Assinale a alternativa correta a respeito dos tipos testes d...

Olá, aluno! Vamos analisar a questão sobre os tipos de testes de invasão e entender por que a alternativa C está correta.

Alternativa correta: C

No teste de Gray Box, o auditor tem conhecimento parcial do sistema-alvo. Isso significa que ele possui algumas informações sobre o sistema que será auditado, mas não todas. Além disso, o sistema-alvo sabe que será atacado e está ciente dos testes que serão aplicados pelo auditor. Esse tipo de teste combina elementos dos testes de Black Box (Caixa Preta) e White Box (Caixa Branca), proporcionando uma visão equilibrada e mais realista do cenário de segurança.

Análise das alternativas incorretas:

A - O tipo Blind é, de fato, utilizado em algumas situações. Nessa metodologia, o auditor não possui informações prévias sobre o sistema-alvo, e o sistema não tem conhecimento sobre a natureza ou o momento do ataque. Contudo, a descrição dada na questão é imprecisa, pois diz que o sistema alvo não sabe que será atacado e nem tem conhecimento do que será aplicado no teste, o que não é necessariamente uma característica única do Blind Test.

B - No teste de Black Box, o auditor realiza os testes sem nenhum conhecimento prévio sobre a infraestrutura do sistema. Os testes de varredura e ataques são feitos como se o auditor fosse um atacante externo, desconhecendo completamente a estrutura interna do sistema. A descrição da questão está incorreta ao dizer que é necessário um detalhamento da infraestrutura, pois isso se aplica ao teste de White Box, não ao de Black Box.

D - No procedimento de Double Blind, tanto o auditor quanto o sistema-alvo não possuem informações detalhadas. O auditor não sabe nada sobre o sistema que irá atacar, e o sistema-alvo também não sabe quando ou como será atacado. A descrição da questão está incorreta ao afirmar que o sistema-alvo sabe que será atacado e de todos os procedimentos que serão utilizados.

E - O teste de White Box (Caixa Branca) permite ao auditor ter conhecimento completo da infraestrutura que será auditada. Ele envolve uma análise detalhada do código-fonte, da arquitetura do sistema e de outros componentes internos. A descrição da questão está errada ao afirmar que o teste proporciona apenas um conhecimento parcial da infraestrutura; na verdade, o auditor tem acesso total e completo ao sistema.

Espero que esta explicação tenha esclarecido todas as suas dúvidas sobre os tipos de testes de invasão. Se precisar de mais alguma coisa, estou à disposição!

Gabarito C

A técnica de teste de caixa-cinza é uma mescla do uso das técnicas de caixa-preta e de caixa-branca. Isso envolve ter acesso a estruturas de dados e algoritmos do componente a fim de desenvolver os casos de teste, que são executados como na técnica da caixa-preta. Manipular entradas de dados e formatar a saída não é considerado caixa-cinza pois a entrada e a saída estão claramente fora da caixa-preta. A caixa-cinza pode incluir também o uso de engenharia reversa para determinar por exemplo os limites superiores e inferiores das classes, além de mensagens de erro.

"Retroceder Nunca Render-se Jamais !"

Força e Fé !

Fortuna Audaces Sequitur !

Os testes de invasão podem ser classificados em tipos, conforme a quantidade de informações apresentadas ao profissional de segurança;

Blind: Simula todas as condições de um atacante real, onde o mesmo possui acesso apenas às informações públicas do alvo, o cliente sabe que será testado e o que será feito durante o teste.

Double Blind: Possui as mesmas características do Blind, porém a equipe de TI do alvo não é avisada sobre a execução do teste.

Gray Box: As informações fornecidas sobre o alvo são parciais de forma a antecipar a execução do teste.

Double Gray Box: Possui as mesmas características do Gray Box, porém a equipe de TI do alvo não sabe quais testes serão executados.

Tandem: Todas as informações sobre o alvo são passadas para o atacante e o alvo sabe exatamente o que será testado.

Reversal: Simula um atacante que tem conhecimento total sobre o alvo, porém o alvo não sabe que será atacado, muito menos que testes serão realizados.

Caixa Preta: Não se possuem qualquer tipo de informação sobre a infraestrutura de sistemas e de rede da empresa que será atacada.

Caixa Branca:Conhece-se previamente toda a infraestrura que será analisada, incluindo o mapeamento de rede, o range de IPs, os firewalls e roteadores existentes, etc.

Fonte: