Um sistema de detecção de intrusão poderia usar uma assinatu...

Alternativa Correta: C - certo

A questão aborda conhecimentos fundamentais sobre sistemas de segurança em redes, como firewalls e sistemas de detecção de intrusão (IDS - Intrusion Detection Systems). Para compreender a questão, é importante estar familiarizado com conceitos de ataques cibernéticos, principalmente o buffer overflow, e como os IDSs utilizam assinaturas para detectar esses ataques.

O buffer overflow é um tipo de ataque que explora uma vulnerabilidade onde dados em excesso são inseridos em um buffer (espaço de memória), ultrapassando seu limite e sobrescrevendo áreas adjacentes de memória. Isso pode permitir que um atacante ganhe controle sobre o fluxo de execução de um programa, levando a comportamentos não autorizados, como execução de código malicioso.

Para detectar ataques de buffer overflow, um IDS pode usar o que é conhecido como uma "assinatura". Isso é, uma sequência de bytes ou padrões específicos que são conhecidos por fazer parte de um ataque de buffer overflow. No contexto desta questão, o byte 0x90 em hexadecimal é frequentemente utilizado em ataques de buffer overflow como parte de um "nop-sled", uma técnica que envolve preencher uma seção do buffer com instruções de 'no operation' (nop) para criar um deslizamento seguro para o código malicioso que será executado.

Assim, a afirmação de que um IDS poderia usar uma assinatura genérica de ataques de buffer overflow formada por sequências do byte 0x90 é correta, pois essa é uma prática comum na detecção de tais ataques. A sequência repetida de 0x90 pode servir como um indicativo de que um ataque de buffer overflow está sendo tentado, permitindo que o IDS identifique e potencialmente bloqueie o ataque.

Esta questão exige que o candidato compreenda tanto as estratégias dos atacantes quanto as táticas de prevenção e detecção usadas pelos sistemas de segurança. Ter um conhecimento sólido nesses aspectos é fundamental para trabalhar com segurança da informação e para responder corretamente a questões de concursos relacionadas a essa área.

O item está correto. 

Resumidamente, uma das técnicas de detecção de intrusão é a utilização de assinaturas conhecidas. No caso do buffer overflow, pode ser usada a detecção de sequências do byte 0x90 como assinatura.

A explicação completa segue abaixo:

Podem-se destacar três tipos de metodologias de detecção (que podem ser utilizadas separadamente ou em conjunto):

Detecção baseada em assinatura: compara assinaturas conhecidas com eventos observados. Novos tipos de ataques que não possuem uma assinatura não podem ser detectados; Detecção baseada em comportamento anômalo: compara definições e perfis de qual atividade de rede é considerada normal contra eventos observados para determinar desvios de padrão. Utilizado para detectar novos tipos de ataques. Contudo, existem o problema da inclusão de atividade normal como atividade maliciosa; Análise de protocolo statefull: compara perfis pré determinados de definições geralmente aceitas de atividade de protocolos com desvios de eventos analisados. Ao contrário da metodologia 2, esta baseia-se em perfis universais.

Fonte:http://svn.assembla.com/svn/odinIDS/Egio/artigos/IDS/deteccao-hibrida.pdf

Buffer Overflow é uma técnica que é usada para descrever o ato de encher um pedaço de memória com mais dados do que ela suporta, permitindo muitas vezes a um atacante alterar o fluxo de execução de um programa.
Muitos ataques de Buffer Overflows utilizam um payload (códigos que serão executados na máquina destino) denominado shellcodes. Shellcodes são pequenas instruções assembly que são usados para executar uma shell ou comandos shell, tipicamente como um resultado de um ataque de buffer overflow.
Vejamos alguns exemplos de ataques de Buffer Overflows que visam se evadir da detecção de um NIDS com base em assinaturas.
- Regras Contra NOPs (inclui NIDSFindShellcode);
É muito comum um NIDS possuir regras para detecção de instruções vazias (NOPS)
A instrução vazia (NOP) e seu representante em hexa na arquitetura Intel x86 é 0x90 (90H).
Logo, uma base de dados de assinaturas de um NIDS pode conter regras para detectar tal instrução vazia.

Read more: http://pc-hacker.blogspot.com/2010/10/como-funcionam-os-exploits.html#ixzz137SwEw00

 

Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


Bibliografia:

Segurança de redes em ambientes cooperativos
Autor: Nakamura
Editora: Novatec