30 Multiple Choice-Fragen - pro Frage gibt es immer 0 (keine) /1/2 oder 3 richtige Antworten

Transkript

1 ITSec Foundation MUSTERPRÜFUNG Closed Book, d.h. keine Hilfsmittel zulässig Dauer: 60 Minuten 30 Multiple Choice-Fragen - pro Frage gibt es immer 0 (keine) /1/2 oder 3 richtige Antworten pro Frage max 1 Punkt min 0 Punkte 65% müssen richtig sein -> min 20 von 30 Punkten zum bestehen Seite 1

2 1. Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? o Ein Cracker ist eine Person, die es mit dem Gesetz nicht so genau nimmt und bei ihrem Angriff bewusst oder absichtlich die Beschädigung von Informationen hinnimmt. o Ein Cracker wird auch als "White Hat" bezeichnet, da es seine Intention ist, zukünftige Security Incidents zu vermeiden und damit Schaden von seinem Arbeitgeber abzuwenden. o Cracker sind oft Angestellte von Nachrichtendiensten, die Industriespionage betreiben. 2. Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens (One-Time-Pad)? o Der Einmalschlüssel muss mindestens so lang sein wie die Nachricht. o Der Einmalschlüssel muss für alle Zeiten geheim bleiben. o Der Einmalschlüssel darf nur teilweise, also weniger als 50%, wiederverwendet werden. 3. Die Verschlüsselung mit Rot13 (rotate by 13 places) ist ein bekanntes Verschlüsselungsverfahren. Welche Aussagen sind wahr? o Die Technik gilt als sicher, wenn der Schlüssel größer als 512 bit (2512 = 1, e+154 ) ist. o Die Technik dient zum Verschleiern von Text z.b. bei sensiblen Daten, da der Leser aktiv etwas tun muss und nicht "zufällig" den Text lesen kann. o Es ist ein symmetrisches Verschlüsselungsverfahren, das auf der monographischen und monoalphabetischen Substitution basiert. 4. Bringen Sie diese Tätigkeiten einer forensischen Untersuchung in die richtige Reihenfolge. o Identifizierung - Analyse - Datensicherung - Aufbereitung und Präsentation o Datensicherung - Analyse - Identifizierung - Aufbereitung und Präsentation o Datensicherung - Identifizierung - Analyse - Aufbereitung und Präsentation Seite 2

3 5. Welche Beschreibungen sind am passendsten für die Tätigkeit "Identifizierung" bei einer forensischen Untersuchung? o In diesem Schritt sind die Sicherstellung der Daten und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. o Der Tätigkeitsschwerpunkt liegt in der möglichst genauen Dokumentation der vorgefundenen Situation. o In dieser Phase wird die vorgefundene Situation anhand der gesicherten Daten durch interne und externe Experten untersucht. 6. Welche Beschreibungen sind am passendsten für die Tätigkeit "Datensicherung" bei einer forensischen Analyse? o Der Tätigkeitsschwerpunkt liegt in der möglichst genauen Dokumentation der vorgefundenen Situation. o Im diesem Schritt werden die Erkenntnisse in Form eines Berichtes gesichert. o In dieser Phase wird die vorgefundene Situation anhand der gesicherten Information durch interne und externe Experten untersucht. 7. Welche Aussagen sind bei Sniffer bezüglich non-promiscuous mode und promiscuous Mode wahr? o Im non-promiscuous mode wird der ankommende und abgehende Datenverkehr des gesamten Netzwerkes abgehört. o Es ist von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. o Der Einsatz von Sniffern ist nur in IPV4 Netzen möglich. Seite 3

