Baixe o app para aproveitar ainda mais
Prévia do material em texto
Questão 1 Correto Atingiu 1,00 de 1,00 Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as técnicas de invasões possíveis, saber apresentar um relatório perfeito para o cliente, se não tiver os recursos necessários para conseguir executar tudo isso, desde o hardware, sistemas operacionais, até programas. Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se de hardware, para usar os sistemas operacionais focados em segurança. a. Instalar o SO num servidor. b. Instalar o SO via Live USB. c. Instalar o SO na máquina virtual. d. Instalar o SO via Live CD. e. Instalar o SO na máquina física. Resposta correta. A alternativa está correta, pois a máquina física dá o recurso máximo para que se consiga exercer tudo que um teste de segurança requer. Existem certas ferramentas que não utilizam tanto do hardware, porém há ferramentas que exigem bastante, e o SO estar na máquina física é a melhor condição para se trabalhar. A resposta correta é: Instalar o SO na máquina física. Questão 2 Correto Atingiu 1,00 de 1,00 As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado. De acordo com a introdução, assinale a norma descrita que está correta. a. ISO 27005 - Práticas para sistema de controle. b. ISO 27004 - Práticas para relatórios. c. ISO 27003 - Diretrizes para implementar políticas para gestão de segurança da informação. d. ISO 27001 - Norma antiga substituída pela atual norma BS779-2. Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a padrões da segurança da informação, sendo um certificado muito interessante e que dá credibilidade ao profissional. e. ISO 27002 - Código de boas práticas que substituiu a norma ISO 17799:2005. A resposta correta é: ISO 27001 - Norma antiga substituída pela atual norma BS779-2. Questão 3 Correto Atingiu 1,00 de 1,00 De acordo com a lei penal no Brasil, invadir qualquer tipo de sistema sem a devida autorização comprovada do dono do que foi vítima da invasão é um crime federal, passível de indenização e até prisão. Portanto, conseguir uma autorização do dono da empresa a qual terá seu sistema testado é muito importante. A seguir, assinale a alternativa correta. a. Um teste de invasão pode ser feito sem a liberação do dono da empresa. b. Pode-se mostrar que conseguiu informações sigilosas das empresas e, após tudo isso, entrar em contato com a empresa para fazer um report, mesmo sem ter nenhum tipo de autorização. c. O profissional de segurança deve buscar sempre uma autorização prévia documentada para que se faça um teste de segurança depois. Resposta correta. A alternativa está correta, pois, como já dito no procedimento padrão de uma auditoria de segurança, para que se faça uma exploração de falhas, deve-se ter autorização para realizar essa exploração de vulnerabilidade. Fazendo uma breve analogia, seria a mesma coisa que entrar no quintal de uma casa sem permissão, ou seja, é passível de crime. Um hacker ético sempre pedirá permissão antes de fazer qualquer coisa no sistema de outra pessoa, e, mesmo que seja combinado boca a boca, o profissional sempre deverá ter a assinatura do possível cliente autorizando um teste de invasão. d. Um memorando interno basta para que um teste de intrusão seja feito legalmente por um profissional da segurança. e. O dono da empresa pode liberar o teste de invasão por meio de uma conversa boca a boca, pois isso basta para que o profissional de segurança possa fazer os testes. A resposta correta é: O profissional de segurança deve buscar sempre uma autorização prévia documentada para que se faça um teste de segurança depois. Questão 4 Correto Atingiu 1,00 de 1,00 Após realizar todos os tipos de testes técnicos, análises, auditorias e testes de intrusão, ainda existem falhas que comprometem as empresas, e essas falhas geralmente são os seres humanos, que, muitas vezes, podem ser persuadidos sem perceber e passar informações sigilosas. Assinale a alternativa correta. a. Sempre abra anexos de e-mails ou outros arquivos de estranhos. b. Sempre divulgue senhas do wi-fi. c. Nunca acompanhe todos os clientes dentro do edifício. d. Sempre forneça senha do wi-fi diferente entre visitante e colaborador. Resposta correta. A alternativa está correta, pois a empresa deve ficar prevenida sempre em relação a esse tipo de ataque, já que, mantendo uma mesma rede, com uma mesma senha tanto para colaboradores quanto para visitantes, pode ocorrer um ataque à rede interna caso o wi-fi da empresa seja hackeado. Ocorre que monitorar os acessos dos colaboradores é algo menos oneroso do que controlar os acessos de terceiros (indivíduos que não são colaboradores - visitantes). e. Nunca clique em um link de e-mail que supostamente carrega uma página qualquer. A resposta correta é: Sempre forneça senha do wi-fi diferente entre visitante e colaborador. Questão 5 Correto Atingiu 1,00 de 1,00 Um ataque de engenharia social, caso tenha-se êxito, pode trazer grandes implicações e prejuízos à empresa, e, dependendo de que tipo de informação sigilosa o hacker conseguir, pode vir até a causar a falência de uma empresa e deixar diversas pessoas desempregadas, como já ocorreu. Assim sendo, assinale a alternativa correta sobre as implicações de um ataque de engenharia social e quais são os agravantes. a. Fazer com que a empresa tenha seus dados sequestrados. b. Coagir alguém para obter informações que levam a ganhos ilícitos. Resposta correta. A alternativa está correta, pois, por meio da engenharia social, obtendo informações consegue-se praticar diversos outros crimes, como ganhar a senha de usuário ou administrador, ganhar a chave ou o crachá de um funcionário da empresa ou conseguir informações confidenciais, por exemplo. Tudo depende da técnica do atacante. c. Atacar a empresa e fazer tudo ficar off-line. d. A empresa ter todas as suas senhas trocadas e nas mãos do atacante. e. Atacar a empresa e roubar informações com técnicas do Kali Linux. A resposta correta é: Coagir alguém para obter informações que levam a ganhos ilícitos. Questão 6 Correto Atingiu 1,00 de 1,00 Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos. a. Naturalidade, confidencialidade, vulnerabilidade, legalidade, integridade. b. Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Resposta correta. A alternativa está correta, pois a autenticidade garante que uma mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e a legalidade, que todo o processo não tenha problemas com a lei. c. Confidencialidade, reciprocidade, vulnerabilidade, alteridade, iniquidade. d. Peculiaridade, assertividade, disponibilidade, autenticidade, exequibilidade. e. Elegibilidade, autenticidade, confidencialidade, honestidade, coercibilidade. A resposta correta é: Autenticidade, confidencialidade, disponibilidade, integridade, legalidade. Questão 7 Correto Atingiu 1,00 de 1,00 Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é preciso saber quais técnicas usar e em que momento utilizá-las. Existem vários ataques osquais possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que seriam esses Exploits? a. Exploração de falhas de engineer. b. Exploração de falhas de senhas. c. Exploração de falhas em softwares. Resposta correta. A alternativa está correta, pois os Exploits são utilizados justamente para se localizarem falhas em softwares, ou seja, vulnerabilidades em aplicações. Há Exploits que podem causar até mesmo paralisação de uma aplicação e de um sistema inteiro. Ferramentas desse tipo estão disponíveis, por exemplo, em sistemas operacionais como o Kali Linux. d. Exploração de falhas de informações públicas. e. Exploração de falhas de engenharia social. A resposta correta é: Exploração de falhas em softwares. Questão 8 Correto Atingiu 1,00 de 1,00 Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo de profissional, até encontrar um da área de segurança. Muitas vezes, os casos são resolvidos, enquanto, em outras, os profissionais até descobrem de que forma a empresa sofreu a invasão, porém, em diversas vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a alternativa que apresenta a análise forense computacional. a. Consiste em investigar crimes cibernéticos que envolvam crimes que possam ter ocasionado mortes. b. Consiste em técnica para fazer testes de intrusão, utilizando, para isso, o Kali Linux. c. Consiste em tentativas de ataques de tentativas, por exemplo erros e acertos, seguindo um modelo "capture the flag". d. Consiste em utilizar técnicas para rastrear o atacante. Lembre- se de que uma invasão sempre vai gerar rastros. Resposta correta. A alternativa está correta, pois a análise forense é feita justamente quando se precisa recriar toda a cena do crime, entender como o crime ocorreu, entender como o atacante entrou no sistema e verificar vestígios para que o atacante possa ser até encontrado. e. Consiste em técnica para achar vulnerabilidades a partir da engenharia social, exclusivamente. A resposta correta é: Consiste em utilizar técnicas para rastrear o atacante. Lembre-se de que uma invasão sempre vai gerar rastros. Questão 9 Correto Atingiu 1,00 de 1,00 Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informação quando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos. a. Mac. b. Windows 7. c. Unix. d. Kali Linux. Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, foi criado justamente para auditoria de segurança, seja para um Pentest interno ou externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD. e. Windows 10. A resposta correta é: Kali Linux. Questão 10 Correto Atingiu 1,00 de 1,00 O teste de stress, mais conhecido como teste de estresse, é muito utilizado independente se o penetration testingé interno ou externo, pois esse teste possibilita que se tenha noção se existe algum ataque iminente dando prejuízo ou se é a tecnologia que é fraca. Acredite, é ótimo conseguir reconhecer e diferenciar isso. Assinale a alternativa correta sobre a função do teste de stress em um Pentest. a. Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga. Resposta correta. A alternativa está correta, pois um teste de stress é feito para se verificar até quanto seu servidor aguenta, ou sua aplicação. Inclusive, ele consegue identificar quando seu servidor está caindo se a culpa é de um ataque DoS (negação de serviço) ou se simplesmente não está aguentando o fluxo. b. É feito para se descobrirem falhas de senhas num determinado servidor; assim, esse servidor concede senhas dos e-mails dos funcionários. c. Consiste em descobrir falhas humanas para que um ataque não contenha vestígios técnicos. d. É feito para que um hacker tenha informações públicas sobre o alvo, e, desse modo, com essas informações, consegue-se organizar um ataque. e. É feito para se verificar se a pessoa está estressada. Nos dias atuais, as pessoas vivem à base de remédio e precisam ficar menos estressadas. A resposta correta é: Consiste em sobrecarregar o servidor com excesso de dados, para determinar se ele aguenta a sobrecarga.
Compartilhar