Segurança em Dispositivos Móveis e Ambiente web Avaliação Final (Objetiva) - Individual

Prévia do material em texto

1 
Em segurança de informação, temos dois termos muito utilizados, a ameaça e as 
vulnerabilidades. A ameaça pode ser entendida por situação que pode ocorrer e 
causar algum dano ou perda, e a vulnerabilidade pode ser descrita pela fraqueza 
ou fragilidade que permite que uma ameaça a explore, possibilitando o acesso a 
bens ou pessoas, causando algum impacto de dano ou perda. Com relação às 
ameaças e vulnerabilidades em segurança de informação, classifique V para as 
sentenças verdadeiras e F para as falsas: 
( ) Um colaborador mal-intencionado é exemplo de ameaça. 
( ) A falta de controle de acesso a um sistema é um exemplo de ameaça. 
( ) Vírus de script são recebidos ao acessar alguma página da internet ou por e-
mail. 
( ) Worms são parecidos com vírus, porém conseguem copiar a si mesmo de um 
computador para outro. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A 
F - V - V - V. 
B 
F - V - V - F. 
C 
V - F - F - V. 
D 
V - F - V - V. 
2 
É interessante sempre utilizar as boas práticas para a criação de uma nova senha, 
pois a boa utilização dela é um grande passo para garantir segurança e evitar 
complicações, danos morais e até prejuízos com perda de dados ou financeiros. 
Neste contexto, a definição de uma senha adequada para utilização de um sistema 
é uma forma de realizar a proteção das informações e dados de acessos não 
autorizados. Referente ao roubo de dados de usuários e senhas, analise as 
afirmativas a seguir: 
 
I- Senhas bem definidas não podem ser quebradas ou descobertas. 
II- O roubo de senhas pode ocorrer pelo envio de phishing. 
III- DNS Poisoning é uma forma de enviar o usuário a uma página falsa. 
IV- O envenenamento de DNS é uma das formas de roubar dados de acesso. 
Assinale a alternativa CORRETA: 
A 
As afirmativas I e III estão corretas. 
B 
As afirmativas I e IV estão corretas. 
C 
Somente a afirmativa I está correta. 
D 
As afirmativas II, III e IV estão corretas. 
3 
O teste da caixa-cinza é considerado uma mistura do teste de caixa-branca com o 
teste de caixa-preta, pois este repassa ao auditor informações do alvo a ser 
atacado, sendo que estas infomações, o cibercriminoso conseguiria obter de 
alguma forma, talvez por um período de tempo maior, em um processo de invasão 
real. Com relação a testes de invasão caixa-preta, caixa-branca e caixa-cinza, 
classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Teste de caixa-cinza possui o foco de tornar mais rápida a execução do teste de 
invasão em relação ao teste de caixa-branca. 
( ) O teste de caixa-cinza possui acesso às informações internas, como a topologia 
de rede, por exemplo. 
( ) O teste de caixa-preta possui acesso às informações intermediárias, como 
reconhecimento e mapeamento da aplicação e da organização. 
( ) O teste de caixa-branca não possui acesso a informações de códigos-fonte e 
endereçamento interno. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A 
V - F - V - F. 
B 
F - V - V - V. 
C 
V - F - V - V. 
D 
V - F - F - F. 
4 
A vulnerabilidade de uma aplicação web (site ou aplicativo de celular) possui, 
muitas vezes, a possibilidade de acorrer devido a um simples erro humano, o qual 
pode ser corrigido por um programador, através de controles do código-fonte. 
Neste contexto, a segurança deve ser encarada como um requisito durante a fase 
de design, construção, implementação e testes do software. Referente à segurança 
em aplicações web, analise as afirmativas a seguir: 
I- Falhas de segurança em aplicações web, isto é, um ataque, pode ocorrer por um 
defeito na codificação do software. 
II- Uma das possibilidades para se evitar falhas de segurança em uma aplicação 
web é analisar documentos de requisitos, projeto e arquitetura. 
III- A análise de código-fonte é uma das técnicas utilizadas que permitem descobrir 
falhas de segurança. 
IV- Teste de invasão é uma das técnicas utilizadas, a qual possui a finalidade de 
descobrir quais os requisitos de segurança podem ser burlados. 
Assinale a alternativa CORRETA: 
A 
As afirmativas I, II, III e IV estão corretas. 
B 
Somente a afirmativa III está correta. 
C 
Somente a afirmativa II está correta. 
D 
Somente a afirmativa IV está correta. 
5 
A segurança da informação possui alguns pilares que a constituem, como a 
confidencialidade, a integridade e a disponibilidade. Com estas propriedades, é 
possível garantir que as informações sejam acessadas somente por pessoas 
autorizadas, garantir que elas sejam armazenadas corretamente e garantir sua 
disponibilidade. Referente à segurança de informação, analise as afirmativas a 
seguir: 
 
