SIMULADO 2 CICLO SEGURANÇA CIBERNÉTICA

Prévia do material em texto

Disc.: SEGURANÇA CIBERNÉTICA 
Aluno(a): 
Acertos: 8,0 de 10,0 
 
 
 
1a 
 Questão 
Acerto: 1,0 / 1,0 
 
Uma empresa está realizando cálculos para entender como os vários tipos de 
ameaças cibernéticas, caso causem incidentes em vários dos ativos do ciberespaço 
que possui, poderão afetá-la financeiramente. Em uma das hipóteses de incidente, 
uma ameaça cibernética poderia exfiltrar todos os dados críticos e impedir o 
funcionamento da empresa por alguns dias, causando um prejuízo estimado em R$ 
245.000,00. Diante disso, qual fórmula final e justificativa correspondem ao cálculo 
para foi utilizada para chegar-se a esse valor? 
 
 
SLE (expectativa de perda única), pois representa a perda baseando-se no 
efeito de longo período causado pela ameaça. 
 
ALE (expectativa de perda singular), pois representa o valor esperado para 
a perda. 
 
ALE (expectativa de perda anual), pois representa a perda baseando-se no 
efeito de longo período causado pela ameaça. 
 SLE (expectativa de perda singular), pois representa a perda baseando-se 
em apenas um evento de uma ameaça específica. 
 
EF (fator de exposição), pois representa a porcentagem da perda provocada 
por uma ameaça. 
 
 
Explicação: 
A SLE (expectativa de perda singular) representa a perda estimada baseando-se apenas 
em uma ameaça específica. A EF (fator de exposição) representa a perda em porcentagem, 
o que não é o apresentado pelo enunciado. A ALE (expectativa de perda anual) representa 
a perda no período de um ano, o que também não é visualizado no enunciado, pois o 
período está representado em dias. 
 
 
2a 
 Questão 
Acerto: 1,0 / 1,0 
 
Um estabelecimento comercial está analisando o risco associado a todos seus 
serviços hospedados em nuvem. Diante disso, determinou que o grupo de trabalho 
responsável pelas implementações das medidas de segurança cibernética realizasse 
com todos os funcionários a proposição de problemas simulados relacionados à 
cibersegurança e seu impacto na quebra da confidencialidade de dados sigilosos, 
bem como calculasse o valor do prejuízo financeiro, de acordo com valores da 
moeda local, para cada dia que seus serviços permanecessem indisponíveis na 
Internet, em caso de ataques cibernéticos. Em relação a essas duas atividades, 
pode-se dizer que cada uma, respectivamente, no contexto da atividade de Análise 
de Riscos, é denominada de qual forma? 
 
 
Análise Quantitativa e Análise Qualitativa. 
 
Análise Subjetiva e Análise Objetiva. 
 
Análise Qualitativa e Análise Subjetiva. 
 Análise Qualitativa e Análise Quantitativa. 
 
Análise Quantitativa e Análise Objetiva. 
 
 
Explicação: 
A Análise Quantitativa adota critérios objetivos e baseados em valores monetários, frente a 
riscos que possam tornar-se incidentes. A Análise Qualitativa cunha os valores das perdas, 
em decorrência do risco, de forma subjetiva. Por essa razão, o custo do prejuízo financeiro, 
calculado na moeda local, relativo aos dias em que os serviços da organização possam 
ficar indisponíveis na Internet é obtido por meio de técnicas da Análise Quantitativa, ao 
passo em que a proposição de problemas relacionados à quebra da confidencialidade é 
uma técnica da Análise Qualitativa, pois não é possível quantificar exatamente o montante 
da perda financeira decorrente desse risco. Os demais tipos de análise abordados nas 
outras alternativas não fazem parte do escopo da atividade de Análise de Riscos. 
 
 
3a 
 Questão 
Acerto: 1,0 / 1,0 
 
Os ataques de negação de serviço tem como objetivo tornar indisponível um 
servidor. Avalie as afirmativas a seguir a respeito de ataques de negação de serviço. 
 
I. Em UDP reflection, o atacante envia pacotes com origem falsa para um servidor 
UDP que não é o alvo. Esse servidor UDP, envia as respostas desses pacotes para 
o alvo. 
 
