAO - QUESTES COMENTADAS CESPE/UNB http://www.dominandoti.com.br/livros TI SEGURANA DA INFORMAO PARA CONCURSOS NVEL AVANADO - http://socratesfilho.com/cursosteorico/seguranca-da-informacao-para-concursos/ Provas de TI www.provasdeti.com.br Tambm foram usadas outras fontes, como livros, comentrios do site Questes de Concursos, etc. Os comentrios so sempre feitos colocando as fontes encontradas, algumas questes so mais difceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros. Espero que ajude. Abraos.
Introdua o
Vale ressaltar que alguns comentrios sobre as questes foram retiradas das seguintes fontes:
Essa a verso 1.0, sendo a maioria das questes da banca CESPE, com o tempo espero acrescentar muito mais questes. Caso encontre algum erro nesta verso pode mandar um e-mail para lhugojr@hotmail.com, colocando o nmero da questo e o erro encontrado. Voc tambm pode ajudar a melhorar os comentrios, alguns comentrios podem estar com o nvel fraco, isso ocorre quando no so encontradas fontes que tratam sobre o tema da questo. Caso voc encontre alguma fonte ou queira melhorar o comentrio mande um e-mail.
Notas da Versa o
LhugoJr
Pgina 1
1 Malwares
(CESPE TCU 2007 Analista de Controle Externo Auditoria em TI)
1) So caractersticas tpicas dos malwares: cavalos de tria aparentam realizar atividades teis; adwares obtm e transmitem informaes privadas do usurio; backdoors estabelecem conexes para fora da rede onde se encontram; worms modificam o cdigo de uma aplicao para propagar-se em uma rede; e botnets realizam ataques articulados por meio de um controle remoto. Vamos as definies do CERT.BR (http://cartilha.cert.br/malware/):
Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas, e sem o conhecimento do usurio. Adware (Subtipo de SPYWARE): projetado especificamente para apresentar propagandas. Pode ser usado para fins legtimos, quando incorporado a programas e servios, como forma de patrocnio ou retorno financeiro para quem desenvolve programas livres ou presta servios gratuitos. Tambm pode ser usado para fins maliciosos, quando as propagandas apresentadas so direcionadas, de acordo com a navegao do usurio e sem que este saiba que tal monitoramento est sendo feito. Spyware um programa projetado para monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Backdoor um programa que permite o retorno de um invasor a um computador comprometido, por meio da incluso de servios criados ou modificados para este fim. Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em computadores Bot um programa que dispe de mecanismos de comunicao com o invasor que permitem que ele seja controlado remotamente. Possui processo de infeco e propagao similar ao do worm, ou seja, capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores
Portanto podemos perceber facilmente que as definies de adware e worm esto erradas, Questo errada.
Portanto o que torna a questo errada a segunda parte: Esses programas no so considerados como vrus de computador, desde que no se repliquem a partir de um sistema onde tenham sido instalados.. O verdadeiro motivo de no ser considerado vrus o fato de no necessitarem de um arquivo hospedeiro.
(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia da Informao Redes e Telecomunicaes)
LhugoJr
Pgina 2
Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) 3) Os vrus geralmente se disseminam sem a ao do usurio e distribuem cpias completas de si mesmos, possivelmente modificadas, atravs das redes. Vamos usar Stallings, pag. 445:
Um vrus um software que pode 'infectar' outros programas modificando-os; a modificao inclui uma cpia do programa de vrus, que pode ento prosseguir para infectar outros programas. Um verme (worm) um programa que pode se replicar e enviar cpias de um computador para outro atravs da rede. Na chegada, o worm pode ser ativado para replicar-se e propagar-se novamente. Alm da propagao, o verme normalmente realiza alguma funo indesejada.
