Quiz Ethical Hacking

Prévia do material em texto

21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 1/9
 
Revisar envio do teste: Clique aqui para iniciar o Quiz
SP_GRAD_695419_2301_01 2301-ETHICAL HACKING Quiz
REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ 
Usuário ADENILSON NEGRI
Curso 2301-ETHICAL HACKING
Teste Clique aqui para iniciar o Quiz
Iniciado 20/02/23 23:40
Enviado 21/02/23 00:46
Data de vencimento 29/03/23 23:59
Status Completada
Resultado da tentativa 9 em 10 pontos  
Tempo decorrido 1 hora, 6 minutos
Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários
Pergunta 1
Resposta
Selecionada:
a. 
Respostas: a. 
b. 
c. 
d. 
e.
Kevin Mitnick, hacker famoso que teve sua primeira prisão em 1995 é um grande
conhecido do mundo de segurança. Kevin começou suas atividades de hacking
com pequenos softwares e jogos de computador, posteriormente migrando suas
atividades para ataques mais sofisticados, onde começou a atacar provedores de
internet e telefones, com o intuito muitas vezes de diversão ou até mesmo
benefício próprio. Kevin, apesar do nome hacker, pode ser considerado um
cracker no mundo de segurança. Baseado nestes ataques e no objetivo de cada
um deles, suas ações o tornam um:
Black Hat.
Black Hat.
White Hat.
Gray Hat.
Combinação de Black Hat com White Hat.
As opções não são categorias de ações de hackerismo.
Sala de Aula Tutoriais
1 em 1 pontos
ADENILSON NEGRI
https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_205085_1
https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_205085_1&content_id=_9197225_1&mode=reset
https://www.ead.senac.br/
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1
https://senacsp.blackboard.com/webapps/login/?action=logout
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 2/9
Comentário da
resposta:
É considerado black hat o indivíduo conhecido como cracker.
Possui conhecimentos e os utiliza para fins ilegais, em
benefício próprio ou de terceiros.
Pergunta 2
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
O CVE (Common Vulnerabilities and Exposures) é uma identificação para
representar vulnerabilidades conhecidas na área de segurança da informação.
Fazem uso dessa identificação as ferramentas Metasploit e Armitage. Estas são
consideradas ferramentas de:
Framework com objetivo de exploração de vulnerabilidades. O
Armitage faz uso do framework do Metasploit para as mesmas
ações em GUI.
Framework com objetivo de exploração de vulnerabilidades. O
Armitage faz uso do framework do Metasploit para as mesmas
ações em GUI.
Framework de relatórios pós-exploração. Enquanto o Metasploit
colhe as informações, o Armitage realiza sua compilação e
formatação.
Ferramenta de análise de rede. O Metasploit é disponível
somente em formato de linhas de comando, enquanto o
Armitage possui GUI para análise.
Ferramenta de engenharia social. O Armitage é a evolução do
Metasploit, projeto esse que não sofre mais desenvolvimento.
Ferramenta de análise de rede. O Metasploit possui GUI para
gerência e análise, enquanto o Armitage disponibiliza somente
sua visualização e interação em linhas de comando.
O Metasploit é um framework que, por meio de payloads e
exploits, consegue efetuar explorações de vulnerabilidades. O
Armitage utiliza o Metasploit para suas ações, porém
disponibiliza uma interface gráfica para sua gerência.
Pergunta 3
O profissional de segurança conhece em parte o ambiente testado e possui um
escopo de trabalho para seus testes de intrusão e auditoria. Porém, diferente seu
1 em 1 pontos
1 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 3/9
Resposta
Selecionada:
a. 
Respostas: a. 
b. 
c. 
d. 
e.
Comentário
da resposta:
conhecimento e familiaridade com o ambiente não é pleno.
Estamos falando sobre o ambiente:
Gray Box.
Gray Box.
White Box.
Black Box.
Red Box.
Cenário desconhecido uma vez que o pentester ou conhece o
ambiente plenamente (White Box) ou desconhece (Black Box).
Segundo Muniz e Lakhani (2013), neste cenário, há uma mistura
de ambos ambientes, White Box e Black Box. O profissional de
segurança conhece em parte o ambiente testado e possui um
escopo de trabalho para seus testes de intrusão e auditoria.
