SEGURANÇA CIBERNÉTICA

Prévia do material em texto

SEGURANÇA CIBERNÉTICA 
 
1 
Após uma série de incidentes cibernéticos, uma empresa decidiu contratar uma equipe de 
especialistas capazes de realizar o aperfeiçoamento de seu Plano de Cibersegurança existente. Após 
a contratação dos especialistas, estes informaram que uma das medidas a serem tomadas era a 
documentação de todos as causas, características e consequências dos incidentes cibernéticos 
ocorridos, bem como possíveis medidas de segurança que poderiam ser adotadas, a fim de que não 
ocorressem novamente. Essa medida se encaixa em qual fase da estruturação do Plano de 
Cibersegurança? 
 
Proteção. 
Recuperação. CERTO 
Resposta. 
Detecção. 
Identificação. 
Explicação: 
A fase de Recuperação é responsável por várias medidas com o objetivo de se manter a resiliência 
cibernética de uma organização. Para isso, medidas como a documentação de todas as 
características de um incidente cibernético possibilitariam um aprendizado de como funcionam para 
adotar-se estratégias que evitassem incidentes similares no futuro. O enunciado apresenta a 
situação de especialistas que solicitaram a documentação dos incidentes cibernéticos, de modo que 
fosse possível o aprendizado de como se concretizaram e como seria possível a adoção de medidas 
de segurança que impedissem a ocorrência posterior de incidentes cibernéticos parecidos. 
 
 
 
2a 
Uma empresa está realizando cálculos para entender como os vários tipos de ameaças cibernéticas, 
caso causem incidentes em vários dos ativos do ciberespaço que possui, poderão afetá-la 
financeiramente. Em uma das hipóteses de incidente, uma ameaça cibernética poderia exfiltrar 
todos os dados críticos e impedir o funcionamento da empresa por alguns dias, causando um 
prejuízo estimado em R$ 245.000,00. Diante disso, qual fórmula final e justificativa correspondem ao 
cálculo para foi utilizada para chegar-se a esse valor? 
 
ALE (expectativa de perda anual), pois representa a perda baseando-se no efeito de longo período 
causado pela ameaça. 
SLE (expectativa de perda única), pois representa a perda baseando-se no efeito de longo período 
causado pela ameaça. 
SLE (expectativa de perda singular), pois representa a perda baseando-se em apenas um evento de 
uma ameaça específica. CERTO 
EF (fator de exposição), pois representa a porcentagem da perda provocada por uma ameaça. 
Explicação: 
A SLE (expectativa de perda singular) representa a perda estimada baseando-se apenas em uma 
ameaça específica. A EF (fator de exposição) representa a perda em porcentagem, o que não é o 
apresentado pelo enunciado. A ALE (expectativa de perda anual) representa a perda no período de 
um ano, o que também não é visualizado no enunciado, pois o período está representado em dias. 
 
 
 
3a 
A tecnologia Wi-Fi, ao longo dos anos, evoluiu sua segurança. O WPA 2 utiliza o protocolo CCMP. 
Assinale a alternativa que indica qual a criptografia utilizada pelo CCMP. 
RC4 - Rivest Cipher 4 
PSK - Pre Shared Key 
EAP -Extensible Authentication Protocol 
AES - Adcanved Encryption Standard_CERTO 
TKIP - Temporal Key Integrity Protocol 
Explicação: 
O CCMP utiliza a criptografia AES. 
 
 
 
4a 
Um atacante decide atacar uma rede sem fio e, para isso, ele precisa preparar seu computador. Em 
relação a placa de Wi-Fi, avalie as seguintes afirmativas e a relação proposta entre elas: 
I. Para quebrar a senha de uma rede Wi-Fi com WPA ou WPA2 é necessário capturar o handshake 
entre o usuário e o Access Point. 
PORQUE 
II. O 4-way handshake possui a senha da rede Wi-Fi em texto claro, ou seja, sem criptografia. 
A respeito dessas asserções, assinale a alternativa correta: 
As asserções I e II estão corretas, e a II é a justificativa correta da I. 
A asserção I é verdadeira, e a II é uma proposição falsa.CERTO 
As asserções I e II são proposições falsas. 
A asserção I é falsa, e a II é uma proposição verdadeira. 
As Asserções I e II estão corretas, mas a II não é uma justificativa da I. 
Explicação: 
O handshake contém a senha criptografada do Wi-Fi WPA. É possível quebrá-la quando o handshake 
é capturado. 
 
5a 
Com relação a vulnerabilidade de Injeção, assinale a alternativa correta: 
Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e 
depois do valor de cada campo recebido da requisição web (por GET ou por POST). 
A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá 
se chamar Injeção de SQL, Injeção de Comando, Injeção de LDAP e assim por diante.CERTO 
Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de 
rede. 
Para explorar uma injeção de comando, o invasor não precisa conhecer dos comandos de sistema 
operacional onde se encontra instalado o servidor web. 
Aplicações webs mais antigas são menos susceptíveis a Injeção de SQL que aplicações mais 
modernas. 
Explicação: 
A injeção é uma vulnerabilidade que depende, principalmente, da não validação por parte do 
servidor. Ainda, qualquer injeção funciona adicionando em campos onde se espera, por exemplo, 
somente texto, parte de comandos relacionados à tecnologia em uso. Assim, na injeção de SQL parte 
do conteúdo do campo texto será preenchido com sintaxe SQL. Isso vale para Injeção de Comando e 
Injeção de LDAP. 
 
 
 
6a 
Algumas das Vulnerabilidades Web apresentadas no OWASP Top 10 de 2021 estão apresentadas 
em: 
Entidades Externas de XML, desserialização insegura, registro e monitoração insuficientes.CERTO 
Exposição de dados sensíveis, Man-in-the-Middle, Injeção. 
Criptografia de Chave pública, Man-in-the-Middle, Cross-site scripting. 
Injeção, Quebra de Autenticação e Ataque de Força Bruta. 
Injeção, Quebra de Criptografia, Força Bruta. 
Explicação: 
As vulnerabilidades de aplicações web previstas no OWASP Top Ten de 2021 são as mais comumente 
encontradas de acordo com pesquisa realizada pela própria OWASP, com exceção da desserialização 
insegura, sugerida na lista por pesquisa realizada na industria de TI. Dessa forma, as vulnerabilidades 
de aplicações de web apresentadas pela OWASP em 2021 são: injeção, quebra de autenticação, 
exposição de dados sensíveis, entidades enternas de XML, quebra de controle de acesso, 
configurações de segurança incorretas, cross-site scripting, desserialização insegura, uso de 
componentes comhecidamente vulneráveis (não apresentada) e registro e monitoração 
insuficientes. 
 
 
 
7a 
Em ambientes computacionais, a adoção de "boas práticas" é fundamental para evitar incidentes de 
segurança. Avalie as ações propostas abaixo, referentes ao hardening do ambiente Windows Server: 
I - Desabilitar contas de administrador e guest 
II - Criptografar o arquivo de registro 
III - Não modificar as configurações padrão feitas pelo instalador do sistema 
IV - Uso do Task Manager para monitorar processos em execução 
V - Uso do Event Viewer para verificar logs de erros 
É correto apenas o que afirma em: 
 
III, IV e V 
II, III e IV 
I, II e V _CERTO 
I, II e III 
I, IV e V 
Explicação: 
Gabarito: I, IV e V 
Justificativa: O arquivo de registro é a base de informações de configuração para as aplicações e o 
próprio sistema operacional, logo, não pode ser criptografado, mas deve ser protegido de forma 
indireta, através da concessão de direitos administrativos APENAS para usuários com expertise e 
responsabilidade para fazer gerência das aplicações e do SO. As configurações padrão da instalação 
podem vir com serviços eventualmente desnecessários, de acordo com a função do servidor. Assim, 
precisam ser DESABILITADOS, para que não representem um risco de incidentes. Desabilitar contas 
de administrador e guest é uma das primeiras providências recomendadas. O Task Manager e o 
Event Viewer possuem funcionalidades que foram corretamente indicadas nas respectivas 
assertivas. 
 
