Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação – Lista de Exercícios #3 LEMBRE-SE: A AV2 ABRANGE TODO O CONTEÚDO DO SEMESTRE, PORTANTO ESTUDE NOVAMENTE AS LISTAS PREPARADAS PARA A AV1. 1) Antes de transmitir uma mensagem, o emissor a criptografa com mecanismo assimétrico e utilizando sua chave privada. Essa operação é válida? Se sim, qual o seu objetivo? Justifique suas respostas. Sim, é um mecanismo válido e tem como objetivo ‘assinar digitalmente’ a mensagem. O receptor, ao conseguir abrir a mensagem com a chave pública do emissor, terá a garantia de que a mesma fora criptografada pelo próprio, com sua chave privada. Na prática, essa operação é feita sobre o sumário, ou hashing, da mensagem. 2) O uso puramente da criptografia simétrica para comunicação pela internet traz uma fragilidade inaceitável. Qual é essa fragilidade? A necessidade de combinação prévia entre as partes da chave secreta (lembrando que a criptografia simétrica se utiliza de uma única chave, para cifrar e decifrar). Pela internet, duas pessoas (ou aplicativos) se comunicando pela primeira vez, precisariam transmitir a chave uma para a outra, mas sendo feito pelo próprio canal inseguro, que é a internet, possibilita que um terceiro interceptando a comunicação obtenha a chave. 3) A situação descrita pela questão anterior é contornada por uma solução conhecida como “modelo híbrido”. Explique seu funcionamento. O modelo híbrido utiliza simultaneamente as criptografias simétrica e assimétrica. Por ele, um canal seguro é estabelecido por meio de criptografia assimétrica, com troca apenas das chaves públicas, e, por esse canal, é combinada uma chave secreta para a transmissão dos dados por meio de criptografia simétrica. Vale lembrar que a criptografia simétrica oferece melhor desempenho em questão de processamento, por isso o uso exclusivo da criptografia assimétrica, apesar de possível, não é desejável. 4) As operações de sumário de mensagens, ou hashing, têm características bem definidas e essenciais para as operações de segurança. Para cada um dos itens abaixo, explique sucintamente essa característica: I - Tamanho do sumário em relação ao tamanho da mensagem: Saída de tamanho fixo, dependente somente do algoritmo escolhido (MD5, SHA-1, etc). Não varia conforme o tamanho da mensagem de entrada. II - O conteúdo do sumário em função de uma pequena modificação na mensagem: Uma mínima alteração na entrada altera drasticamente o sumário, o que impede a um atacante obter pistas sobre semelhança de mensagens observando seus sumários. III - Reversibilidade, ou seja, obter a mensagem original a partir do sumário: Impossível. Operações de sumário são projetadas para não preservar informações e permitir a operação inversa. A obtenção da mensagem original só poderia ser feita por meio de força-bruta, ou seja, testando-se todas as combinações possíveis. Quanto maior for o sumário mais difícil será essa tarefa para o atacante. 5) O documento que garante a identidade do proprietário de uma chave pública é o(a): ( a ) Sumário, ou hashing, da chave ( b ) Política de segurança ( c ) Certificado digital ( d ) Assinatura digital ( e ) Autoridade certificadora 6) A aplicação de uma política de segurança numa empresa deve ser apoiada e cobrada pelo seu corpo gerencial. Sobre esse assunto, analise as assertivas abaixo: I – Todos os níveis gerenciais devem participar da aplicação, especialmente os níveis mais elevados. Correto. II – Os níveis gerenciais mais elevados devem participar da definição da política, mas sem envolvimento em sua implantação por se tratar de tarefa operacional e não administrativa. Errado. Os níveis gerenciais mais altos, mesmo não se envolvendo tecnicamente, devem se envolver na divulgação da política e tomando as ações necessárias para conscientização do corpo de funcionários, além de acompanhar os resultados obtidos e problemas de ordem administrativa encontrados. III – A aplicação da política é tarefa exclusiva dos gestores de níveis intermediários, justamente os que têm contato direto com o corpo de funcionários da empresa. Errado. Como explicado no item acima, todos os níveis devem estar envolvidos. A participação dos níveis mais elevados oferece credibilidade e apoio político às equipes responsáveis pela implantação da política. Estão corretas as assertivas: ( a ) I, somente ( b ) II, somente ( c ) III, somente ( d ) II e III ( e ) I e III 7) Qual deve ser o primeiro passo na fase de planejamento de uma política de segurança? Definição do escopo e limites do SGSI. Essas definições são essenciais para guiar os trabalhos da equipe, agora ciente do que deve e o que não deve ser envolvido. 8) O modelo PDCA é constituído de 4 fases. Para cada uma delas, explique sua finalidade cite um exemplo de ação envolvida. I – Plan II – Do III – Check IV – Act Ver as páginas 34 a 38 dos slides da unidade III (políticas). 9) Que mensagem passa ao Mercado uma empresa que obtém uma certificação ISO 27001? De compromisso com a segurança da informação. A certificação garante que empresa adequou seus processos internos, capacitou seu pessoal e investiu em tecnologias objetivando a excelência nesse quesito. A certificação oferece a um eventual contratante um indicador de que aquela empresa terá maiores cuidados no tratamento de suas informações. 10) Porque a adoção de uma política de segurança deve seguir um modelo cíclico com reavaliações periódicas. Porque é impossível criar a uma política ‘perfeita’ de uma vez. Por maiores que sejam os cuidados tomados pela equipe responsável pelo seu desenvolvimento, sempre existirão melhorias a serem incorporadas, algumas descobertas somente durante a fase de implantação. As empresas também mudam e, portanto, é natural que suas políticas internas estejam atualizadas e adequadas.
Compartilhar