SEGURANÇA CIBERNÉTICA 2

Prévia do material em texto

Disc.: SEGURANÇA CIBERNÉTICA 
Aluno(a): ABRAÃO GERMANO PORTES VIEIRA 202107351098 
Acertos: 5,0 de 10,0 05/06/2023 
 
 
 
1a 
 Questão 
Acerto: 0,0 / 1,0 
 
Uma empresa está realizando cálculos para entender como os vários tipos de ameaças cibernéticas, caso causem incidentes em vários dos 
ativos do ciberespaço que possui, poderão afetá-la financeiramente. Em uma das hipóteses de incidente, uma ameaça cibernética poderia 
exfiltrar todos os dados críticos e impedir o funcionamento da empresa por alguns dias, causando um prejuízo estimado em R$ 245.000,00. 
Diante disso, qual fórmula final e justificativa correspondem ao cálculo para foi utilizada para chegar-se a esse valor? 
 
 SLE (expectativa de perda singular), pois representa a perda baseando-se em apenas um evento de uma ameaça específica. 
 ALE (expectativa de perda anual), pois representa a perda baseando-se no efeito de longo período causado pela ameaça. 
 
EF (fator de exposição), pois representa a porcentagem da perda provocada por uma ameaça. 
 
ALE (expectativa de perda singular), pois representa o valor esperado para a perda. 
 
SLE (expectativa de perda única), pois representa a perda baseando-se no efeito de longo período causado pela ameaça. 
Respondido em 05/06/2023 20:51:26 
 
Explicação: 
A SLE (expectativa de perda singular) representa a perda estimada baseando-se apenas em uma ameaça específica. A EF (fator de exposição) 
representa a perda em porcentagem, o que não é o apresentado pelo enunciado. A ALE (expectativa de perda anual) representa a perda no período de 
um ano, o que também não é visualizado no enunciado, pois o período está representado em dias. 
 
 
2a 
 Questão 
Acerto: 0,0 / 1,0 
https://simulado.estacio.br/bdq_simulados_avaliacao_parcial_resultado.asp?cod_hist_prova=311293905&cod_prova=6430581919&f_cod_disc=
 
Um estabelecimento comercial está analisando o risco associado a todos seus serviços hospedados em nuvem. Diante disso, determinou 
que o grupo de trabalho responsável pelas implementações das medidas de segurança cibernética realizasse com todos os funcionários a 
proposição de problemas simulados relacionados à cibersegurança e seu impacto na quebra da confidencialidade de dados sigilosos, bem 
como calculasse o valor do prejuízo financeiro, de acordo com valores da moeda local, para cada dia que seus serviços permanecessem 
indisponíveis na Internet, em caso de ataques cibernéticos. Em relação a essas duas atividades, pode-se dizer que cada uma, 
respectivamente, no contexto da atividade de Análise de Riscos, é denominada de qual forma? 
 
 
Análise Quantitativa e Análise Objetiva. 
 
Análise Quantitativa e Análise Qualitativa. 
 
Análise Subjetiva e Análise Objetiva. 
 Análise Qualitativa e Análise Subjetiva. 
 Análise Qualitativa e Análise Quantitativa. 
Respondido em 05/06/2023 20:52:29 
 
Explicação: 
A Análise Quantitativa adota critérios objetivos e baseados em valores monetários, frente a riscos que possam tornar-se incidentes. A Análise Qualitativa 
cunha os valores das perdas, em decorrência do risco, de forma subjetiva. Por essa razão, o custo do prejuízo financeiro, calculado na moeda local, 
relativo aos dias em que os serviços da organização possam ficar indisponíveis na Internet é obtido por meio de técnicas da Análise Quantitativa, ao 
passo em que a proposição de problemas relacionados à quebra da confidencialidade é uma técnica da Análise Qualitativa, pois não é possível 
quantificar exatamente o montante da perda financeira decorrente desse risco. Os demais tipos de análise abordados nas outras alternativas não fazem 
parte do escopo da atividade de Análise de Riscos. 
 
 
3a 
 Questão 
Acerto: 1,0 / 1,0 
 
Os ataques de negação de serviço tem como objetivo tornar indisponível um servidor. Avalie as afirmativas a seguir a respeito de ataques de 
negação de serviço. 
 
I. Em UDP reflection, o atacante envia pacotes com origem falsa para um servidor UDP que não é o alvo. Esse servidor UDP, envia as 
respostas desses pacotes para o alvo. 
 
II. O fator de ampliação é a razão entre a quantidade de bytes recebida pelo servidor alvo e a quantidade de bytes enviadas pelo atacante. 
 
III. Assim como o ataque de SYN Flood, o UDP reflection completa o 3-way handshake. 
 
É correto o que se afirma em: 
 
 
Apenas I. 
 
I e III 
 
Apenas II. 
 I e II 
 
Apenas III. 
Respondido em 05/06/2023 20:52:27 
 
Explicação: 
O UDP reflection não completa o 3-way handshape. Ou UDP reflection envia pacotes UDP para um servidor externo para que as respostas sejam 
enviadas para o alvo. 
 
 
4a 
 Questão 
Acerto: 1,0 / 1,0 
 
Bob, um funcionário da empresa Tecnologia & Comunicações, recentemente instalou um novo serviço de FTP em um sistema Linux. Como 
ele acreditava que já estava seguro com o serviço, deixou as configurações de FTP da forma padrão. Que vulnerabilidade Bob deixou em 
seu servidor? 
 
 
Buffer overflow. 
 Erros em configuração de serviços. 
 
Bind shell. 
 
Vulnerabilidade 0-day. 
 
Reverse Shell. 
Respondido em 05/06/2023 20:53:56 
 
Explicação: 
Erros na configuração de serviços ocorrem quando o responsável não configura tudo o que é necessário para manter o código seguro. 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Com relação a vulnerabilidade de Injeção, assinale a alternativa correta: 
 
 
Aplicações webs mais antigas são menos susceptíveis a Injeção de SQL que aplicações mais modernas. 
 A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá se chamar Injeção de SQL, 
Injeção de Comando, Injeção de LDAP e assim por diante. 
 
Para explorar uma injeção de comando, o invasor não precisa conhecer dos comandos de sistema operacional onde se encontra 
instalado o servidor web. 
 
Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de rede. 
 
Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e depois do valor de cada 
campo recebido da requisição web (por GET ou por POST). 
Respondido em 05/06/2023 20:54:31 
 
Explicação: 
A injeção é uma vulnerabilidade que depende, principalmente, da não validação por parte do servidor. Ainda, qualquer injeção funciona adicionando em 
campos onde se espera, por exemplo, somente texto, parte de comandos relacionados à tecnologia em uso. Assim, na injeção de SQL parte do conteúdo 
do campo texto será preenchido com sintaxe SQL. Isso vale para Injeção de Comando e Injeção de LDAP. 
 
 
6a 
 Questão 
Acerto: 0,0 / 1,0 
 
Um usuário observa que, durante a utilização de uma aplicação web, já autenticado, o seguinte conteúdo existe em um COOKIE 
armazenado pelo seu navegador: 
O:7:"Usuario":3:{s:5:"login";s:10:"magitirana";s:6:"perfil";s:5:"comum";s:14:"expirationTime";N;}Quais das afirmações abaixo é correta com 
relação a estas informações? 
 
 Um objeto da classe Usuário foi serializado e atributo perfil possui o valor comum 
 
Um objeto da classe Usuário foi serializado e é um administrador do sistema. 
 
Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java. 
 
Um objeto da classe Usuário foi serializado e 7 objetos Usuários foram definidos. 
 Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum. 
Respondido em 05/06/2023 20:55:27 
 
Explicação: 
A sequência apresenta é típica da serialização de um objeto utilizando a linguagem PHP. A linguagem Java realiza a serialização em formato binário o 
que não seria, em primeiro momento, acessível diretamente. Se analisarmos o conteúdo temos que um objeto da classe Usuário foi serializado. O 
atributo login possui o conteúdo magitirana, o atributo perfil possui o valor comum e o atributo expirationTime possui o valor NULL (N). 
 
 
7a 
 Questão 
Acerto: 0,0 / 1,0 
 
Umaimportante medida para o aumento da adoção do 802.11 no mundo foi a introdução do WPA. A principal razão foi a vulnerabilidade 
comprovada do WEP. Sobre a segurança das redes sem fio IEEE 802.11, avalie as assertivas a seguir: 
I - A principal fragilidade do WEP é o uso do algoritmo simétrico RC4. 
PORQUE 
II - O uso do RC4 com vetores de inicialização de apenas 24 bits enviado em claro, que faz parte da chave de criptografia, facilita quebras de 
chave. 
A respeito dessas assertivas, assinale a opção correta: 
 
 
As assertivas I e II são proposições verdadeiras, mas II não é uma justificativa correta para a I. 
 A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira. 
 As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I. 
 
As assertivas I e II são proposições falsas. 
 
