unidade 2 - Conformidade com proteção de segurança de dados

Prévia do material em texto

eXERCICIOS UNIDADE 3 
Exercícios
1. 
O teste de intrusão, também traduzido como "teste de penetração", é um método que avalia a segurança de um sistema de computador ou de uma rede. Assinale a alternativa que melhor define o objetivo principal do teste de intrusão.
A. 
O objetivo principal é identificar o grau de vulnerabilidade dos aplicativos, como tablets e smartphones, do cliente perante ataques externos e avaliar sua capacidade de detectar esses ataques.
B. 
O objetivo principal é identificar a vulnerabilidade dos sistemas do servidor principal perante ataques externos e avaliar sua capacidade de detectar esses ataques.
C. 
O objetivo principal é identificar o grau de vulnerabilidade dos sistemas do cliente perante ataques externos e avaliar sua capacidade de detectar esses ataques.
Por que esta resposta é a correta?
O objetivo principal do teste de penetração, ou teste de intrusão, é identificar o grau de vulnerabilidade dos sistemas do cliente perante ataques externos e avaliar sua capacidade de detectar esses ataques. Dessa forma, é possível avaliar o risco que seus sistemas conectados à Internet enfrentam e as possibilidades reais de acessar, interceptar e modificar a informação crítica da sua empresa.
D. 
O objetivo principal é identificar o grau de vulnerabilidade dos sistemas do cliente perante ataques internos e avaliar sua capacidade de detectar esses ataques.
E. 
O objetivo principal é identificar o grau de vulnerabilidade dos sistemas do cliente perante ataques internos e engenharia social e avaliar sua capacidade de detectar esses ataques.
2 ) É o serviço de rastreamento e registro automático, tanto de mudanças de localização como de configuração para dispositivos com alertas de mudanças, que cria um rastro preciso e o serviço de auditoria da máquina de usuários remotos por meio de qualquer conexão IP. Qual tipo de ferramenta é representado na descrição acima? 
A. 
Software de controle das atividades de funcionários - são utilizados para controlar as atividades dos funcionários e permitem o gerenciamento das redes e comunicações.
Por que esta resposta é a correta?
Esses softwares são utilizados para controlar as atividades dos funcionários e permitem o gerenciamento das redes e comunicações. Eles ajudam a evitar que a empresa seja lesada por meio da espionagem industrial, da engenharia social e do envio de informações estratégicas da empresa.
B. 
Ferramentas de utilidade geral - são utilizadas para controlar as atividades dos funcionários, porém não permitem o gerenciamento das redes e comunicações.
C. 
Ferramentas especializadas - são utilizadas para controlar as atividades dos gerentes de TI e permitem o gerenciamento das redes e comunicações.
D. 
Ferramentas generalistas - são utilizadas para controlar as atividades dos funcionários e gerentes de TI, porém não permitem o gerenciamento das redes e comunicações.
E. 
Kerberos - é uma ferramenta utilizada para controlar as atividades dos gerentes de TI, porém não permite o gerenciamento das redes e comunicações.
3. 
É o sistema operacional considerado o sucessor do Back Track, voltado principalmente para auditoria e segurança de computadores em geral. Assinale a alternativa que corresponde à descrição acima e que contém a distribuição Linux correlata à sua finalidade:
A. 
Debian - oferece ferramentas para a utilização na auditoria e em testes de invasão.
B. 
Ubuntu - oferece ferramentas para a utilização na auditoria e na identificação de vulnerabilidades.
C. 
Fedora - oferece ferramentas para a utilização na auditoria e na exploração de privilégios.
D. 
Kali - oferece ferramentas para a utilização na auditoria e em testes de invasão, coleta de informações, identificação de vulnerabilidade, exploração, escalação de privilégios.
Por que esta resposta é a correta?
Sua finalidade é oferecer ferramentas para a utilização na auditoria e em testes de invasão, coleta de informações, identificação de vulnerabilidade, exploração, escalação de privilégios.
E. 
Gentoo - oferece ferramentas para a utilização na auditoria e na escalação de privilégios.
4. 
O teste de penetração é uma verificação de vulnerabilidades que analisa os ativos expostos, como rede, servidores e aplicativos, a fim de procurar falhas existentes e testar a capacidade das organizações de detectar invasões e violações. O processo de teste de penetração, ou invasão, é geralmente dividido em três etapas. A primeira delas, encontra-se na alternativa:
A. 
Durante esse estágio, o testador pode conduzir varreduras de portas para determinar quais hosts têm portas abertas.
B. 
O auditor poderá iniciar a pesquisa por vulnerabilidades existentes nessas aplicações – se um host vulnerável estiver presente. Isso pode permitir ao auditor obter acesso a esse host e conduzir ataques adicionais contra a rede.
C. 
O auditor pode explorar vulnerabilidades existentes tentando obter acesso a recursos internos.
D.
Frequentemente, é necessário que um auditor alavanque o sistema comprometido para obter acesso adicional dentro da rede.
E. 
O auditor deve obter o máximo de informação possível a respeito da topologia da rede-alvo, uma fase conhecida como descoberta da rede ou enumeração de host.
Por que esta resposta é a correta?
O auditor deve obter o máximo de informação possível a respeito da topologia da rede-alvo, uma fase conhecida como descoberta da rede ou enumeração de host. Nessa fase, é ideal que os auditores determinem quais hosts podem ser alvos promissores nos estágios de testes subsequentes.
5. 
As auditorias de rede envolvem a investigação de documentação, segurança, infraestrutura e funcionamento para garantir que a rede esteja com um desempenho perfeito e dentro de requisitos de conformidade. É possível afirmar que uma auditoria de rede inicia, primeiramente, com: 
A. 
a documentação da rede.
