topicos_FINAIS_seg_cib_3001

Prévia do material em texto

1.
Segun
		 	_______ de 1,00 
	
	do o cubo de McCumber, um ds princípios básicos para proteger os sistemas de informação garante que as
	inform
	2.
Qual a
	3.
	ações ou os processos do sistema sejam protegidos contra modificações intencionais ou acidentais.
Confidencialidade
Integridade
Não compartilhamento
Disponibilidade
Não Repúdio
	
	
	 
	_______ de 1,00 
	
	 principal diferença entre um vírus e um worm?
vírus é um sniffer e warm é um spyware.
vírus precisam da ajuda de um hospedeiro, enquanto worms agem de forma independente worms são parecidos com cavalos de troia, vírus é pra ataque de ransoware.
worms precisam da ajuda de um hospedeiro, enquanto vírus agem de forma independente.
Nenhuma, são todos malware.
	
	
	 
	_______ de 1,00 
Analise as alternativas e assinale aquela que melhor descreve a Open Web Application Security Project
 É uma vulnerabilidade de rede. 
 É uma ferramenta que serve para proteger de vulnerabilidades presentes na rede.
 É um ataque as vulnerabilidades de entrade e saída. 
 São as leis e normas que regem a internet. 
 É um documento que descreve sobre as vulnerabilidades de segurança de aplicativos web mais críticas.
	4.
		 	_______ de 1,00 
Um funcionário da empresa Miracle Systems estava infeliz com sua função havia muito tempo. Não queria pedir demissão; queria ser demitido sem justa causa e, para "acelerar" o processo, começou a demorar demasiadamente para realizar suas entregas, deixando de cumprir todas as suas metas. Seu superior, entretanto, não concordava com a ideia de demiti-lo e, percebendo que o funcionário estava se esforçando para ser mandando embora, passou a designar a esse funcionário apenas os trabalhos que ele mais detestava fazer. O funcionário perdeu a paciência e resolveu que iria pedir demissão ¿ mas antes resolveu "sacanear" a empresa, acreditando que nunca iriam identificá-lo. Sabendo de uma falha no sistema que permitia que ele acessasse as configurações de permissão da intranet ¿ mesmo sem ter a devida permissão para isso ¿ ele modificou as configurações para que ninguém mais pudesse ter acesso administrativo no sistema, nem mesmo para dar acesso a outras pessoas. Qual foi o tipo de ataque aplicado?
 Entidades Externas de XML (XXE)
 Injeção de SQL
 Negação de Serviço
 Quebra de controle de acesso
 Cross-site scripting (XSS)
		5.
A com no ca
	6.
		 	_______ de 1,00 
	
	unidade online que produz artigos, metodologias, documentação, ferramentas e tecnologias disponíveis gratuitamente
mpo da segurança de aplicativos da web é denominada:
MICROSOFT
CANONICAL
FACEBOOK
OWASP
CSI
	
	
	 
	_______ de 1,00 
No segmento de segurança de sistemas e da informação, existem inúmeras atividades e processos que são executados para tentar mitigar os riscos, uma dessas atividades tem como objetivo recolher dados sobre o funcionamento de um sistema ou aplicação e analisá-los para descobrir vulnerabilidades ou violações de segurança, ou mesmo para analisar violações de segurança já descobertas, com objetivo de descobrir suas causas e possíveis consequências. Essa atividade possui dois pontos fundamentais para que possa ser executada que são: a coleta de dados e a análise dos dados coletados.
Com base na informação acima, podemos dizer que atividade referenciada no texto é
 Um benchmark
 Uma Vistoria
 Uma Esteganografia
 Uma Auditoria
 Uma Consultoria
	7.
		 	_______ de 1,00 
É possível destacarmos uma enorme variedade de ferramentas, dispositivos e recursos, destinados a aumentar os níveis de proteção em ambientes computacionais, existe um dispositivo de segurança na forma de software ou de hardware, ou a combinação de ambos, normalmente é chamada de ¿appliance¿. A complexidade de instalação e configuração depende do tamanho da rede a ser protegida, das políticas de segurança a serem implementadas, da quantidade de regras que devem realizar controle do fluxo de entrada e saída de informações através de portas, e do nível de segurança desejado em um ambiente de redes de computadores.
 
