Tipos de Vulnerabilidades em Sistemas Computacionais

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual
(Cod.:745552)
Peso da Avaliação 3,00
Prova 51546009
Qtd. de Questões 10
Acertos/Erros 9/1
Nota 9,00
Vulnerabilidades são definidas como fraquezas, condições que, quando exploradas, tornam um 
sistema suscetível a ataques, que podem resultar em alguma violação de segurança. As falhas que 
ocasionam as vulnerabilidades em um sistema computacional são geralmente não intencionais, e 
costumam apresentar diversas origens, desde aspectos relacionados a software ou hardware, até 
falhas de origem humana ou mesmo naturais (MARTINELO; BELLEZI, 2014). Ao organizar os tipos 
de vulnerabilidades de sistemas computacionais, Ribera (2021) os resume em três formas. 
Considerando essas definições, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) As vulnerabilidades de projeto. 
( ) As vulnerabilidades de implementação. 
( ) As vulnerabilidades de conexão. 
( ) As vulnerabilidades de uso. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e 
Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014. 
RIBERA, J. I. M. Analisis de vulnerabilidades web. [s.l.]: OWASP, 2021c. Disponível em: 
ttps://owasp.org/www-pdf-archive//Analisis_de_vulnerabilidades_web.pdf. Acesso em: 4 maio 2021.
A V - F - F - V.
B V - F - V - F.
C F - V - V - F.
D V - V - F - V.
O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois 
desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) consideramos 
isto através da aplicação de métodos neste sentido. Com base no exposto, assinale a alternativa 
CORRETA:
A Tríade de segurança da informação.
B Gerenciamento de riscos.
C Risco comercial.
D Gestão de Segurança da Informação.
 VOLTAR
A+
Alterar modo de visualização
1
2
g ç ç
Ao estudar a literatura especializada, é comum perceber diferentes formas de organizar ou 
mesmo identificar os tipos de vulnerabilidades de sistemas computacionais. Segundo Mather (2012, 
p. 3), podemos organizá-las através de alguns tipos. Com base nesses tipos, analise as opções a 
seguir: 
I- Projeto. 
II- Infraestrutura ou rede. 
III- Aplicativo ou software. 
IV- Uso. 
Assinale a alternativa CORRETA: 
FONTE: MATHER, B. Streamlining application vulnerability management: communication between 
development and security teams. Denim Group, OWASP Boston Application Security Conference, 
2012. Disponível em: https://owasp.org/www-pdf-
archive//DenimGroup_Streamlining_Application_Vulnerability_Management.pdf. Acesso em: 26 
abr. 2021.
A As opções I e IV estão corretas.
B Somente a opção I está correta.
C As opções II e III estão corretas.
D As opções I, II e IV estão corretas.
Para Martinelo e Bellezi (2014), podemos organizar as vulnerabilidades de sistemas 
computacionais nos seguintes tipos: software, hardware, humanas, físicas e naturais. Considerando as 
definições tanto de software quanto de hardware diante deste contexto, classifique V para as 
sentenças verdadeiras e F para as falsas: 
( ) Estão relacionadas a falhas de programação. Este tipo de vulnerabilidade abre brechas no 
sistema que podem ser exploradas por atacantes. 
( ) Estão relacionadas à ocorrência de desastres ocasionadas por fenômenos naturais (como 
tempestades, por exemplo), que podem vir a comprometer a segurança ou mesmo a disponibilidade 
dos dados armazenados. 
( ) Estão relacionadas à indisponibilidade do sistema, o que pode ocasionar perda de dados. 
Exemplo deste tipo de vulnerabilidade pode ainda incluir o uso de hardware malicioso, como um 
keylogger. 
( ) Estão relacionadas ao mau uso do sistema ou de alguma função deste por parte do usuário. Neste 
caso, pode ocorrer o mau funcionamento do sistema ou a perda de informações. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e 
Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014.
A V - F - F - V.
B F - V - V - F.
3
4
C V - F - V - F.
D V - V - F - V.