A assertiva I é uma proposição verdadeira, mas II é uma proposição falsa. 
Respondido em 05/06/2023 20:56:12 
 
Explicação: 
Gabarito: A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira. 
Justificativa: O RC4 é um algoritmo de criptografia simétrico de fluxo, e sua robustez DEPENDE do tamanho e do SIGILO da chave. Ele, em si, não é 
inseguro. O WEP usa o RC4, porém fragiliza o mecanismo quando além de mantê-la possivelmente pequena, não a altera periodicamente. Desta forma, 
a segunda assertiva é correta, mas a primeira não é. 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
Uma das opções de segurança no ambiente TCP/IP é o IPSEC. Assinale a opção correta acerca do IPSEC. 
 
 
No IPSEC, caso haja demanda de confidencialidade, autenticidade e integridade, basta usar o cabeçalho ESP para 
confidencialidade e o AH para a autenticidade/integridade. 
 A implementação do IPSEC oferece confidencialidade e autenticidade/integridade para todas as aplicações instaladas. 
 
Na operação do IPSEC com ESP em modo túnel não se garante anonimidade, o que ocorre em modo transporte. 
 
O IPSEC é uma solução de segurança adicional, devendo ser instalada e configurada tanto para o IPv4 quanto para o IPv6. 
 
Através de negociação, os pares de uma comunicação em IPSEC definem uma "associação de segurança" com parâmetros únicos 
válidos para as mensagens em ambas as direções. 
Respondido em 05/06/2023 20:57:16 
 
Explicação: 
Gabarito: A implementação do IPSEC oferece confidencialidade e autenticidade/integridade para todas as aplicações instaladas. 
Justificativa: Opções erradas - Associações de Segurança são UNIDIRECIONAIS, ou seja, são criadas para cada sentido da comunicação. No modo 
TÚNEL do IPSEC ESP, um novo cabeçalho é acrescentado com os endereços dos gateways, ocultando os endereços de origem e destino dos pacotes e 
consequentemente garantindo a anonimidade. No modo TRANSPORTE não há esse encapsulamento, logo, não há anonimidade. O cabeçalho dá opção 
de autenticação adicionalmente à criptografia, logo, não há necessidade de uso simultâneo dos dois cabeçalhos. O IPSEC é uma funcionalidade 
PADRÃO do IPv6 e adicional ao IPv4, logo, não é preciso ser "instalada" para o IPv4. A opção certa decorre do fato da segurança com o IPSEC ser 
implementada na camada de REDE, fazendo com que todas as aplicações em execução se beneficiem disso, de forma transparente. 
 
 
9a 
 Questão 
Acerto: 0,0 / 1,0 
 
Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção que só contem termos válidos. 
I - ANULAR; 
II - MITIGAR; 
III - TRANSFERIR; 
IV - ACEITAR; e 
V - EVITAR. 
 
 I, II, III e IV 
 
I, II, IV e V 
 II, III, IV e V 
 
I, III, IV e V 
 
I, II, III e V 
Respondido em 05/06/2023 20:58:44 
 
Explicação: 
Gabarito: II, III, IV e V 
Justificativa: Resposta correta: I,II,III e V. Aceitar é a concordância do risco e das consequências que vêm junto com ele, se esse risco se materializar. 
Transferir o risco é o tipo de resposta usada para alocar a responsabilidade do risco para um terceiro. Evitar o risco é o tipo de resposta usada para 
eliminar o risco juntamente com da causa. Mitigar o risco é o tipo de resposta que envolve técnicas que protegem os ativos de possíveis ataques e são 
implementadas quando o impacto de um potencial risco é substancial. Anular não é uma técnica de resposta a riscos. 
 
 
10a 
 Questão 
Acerto: 1,0 / 1,0 
 
Quais são as informações que os MAC Times podem fornecer? (Escolha três) 
I - Data/hora de Modificação 
II - Data/hora de Acesso 
III - Data/hora de Construção 
IV - Data/hora de Criação 
V - Data/hora de Arquivamento 
 
 I, II e IV 
 
I, III e V 
 
III, IV e V 
 
I, II e III 
 
II, IV e V 
Respondido em 05/06/2023 20:59:48 
 
Explicação: 
Gabarito: I, II e IV 
Justificativa: Data/hora de Modificação descreve a última vez que o arquivo sofreu uma modificação. Data/hora de Acesso descreve a última vez que o 
arquivo foi acessado. Data/hora de Criação descreve a data em que o arquivo foi criado. Data/hora de Construção e Arquivamento são informações 
inexistentes no MAC Times.