Com base nessa informação, é possível afirmar que o software de segurança acima citado é
 Um IDS
 Um Antivírus
 Um Firewall
 Um IPS
 Um HoneyPot
	8.
		 	_______ de 1,00 
Todos os usuários de uma rede devem saber como relatar um possível incidente. Mesmo incidentes aparentemente pequenos devem ser percebidos, pois isso ajuda a prevenir futuros incidentes graves. Se um incidente for percebido, os seguintes especialistas devem ser informados, com exeção de:
 Departamento de segurança física.
 Assessoria jurídica.
 Chefe dos serviços gerais.
 Alta gerência.
 Administrador do sistema.
	9.
		 	_______ de 1,00 
Por mais eficazes que sejam os controles de segurança da informação implantados em determinadas empresas, é sempre importante planejar procedimentos de recuperação para restaurar os serviços de TI (Tecnologia da Informação), de forma a prever o que será realizado para restaurar os serviços após um eventual incidente de segurança, para isso, muitos controles como backup dos dados, sistemas de nobreak, geradores de energia ou até mesmos servidores reserva, são pensados para garantir a continuidade dos processos importantes para o negócio. Porem é possível que diante de falhas críticas de segurança, parte das informações possam ser perdidas.
Pensado nas possíveis perdas de dados em caso de falhas, as empresas utilizam uma métrica que analisa a tolerância aceitável para a perda parcial de seus dados, por pior que seja perder dados em caso de falhas, a empresa sabe que consegue operar com os dados que estão dentro da margem de segurança, com essa métrica podemos definir, por exemplo, a frequência com que os backups devem ser realizados e testados.
Com base nas informações apresentadas no texto, o termo que define a métrica utilizada para calcular o quanto de dados que uma empresa pode suportar perder em caso de falhas de segurança, é identificado pela sigla.
	DRP
	RPO 	PCN 	RTO
	BCP
	10.
	
		 	_______ de 1,00 
As cópias de segurança devem ser armazenadas em localidade remota, distante do local principal o suficiente para o caso de desastre ou impedimento, mas que não comprometa o acesso para a recuperação, quando for necessário.
Sobre a diretriz de cópias de segurança, para os casos de recuperação de desastre, é correto afirmar que:
 e) ter cópias de segurança dependente das diretrizes de segunda lcoal da empresa.
 c) as mídias devem ser substituídas no período indicado pelo fabricante ou em casos de erro das mesmas, resguardando os princípios de segurança.
 d) regularmente as mídias devem ser testadas, analisadas, para garantir a confiabilidade, a integridade e a disponibilidade relacionadas ao sigilo e ao descarte de dados.
 b) devem ser específicas e devem levar em consideração os sistemas operacionais, as aplicações e os dados que possibilitem uma completa recuperação da aplicação.
 a) faz-se necessário que a infraestrutura esteja disponibilizada no mesmo local original e tenha as mesmas característica e configurações.
Avaliação Digital 
-
 (AVD)
	1.
	_______ de 1,25 
Aplicações web são o principal alvo de ataques de Agentes Maliciosos (hackers ilegais e crackers), devido à possibilidade de alcance rápido de altos ganhos, e ao baixo risco de exposição do criminoso.
Dados de cartões de crédito, informações de clientes e de operações da empresa, roubos de identidades e outros dados sigilosos, informações sobre a infraestrutura de dados e vários outros podem ser usados para compor cenários de ataques com alto impacto.
Segundo o Instituto Gartner (2009), mais de 75% dos problemas com segurança na internet são devidos a falhas exploráveis a partir das aplicações web.
A maior parte das páginas web são naturalmente vulneráveis devido às tecnologias adotadas em sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da integração de outros sistemas, na medida em que são priorizados os aspectos funcionais que atendem a área de negócios, enquanto os requisitos de segurança ficam em segundoplano.
Disponível em: < https://www.redesegura.com.br/clientes-e-parceiros/o-risco-de-ataques-pela-web/>. Acesso em: 01 set. 2021.
Aplicações WEB desenvolvidas sem preocupação com certos critérios de segurança, podem apresentar em seu código, diversos problemas e falhas de segurança, e podem em certos casos expor informações até mesmo sobre suas próprias configurações, sobre os processos internos da própria aplicação ou mesmo permitir que a privacidade possa ser violada, sem que necessariamente precise haver qualquer intenção. Pessoas mal intencionadas como os Crackers, por exemplo, podem fazer uso desta fragilidade para conseguir informações sensíveis ou até mesmo planejar ataques mais direcionados e bem elaborados. Esse tipo de vulnerabilidade é classificado pela OWASP como sendo
	2.
	_______ de 1,25 
Ataques na internet são as tentativas de criminosos cibernéticos de destruir, danificar ou tornar indisponível uma rede de sistemas. Tais infrações podem fazer com que dados sigilosos sejam roubados ou expostos, causando a extorsão e exposição de informações confidenciais armazenadas.
Estes ataques geralmente ocorrem com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede acessível pela Internet pode ser alvo de um ataque, da mesma forma que também qualquer computador com acesso à Internet pode participar de um ataque. Existem muitas razões para os criminosos lançarem ataques na Internet, desde simples entretenimento a atividades ilegais. Suas motivações geralmente estão relacionadas à exibição de poder, prestígio, finanças, ideologia e motivações empresariais.
Disponível em: < https://wcsconectologia.com.br/blog/ataques-ciberneticos-o-que-sao-e-como-se-proteger/>. Acesso em: 01 set. 2021.
Existem aplicações WEB onde, credenciais utilizadas para realização de acessos, ou mesmo tokens de sessão não possuem proteção adequada, ou não possuem critérios de proteção analisados com uma frequência adequada. Com isso os Crackers, script kiddies entre outros atacantes, podem comprometer as senhas, chaves, tokens ou outros mecanismos de autenticação, dessa forma podem a assumir a identidade de usuários legítimos e comprometer algum dos pilares da segurança da informação. Os ataques que fazem uso dessa falha são classificados pela OWASP como sendo:
	3.
	_______ de 1,25 
 