Portanto a questo est errada, j que vrus precisa de uma ao de usurio para se tornar ativo. E quem se propaga automaticamente pela rede o worm. 4) Um worm um mtodo oculto para contornar os mecanismos de autenticao em sistemas computacionais. Vamos a definio do CERT.BR:
Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos, devido grande quantidade de cpias de si mesmo que
LhugoJr
Pgina 3
muito importante ressaltar que o nome rootkit no indica que os programas e as tcnicas que o compe so usadas para obter acesso privilegiado a um computador, mas sim para mant-lo. Rootkits inicialmente eram usados por atacantes que, aps invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos mtodos utilizados na invaso, e para esconder suas atividades do responsvel e/ou dos usurios do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente tm sido tambm utilizados e incorporados por outros cdigos maliciosos para ficarem ocultos e no serem detectados pelo usurio e nem por mecanismos de proteo. H casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de msica, sob a alegao de necessidade de proteo aos direitos autorais de suas obras. A instalao nestes casos costumava ocorrer de forma automtica, no momento em que um dos CDs distribudos contendo o cdigo malicioso era inserido e executado. importante ressaltar que estes casos constituem uma sria ameaa segurana do computador, pois os rootkits instalados, alm de comprometerem a privacidade do usurio, tambm podem ser reconfigurados e utilizados para esconder a presena e os arquivos inseridos por atacantes ou por outros cdigos maliciosos.
(CESPE Banco da Amaznia - 2010 Tcnico Cientfico Especialidade: Tecnologia da Informao Segurana da Informao)
LhugoJr
Pgina 4
Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) 5) O cavalo de troia (trojan horse) no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou de falhas na configurao de software instalados em computadores. Segundo o glossrio da cartilha do CERT.BR (http://cartilha.cert.br/glossario/)
Worm - Tipo de cdigo malicioso. Programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou falhas na configurao de programas instalados em computadores.
Portanto questo errada, trocou worm por trojan horse. S para mais estudos vamos a definio de trojan horse, pelo mesmo glossrio:
Cavalo de troia - Tipo de cdigo malicioso. Programa normalmente recebido como um "presente" (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc.) que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas e sem o conhecimento do usurio.
6) Um worm pode realizar diversas funes maliciosas, como a instalao de keyloggers ou screenloggers, o furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito, a incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alterao ou destruio de arquivos. Segundo a cartilha de segurana do CERT.BR, temos:
Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas, e sem o conhecimento do usurio. Exemplos de trojans so programas que voc recebe ou obtm de sites na Internet e que parecem ser apenas cartes virtuais animados, lbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um nico arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans tambm podem ser instalados por atacantes que, aps invadirem um computador, alteram programas j existentes para que, alm de continuarem a desempenhar as funes originais, tambm executem aes maliciosas. H diferentes tipos de trojans, classificados2 de acordo com as aes maliciosas que costumam executar ao infectar um computador. Alguns destes tipos so: Trojan Downloader: instala outros cdigos maliciosos, obtidos de sites na Internet. Trojan Dropper: instala outros cdigos maliciosos, embutidos no prprio cdigo do trojan. Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. Trojan DoS: instala ferramentas de negao de servio e as utiliza para desferir ataques. Trojan Destrutivo: altera/apaga arquivos e diretrios, formata o disco rgido e pode deixar o computador fora de operao. Trojan Clicker: redireciona a navegao do usurio para sites especficos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegao annima e para envio de spam. Trojan Spy: instala programas spyware e os utiliza para coletar informaes sensveis, como senhas e nmeros de carto de crdito, e envi-las ao atacante. Trojan Banker ou Bancos: coleta dados bancrios do usurio, atravs da instalao de programas spyware que so ativados quando sites de Internet Banking so acessados. similar ao Trojan Spy porm com objetivos mais especficos Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em
LhugoJr
Pgina 5
f)
g)
h)
Portanto a questo trocou a definio de Trojan-horse por worm, questo errada. 7) (MCT/Tecnologista Jr/2008) Um vrus de macrocomandos de uma aplicao, como, por exemplo, um editor de textos, independente da plataforma computacional e dos sistemas operacionais. Usando Stallings (pag. 450) como bibliografia, temos:
Os vrus de macro so particularmente ameaadores por diversos motivos: 1. Um vrus de macro independente de plataforma. Praticamente todos os vrus de macro infectam documentos do Microsoft Word. Qualquer plataforma de hardware e sistema operacional que aceite o Word pode ser infectados. 2. Os vrus de macro infectam documentos, e no partes executveis do cdigo. A maior parte das informaes introduzidas em um sistema de computador est na forma de um documento, em vez de um programa. 3. Os vrus de macro so facilmente espalhados. Um mtodo muito comum por e-mail.
