cerca
Tema d'Esame di Gestione degli Incidenti Informatici (Studenti OnLine) - 23/11/2012
modifica cronologia stampa login logout

Wiki

UniCrema


Materie per semestre

Materie per anno

Materie per laurea


Help

Tema d'Esame di Gestione degli Incidenti Informatici (Studenti OnLine) - 23/11/2012

Torna alla pagina di Gestione degli Incidenti Informatici 

 :: Appello d'esame di Gestione degli Incidenti Informatici  ::

 :: (23/11/2012 Studenti OnLine) ::

Domande

Rispondere con Vero o Falso (2 punti per ogni risposta corretta)

  1. L'architettura SysLOG descritta nella RFC-3164 comprende tre componenti: Device, Relay, Collector? (Vero)
  2. Utiizzando una registrazione full-content è possibile derivare altre due forme? (Vero)
  3. Encase Enterprise è formato da tre componenti principali: Encase Examiner, Safe e della servelt da installare sui sistemi remoti? (Vero)
  4. È possibile rigenerare il supporto acquisito da una immagine forense in formato RAW? (Vero)
  5. Per la RFC-3227 è bene procedere all'acquisizione dei dischi prima degli archivi digitali? (Vero)
  6. Gli HIDS salvano il codice hash del disco sul quale sono in esecuzione e lo confrontano ad intervalli regolari per rilevare eventuali alterazioni? (Falso)
  7. L'inciden management si prefigge, tra l'altro, il supporto alla continuità, sia lato processi sia lato tecnico? (Vero)

Domane a risposta multipla (2 punti per ogni risposta corretta)

Le regole d'acquisizione:

  1. Vanno valutate caso per caso;
  2. Devono garantire la continuità del business;
  3. Non devono avere valenza probatoria.

(Risposta corretta: 2)

L'ordine di volatilità così come descritto dalla RFC-3227 è:

  1. Register, cache, [...], memory, temporary file, [...];
  2. Memory, cache, [...];
  3. Register, cache, [...], temporary file, memory, [...].

(Risposta corretta: 1, per comodità nella trascrizione sono stati riportati solo i componenti fondamentali per rispondere correttamente alla domanda)

Durante la risoluzione di un incidente il CSIRT, può trovarsi a cooperare e a interagire con terze parti esterne all'organizzazione:

  1. IRT, vendor e forze dell'ordine;
  2. IRT, forze dell'ordine e rappresentati sindacali;
  3. Nessuna delle precedenti.

(Risposta corretta: 1)

Quali delle seguenti affermazioni del protocollo SysLOG è corretta:

  1. La consegna dei messaggi è garantita;
  2. È implementato un sistema di integrità a livello di MSG;
  3. I messaggi possono contenere un mittente forgiato.

(Risposta corretta: 3)

Domane a risposta aperta (Fino a 4 punti per ogni risposta)

  1. Definire il termine incidente, vulnerabilità e constituency come da RFC-2350;
  2. Vi viene richiesto di produrre una copia forense di un supporto digitale. Il sistema in oggetto non è di vitale importante per il business dell'azienda e si trova ancora acceso al momento del vostro arrivo. Si descriva in maniera dettagliata la procedura da seguire, secondo i dettami, elencando eventuali operazioni preliminari, strumenti da impiegare e documentazione di supporto da redigere.