4 8. Welche Maßnahmen können getroffen werden, um das Risiko des versehentlichen Herunterladens (Drive-by-Download) von Schadsoftware zu verringern? o Schulung und Bewusstseinsförderung der Mitarbeiter, vor allem mit der Warnung vor Surfen auf unbekannten Seiten. o Verwenden der neusten Browserversion, da dort zumindest die meisten der bekannten Hintertüren geschlossen sind. o Einführen von Domain Name System Security Extensions (DNSSEC), um die Integrität der heruntergeladenen Daten zu erhöhen. 9. Welche Aussagen bezüglich ARP (Address Resolution Protocol) sind richtig? o ARP wird in Ethernet-Netzen (IPV4) zur Ermittlung von MAC-Adressen bei gegebenen IP- Adressen verwendet. o ARP wird in Ethernet-Netzen (IPV6) zur Ermittlung von MAC-Adressen bei gegebenen IP- Adressen verwendet. o Da IPv4-Adressen aus 32 Bits bestehen, enthalten sie keine MAC-Adressen. Es besteht keine feste Beziehung zwischen MAC-Adressen und IP-Adressen. 10. Welche der folgenden Ziele hat ein Penetrationstest? o Erhöhung der Sicherheit auf organisatorischer Ebene. o Bestätigung der Sicherheit durch eine unabhängige Person. o Bestätigung der IT-Sicherheit durch ein ISO Zertifikat. 11. Welche der folgenden Kriterien sind im Klassifikationsschema für Penetrationstests nach BSI vorhanden? o Informationsbasis o Aggressivität o Zuverlässigkeit Seite 4

5 12. Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? o Mit Google Hacking ist der Angriff auf die Google Infrastruktur gemeint. o Google Hacking ist eine aktive Methode, um Informationen über ein Zielsystem zu gewinnen. o Mit Hilfe des Parameters "intitle" kann man in URLs nach einer bestimmten Zeichenfolge suchen. 13. Welche der folgenden Aussagen zum Thema OS-Fingerprinting sind wahr? o Unter OS-Fingerprinting versteht man das Ermitteln des Betriebssystems mit Hilfe des Befehls "fprint Hostname?". o Bei OS-Fingerprinting können verschiedene Betriebssysteme und sogar Betriebssystemversionen unterschieden werden, da diese unterschiedlich auf bestimmte Anfragen reagieren. o Man unterscheidet aktives und passives OS-Fingerprinting. 14. Welche der folgenden Antworten zum Thema Session Hijacking sind wahr? o Bei Session Hijacking ist das Ziel des Angreifers, sich bei Verbindungsaufbau zwischen den beiden Kommunikationspartnern zu platzieren. o Session Hijacking kann auch durchgeführt werden, wenn man sich nicht im selben Netzwerksegment wie einer der beiden Kommunikationspartner befindet. o Session Hijacking kann auf jeder Schicht des OSI-Schichtenmodells, die eine verbindungsbehaftete Kommunikation vorsieht, ausgeführt werden. 15. Welche der folgenden Antworten bezüglich DNS-Spoofing bzw. Cache Poisoning sind wahr? o DNS-Spoofing bzw. Cache Poisoning ist ein Angriff auf das Domain Name System. o Das Ziel von DNS-Spoofing bzw. Cache Poisoning ist es, den Datenverkehr unbemerkt zu einem anderen Computer zu lenken. o Unter DNS-Spoofing bzw. Cache Poisoning versteht man das Blockieren aller DNS-Server einer Infrastruktur, so dass nicht mehr im Internet gesurft werden kann. Seite 5