O Cross-site Scripting (XSS) é um tipo de ataque de injeção de código malicioso em aplicações web, classificado entre as principais vulnerabilidades no OWASP Top 10 2017.
Neste ataque, o atacante aproveita uma vulnerabilidade em um website considerado confiável pelos seus visitantes para instalar um script que irá executar ações maliciosas como copiar cookies, tokens ou roubar dados de acesso registrados no navegador web do usuário. Em geral, o ataque explora vulnerabilidades no processo de requisição e troca de informações entre o usuário e a resposta do servidor Web. Diante deste contexto, analise as asserções abaixo sobre o ataque XSS:
I. executa no cliente web um código malicioso ou script que, necessariamente, está armazenado no servidor web acessado;
II. a falta de validação dos dados de entrada do usuário em uma página web é um das principais vulnerabilidades exploradapor este tipo de ataque;
III. Considerando que a entrada de dados é feita por meio de conteúdo ativo, a exemplo de HTML, JavaScript, ActiveX, Flash,Silverlight, ou seja, uma entrada de dados considerada não-confiável, uma das formas para se prevenir este tipo de ataque é evitar conteúdos ativos.
 
	4.
	_______ de 1,25 
O Sql-injection é um dos ataques mais conhecidos no mundo das aplicações web e pode comprometer os dados diretamente armazenados no banco de dados. Basicamente, este ataque se consiste no aproveitamento pelo atacante de erros na programação de um site, que permitem que sejam realizadas consultas às bases de dados para extrair informações confidenciais como usuários, nomes, emails e hash das senhas dos usuários, através de alguma interação com uma página. A finalidade destes ataques é comprometer servidores para utilizá-los com outras finalidades. De acordo com o contexto, julgue as asserções abaixo:
I - As Injeções SQL operam injetando dados em uma aplicação web que é então usada em consultas SQL. Os dados geralmente vêm de uma entrada não confiável, como um formulário da web.
II - Se bem sucedido, este ataque pode manipular a consulta SQL que está sendo direcionada para executar uma operação debanco de dados não pretendida pelo programador, mas não seria capaz de fazer a operação de update no banco de dados.
III - um dos objetivos deste ataque é o vazamento de dados.
	5.
	_______ de 1,25 
Uma empresa da área de vendas de livros online teve seu sistema comprometido a partir de um ataque bem sucedido em sua aplicação WEB, como resultado do ataque a empresa teve dados sigilosos expostos, e o atacante conseguiu realizar o download gratuito de produtos que somente poderiam ser baixados por usuários que pagam assinatura mensal.
Um especialista em segurança cibernética foi contratado para realizar uma auditoria nos sistemas e verificou que o atacante inseriu um código malicioso no campo de login, ao invés de usar um nome de usuário válido do sistema para ganhar acesso à área do assinante, normalmente os assinantes válidos acessam o sistema inserido seu nome de usuário no campo login em questão, e senha no campo password do sistema, para terem acesso à área do assinante e poderem usar ou baixar aos produtos pelo qual estão pagando.
O sistema de logs registrou que as informações inseridas no campo de login do sistema, usado pelos assinantes para terem acesso aos seus produtos foi: gilberto¿ or 1=1 limit 1;#
Fonte o autor (Gilberto Gonzaga)
Com base nas informações apresentadas no texto sobre o ataque realizado na empresa de vendas e, analisando o código malicioso inserido pelo atacante no campo de login usado pelos assinantes para poderem se autenticar, e possível afirmar que:
 O ataque obteve sucesso graças a uma vulnerabilidade chamada de Execução Maliciosa de Arquivos, onde o atacante inseriu um código malicioso no campo de login, para que o sistema pudesse interpretar o código inserido como sendo parte do código fonte da Aplicação WEB em questão.