Porém, diferente do White Box, seu conhecimento e familiaridade
com o ambiente não é pleno.
Pergunta 4
Resposta
Selecionada:
d.
Respostas: a.
b.
c.
d.
De acordo com as afirmações abaixo, qual melhor define o tipo de ataque de
MITM?
Ataque onde o atacante consegue se posicionar entre as
conexões do equipamento da vítima e o servidor ao qual as
informações são requisitadas.
Ataques que, por meio de tentativa e erro de senhas e
credenciais, é possível ao final encontrar a combinação correta e
obter acesso ao sistema.
São ataques que fazem uso da técnica de captura de hash e,
fornecendo-o para o servidor ao invés das credenciais em texto
claro, para obter acesso ao sistema.
Pode ser considerado um ataque derivado das técnicas de sql
injection, cross-site scripting e cookie stealing.
1 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 4/9
e.
Comentário da
resposta:
Ataque onde o atacante consegue se posicionar entre as
conexões do equipamento da vítima e o servidor ao qual as
informações são requisitadas.
Ataques que utilizam de engenharia social para ludibriar a vítima
a realizar ações que possam comprometer sua segurança. Muito
utilizado para descobrir usuários e senhas, bem como
informações importantes de ambientes empresariais.
Ataques MITM caracterizam-se pela interceptação da
comunicação entre o cliente e seu objetivo, inserindo o atacante
no meio das trocas de informações, permitindo então a captura
de todas as informações trafegadas entre ambas as partes.
Pergunta 5
Resposta Selecionada: c. 
Respostas: a. 
b. 
c. 
d. 
e. 
Comentário da
resposta:
Um pentester está se preparando para realizar suas ações de auditoria. Para isso,
o profissional elabora toda a montagem de seu ambiente de trabalho, com seus
equipamentos e ferramentas necessárias. Já munido de algumas informações do
ambiente que efetuará os testes, com seu escopo definido, o profissional inicia
seu processo levantando dados dos ativos que sofrerão ataques. A etapa descrita
pode ser considerada:
Coleta de Informações – Intelligence Gathering.
Preparação – Pre-Engagement Interactions.
Análise de Vulnerabilidades – Vulnerability Analysis.
Coleta de Informações – Intelligence Gathering.
Pós Exploração de Falhas – Post-Exploration.
Geração de Relatórios – Reporting.
A fase de Coleta de informações é onde o hacker realizará a
captura das informações dos ativos já previamente definidos na
etapa anterior, Preparação – Pre-Engagement Interactions, onde
foram definidos o escopo de trabalho.
Pergunta 6
As informações previamente levantadas nas etapas anteriores e os
resultados das explorações deverão ser documentados e relatados.
Nesta etapa também é importante a presença das recomendações e
ações para evitar as vulnerabilidades identificadas nas etapas
anteriores.
1 em 1 pontos
1 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724…5/9
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
e.
Comentário
da resposta:
O trecho destacado referencia-se a qual etapa do pentesting?
É uma das últimas fases do pentesting, a de geração de
relatórios – Reporting.
É uma das últimas fases do pentesting, a de geração de
relatórios – Reporting.
O trecho pode caracterizar as fases de exploração de falhas –
Exploitation e pós exploração de falhas – Post-Exploration.
O trecho pode caracterizar as fases de preparação – Pre-
Engagement Interactions e coleta de informações – Intelligence
Gathering, especialmente ao se referir a geração de
documentação.
Pode ser considerada a primeira fase de um pentesting. Após o
levantamento das informações com o contratante do serviço, o
profissional realiza a documentação e, baseado no que foi
verificado, é demonstrada as vulnerabilidades possíveis diante
do cenário apresentado.
O trecho em destaque faz parte de todas as etapas do
pentesting, uma vez que indiferente da etapa, novas
vulnerabilidades são descobertas e devem ser exploradas.
Presente na etapa de geração de relatórios, o Reporting é
considerado a última etapa do pentesting. O responsável pela
análise realizará toda a parte de documentação e relatórios dos
dados obtidos em sua análise. As informações previamente
levantadas nas etapas anteriores e os resultados das explorações
deverão ser documentadas e relatadas. Nesta etapa também é
importante a presença das recomendações e ações para evitar as
vulnerabilidades identificadas nas etapas anteriores.