Os testes de invasão possuem muitos sinônimos como: Pen Testing, PT, Hacking, Hacking Ético, 
Segurança Ofensiva e Equipe Vermelha. Apesar dessas denominações apresentadas, 
convencionalmente, adotaremos um termo simplificado: pentest, como forma de indicar um teste de 
penetração ou teste de invasão. Assim, a discussão sobre os objetivos de execução de um pentest, 
envolvendo aspectos profissionais e morais, posiciona o executor do teste de algumas formas. Sobre 
essas formas, analise as opções a seguir:
I- White hat (chapéu branco). 
II- Black hat (chapéu preto). 
III- Grey hat (chapéu cinza). 
IV- Blue hat (chapéu azul).Assinale a alternativa CORRETA:
A As opções I, II e III estão corretas.
B As opções I, III e IV estão corretas.
C As opções II e IV estão corretas.
D Somente a opção I está correta.
Com relação ao cenário nacional, preocupado com o crescimento dos ataques cibernéticos, o 
governo brasileiro criou a Estratégia Nacional de Segurança Cibernética (E-Ciber). O seu objetivo é 
evidenciar a importância dada à segurança on-line em conformidade com o cenário internacional 
(NOGUEIRA, 2020). Brasil (2019) aponta os elementos que motivaram a criação da E-Ciber em 
território brasileiro, aos quais, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Falta de alinhamento macropolítico e estratégico nas ações de segurança cibernética. 
( ) Coletar informações confidenciais dos usuários, visando protegê-los. 
( ) Boas iniciativas em segurança cibernética, porém fragmentadas. 
( ) Confirmar dados pessoais e financeiros dos usuários, pela utilização combinada de meios 
técnicos e engenharia social. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: BRASIL. Gabinete de Segurança Institucional. Departamento de Segurança da Informação. 
Estratégia nacional de segurança cibernética (E-Ciber). 2019. Disponível em: 
http://dsic.planalto.gov.br/noticias/estrategia-nacional-de-seguranca-cibernetica-e-ciber. Acesso em: 4 
maio 2021. 
NOGUEIRA, L. Governo cria estratégia para enfrentar ataques cibernéticos. 2020. Disponível em: 
https://olhardigital.com.br/noticia/governo-cria-estrategia-para-enfrentar-ataques-ciberneticos/96407. 
Acesso em: 4 maio 2021.
A V - V - F - V.
B F - V - V - V.
5
6
C V - F - V - F.
D V - F - F - V.
A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança 
corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação, do inglês 
PDCA. Visando identificar esta sigla, analise as opções a seguir: 
I- PLAN. 
II- DO. 
III- ALL. 
IV- CHECK. 
Assinale a alternativa CORRETA:
A Somente a opção III está correta.
B As opções III e IV estão corretas.
C Somente a opção I está correta.
D As opções I, II e IV estão corretas.
O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é compatível 
com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do processo de 
gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist, 
classifique V para as opções verdadeiras e F para as falsas: 
( ) Estruturação. 
( ) Processamento. 
( ) Avaliação. 
( ) Monitoramento. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - V.
B F - V - V - F.
C V - F - F - F.
D V - F - V - V.
A varredura em redes de computadores é uma forma importante de garantir a manutenção de serviços 
e verificar as atividades de hosts em uma grande rede. Para executá-la são usados os 
chamados programas de varreduras de portas, que podem ser utilizados não só pelos administradores 
de redes, mas também por pessoas mal-intencionadas que queiram explorar vulnerabilidades da rede. 
7
8
9
Com relação às técnicas de varredurabaseadas em portas, assinale a alternativa CORRETA:
A White Hat, Black Hat e Grey Hat.
B CVE e CWE.
C Open Scan, Half-Open, Stealth, Methods, Sweeps e Services.
D White Box, Gray Box e Black Box.
A varredura em redes de computadores é uma forma importante de garantir a manutenção de 
serviços e verificar as atividades de hosts (qualquer dispositivo cliente conectado) em uma grande 
rede. Para executá-la, são usados os chamados programas de varreduras de portas. Com base em 
como são conhecidos esses programas, analise as opções a seguir: 
I- Nmap ou Nmap Scan. 
II- Ping Scan ou Scan. 
III- Advanced Scan ou Scan. 
IV- Port Scanners ou Scanners. 
Assinale a alternativa CORRETA:
A As opções III e IV estão corretas.
B As opções I e IV estão corretas.
C Somente a opção IV está correta.
D As opções I, II e IV estão corretas.
10
Imprimir