6 16. Welche der folgenden Antworten in Bezug auf ARP-Spoofing und dem Adress-Resolution- Protocol (ARP) sind wahr? o Das Ziel von ARP-Spoofing ist es, durch Manipulation der TCP-Adresse Datenkommunikation abzuhören. o Das ARP-Protocol dient der Zuordnung von IP-Adressen auf MAC-Adressen. o ARP-Spoofing ist nur in Token Ring-Netzwerken sinnvoll. 17. Welche Aussagen bezüglich IP-Spoofing bzw. dem Internet-Protocol sind wahr? o Das Internet-Protocol ist in der vierten Schicht (Transport) des OSI-Modells angesiedelt. o Durch Fälschung des IP-Headers kann man bei IP-Spoofing ein Datenpaket so aussehen lassen, als ob es von einem anderen Absender stammt. o Bei IP-Spoofing wird dafür gesorgt, dass der DHCP-Server falsche IP-Adressen ausgibt. 18. Welche Aussage ist bezüglich eines Angriffs durch Manipulation der URL-Parameter wahr? o Durch geschickte Manipulation der URL-Parameter ist es eventuell möglich, bei schlecht geschützten Online-Shops, eine Ware zu einem wesentlich günstigeren Preis zu bestellen. o Die Manipulation von URL-Parametern ist nur zusammen mit einer http-fake-attacke sinnvoll. o Das Problem der Manipulation von URL-Parametern tritt bei allen Webservern auf, da die auf den Webservern laufende Applikation für die Verarbeitung der Parameter verantwortlich ist. 19. Welche Aussagen bezüglich des Angriffes Directory Traversal sind wahr? o Bei einem Directory Traversal Angriff versucht der Angreifer, auf Verzeichnisse oder Dateien außerhalb der Webserver-Root zuzugreifen. o Unter Directory Traversal versteht man einen Angriff, bei dem einem Webserver ein falsches Betriebssystem vorgetäuscht wird. o Unter Directory Traversal versteht man einen Angriff, bei dem einem Betriebssystem ein falsches Home-Verzeichnis untergeschoben wird. Seite 6

7 20. Welche Aussagen sind bezüglich Cross-Site-Scripting wahr? o Bei einem Cross-Site-Scripting Angriff versucht der Angreifer, dem Benutzer eine andere als die aufgerufene Webseite unterzuschieben. o Bei Cross-Site-Scripting ist es dem Angreifer möglich, Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Client-Seite auszuführen. o Nur Applikationen, die in PHP geschrieben sind, sind von Cross-Site-Scripting betroffen. 21. Welche der folgenden Aussagen sind bezüglich SQL-Injection wahr? o SQL-Injection ist meist dann möglich, wenn durch mangelnde Maskierung bzw. Überprüfung von Benutzer-Eingaben SQL-Befehle ausgeführt werden. o Das Ziel von SQL-Injection ist das Ausspionieren von Informationen oder das Zerstören von Daten. o Unter SQL-Injection versteht man einen Angriff, bei dem HTML-Code so in SQL-Datenbanken indiziert wird, dass bei der Darstellung von Webseiten Konfigurationsinformationen über das Betriebssystem ausgegeben werden. 22. Welche der folgenden Aussagen bezüglich Drive-by-Download sind wahr? o Unter Drive-by-Download versteht man ausschließlich das bewusste Herunterladen von Schadsoftware auf einem Rechner. o Bei Drive-by-Download ist nicht immer eine aktive Bestätigung des Benutzers erforderlich, da auch das reine Aufrufen einer Seite zum Herunterladen von Schadsoftware führen kann. o Zum Schutz vor ungewollten Drive-by-Downloads hilft es, entsprechende Browser-Plugins zu installieren, die das Ausführen von Scripten blockieren und nur nach Bestätigung durch den Benutzer ausführen. Seite 7