 O ataque obteve sucesso graças a uma vulnerabilidade conhecida como Comunicações inseguras, onde o atacante inseriu um código malicioso no campo de login, para que o sistema pudesse criar uma rota forçada entre o equipamento do atacante e a aplicação WEB da empresa, dessa forma o atacante ganhou acesso ao sistema sem privilégios de administrador, mas ganhou acesso total como um assinante válido.
 O ataque obteve sucesso graças a uma vulnerabilidade conhecida como Falha de Autenticação e Gerenciamento de Sessão, onde o atacante inseriu um código malicioso no campo de login, para que o sistema o autenticasse como administrador da Aplicação, dessa forma o atacante ganhou acesso ao sistema com privilégios totais, sendo possível até mesmo realizar modificações no sistema.
 O ataque obteve sucesso graças a uma vulnerabilidade muito conhecida chamada de Cross Site Scripting (XSS), onde o atacante usou um código malicioso para que o sistema validasse o acesso com base em um script interpretado como sendo parte do código fonte da aplicação WEB da empresa, e limitasse o sistema a aceitar apenas um único comando, no caso o nome gilberto como usuário do sistema.
 O ataque obteve sucesso graças a uma vulnerabilidade muito conhecida, chamada de Injeção de SQL, onde o atacante usou um código malicioso para que o sistema validasse o acesso com base em apenas uma condição verdadeira, que é o nome gilberto ou 1=1 fosse verdade, além de limitar a consulta ao banco de dados à apenas uma linha.
	6.
	_______ de 1,25 
Analise as alternativas e assinale aquela que descreve apenas ataques que exploram deficiências na validação de entrada.
 Ataque CSRF e Ataque XSS. 
 Explorar erros dos usuários e Engenharia Social. 
 Ataque CSRF e SQL Injection. 
 Ataque XSS e SQL Injection.Engenharia Social e SQL Injection. 
	7.
	_______ de 1,25 
Aplicações web são o principal alvo de ataques de Agentes Maliciosos (hackers ilegais e crackers), devido à possibilidade de alcance rápido de altos ganhos, e ao baixo risco de exposição do criminoso.
Dados de cartões de crédito, informações de clientes e de operações da empresa, roubos de identidades e outros dados sigilosos, informações sobre a infraestrutura de dados e vários outros podem ser usados para compor cenários de ataques com alto impacto.
Segundo o Instituto Gartner (2009), mais de 75% dos problemas com segurança na internet são devidos a falhas exploráveis a partir das aplicações web.
A maior parte das páginas web são naturalmente vulneráveis devido às tecnologias adotadas em sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da integração de outros sistemas, na medida em que são priorizados os aspectos funcionais que atendem a área de negócios, enquanto os requisitos de segurança ficam em segundo plano.
Disponível em: < https://www.redesegura.com.br/clientes-e-parceiros/o-risco-de-ataques-pela-web/>. Acesso em: 01 set. 2021.
O OWASP Open Web Application Security Project ou Projeto Aberto de Segurança em Aplicações Web classificou as 10 vulnerabilidades mais comuns encontradas em aplicações WEB. Uma delas pode ocorrer quando uma aplicação WEB obtém as informações fornecidas por usuários e as devolve ao navegador sem realizar uma devida validação ou codificação do conteúdo, permitindo que atacantes possam executar scripts no navegador do dispositivo atacado, com isso e possível realizarem roubo sessões de usuários, realizar pichação em sites da Web, introduzir malwares entre outros. Com base nas informações apresentadas sobre a falha de segurança, é possível afirmar que a vulnerabilidade trata-se de:
	8.
	_______ de 1,25 
Quais as contramedidas para a Injeção de SQL