Portanto a questo est correta. 8) (MCT/Analista de C&T/2008) Na fase latente ou dormente, um vrus de computador encontra-se quieto, mas pronto para ser ativado por algum evento. Segundo Stallings (pag. 448):
Durante seu tempo de vida, um vrus tpico passa pelas quatro fases a seguir: Fase latente: O vrus est inativo. O vrus ser ativado por algum evento, como uma data, a presena de outro programa ou
LhugoJr
Pgina 6
Portanto o item est correto. 9) (BASA/Tcnico Cientfico/Tecnologia da Informao/Segurana da Informao/2009) O cavalo de troia (trojan horse) no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou de falhas na configurao de software instalados em computadores.
Cavalo de troia, trojan ou trojan-horse, um programa que, alm de executar as funes para as quais foi aparentemente projetado, tambm executa outras funes, normalmente maliciosas, e sem o conhecimento do usurio. Exemplos de trojans so programas que voc recebe ou obtm de sites na Internet e que parecem ser apenas cartes virtuais animados, lbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um nico arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans tambm podem ser instalados por atacantes que, aps invadirem um computador, alteram programas j existentes para que, alm de continuarem a desempenhar as funes originais, tambm executem aes maliciosas. H diferentes tipos de trojans, classificados de acordo com as aes maliciosas que costumam executar ao infectar um computador. Worm um programa capaz de se propagar automaticamente pelas redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no se propaga por meio da incluso de cpias de si mesmo em outros programas ou arquivos, mas sim pela execuo direta de suas cpias ou pela explorao automtica de vulnerabilidades existentes em programas instalados em computadores. Worms so notadamente responsveis por consumir muitos recursos, devido grande quantidade de cpias de si mesmo que costumam propagar e, como consequncia, podem afetar o desempenho de redes e a utilizao de computadores.
Mais uma vez a questo trocou a definio de trojan horse e worm. Questo errada. A questo ficaria correta se fosse assim redigida: O worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser executado para se propagar. Sua propagao se d por meio da explorao de vulnerabilidades existentes ou de falhas na configurao de software instalados em computadores. 10) (EMBASA/Assistente de Saneamento/Assistente de Informtica I/2010) Cavalo de troia um software legtimo que o usurio utiliza normalmente, mas, ao mesmo tempo, executa outras funes ilegais, como enviar mensagens e arquivos para o hacker ou abrir portas de entrada para futuras invases. Agora como Gleyson falou, vamos usar Stallings:
Cavalos-de-tria Um cavalo-de-tria um programa ou procedimento de comando til, ou aparentemente til, contendo cdigo oculto que, quando invocado, realiza alguma funo indesejada ou prejudicial. Os cavalos-de-tria podem ser usados para executar funes indiretamente, que um usurio no autorizado no poderia executar
LhugoJr
Pgina 7
Portanto a questo est correta. 11) (TJ-ES/Analista Judicirio/Anlise de Suporte/2011) Um spyware consiste em uma falha de segurana intencional, gravada no computador ou no sistema operacional, a fim de permitir a um cracker obter acesso ilegal e controle da mquina. Usando a cartilha de segurana do CERT.BR, temos:
Backdoor um programa que permite o retorno de um invasor a um computador comprometido, por meio da incluso de servios criados ou modificados para este fim. Pode ser includo pela ao de outros cdigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Aps includo, o backdoor usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos mtodos utilizados na realizao da invaso ou infeco e, na maioria dos casos, sem que seja notado. A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou na substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administrao remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usurio, tambm podem ser classificados como backdoors. H casos de backdoors includos propositalmente por fabricantes de programas, sob alegao de necessidades administrativas. Esses casos constituem uma sria ameaa segurana de um computador que contenha um destes programas instalados pois, alm de comprometerem a privacidade do usurio, tambm podem ser usados por invasores para acessarem remotamente o computador. Spyware um programa projetado para monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros. Pode ser usado tanto de forma legtima quanto maliciosa, dependendo de como instalado, das aes realizadas, do tipo de informao monitorada e do uso que feito por quem recebe as informaes coletadas. Pode ser considerado de uso: Legtimo: quando instalado em um computador pessoal, pelo prprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o esto utilizando de modo abusivo ou no autorizado. Malicioso: quando executa aes que podem comprometer a privacidade do usurio e a segurana do computador, como monitorar e capturar informaes referentes navegao do usurio ou inseridas em outros programas (por exemplo, conta de usurio e senha).
Alguns tipos especficos de programas spyware so: Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado do computador. Sua ativao, em muitos casos, condicionada a uma ao prvia do usurio, como o acesso a um site especfico de comrcio eletrnico ou de Internet Banking. Screenlogger: similar ao keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou a regio que circunda a posio onde o mouse clicado. bastante utilizado por atacantes para capturar as teclas digitadas pelos usurios em teclados virtuais, disponveis principalmente em sites de Internet Banking. Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legtimos, quando incorporado a programas e servios, como forma de patrocnio ou retorno financeiro para quem desenvolve programas
LhugoJr
Pgina 8
2 Ataques
(CESPE Polcia Federal 2004 Nacional Perito rea 3)
13) Um ataque de buffer overflow consiste em desviar o fluxo de execuo de um software para um programa arbitrrio que esteja copiado no disco rgido do sistema atacado. Esse um exemplo clssico de backdoor resultante de um defeito de programao, que s pode ser eliminado com a atualizao de verso do software defeituoso. Usando o comentrio do professor Scrates Filho: O buffer overflow no se confunde com backdoor. Backdoor criado intencionalmente para garantir o acesso posterior de um atacante. Um defeito de programao acidental no pode ser considerado backdoor. Portanto
questo errada
LhugoJr
Pgina 9
Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) Definio de Buffer Overflow, segundo o wikipedia http://pt.wikipedia.org/wiki/Transbordamento_de_dados Agora vamos a definio de backdoor pela cartilha do cert:
Backdoor um programa que permite o retorno de um invasor a um computador comprometido, por meio da incluso de servios criados ou modificados para este fim. Pode ser includo pela ao de outros cdigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Aps includo, o backdoor usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos mtodos utilizados na realizao da invaso ou infeco e, na maioria dos casos, sem que seja notado. A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou na substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administrao remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usurio, tambm podem ser classificados como backdoors. H casos de backdoors includos propositalmente por fabricantes de programas, sob alegao de necessidades administrativas. Esses casos constituem uma sria ameaa segurana de um computador que contenha um destes programas instalados pois, alm de comprometerem a privacidade do usurio, tambm podem ser usados por invasores para acessarem remotamente o computador.