II. O fator de ampliação é a razão entre a quantidade de bytes recebida pelo servidor 
alvo e a quantidade de bytes enviadas pelo atacante. 
 
III. Assim como o ataque de SYN Flood, o UDP reflection completa o 3-way 
handshake. 
 
É correto o que se afirma em: 
 
 
Apenas III. 
 
I e III 
 I e II 
 
Apenas II. 
 
Apenas I. 
 
 
Explicação: 
O UDP reflection não completa o 3-way handshape. Ou UDP reflection envia pacotes UDP 
para um servidor externo para que as respostas sejam enviadas para o alvo. 
 
 
4a 
 Questão 
Acerto: 1,0 / 1,0 
 
Bob, um funcionário da empresa Tecnologia & Comunicações, recentemente instalou 
um novo serviço de FTP em um sistema Linux. Como ele acreditava que já estava 
seguro com o serviço, deixou as configurações de FTP da forma padrão. Que 
vulnerabilidade Bob deixou em seu servidor? 
 
 
Reverse Shell. 
 
Buffer overflow. 
 
Vulnerabilidade 0-day. 
 
Bind shell. 
 Erros em configuração de serviços. 
 
 
Explicação: 
Erros na configuração de serviços ocorrem quando o responsável não configura tudo o que 
é necessário para manter o código seguro. 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Na página de autenticação de uma aplicação Web os campos Username e Password 
são preenchidos e passados diretamente (sem validação) para compor o comando 
SQL a ser executado pelo gerenciador de banco de dados. Sabendo que o usuário 
preencheu o campo Username com carlos e a Password com qwerty e que o 
comando SQL executado é: 
SELECT * FROM users WHERE name=('carlos') and password=('querty') LIMIT 
0,1Qual seria o valor do campo Password para que pudéssemos acessar a conta de 
tom sem sua senha? 
 
 
" or '='1' 
 
') or '=('1' 
 
"" or "1"=("1 
 
' or 1='1' 
 1') or 1=('1 
 
 
Explicação: 
Desejamos que, no lugar da palavra querty, tenhamos um comando SQL que seja sempre 
verdadeiro para a senha (campo passord). Uma idéia seria exatamente usar ') or 1=('1 , que 
levaria a: 
SELECT * FROM users WHERE name=('carlos') and password=('') or 1=('1') LIMIT 0,1 
Mas esta alternativa não existe. Mas a letra (D) torna o funcionamento do SQL similar ao 
que nos interessa: 1') or 1=('1 
SELECT * FROM users WHERE name=('carlos') and password=('1') or 1=('1') LIMIT 0,1 
 
 
6a 
 Questão 
Acerto: 1,0 / 1,0 
 
Durante a monitoração de registro de eventos de uma aplicação web que se encontra no 
servidor superservidor.com.br, um administrador percebeu que a seguinte requisição estava 
presente: 
http://superservidor.com.br/dss/sistemas/registro.php?data=%3Cscript%3Ealert%28%22Testa
ndo%22%29%3B%3C%2Fscript%3E 
 
Com base nesta informação, assinale o que é mais provável com relação a esta requisição: 
 
 
que esta solução se caracteriza pelo início de um ataque de força bruta 
 
que esta requisição é uma mensagem de alerta de alguma solução de segurança 
implantada na rede. 
 
que o link para a página 
registro.php?data=%3Cscript%3Ealert%28%22Testando%22%29%3B%3C%2Fscript%3
E está presente na aplicação web 
 que esta é uma tentativa de se verificar se é possível fazer cross-site scripting 
 
que o invador está tentanto realizar a quebra do mecanismo de autenticação 
 
 
Explicação: 
Se prestarmos atençao no parâmetro passado, apesar de ele estar codificado com o URLEncode (o 
que é comum na transmissão de informação por método GET), podemos identificar as palavras script, 
alert Testando. Isso sugere que é um script em JavaScript. De fato, se decodificarmos o mesmo, 
teremos: . Portanto, esta é muito provavelmente uma tentativa do invasor de verificar se a página 
registro.php é susceptível a iniciar um ataque de cross-site scripting. 
 
