Auditoria de Segurança da Informação - Teste Final (N2) - 3

Prévia do material em texto

Questão 1
Correto
Atingiu 1,00 de 1,00
Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as técnicas de
invasões possíveis, saber apresentar um relatório perfeito para o cliente, se não tiver os recursos
necessários para conseguir executar tudo isso, desde o hardware, sistemas operacionais, até
programas.
Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se de hardware,
para usar os sistemas operacionais focados em segurança.
a. Instalar o SO num servidor.
b. Instalar o SO via Live USB.
c. Instalar o SO na máquina virtual.
d. Instalar o SO via Live CD.
e. Instalar
o SO na
máquina
física.
Resposta correta. A alternativa está correta, pois a máquina física dá o
recurso máximo para que se consiga exercer tudo que um teste de
segurança requer. Existem certas ferramentas que não utilizam tanto do
hardware, porém há ferramentas que exigem bastante, e o SO estar na
máquina física é a melhor condição para se trabalhar.
A resposta correta é: Instalar o SO na máquina física.
Questão 2
Correto
Atingiu 1,00 de 1,00
As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e
administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para
propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes.
Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado.
 
De acordo com a introdução, assinale a norma descrita que está correta.
a. ISO 27005 - Práticas para sistema de controle.
 
 
b. ISO 27004 - Práticas para relatórios.
c. ISO 27003 - Diretrizes para implementar políticas para gestão de segurança da informação.
d. ISO 27001 -
Norma
antiga
substituída
pela atual
norma
BS779-2.
Resposta correta. A alternativa está correta, pois a ISO 27001, na
verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO
27001 está muito relacionada a padrões da segurança da informação,
sendo um certificado muito interessante e que dá credibilidade ao
profissional.
e. ISO 27002 - Código de boas práticas que substituiu a norma ISO 17799:2005.
A resposta correta é: ISO 27001 - Norma antiga substituída pela atual norma BS779-2.
Questão 3
Correto
Atingiu 1,00 de 1,00
De acordo com a lei penal no Brasil, invadir qualquer tipo de sistema sem a devida autorização
comprovada do dono do que foi vítima da invasão é um crime federal, passível de indenização e até
prisão. Portanto, conseguir uma autorização do dono da empresa a qual terá seu sistema testado é
muito importante.
 
A seguir, assinale a alternativa correta.
 
a. Um teste de invasão pode ser feito sem a liberação do dono da empresa.
b. Pode-se mostrar que conseguiu informações sigilosas das empresas e, após tudo isso,
entrar em contato com a empresa para fazer um report, mesmo sem ter nenhum tipo de
autorização.
c. O
profissional
de segurança
deve buscar
sempre uma
autorização
prévia
documentada
para que se
faça um teste
de segurança
depois.
Resposta correta. A alternativa está correta, pois, como já dito no
procedimento padrão de uma auditoria de segurança, para que se faça
uma exploração de falhas, deve-se ter autorização para realizar essa
exploração de vulnerabilidade. Fazendo uma breve analogia, seria a
mesma coisa que entrar no quintal de uma casa sem permissão, ou
seja, é passível de crime. Um hacker ético sempre pedirá permissão
antes de fazer qualquer coisa no sistema de outra pessoa, e, mesmo
que seja combinado boca a boca, o profissional sempre deverá ter a
assinatura do possível cliente autorizando um teste de invasão.
d. Um memorando interno basta para que um teste de intrusão seja feito legalmente por um
profissional da segurança.
e. O dono da empresa pode liberar o teste de invasão por meio de uma conversa boca a boca,
pois isso basta para que o profissional de segurança possa fazer os testes.
A resposta correta é: O profissional de segurança deve buscar sempre uma autorização prévia
documentada para que se faça um teste de segurança depois.
Questão 4
Correto
Atingiu 1,00 de 1,00
Após realizar todos os tipos de testes técnicos, análises, auditorias e testes de intrusão, ainda
existem falhas que comprometem as empresas, e essas falhas geralmente são os seres humanos,
que, muitas vezes, podem ser persuadidos sem perceber e passar informações sigilosas.
 
