Avaliação Final da Disciplina - Riscos, Vulnerabilidade e Segurança

Prévia do material em texto

Pós-graduação em Redes Estruturadas de Computadores
	Iniciado em
	Friday, 3 Mar 2023, 23:00
	Estado
	Finalizada
	Concluída em
	Friday, 3 Mar 2023, 23:12
	Tempo empregado
	12 minutos 40 segundos
	Avaliar
	10,0 de um máximo de 10,0(100%)
Parte superior do formulário
Questão 1
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Um exemplo de ameaça ou risco a segurança da informação é:
a. 
informações equivocadas.
b. 
falha de processo no hardware.
c. 
falha de processo no software.
d. 
dados divergentes.
e. 
um intruso que acessa a rede por uma porta firewall.
Um introduzo que acessa a rede por meio de uma porta firewall é considerado uma ameaça à segurança do sistema da informação, pois pode roubar informações sigilosas ou comprometer o sistema.
Questão 2
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
O que é vulnerabilidade?
a. 
Resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
b. 
Falha no ambiente que ameace algum ativo.
A alternativa está correta, pois apresenta a definição de vulnerabilidade, as outras opções referem-se a dados, a conhecimento, a ativos de informação e a incidente.
c. 
É o conjunto de informações que agrega valor ao ser humano e a organização.
d. 
É um conjunto de bits armazenados (nome, endereço, datas, etc).
e. 
Qualquer elemento que tenha valor para uma organização.
Questão 3
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
A avaliação dos riscos envolve metodologias para medição do nível de risco, uma delas permite uma mensuração em termos de valor e podem ou não se relacionar aos custos conhecidos como análise quantitativa. Beal (2008) aponta que um dos métodos quantitativos mais utilizados é o cálculo da Expectativa de Perda Anual (ALE, do inglês, Annual Loss Expectation). Marque a alternativa correta sobre esse método.
a. 
mede o impacto da ocorrência de um incidente.
b. 
calcula o nível de satisfação quanto à perda prevista com a ocorrência de um incidente.
c. 
calcula o tempo de perda previsto com a ocorrência de um incidente.
Esse método calcula o tempo de perda previsto com a ocorrência de um incidente e funciona da seguinte forma: adota-se o padrão de 12 meses para ocorrência de n incidentes para cada tipo de ameaça.
d. 
mede a avaliação da direção quanto à eficiência na correção de um incidente
e. 
mede os custos dos incidentes ocorridos no mês.
Questão 4
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Uma aplicação web pode ser atacada por ataques LFI (Local File Inclusion) de inclusão dinâmica de um arquivo através de scripts maliciosos. Qual seria a solução mais eficaz para eliminar essa vulnerabilidade?
a. 
Utilizar nome de tabelas de tabelas ou colunas fornecidos pelos usuários.
b. 
Impedir a transmissão de entrada enviada pelo usuário para qualquer sistema de arquivo.
Para evitar o tipo de ataque LFI é necessário uma série de procedimentos, e um deles é o bloqueio da transmissão de entrada de dados enviada pelo usuário para qualquer sistema de arquivo, pois qualquer fonte de dados pode ser uma falha de injeção de variáveis, parâmetros, serviços web externos e internos, sendo vulneráveis as consultas de interpretação inconsistentes.
c. 
Não utilizar os campos de formulários da aplicação web que não estejam corretamente implementados.
d. 
Identificar, localizar e modificar ou eliminar os scripts da página web.
e. 
Manter os dados junto com os comandos de consulta SQL.
Questão 5
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Em aplicativos de conteúdo dinâmico, estes recebem requisições que geram consultas em banco de dados. Se essas consulta não forem implementadas corretamente podem tornar o aplicativo vulnerável a injeções de scripts. Para se evitar esse tipo de ataque é necessário:
a. 
Atualizar um programa rapidamente, pois uma atualização recente pode conter uma grande falha de segurança.
b. 
Evitar o uso de caracteres de escape específicos do interpretador para que eles não sejam explorados nesse tipo de ataque.
c. 
Manter os dados separados dos comandos e consultas.
Manter os dados dos comandos e das consultas separados auxilia a evitar esse tipo de ataque, uma vez que torna mais difícil ao invasor manipulá-los.
d. 
Validar os dados de uma consulta, podendo essa validação ser feita do lado do cliente ou do lado do servidor.
e. 
Refazer as implementações web nos scripts dos formulários da página web.
Questão 6
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Dentre os ataques físicos que foram estudados, aquele que tem por objetivo indisponibilizar um serviço para que seja possível reduzir ou eliminar uma proteção do sistema denomina-se:
a. 
Port scanning.
b. 
DoS – Denial of Service.
o DoS possui vários tipos de ataques que visam indisponibilizar um serviço através do consumo da banda de rede, dos recursos de sistema ou até da adulteração das rotas/DNS, entre outras.
c. 
Sniffing.
d. 
Trojan horse.
e. 
Scanning de vulnerabilidades.
Questão 7
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Atualmente, grande parte dos sistemas computacionais estão disponíveis para acesso na web. Assim, cada vez mais invasores conseguem acesso a informações por meio de invasões a servidores e aplicativos web. Isso fez com que surgisse muitas ferramentas para web hacking. Qual destas ferramentas web hacking permite buscar informações de vulnerabilidade?
a. 
A SQLMap, uma ferramenta para testes automatizados de falhas de injeção de SQL.
b. 
A ferramenta nikto, um plugin que pode ser adicionado ao navegador para scanning on-line.
c. 
O Googledorks, um plugin que pode ser adicionado ao navegador para scanning on-line.
A alternativa correta é A, pois o Googledorks utiliza operadores de busca que podem retornar informações importantes relacionadas à vulnerabilidade.
d. 
A ferramenta ZAP, utilizada para varreduras na web e indispensável a qualquer profissional da área de segurança.
e. 
A ferramenta Nmap, projetada para ataques de força bruta.
Questão 8
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Escolha a alternativa que completa a frase a seguir: ______________ é um software malicioso ou parte dele, que se multiplica ampliando cópias de si e se tornando parte de outros softwares e arquivos.
a. 
Bot
b. 
Worm
c. 
Backdoor
d. 
Spyware
e. 
Vírus
bot e backdoor monitoram remotamente o computador infectado; worm se propaga automaticamente entre computadores, e spyware registra e envia eventos (no teclado e na tela, por exemplo) para terceiros.
Questão 9
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os malwares são ataques realizados no nível da aplicação, muito recorrentes em sistemas distribuídos com grande fluxo de usuários. O tipo de malware que procura encontrar uma forma de ter acesso ao sistema através de brechas ou sistemas adulterados denomina-se:
a. 
Back door.
o chamado back door ou trap door procura encontrar vulnerabilidades de acesso ao sistema desenvolvido, podendo ser também via programas adulterados.
b. 
Screenloggers.
c. 
Worm
d. 
Spyware.
e. 
Bomba lógica.
Questão 10
Correto
Atingiu 1,0 de 1,0
Marcar questão
Texto da questão
Os códigos maliciosos podem comprometer o computador e causar ameaças à segurança da informação. Com base nessa afirmação, assinale apenas a resposta correta que descreve sua ação.
a. 
Alternativas de coleta de dados no computador, incluem arquivos contendo códigos.
b. 
Executar arquivos infectados, obtidos em anexos de mensagens eletrônicas, mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos).
códigos maliciosos são programas criados para executar ações que comprometem o computador e o usuário não percebe que há infecção, ameaçando a segurança da informação.
c. 
Avaliação de atividades e de sistemas .
d. 
Acessar endereços da internet e ferramentas, utilizando navegadores confiáveis.
e. 
Visualizar as diferentes vulnerabilidades existentes e assegurar programas instalados.
Parte inferior do formulário