Por que esta resposta é a correta?
Uma auditoria de rede eficiente começa com uma análise da documentação de rede disponível. Uma boa documentação agiliza a solução de problemas quando estes são encontrados.
B. 
a documentação da infraestrutura física.
C. 
o software de auditoria
D.
a verificação de configurações de hardware.
E. 
a verificação da infraestrutura da rede.
EXERCICIOS UNIDADE 4 
1) Uma das formas de segurança trata da proteção dos recursos em relação ao acesso de pessoas indevidas, seja de uma aplicação como um todo, seja de parte do serviço.
Dadas as seguintes afirmações sobre os requisitos de segurança:
( ) Particularidade é o requisito que diz respeito aos dados que são de uma parte em particular.
( ) Confidencialidade garante que a troca de informação esteja protegida de bisbilhoteiros.
( ) Integridade garante que a mensagem não será modificada e que chegou íntegra ao destinatário.
( ) Autorização é o processo que decide quando uma entidade com determinada identidade pode acessar um recurso específico.
( ) Isolamento é requisito que separa parte dos requisitos para proteger esses dados de acessos indevidos.
Marque a opção a seguir que representa a resposta correta sobre as afirmações.
A. 
V – V – V – F – F.
B. 
V – F – V – F – V.
C. 
F – V – F – V – F.
D. 
F – V – V – V – F.
Por que esta resposta é a correta?
Particularidade e isolamento não são requisitos de segurança. A confidencialidade garante que a troca de informação esteja protegida de bisbilhoteiros. A integridade garante que a mensagem não será modificada. Autorização é o processo que decide quando uma entidade com determinada identidade pode acessar um recurso específico.
E. 
F – V – V – F – F.
2. 
O Kerberos é um protocolo de autenticação para ambientes abertos e distribuídos em que os usuários acessam serviços disponibilizados de forma segura por servidores distribuídos pela rede.
Marque a opção que contém um servidor centralizado responsável pela autenticação dos usuários como componente.
A. 
Key Distribution Server.
B. 
Key Distribution Ticket.
C. 
Key Distribution Center.
Por que esta resposta é a correta?
O servidor centralizado responsável pela autenticação dos usuários é o servidor de autenticação,ou AS, que é um componente do Key Distribution Center, ou KDC. O Ticket Granting Ticket, ou TGT, é a credencial concedida ao usuário pela AS. O Ticket Granting Server, ou TGS, é um servidor inserido para evitar que a senha seja extraviada. Key Distribution Server e Key Distribution Ticket não existem.
D. 
Ticket Granting Ticket.
E. 
Ticket Granting Server.
3. 
A tecnologia de criptografia fornece uma base para a proteção de mensagens trocadas pela Internet e os dados armazenados nas bases de dados.
Marque a opção que representa uma das duas categorias de criptografia que exige a utilização de uma única chave para criptografar e descriptografar uma mensagem.
A. 
Criptografia regular.
B. 
Criptografia proporcional.
C. 
Criptografia assimétrica.
D. 
Criptografia equivalente.
E. 
Criptografia simétrica.
Por que esta resposta é a correta?
A criptografia que exige a utilização da mesma chave tanto para o processo de criptografia de um dado ou mensagem quanto para o processo de descriptografia é a criptografia simétrica. O segundo tipo de criptografia é a criptografia assimétrica, em que o processo de criptografia acontece por uma chave pública, e o processo de descriptografia, por uma chave privada. As criptografias regular, proporcional e equivalente não são categorias de criptografia existentes.
4. 
Os webservices apresentam diversos riscos que devem ser mitigados pelos desenvolvedores e profissionais de segurança.
Marque a opção que representa o ataque que compromete o acesso ao serviço por meio da sobrecarga da aplicação por solicitações com grandes volumes de dados ou excesso de solicitações, causando indisponibilidade do serviço.
A. 
Ataque de negação de serviço.
Por que esta resposta é a correta?
O ataque que causa sobrecarga da aplicação devido às solicitações com grandes volumes, que pode causar indisponibilidade do serviço, é o ataque de negação de serviço. A injeção de SQL acontece quando um usuário mal-intencionado consegue inserir código de manipulação de banco de dados em uma mensagem SOAP. O ataque de bisbilhoteiros acontece quando hackers acessam os dados de servidores para capturar senhas e dados de cartão de crédito. O sequestro de sessão é o ataque no qual os hackers passam a ter controle do estado de sessão de um usuário, com possibilidades de realizar atividades indesejadas. Já o tratamento inadequado dos erros acontece quando um servidor apresenta uma mensagem de erro de consulta ao banco para o usuário, de forma que as vulnerabilidades de segurança fiquem expostas para possíveis usuários mal-intencionados.
B. 
Injeção de código SQL.
C. 
Ataque de bisbilhoteiros.
D. 
Sequestro de sessão.
E. 
Tratamento inadequado de erros.
5. 
O WS-Security, WSS, é uma expansão do SOAP para adicionar segurança em webservices que deve ser utilizada junto com outros protocolos específicos.
Marque a opção que representa o protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre os computadores de origem e destino.
A. 
SAML.
B. 
SSL.
Por que esta resposta é a correta?
O protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre as partes é o SSL, acrônimo para Secure Socket Layer. O XML é uma linguagem de marcação que pode ser usada como base para os protocolos de segurança. O SAML é um protocolo para declaração de informações de autenticação e autorização. O XACML é o protocolo criado para declarar as regras de controle de acesso em formato XML. O HTTP é um protocolo de comunicação de sistemas de informação.
C. 
XACML.
D. 
XML.
E. 
HTTP.