Pergunta 7
Um cracker deseja efetuar ataques em uma rede corporativa e, devido ao
ambiente apresentado, possui acesso a servidores e serviços internos da
companhia alvo. Em rápida análise na rede, o cracker pode verificar que há
elementos que fazem uso de protocolos normalmente presentes em autenticações
NTLM. Com o objetivo de obter acesso a sistemas de autenticação remotos e
credenciais válidas, o cracker aplica um tipo de ataque conhecido como pass-the-
hash. A operação do ataque pass-the-hash utilizada pelo cracker pode ser definida
como:
1 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 6/9
Resposta
Selecionada:
b.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
Ataques que fazem uso da técnica de captura de hash e
fornecendo-o para o servidor ao invés das credenciais em texto
claro para obter acesso ao sistema.
Ataque onde o atacante consegue se posicionar entre as
conexões do equipamento da vítima e o servidor ao qual as
informações são requisitadas.
Ataques que fazem uso da técnica de captura de hash e
fornecendo-o para o servidor ao invés das credenciais em texto
claro para obter acesso ao sistema.
Ataque quando o usuário é instruído a clicar em um link falso,
remetendo ao download de um programa malicioso, vitimando
o usuário por um trojan.
Um ataque derivado das técnicas de sql injection, cross-site
scripting e cookie stealing.
Ataques que, por meio de tentativa e erro de senhas e
credenciais, é possível ao final encontrar a combinação correta
e obter acesso ao sistema.
Os ataques do tipo Pass-the-Hash possuem como característica
a autenticação e validação de credencial para acesso por meio
de verificação de hash, sem a necessidade de verificação de
informações de credenciais em texto claro.
Pergunta 8
É muito comum, nos dias atuais, o fornecimento de informações pessoais, como
telefone, endereço e até preferências pessoais, é uma realidade que muitas
empresas prestadoras e fornecedoras de serviço requisitam de seus clientes.
Ocorre que a manipulação dessas informações não era regulamentada, deixando
amplo campo para sua manipulação, situação diferente hoje em que há aspectos
legais que trazem regras quanto a sua manipulação. Em um pentesting, um
hacker pode se deparar com informações que estejam legalmente respaldadas
com a LGPD.
Qual das opções abaixo encaixa-se melhor no cenário atual de pentesting na
visão do hacker em relação à Lei Geral de Proteção de Dados (LGPD)?
1 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 7/9
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Comentário da
resposta:
A atividade de pentesting realizada pelo hacker ético pode
envolver a captura e manipulação de dados de terceiros. Se não
bem acordado com o contratante do serviço quanto à legalidade
e proteção jurídica, o hacker ético pode cometer crime ao
manipular e divulgar esses dados.
O pentester diante da LGPD encontra muita dificuldade em
seguir as metodologias comumente utilizadas na área de
segurança, uma vez que estas vão contra a LGPD, não
permitindo que as etapas de testes de vulnerabilidade sejam
aplicadas.
A LGPD não especifica ações de pentesting, portanto o hacker
em seu trabalho fica isento de punição quando ao
descumprimento da lei.
A LGPD somente é aplicada para o detentor dos dados, portanto
somente o auditado sofrerá punição caso algum item da lei seja
infringido durante o pentesting, isentando o pentester.
A atividade de pentesting por si só já é ilegal e é realizada por
profissionais da área de forma não oficial. Portando, sendo uma
atividade ilegal, já é caracterizada crime.
A atividade de pentesting realizada pelo hacker ético pode
envolver a captura e manipulação de dados de terceiros. Se não
bem acordado com o contratante do serviço quanto à legalidade
e proteção jurídica, o hacker ético pode cometer crime ao
manipular e divulgar esses dados.
O hacker pode se deparar com dados sensíveis e de terceiros,
em que o titular pode não ter ciência da manipulação destes.
Por isso, é de fundamental importância a proteção jurídica ao
realizar pentesting.
Pergunta 9
Na realização de um teste de intrusão, o hacker ético no papel de pentester tem
como boa prática o seguimento de algumas fases em ordem sequencial, uma vez
que tais ações facilitam na realização de sua atividade. Cada fase possui ações
específicas que, ao segui-las, derivam resultados que contribuem para fases
seguintes.