I- O conceito de autenticidade é a garantia de que um conteúdo é elaborado ou 
distribuído ao autor a quem este está atribuído. 
II- O conceito de legalidade é a garantia de que ações sejam realizadas em 
conformidade com a lei vigente e tenham validade jurídica. 
III- O conceito de não repúdio não possui relação com as tecnologias de 
certificação digital e assinatura digital. 
IV- O conceito privacidade é o controle de uma informação acerca de si com 
relação a sua exposição e disponibilização a terceiros. 
Assinale a alternativa CORRETA: 
A 
As afirmativas I, III e IV estão corretas. 
B 
As afirmativas I, II e III estão corretas. 
C 
Somente a afirmativa IV está correta. 
D 
As afirmativas I, II e IV estão corretas. 
6 
A utilização de senhas na rotina diária das pessoas é algo normal, pois geralmente 
as pessoas estão habituadas a utilizá-las nas mais variadas aplicações, como 
sistemas profissionais, sites de e-commerce, aplicativos de celular, entre outros. 
Muitas pessoas utilizam senhas consideradas fáceis de lembrar, principalmente em 
suas redes sociais e para acesso a seus e-mails, e além disso, muitas utilizam a 
mesma senha para vários aplicações diferentes. 
Com relação à disponibilidade de bancos de dados, assinale a alternativa 
CORRETA: 
A 
A senha ou password serve para realizar a autenticação de uma conta em uma 
aplicação. 
B 
A senha ou password serve para realizar a autenticação de uma conta em uma 
aplicação, porém, não é utilizada no processo de verificação da identidade do 
usuário. 
C 
Dentre os objetivos do processo de autenticação, ter a garantia que a origem dos 
dados é a de quem alega ser, não faz parte da autenticação. 
D 
A autenticação é um processo de verificação do usuário, porém não é necessário 
sua implementação, mesmo que em aplicações com dados sensíveis, pois o 
importante é ser utilizado usuário e senha para acesso. 
7 
Testes de invasão servem para medir a habilidade de uma equipe de tecnologia de 
informação em detectar e realizar a defesa da aplicação contra invasões reais, 
medir o nível de sofisticação que um cibercriminoso deve ter para afetar a 
aplicação, medir o quanto o sistema da aplicação consegue suportar ataques, entre 
outras medidas. Com relação a testes de invasão, classifique V para as sentenças 
verdadeiras e F para as falsas: 
( ) Testes de invasão costumam ser divididos em seis classificações, que são os 
testes, como o teste caixa-preta e o teste caixa-branca, por exemplo. 
( ) O teste caixa preta simula as mesmas condições de um atacante real, que 
possua acesso a endereços de IP externos, nomes de domínio e ramo de negócio da 
organização. 
( ) O teste caixa-branca fornece ao auditor apenas informações da topologia da 
rede e das plataformas utilizadas, e com isso, ele deve ser capaz de realizar um 
ataque à aplicação web. 
( ) O teste caixa-branca fornece informações suficientes para o atacante simular 
ataques que podem ser realizados por ex-funcionários ou colaboradores. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A 
V - V - F - V. 
B 
V - F - V - F. 
C 
F - V - V - F. 
D 
F - V - V - V. 
8 
A injeção de SQL pode ser compreendida por um tipo de ataque cibernético, no 
qual o cibercriminoso realiza a inserção de códigos-fonte em um formulário de um 
site, para então conseguir realizar a violaçãoda segurança, e com isso acessar os 
dados protegidos. 
Neste sentido, referente a ataques a bancos de dados, assinale a alternativa 
CORRETA: 
A 
Um ataque por Sql Injection pode prejudicar um banco de dados através da 
manipulação não autorizada de dados, mas não é possível o acesso aos dados 
sigilosos. 
B 
Injeção de SQL, cuja abreviação é SQLi, é uma ameaça muito comum em sistemas 
de bancos de dados. 
C 
Instruções em SQL não são interpretadas logo após sua execução, e por este motivo 
a injeção de código de consultas maliciosas é possível. 
D 
Normalmente pode ser utilizado o mesmo comando SQL em vários bancos de 
dados diferentes para realizar um ataque por Sql Injection. 
9 
Dentre os tipos de segurança de informação, existem diferentes formas, devendo 
ser avaliado o tipo de ameaça, assim como qual a necessidade que a organização, 
empresa ou instituição possui em relação à segurança de seus dados e, assim, optar 
por soluções mais adequadas. Além de soluções de segurança, é necessária a 
adoção de uma política de segurança para conseguir atingir o nível de segurança 
adequado, sendo que existem alguns tipos de segurança. Com relação aos agentes 
de segurança do acesso à nuvem ou CASB, classifique V para as sentenças 
verdadeiras e F para as falsas: 
( ) Auxilia o profissional de segurança da informação a realizar controles de 
forma restrita ao uso das informações. 
( ) A visibilidade é uma das finalidades do tipo de segurança CASB, e serve para 
fornecer visibilidade das aplicações hospedadas nos servidores da nuvem. 
( ) O Compliance, que são um conjunto de políticas e diretrizes, atende somente a 
regulamentação PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões 
de Pagamento), é um dos controles da CASB. 
( ) A segurança de dados é a classificação de informações trafegadas em uma 
aplicação, com identificação de informações sensíveis, identificação de alterações 
realizadas e monitoração completa de atividades de usuários. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A 
V - V - V - F. 
B 
V - V - F - V. 
C 
F - V - V - V. 
D 
F - V - V - F. 
10 
As ameaças causadas por seres humanos, como funcionários por exemplo, são mais 
complicados de se tratar do que as ameaças ambientais e técnicas, como energia 
elétrica ou mesmo ataques. Neste contexto, as ameaças ocasionadas por seres 
humanos não são tão previsíveis como nas ameaças físicas, pois estas ameaças 
normalmente são realizadas para burlar medidas de prevenções. Com relação às 
ameaças causadas por seres humanos, classifique V para as sentenças verdadeiras 
e F para as falsas: 
( ) Acesso físico não autorizado é uma destas ameaças, sendo caracterizada pelo 
acesso a certas partes de um edifício, sem autorização, por exemplo. 
( ) Roubo é uma destas ameaças, caracterizado pelo roubo de equipamentos 
físicos, por exemplo. 
( ) Utilização indevida é uma destas ameaças, sendo caracterizada pela destruição 
de equipamentos e dados. 
( ) Utilização de phishing é uma destas ameaças, podendo ser exemplificadas pelo 
envio de códigos maliciosos. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A 
F - V - V - V. 
B 
V - V - V - F. 
C 
V - F - F - V. 
D 
V - V - F - F.