Segurança da Informação - Lista de exercícios 3 RESPOSTAS

Prévia do material em texto

Segurança da Informação – Lista de Exercícios #3 
LEMBRE-SE: 
A AV2 ABRANGE TODO O CONTEÚDO DO SEMESTRE, PORTANTO ESTUDE 
NOVAMENTE AS LISTAS PREPARADAS PARA A AV1. 
 
1) Antes de transmitir uma mensagem, o emissor a criptografa com mecanismo 
assimétrico e utilizando sua chave privada. Essa operação é válida? Se sim, qual o 
seu objetivo? 
Justifique suas respostas. 
Sim, é um mecanismo válido e tem como objetivo ‘assinar digitalmente’ a 
mensagem. O receptor, ao conseguir abrir a mensagem com a chave pública do 
emissor, terá a garantia de que a mesma fora criptografada pelo próprio, com sua 
chave privada. Na prática, essa operação é feita sobre o sumário, ou hashing, da 
mensagem. 
 
 
2) O uso puramente da criptografia simétrica para comunicação pela internet traz 
uma fragilidade inaceitável. Qual é essa fragilidade? 
A necessidade de combinação prévia entre as partes da chave secreta (lembrando 
que a criptografia simétrica se utiliza de uma única chave, para cifrar e decifrar). 
Pela internet, duas pessoas (ou aplicativos) se comunicando pela primeira vez, 
precisariam transmitir a chave uma para a outra, mas sendo feito pelo próprio 
canal inseguro, que é a internet, possibilita que um terceiro interceptando a 
comunicação obtenha a chave. 
 
 
3) A situação descrita pela questão anterior é contornada por uma solução conhecida 
como “modelo híbrido”. Explique seu funcionamento. 
O modelo híbrido utiliza simultaneamente as criptografias simétrica e assimétrica. 
Por ele, um canal seguro é estabelecido por meio de criptografia assimétrica, com 
troca apenas das chaves públicas, e, por esse canal, é combinada uma chave 
secreta para a transmissão dos dados por meio de criptografia simétrica. 
Vale lembrar que a criptografia simétrica oferece melhor desempenho em questão 
de processamento, por isso o uso exclusivo da criptografia assimétrica, apesar de 
possível, não é desejável. 
 
 
 
4) As operações de sumário de mensagens, ou hashing, têm características bem 
definidas e essenciais para as operações de segurança. Para cada um dos itens 
abaixo, explique sucintamente essa característica: 
I - Tamanho do sumário em relação ao tamanho da mensagem: Saída de 
tamanho fixo, dependente somente do algoritmo escolhido (MD5, SHA-1, etc). 
Não varia conforme o tamanho da mensagem de entrada. 
II - O conteúdo do sumário em função de uma pequena modificação na 
mensagem: Uma mínima alteração na entrada altera drasticamente o sumário, 
o que impede a um atacante obter pistas sobre semelhança de mensagens 
observando seus sumários. 
III - Reversibilidade, ou seja, obter a mensagem original a partir do sumário: 
Impossível. Operações de sumário são projetadas para não preservar 
informações e permitir a operação inversa. A obtenção da mensagem original 
só poderia ser feita por meio de força-bruta, ou seja, testando-se todas as 
combinações possíveis. Quanto maior for o sumário mais difícil será essa tarefa 
para o atacante. 
 
5) O documento que garante a identidade do proprietário de uma chave pública é 
o(a): 
( a ) Sumário, ou hashing, da chave 
( b ) Política de segurança 
( c ) Certificado digital 
( d ) Assinatura digital 
( e ) Autoridade certificadora 
 
6) A aplicação de uma política de segurança numa empresa deve ser apoiada e 
cobrada pelo seu corpo gerencial. Sobre esse assunto, analise as assertivas abaixo: 
I – Todos os níveis gerenciais devem participar da aplicação, especialmente os 
níveis mais elevados. Correto. 
II – Os níveis gerenciais mais elevados devem participar da definição da política, 
mas sem envolvimento em sua implantação por se tratar de tarefa operacional e 
não administrativa. Errado. Os níveis gerenciais mais altos, mesmo não se 
envolvendo tecnicamente, devem se envolver na divulgação da política e tomando 
as ações necessárias para conscientização do corpo de funcionários, além de 
acompanhar os resultados obtidos e problemas de ordem administrativa 
encontrados. 
III – A aplicação da política é tarefa exclusiva dos gestores de níveis intermediários, 
justamente os que têm contato direto com o corpo de funcionários da empresa. 
Errado. Como explicado no item acima, todos os níveis devem estar envolvidos. A 
participação dos níveis mais elevados oferece credibilidade e apoio político às 
equipes responsáveis pela implantação da política. 
Estão corretas as assertivas: 
( a ) I, somente 
( b ) II, somente 
( c ) III, somente 
( d ) II e III 
( e ) I e III 
 
7) Qual deve ser o primeiro passo na fase de planejamento de uma política de 
segurança? 
Definição do escopo e limites do SGSI. Essas definições são essenciais para guiar os 
trabalhos da equipe, agora ciente do que deve e o que não deve ser envolvido. 
 
8) O modelo PDCA é constituído de 4 fases. Para cada uma delas, explique sua 
finalidade cite um exemplo de ação envolvida. 
I – Plan 
II – Do 
III – Check 
IV – Act 
Ver as páginas 34 a 38 dos slides da unidade III (políticas). 
 
9) Que mensagem passa ao Mercado uma empresa que obtém uma certificação ISO 
27001? 
De compromisso com a segurança da informação. A certificação garante que 
empresa adequou seus processos internos, capacitou seu pessoal e investiu em 
tecnologias objetivando a excelência nesse quesito. A certificação oferece a um 
eventual contratante um indicador de que aquela empresa terá maiores cuidados 
no tratamento de suas informações. 
 
10) Porque a adoção de uma política de segurança deve seguir um modelo cíclico com 
reavaliações periódicas. 
Porque é impossível criar a uma política ‘perfeita’ de uma vez. Por maiores que 
sejam os cuidados tomados pela equipe responsável pelo seu desenvolvimento, 
sempre existirão melhorias a serem incorporadas, algumas descobertas somente 
durante a fase de implantação. As empresas também mudam e, portanto, é natural 
que suas políticas internas estejam atualizadas e adequadas.