8 23. Welche der folgenden Aussagen zum Man-in-the-Middle-Angriff sind wahr? o Bei einem Man-in-the-Middle Angriff versucht der Angreifer, sich physisch oder logisch zwischen zwei Kommunikationspartner zu schieben. o Bei einem Man-in-the-Middle Angriff können Daten mitgelesen werden, jedoch ist keine Datenmanipulation möglich. o Ein typischer Man-in-the-Middle-Attack wird durch einen Banking-Trojaner ausgelöst, der den Datenverkehr zwischen Opfer und Bank so manipuliert, dass z.b. gefälschte Überweisungen ausgeführt werden. 24. Welche der folgenden Aussagen sind zum Thema Asymmetrische Verschlüsselung korrekt? o AES (Advanced Encryption Standard) ist ein Beispiel für einen asymmetrischen Verschlüsselungsstandard. o Bei einem asymmetrischen Verschlüsselungsverfahren brauchen die kommunizierenden Parteien mindestens einen gemeinsamen Schlüssel zum Ver- und Entschlüsseln. o Bei einem asymmetrischen Verschlüsselungsverfahren werden Schlüsselpaare verwendet. Diese müssen aber nicht speziell aufeinander abgestimmt sein. 25. Welche der folgenden Begriffe bezüglich Hash-Funktionen sind wahr? o Bei einer Hash-Funktion sollte man immer vom Hash-Wert auf die ursprüngliche Zeichenfolge schließen können. o Bei einer Hash-Funktion werden Zeichenfolgen beliebiger Länge in Zeichenfolgen mit fester Länge abgebildet. o MD5 (Message-Digest-Algorithmus 5) ist ein Beispiel für eine Hash-Funktion. Seite 8

9 26. Welche der folgenden Aussagen bezüglich eines Wörterbuch-Angriffs auf Passwort-Hashes sind korrekt? o Wörterbuch-Angriffe werden erleichtert, wenn der Verteidiger vor der Anwendung der Hash- Funktion eine zufällige Zeichenfolge (Salt) hinzufügt. o Bei einem Wörterbuch-Angriff spielt die Sprache des Benutzers, dessen Passwort man herausfinden möchte, eine wichtige Rolle. o Der Wörterbuch-Angriff ist eine Methode der Kryptographie, ein bekanntes Passwort mit Hilfe eines Wörterbuchs auf seine Sicherheit hin zu überprüfen. 27. Welche Aussagen bezüglich der Brute-Force-Methode auf Passwort-Hashes sind wahr? o Bei der Brute-Force-Methode wird versucht, mit Hilfe von Trial-and-Error auf das zu knackende Passwort zu schließen. o Bei der Brute-Force-Methode ist die Rechenleistung kein entscheidendes Kriterium, wie schnell ein Passwort geknackt werden kann. o Sollte ein 12-stelliges Passwort nur aus alphanumerischen Zeichen bestehen, so ist die Brute- Force-Methode durchschnittlich schneller erfolgreich, als bei einem Passwort, das nur aus Klein- und Großbuchstaben besteht. 28. Welche Aussagen bezüglich IT-Forensik sind wahr? o Die IT-Forensik ist eine Datenanalyse, bei der es nicht auf ein methodisches Vorgehen ankommt, da nur die Ergebnisse in einem Bericht dokumentiert werden. o Die IT-Forensik darf in Deutschland nur von gerichtlich vereidigten IT-Sachverständigen durchgeführt werden. o Das Hauptziel der IT-Forensik ist es, IT-Sicherheitsvorfälle zu vermeiden. Seite 9

10 29. Welche Aussagen bezüglich IT-Forensik sind wahr? o Bei einer forensischen Analyse ist es prinzipiell wichtig, nach Spuren zu suchen, die die These, wie ein Angriff stattgefunden haben könnte, untermauern oder widerlegen. o Eine Anforderung an die forensische Untersuchung ist die Beantwortung der Frage "Wie ist es passiert?". o Die IT-Forensik unterscheidet zwischen Post-Mortem-Analyse und Live-Forensik, bei der die Untersuchung bereits während des Sicherheitsvorfalls beginnt. 30. Welche Anforderungen an eine forensische Untersuchung sind wahr? o Es sind ausschließlich Methoden erlaubt, die von der Fachwelt beschrieben und allgemein akzeptiert sind. o Mit demselben Ausgangsmaterial müssen Dritte bei gleicher Methodik und den gleichen Hilfsmitteln zu identischen Ergebnissen kommen. o Die Sicherung der Integrität digitaler Beweise muss jederzeit belegbar sein. Seite 10