14) (EMBASA/Analista de Saneamento/Analista de Tecnologia da Informao Rede/2010) O ataque de MAC flooding faz um switch transmitir frames para todas as suas portas, como se fosse um hub. Segundo o professor Gleyson Azevedo, no seu livro de questes, ele comenta sobre Mac Flooding:
O MAC flooding consiste em enviar uma imensa quantidade de quadros com endereos MAC de origem forjados e aleatrios com o objetivo de esgotar a tabela MAC do switch. Quando isso ocorre, comumente o switch passa a enviar dados para todas as suas portas, como se fosse um hub, e viabilizando ataques de sniffer passivo
Podemos tambm usar a referncia do wikipedia: http://pt.wikipedia.org/wiki/Mac_flooding http://en.wikipedia.org/wiki/Mac_flooding Com isso percebemos que a questo est correta. 15) (DATAPREV/Analista de Tecnologia da Informao/Redes/2006) A restrio na capacidade de aprendizado de endereos nas portas de um switch suficiente para evitar o ARP spoofing. Vamos usar o comentrio do livro recomendado pelo professor Gleyson Azevedo: Counter Hack Reloaded, Second Edition. Some switches are not subject to this MAC flooding attack because they stop storing new MAC addresses when the remaining capacity of their memory reaches a given limit. With those switches, once the memory is filled, no other MAC addresses can be admitted to the LAN until some existing MAC addresses in the CAM table time out, a period that depends on the switch but typically involves several minutes. Agora complementando com o comentrio do professor Glesyon:
LhugoJr
Pgina 10
Questes Comentadas Malware, Ataques e Antivrus (Verso 1.0) A restrio da capacidade de aprendizagem nas portas de um switch uma contramedida para o ataque de MAC flooding e no tem qualquer eficcia contra o ARP spoofing. Portanto a questo est errada. 16) (STM/Analista Judicirio/Anlise de Sistemas/2011) A filtragem de trfego egresso e ingressante uma das medidas aplicveis na proteo a ataques de negao de servio, distribudos ou no, como o syn flooding e o icmp flooding. Usando os comentrios do professor Gleyson Azevedo em seu livro, temos: Como tcnicas empregadas em ataques de negao de servio, o syn flooding e o ICMP flooding usualmente dependem do IP spoofing (NAKAMURA, 2007, p. 103). Desta forma, a filtragem dos trfegos egresso e ingressante pode ser til no combate a esses ataques da seguinte forma:
no se admite sair da rede interna pacotes cujo IP de origem seja da rede externa (NAKAMURA, 2007, p. 109); no se admite a entrada de pacotes da rede externa cujo IP de origem seja da rede interna (NAKAMURA, 2007, p. 103).
Ainda temos:
Syn flooding um ataque que explora o mecanismo de estabelecimento de conexes TCP, conhecido como three-way handshake. Nele, um grande nmero de pedidos de conexo (pacotes SYN) enviado, causando um estouro da pilha de memria do alvo, que no capaz de responder a todas (NAKAMURA, 2007, p. 105). ICMP flooding um ataque de negao de servio em que o atacante envia uma srie de pacotes de requisio ICMP de eco (ping) maior do que a implementao do protocolo pode manipular (SHIREY, 2007, p. 145).
Portanto, a questo est correta. 17) (TCU/Analista de Controle Externo/Auditoria de TI/2007) A deteco, por um sniffer de rede, de uma longa srie de segmentos TCP SYN enviados de um host local para um host remoto, sem o correspondente envio de segmentos TCP ACK, sugere que a rede sob anlise pode estar sofrendo um ataque de negao de servio. Mais uma vez usando como base o professor Gleyson: Como que est enviando o TCP SYN o host local, no prudente dizer que a rede sob anlise est sob ataque, o mais correto seria dizer que a rede est realizando um ataque de negao de servio. 18) (IPEA/Analista de Sistemas/Suporte de Infraestrutura/2008) Em um ataque negao de servio por refletor reflector distributed denial of service (DDoS) entidades escravas do atacante constroem pacotes que requerem respostas e contm o endereo IP do alvo como endereo fonte no cabealho, de modo que ao serem enviados a computadores no infectados, os refletores, tais pacotes provocam respostas direcionadas ao endereo alvo do ataque Segundo Stallings, pagina 457:
Em um ataque de DDoS direto, o atacante capaz de implantar software zumbi em diversos sites distribudos pela Internet. Normalmente, o ataque de DDoS envolve dois niveis de mquinas zumbi: zumbis-mestres e zumbis escravos. Os hosts das duas mquinas foram infectados com cdigo malicioso. O atacante coordena e dispara os zumbismestres, que por sua vez, coordenam e disparam os zumbis escravos. O uso de dois nveis de zumbis toma mais difcil o trabalho de rastrear o ataque at a sua origem e fornece uma rede de atacantes mais flexvel.
LhugoJr
Pgina 11
19) (TCU/Analista de Controle Externo/Tecnologia da Informao/2008) Para confirmar a suspeita de que a indisponibilidade apresentada por um host da rede de computadores de uma organizao est sendo causada por um ataque do tipo smurf, o administrador dever verificar se h um grande nmero de pacotes ICMP (Internet control message protocol) do tipo request originados de vrios computadores pertencentes a uma mesma rede e direcionados a este host. A questo erra ao dizer que os pacotes so do tipo request, e na verdade so do tipo reply. Usando como fonte o livro, Network Security Bible:
LhugoJr
Pgina 12
3 Anti-vrus
20) (ABIN/Oficial Tcnico de Inteligncia/Suporte a Rede de Dados/2010) Os scanners heursticos, programas de combate a cdigos maliciosos, dependem da assinatura especfica de um vrus, que deve ser combinada com regras heursticas para a deteco de provvel infeco por vrus. Segundo Stallings, temos:
Primeira gerao: scanner simples - Exige que uma assinatura identifique um vrus. O vrus pode conter curingas, mas possui essencialmente a mesma estrutura e padro de bits em todas as cpias. Esses scanners especficos de assinatura so limitados deteco de vrus conhecidos. Outro tipo de scanner de primeira gerao mantm um registro do tamanho dos programas e procura alteraes no tamanho. Segunda gerao: scanner heurstico - No depende de uma assinatura especfica. Em vez disso, o scanner usa regras heursticas para procurar uma provvel infeco de vrus. Uma classe desses scanners procura fragmentos de cdigo que frequentemente esto associados a vrus. Por exemplo, ele pode procurar o incio de um loop de criptografia usado em um vrus polimrfico e descobrir a chave de criptografia. Quando a chave descoberta, o scanner pode descriptografar o vrus para identific-lo, depois remover a infeco c retornar o programa operao normal. Outra tcnica de segunda gerao a verificao de integridade. Uma soma de verificao (checksum) pode ser anexada a cada programa. Se um vrus infectar o programa sem mudar a soma de verificao, ento uma verificao de integridade detectar a mudana. Para enfrentar um vrus sofisticado o suficiente para alterar a soma de verificao ao infectar um programa, uma funo de hash criptografada poder ser usada. A chave de criptografia armazenada separadamente do programa, para que o vrus no possa gerar um novo cdigo de hash e criptograf-lo. Usando uma funo de hash em vez de uma soma de verificao mais simples, o vrus impedido de ajustar o programa para produzir o mesmo cdigo de hash anterior. Terceira gerao: interceptaes de atividade - So programas residentes na memria, que identificam um vrus por suas aes, em vez de sua estrutura em um programa infectado. Esses programas tm a vantagem de que no necessrio desenvolver assinaturas e heursticas para uma ampla variedade de vrus. Em vez disso, necessrio apenas identificar um pequeno conjunto de aes que indicam que uma infeco est sendo tentada e, ento, intervir. Quarta gerao: proteo completa - So pacotes compostos por uma srie de tcnicas anti-vrus usadas em conjunto. Estas incluem componentes de varredura e de interceptao de atividades. Alm disso, esse tipo de pacote inclui recurso de controle de acesso, que limita a capacidade dos vrus de penetrar em um sistema e, por consequncia, limita a capacidade de um vrus de atualizar arquivos a fim de passar a infeco adiante.
LhugoJr
Pgina 13