Assinale a alternativa correta.
a. Sempre abra anexos de e-mails ou outros arquivos de estranhos.
b. Sempre divulgue senhas do wi-fi.
c. Nunca acompanhe todos os clientes dentro do edifício.
d. Sempre
forneça
senha do
wi-fi
diferente
entre
visitante e
colaborador.
Resposta correta. A alternativa está correta, pois a empresa deve ficar
prevenida sempre em relação a esse tipo de ataque, já que, mantendo
uma mesma rede, com uma mesma senha tanto para colaboradores
quanto para visitantes, pode ocorrer um ataque à rede interna caso o
wi-fi da empresa seja hackeado. Ocorre que monitorar os acessos dos
colaboradores é algo menos oneroso do que controlar os acessos de
terceiros (indivíduos que não são colaboradores - visitantes).
e. Nunca clique em um link de e-mail que supostamente carrega uma página qualquer.
A resposta correta é: Sempre forneça senha do wi-fi diferente entre visitante e colaborador.
Questão 5
Correto
Atingiu 1,00 de 1,00
Um ataque de engenharia social, caso tenha-se êxito, pode trazer grandes implicações e prejuízos à
empresa, e, dependendo de que tipo de informação sigilosa o hacker conseguir, pode vir até a
causar a falência de uma empresa e deixar diversas pessoas desempregadas, como já ocorreu.
Assim sendo, assinale a alternativa correta sobre as implicações de um ataque de engenharia social
e quais são os agravantes.
a. Fazer com que a empresa tenha seus dados sequestrados.
b. Coagir
alguém
para obter
informações
que levam a
ganhos
ilícitos.
Resposta correta. A alternativa está correta, pois, por meio da
engenharia social, obtendo informações consegue-se praticar diversos
outros crimes, como ganhar a senha de usuário ou administrador,
ganhar a chave ou o crachá de um funcionário da empresa ou
conseguir informações confidenciais, por exemplo. Tudo depende da
técnica do atacante.
c. Atacar a empresa e fazer tudo ficar off-line.
d. A empresa ter todas as suas senhas trocadas e nas mãos do atacante.
e. Atacar a empresa e roubar informações com técnicas do Kali Linux.
A resposta correta é: Coagir alguém para obter informações que levam a ganhos ilícitos.
Questão 6
Correto
Atingiu 1,00 de 1,00
Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma
auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a
auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de
segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo,
assinale a alternativa mais adequada sobre quais são os fundamentos corretos.
a. Naturalidade, confidencialidade, vulnerabilidade, legalidade, integridade.
 
