Nota Bene: questo è un esempio non vincolante del tema di esame. Il Docente si riserva modifiche senza preavviso.

Gestione degli incidenti informatici
Università degli Studi di Milano
Dario V. Forte CISM, CFE, CGEIT

Appello d’esame SIMULATO

Domande core: punteggio 2 per ogni risposta esatta. Rispondere con vero o falso alle seguenti affermazioni.

  1. Esistono dei processi di lab management e di tool validation.                                                
  2. Encase utilizza un formato immagine proprietario
  3. E’ possibile rigenerare il supporto acquisito da una immagine forense in formato RAW
  4. Con il termine “tainted fruit” ci si riferisce a fonti di prova acquisite impropriamente    
  5. Il subpoena è un modulo che documenta le diverse operazioni intraprese durante la gestione di un incidente
  6. La validazione dei tool può essere sia interna che esterna.                                            
  7. La generazione dei log può essere continua o schedulata
  8. Il SIEM è uno strumento di gestione diretta del malware
  9. La network forensics si occupa di gestione dei log applicativi.

Domande core: punteggio 2 per ogni risposta esatta. Rispondere esclusivamente con l’opzione che si ritiene corretta.

  1. Le regole d’acquisizione devono:
    1. Interrompere il business                                                                     c
    2. Non hanno bisogno di essere ne autentiche ne immodificabili           c
    3. Devono poter aver valenza probatoria                                               c
  2. Il comando seguente:  tcpdump  -i eth1 -w dummy.pcap
    1. Esegue un’istanza di tcpdump abilitando la risoluzione degli indirizzi in nomi e scrivendo il risultato della registrazione in un file in formato libpcap                         c
    2. Esegue un’istanza di tcpdump abilitando la risoluzione degli indirizzi in nomi e scrivendo il risultato della registrazione in un file in formato libpcap, registrando solamente i primi 68 byte di ogni pacchetto                                                               c
    3. Esegue un’istanza di tcpdump disabilitando la risoluzione degli indirizzi in nomi e scrivendo il risultato della registrazione in un file in formato libpcap, registrando solamente i primi 68 byte di ogni pacchetto                                                                         c
  3. Per la RFC-2350, il CERT/CSIRT:
    1. È un team che gestisce gli incidenti di sicurezza informatica                                  c
    2. È un gruppo organizzato al di fuori dell’azienda                                                    c
    3. È un team che effettua, coordina e supporta un incidente di sicurezza che coinvolge siti con una costituency ben definita                                                                            c
  4. Per la RFC-2350 il livello di supporto:
    1. Può cambiare in base a fattori come il carico di lavoro e la completezza delle info disponibili                                                                                                             c
    2. Deve essere continuamente monitorato                                                                  c
    3. È sottoponibile a discovery in sede giudiziaria                                                      c                               
Domande open: punteggio 4 per ogni risposta completa ed esauriente.

  1. Finalità e differenze tra backup preventivi e backup d’indagine.
  2. Descrivere il protocollo syslog (RFC 3164) dettagliando il formato del messaggio e i vari campi che lo compongono.

Descrizione del razionale d'esame: 

Il metodo utilizzato negli appelli (primo della serie: 16 giugno) comprende: 
1) Una serie di domande core, alle quali bisogna rispondere con un punteggio minimo complessivo di punti 18 (diciotto);
2) Delle domande elective, open. 

Le domande di cui al punto 1) sono chiuse. NB: non sono ammessi commenti alle domande medesime. Per Esempio: Alla domanda 1 del test simulato viene risposto "Falso" e si motiva a fianco la scelta dello studente.  Eventuali risposte di questo tipo annulleranno la domanda, a prescindere.

Le domande aperte sono di tipo "elective" e consentiranno allo studente una valutazione superiore. Il giudizio su queste ultime è ad esclusivo dominio del Docente. 
Non sono previste integrazioni del voto in orale/progetto.

Tempo di esecuzione 2 ore.


Colgo l'occasione per ringraziare e salutare con affetto tutti gli studenti del semestre di questo anno accademico. Sono stati decisamente in numero superiore rispetto allo scorso anno. Un Caro augurio di in bocca al lupo a tutti per i Vostri impegni futuri.

Cordialmente

DF

View comments

Loading