 
7a 
 Questão 
Acerto: 0,0 / 1,0 
 
Um usuário desconfia que possui um backdoor instalado em seu computador. 
Supondo-se não estar com rootkit, qual ferramenta poderia identificar a presença da 
aplicação maliciosa e a porta de comunicação, em um ambiente windows? 
 
 
SFC 
 NSLOOKUP 
 
IPCONFIG 
 
IFCONFIG 
 NETSTAT 
 
 
Explicação: 
Gabarito: NETSTAT 
Justificativa: IPCONFIG é uma aplicação para verendereçamento IP, manipular cessão 
DHCP e manipular cache DNS local; IFCONFIG é do ambiente Linux; NSLOOKUP é um 
console para usar o RESOLVER DNS, e o SFC é para verificação de erros de integridade 
no sistema. O NETSTAT apresenta as associações entre os sockets (IP + PORTA) TCP e 
UDP existentes, bem como os sockets dos serviços em execução, onde o backdoor deve 
ser visto, caso não tenha sido mascarado por um rootkit. 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
Uma importante ação de segurança para redes sem fio padrão 802.11 foi a 
substituição das possibilidades entre "rede aberta" OU "senhas compartilhadas" por 
outra solução, onde se introduziu trocas periódicas de chaves e o suporte para 
802.1X. Essa solução é a: 
 
 
WEP2 
 
WEP 
 
WPA2 
 WPA 
 
WPA3 
 
 
Explicação: 
Gabarito: WPA 
Justificativa: WEP é a solução que foi substituída, que suporta apenas "rede aberta" ou 
senha compartilhada. WEP2 não existe. A resposta certa é WPA, que introduziu o conceito 
"corporativo" ao uso das redes 802.11 e agregou robustez à autenticação pessoal. WPA2 e 
WPA3, padrões existentes, além de incorporarem as introduções do WPA, oferecem mais 
recursos de segurança. 
 
 
9a 
 Questão 
Acerto: 1,0 / 1,0 
 
Um investigador forense precisa seguir um processo apropriado para a coleta, 
análise e preservação de evidências. Qual dos termos a seguir representa o 
processo que ele precisa seguir? 
 
 
Tratamento de incidentes 
 Cadeia de custódia 
 
Retenção legal 
 
Backup 
 
Ordem de volatilidade 
 
 
Explicação: 
Gabarito: Cadeia de custódia 
Justificativa: Cadeia de custódia refere-se à documentação cronológica que mostra a 
custódia, controle, transferência, análise e disposição das evidências físicas ou eletrônicas. 
Tratamento de incidentes é um guia que explica o processo e os procedimentos de como 
lidar com incidentes. A retenção legal é uma diretiva por escrito emitida por advogados que 
ordenam aos clientes que preservem as evidências pertinentes em um litígio. A ordem de 
volatilidade representa a ordem em que você deve coletar evidências. Em termos gerais, as 
evidências devem ser coletadas começando com a mais volátil e avançando para a menos 
volátil. Backup não faz parte do contexto do processo forense. 
 
 
10a 
 Questão 
Acerto: 0,0 / 1,0 
 
Um mandado foi emitido para investigar um servidor de arquivos suspeito de ser 
usado pelo crime organizado para armazenar informações roubadas de cartão de 
crédito. Um analista forense é instruído a seguir a ordem de volatilidade. Qual das 
fontes de dados deve ser coletada primeiro? 
 
 Memória RAM 
 
Unidade USB 
 
Slack Space 
 Disco Rígido 
 
Swap Files 
 
 
Explicação: 
Gabarito: Memória RAM 
Justificativa: Os dados da memória de acesso aleatório (RAM) são perdidos, em teoria, 
quando o dispositivo é desligado. Portanto, a RAM deve ser coletada corretamente 
primeiro. Uma unidade flash USB manterá seus dados quando a energia for removida. Um 
disco rígido manterá seus dados quando a alimentação for removida. Um swap file é uma 
extensão da memória e é armazenado no disco rígido, portanto, é menos volátil do que a 
RAM. Slak space é o espaço fragmentado em disco rígido, correspondente a unidades de 
alocação não totalmente utilizadas.