Considerando o cenário onde o pentester em suas atividades está efetuando
ações da fase de Análise de Vulnerabilidades – Vulnerability Analysis, podemos
0 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 8/9
Resposta
Selecionada:
d.
Respostas: a.
b.
c.
d.
e.
Comentário
da resposta:
concluir que:
O pentester inicia a exploração das falhas, efetuando ataques
referentes as vulnerabilidades descobertas e documenta a
gravidade e severidade de cada uma.
O pentester faz o levantamento dos ataques possíveis em cada
serviço que, pode ser identificado como vulnerável.
O pentester efetua a sanitização do ambiente, eliminando
scritps, programas e todos os rastros de ataques realizados.
O pentester gera os relatórios com as respectivas
vulnerabilidades, demonstrando a gravidade e severidade de
cada uma destas.
O pentester inicia a exploração das falhas, efetuando ataques
referentes as vulnerabilidades descobertas e documenta a
gravidade e severidade de cada uma.
O pentester efetua a modelagem das ameaças, identificando a
importância de cada uma destas.
Nesta etapa o pentester realiza a análise das vulnerabilidades.
Esta análise baseia-se em verificar como cada uma será
explorada e, se estas que foram encontradas, atendem o
requisito de criticidade e gravidade, pois apesar de identificada
como vulnerável, o impacto de sua exploração pode ser mínimo,
não trazendo informações ou atos relevantes para atacantes se
explorada.
Pergunta 10
Um hacker ético, profissional este habilitado e competente na sua
atividade, precisa de habilidadesdas mais diversas, uma vez que seu
papel é demonstrar as vulnerabilidades de sistemas e organizações
que, até o presente momento de suas ações, nenhum analista ou
profissional responsável conseguiu identificar. Segundo Basta, Basta e
Brown (2014), podemos verificar uma síntese das habilidades
necessárias para este profissional.
Este trecho remete as habilidades do hacker, que devem operar nas mais diversas
áreas de TI. Das opções abaixo, qual remete as áreas corretas?
1 em 1 pontos
21/02/2023, 00:54 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29283194_1&course_id=_205085_1&content_id=_919724… 9/9
Terça-feira, 21 de Fevereiro de 2023 00h47min12s BRT
Resposta
Selecionada:
e.
Respostas: a.
b.
c.
d.
e.
Comentário
da resposta:
Conhecimentos em programação e lógica de programação;
conhecimento em redes de computadores, serviços de rede e
infraestrutura e sistemas operacionais e técnicas de penetração;
criptografia e engenharia social. O hacker demanda
conhecimento em todas as áreas da computação, uma vez que
diferentes cenários podem necessitar de diferentes
conhecimentos.
Conhecimento na área de gestão, pois a maioria das falhas são
causadas por falha de processos e engenharia social.
Conhecimentos em programação, uma vez que o hacker utiliza
seu conhecimento para a descoberta de falhas em códigos,
omitindo as demais características do ambiente atacado.
Conhecimento em infraestrutura somente. O hacker não
demanda de conhecimentos em programação ou quaisquer
outras áreas de TI, uma vez que suas invasões e testes de
intrusão são sempre realizados na web e vulnerabilidades
somente ocorrem na camada de rede.
Conhecimento em infraestrutura e criptografia. O hacker não
necessita de conhecimentos nas demais áreas, uma vez que sua
operação ocorre somente na camada de rede e faz uso de
criptografia para mascarar seus passos.
Conhecimentos em programação e lógica de programação;
conhecimento em redes de computadores, serviços de rede e
infraestrutura e sistemas operacionais e técnicas de penetração;
criptografia e engenharia social. O hacker demanda
conhecimento em todas as áreas da computação, uma vez que
diferentes cenários podem necessitar de diferentes
conhecimentos.
O hacker demanda conhecimento em todas as áreas da
computação. Um hacker a priori desconhece o ambiente que está
trabalhando/irá trabalhar, tão pouco as vulnerabilidades que serão
encontradas neste. O conhecimento nas áreas de TI em geral
auxilia o profissional a explorar várias vulnerabilidades, indiferente
da categoria que estas sejam, em camada de implantação, rede,
infraestrutura, software, banco de dados, entre outras.
← OK