 
 
8a 
Uma importante medidapara o aumento da adoção do 802.11 no mundo foi a introdução do WPA. 
A principal razão foi a vulnerabilidade comprovada do WEP. Sobre a segurança das redes sem fio 
IEEE 802.11, avalie as assertivas a seguir: 
I - A principal fragilidade do WEP é o uso do algoritmo simétrico RC4. 
PORQUE 
II - O uso do RC4 com vetores de inicialização de apenas 24 bits enviado em claro, que faz parte da 
chave de criptografia, facilita quebras de chave. 
A respeito dessas assertivas, assinale a opção correta: 
As assertivas I e II são proposições falsas. 
As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I. 
A assertiva I é uma proposição verdadeira, mas II é uma proposição falsa. 
As assertivas I e II são proposições verdadeiras, mas II não é uma justificativa correta para a I. 
A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira.CERTO 
Explicação: 
Gabarito: A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira. 
Justificativa: O RC4 é um algoritmo de criptografia simétrico de fluxo, e sua robustez DEPENDE do 
tamanho e do SIGILO da chave. Ele, em si, não é inseguro. O WEP usa o RC4, porém fragiliza o 
mecanismo quando além de mantê-la possivelmente pequena, não a altera periodicamente. Desta 
forma, a segunda assertiva é correta, mas a primeira não é. 
 
9a 
Você recebe uma ligação do gerente de suporte técnico informando que houve um aumento nas 
ligações de usuários relatando que seus computadores estão infectados com malware. Qual das 
seguintes etapas de resposta a incidentes deve ser concluída primeiro? 
 
Contenção 
Pós-Incidente 
Identificação_CERTO 
Erradicação 
Backup 
Explicação: 
Gabarito: Identificação 
Justificativa: A primeira ação a ser tomada dentro do processo de resposta é identificar o malware, 
assim como os computadores afetados. A etapa de contenção é projetada para minimizar os danos e 
evitar que outros danos aconteçam. A etapa de erradicação envolve a remoção e restauração dos 
sistemas afetados, recriando a imagem do disco rígido do sistema e instalando patches. A etapa de 
pós-incidente é a fase em que são levantadas oportunidades de melhorias para evitar incidentes 
semelhantes no futuro. O backup é uma das diversas atividades que compõem o processo como um 
todo. 
10a 
A maior fonte de renda empresa XPTO é sua loja online. A loja é hospedada por diversos servidores 
distribuídos no mundo todo, e atende a milhões de clientes em diversos países. Na segunda-feira às 
9:00 h, durante uma manutenção, um administrador executa uma rotina para limpar os hard drives 
de 3 servidores para que eles pudessem ser atualizados com as novas imagens do sistema. O 
administrador, no entanto, digitou errado os comandos e apagou de forma incorreta todos os dados 
em discos. Isso derrubou a loja para todos os clientes mundialmente. 
Fatos adicionais importantes sobre o evento incluem: 
Os últimos backups dos servidores da loja foram realizados no Domingo anterior às 21:00h. 
A organização determinou previamente que uma perda de dados de transação se estendendo por 
mais de 6 horas poderia impactar seriamente o processo de venda e levar milhares de clientes 
insatisfeitos a requer reembolsos. 
Todos os servidores requerem uma reinicialização completa para completarem o processo de 
restauração de backups antes que eles retornem à produção. A equipe de disaster recovery revisa o 
dano e conclui que esse processo levará uma média de 8 horas para cada servidor. 
No geral, a XPTO acredita que pode recuperar a loja online completamente em aproximadamente 2 
dias. 
Uma avaliação anterior apontou que a XPTO não pode continuar sem a loja online por mais de 3 
dias. 
Dado o cenário, responda qual é o objetivo do tempo de inatividade máximo tolerável (MTD) da 
XPTO para esse incidente? 
6 horas 
8 horas 
4 dias 
2 dias 
3 dias_CERTA 
Explicação: 
Gabarito: 3 dias 
Justificativa: MTD é o período de tempo máximo que um desastre pode durar sem causar uma falha 
irrecuperável ao negócio. Uma avaliação anterior apontou que a XPTO não pode continuar sem a 
loja online por mais de 3 dias, sendo este seu MTD para este incidente.