 
b. Autenticidade,
confidencialidade,
disponibilidade,
integridade,
legalidade.
Resposta correta. A alternativa está correta, pois a autenticidade
garante que uma mensagem não seja alterada; a
confidencialidade, que haja sigilo; a disponibilidade, que a
informação esteja sempre disponível; a integridade, que se
mantenha íntegra; e a legalidade, que todo o processo não tenha
problemas com a lei.
c. Confidencialidade, reciprocidade, vulnerabilidade, alteridade, iniquidade.
d. Peculiaridade, assertividade, disponibilidade, autenticidade, exequibilidade.
e. Elegibilidade, autenticidade, confidencialidade, honestidade, coercibilidade.
A resposta correta é: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade.
Questão 7
Correto
Atingiu 1,00 de 1,00
Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é
preciso saber quais técnicas usar e em que momento utilizá-las. Existem vários ataques osquais
possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que
seriam esses Exploits?
a. Exploração de falhas de engineer.
b. Exploração de falhas de senhas.
c. Exploração
de falhas
em
softwares.
Resposta correta. A alternativa está correta, pois os Exploits são
utilizados justamente para se localizarem falhas em softwares, ou seja,
vulnerabilidades em aplicações. Há Exploits que podem causar até
mesmo paralisação de uma aplicação e de um sistema inteiro.
Ferramentas desse tipo estão disponíveis, por exemplo, em sistemas
operacionais como o Kali Linux.
d. Exploração de falhas de informações públicas.
e. Exploração de falhas de engenharia social.
A resposta correta é: Exploração de falhas em softwares.
Questão 8
Correto
Atingiu 1,00 de 1,00
Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo de profissional,
até encontrar um da área de segurança. Muitas vezes, os casos são resolvidos, enquanto, em
outras, os profissionais até descobrem de que forma a empresa sofreu a invasão, porém, em
diversas vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a alternativa que
apresenta a análise forense computacional.
a. Consiste em investigar crimes cibernéticos que envolvam crimes que possam ter
ocasionado mortes.
b. Consiste em técnica para fazer testes de intrusão, utilizando, para isso, o Kali Linux.
c. Consiste em tentativas de ataques de tentativas, por exemplo erros e acertos, seguindo um
modelo "capture the flag".
d. Consiste em utilizar
técnicas para rastrear
o atacante. Lembre-
se de que uma
invasão sempre vai
gerar rastros.
Resposta correta. A alternativa está correta, pois a análise
forense é feita justamente quando se precisa recriar toda a
cena do crime, entender como o crime ocorreu, entender
como o atacante entrou no sistema e verificar vestígios para
que o atacante possa ser até encontrado.
e. Consiste em técnica para achar vulnerabilidades a partir da engenharia social,
exclusivamente.
A resposta correta é: Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma
invasão sempre vai gerar rastros.
Questão 9
Correto
Atingiu 1,00 de 1,00
Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos
possibilitam chegar longe na área de segurança da informação quando combinados com o
conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações.
Assinale a alternativa correta que aponta um desses recursos.
a. Mac.
b. Windows 7.
c. Unix.
d. Kali
Linux.
 
 
Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em
Debian, foi criado justamente para auditoria de segurança, seja para um
Pentest interno ou externo. É possível usá-lo em máquina física, máquina
virtual e até em Live CD.
e. Windows 10.
A resposta correta é: Kali Linux.
 
 
Questão 10
Correto
Atingiu 1,00 de 1,00
O teste de stress, mais conhecido como teste de estresse, é muito utilizado independente se
o penetration testingé interno ou externo, pois esse teste possibilita que se tenha noção se existe
algum ataque iminente dando prejuízo ou se é a tecnologia que é fraca. Acredite, é ótimo conseguir
reconhecer e diferenciar isso.
 
Assinale a alternativa correta sobre a função do teste de stress em um Pentest.
a. Consiste em
sobrecarregar o
servidor com
excesso de dados,
para determinar se
ele aguenta a
sobrecarga.
Resposta correta. A alternativa está correta, pois um teste de
stress é feito para se verificar até quanto seu servidor aguenta,
ou sua aplicação. Inclusive, ele consegue identificar quando seu
servidor está caindo se a culpa é de um ataque DoS (negação
de serviço) ou se simplesmente não está aguentando o fluxo.
b. É feito para se descobrirem falhas de senhas num determinado servidor; assim, esse
servidor concede senhas dos e-mails dos funcionários.
c. Consiste em descobrir falhas humanas para que um ataque não contenha vestígios
técnicos.
 
 
d. É feito para que um hacker tenha informações públicas sobre o alvo, e, desse modo, com
essas informações, consegue-se organizar um ataque.
e. É feito para se verificar se a pessoa está estressada. Nos dias atuais, as pessoas vivem à
base de remédio e precisam ficar menos estressadas.
A resposta correta é: Consiste em sobrecarregar o servidor com excesso de dados, para determinar
se ele aguenta a sobrecarga.