Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disc.: SEGURANÇA CIBERNÉTICA Aluno(a): ABRAÃO GERMANO PORTES VIEIRA 202107351098 Acertos: 5,0 de 10,0 05/06/2023 1a Questão Acerto: 0,0 / 1,0 Uma empresa está realizando cálculos para entender como os vários tipos de ameaças cibernéticas, caso causem incidentes em vários dos ativos do ciberespaço que possui, poderão afetá-la financeiramente. Em uma das hipóteses de incidente, uma ameaça cibernética poderia exfiltrar todos os dados críticos e impedir o funcionamento da empresa por alguns dias, causando um prejuízo estimado em R$ 245.000,00. Diante disso, qual fórmula final e justificativa correspondem ao cálculo para foi utilizada para chegar-se a esse valor? SLE (expectativa de perda singular), pois representa a perda baseando-se em apenas um evento de uma ameaça específica. ALE (expectativa de perda anual), pois representa a perda baseando-se no efeito de longo período causado pela ameaça. EF (fator de exposição), pois representa a porcentagem da perda provocada por uma ameaça. ALE (expectativa de perda singular), pois representa o valor esperado para a perda. SLE (expectativa de perda única), pois representa a perda baseando-se no efeito de longo período causado pela ameaça. Respondido em 05/06/2023 20:51:26 Explicação: A SLE (expectativa de perda singular) representa a perda estimada baseando-se apenas em uma ameaça específica. A EF (fator de exposição) representa a perda em porcentagem, o que não é o apresentado pelo enunciado. A ALE (expectativa de perda anual) representa a perda no período de um ano, o que também não é visualizado no enunciado, pois o período está representado em dias. 2a Questão Acerto: 0,0 / 1,0 https://simulado.estacio.br/bdq_simulados_avaliacao_parcial_resultado.asp?cod_hist_prova=311293905&cod_prova=6430581919&f_cod_disc= Um estabelecimento comercial está analisando o risco associado a todos seus serviços hospedados em nuvem. Diante disso, determinou que o grupo de trabalho responsável pelas implementações das medidas de segurança cibernética realizasse com todos os funcionários a proposição de problemas simulados relacionados à cibersegurança e seu impacto na quebra da confidencialidade de dados sigilosos, bem como calculasse o valor do prejuízo financeiro, de acordo com valores da moeda local, para cada dia que seus serviços permanecessem indisponíveis na Internet, em caso de ataques cibernéticos. Em relação a essas duas atividades, pode-se dizer que cada uma, respectivamente, no contexto da atividade de Análise de Riscos, é denominada de qual forma? Análise Quantitativa e Análise Objetiva. Análise Quantitativa e Análise Qualitativa. Análise Subjetiva e Análise Objetiva. Análise Qualitativa e Análise Subjetiva. Análise Qualitativa e Análise Quantitativa. Respondido em 05/06/2023 20:52:29 Explicação: A Análise Quantitativa adota critérios objetivos e baseados em valores monetários, frente a riscos que possam tornar-se incidentes. A Análise Qualitativa cunha os valores das perdas, em decorrência do risco, de forma subjetiva. Por essa razão, o custo do prejuízo financeiro, calculado na moeda local, relativo aos dias em que os serviços da organização possam ficar indisponíveis na Internet é obtido por meio de técnicas da Análise Quantitativa, ao passo em que a proposição de problemas relacionados à quebra da confidencialidade é uma técnica da Análise Qualitativa, pois não é possível quantificar exatamente o montante da perda financeira decorrente desse risco. Os demais tipos de análise abordados nas outras alternativas não fazem parte do escopo da atividade de Análise de Riscos. 3a Questão Acerto: 1,0 / 1,0 Os ataques de negação de serviço tem como objetivo tornar indisponível um servidor. Avalie as afirmativas a seguir a respeito de ataques de negação de serviço. I. Em UDP reflection, o atacante envia pacotes com origem falsa para um servidor UDP que não é o alvo. Esse servidor UDP, envia as respostas desses pacotes para o alvo. II. O fator de ampliação é a razão entre a quantidade de bytes recebida pelo servidor alvo e a quantidade de bytes enviadas pelo atacante. III. Assim como o ataque de SYN Flood, o UDP reflection completa o 3-way handshake. É correto o que se afirma em: Apenas I. I e III Apenas II. I e II Apenas III. Respondido em 05/06/2023 20:52:27 Explicação: O UDP reflection não completa o 3-way handshape. Ou UDP reflection envia pacotes UDP para um servidor externo para que as respostas sejam enviadas para o alvo. 4a Questão Acerto: 1,0 / 1,0 Bob, um funcionário da empresa Tecnologia & Comunicações, recentemente instalou um novo serviço de FTP em um sistema Linux. Como ele acreditava que já estava seguro com o serviço, deixou as configurações de FTP da forma padrão. Que vulnerabilidade Bob deixou em seu servidor? Buffer overflow. Erros em configuração de serviços. Bind shell. Vulnerabilidade 0-day. Reverse Shell. Respondido em 05/06/2023 20:53:56 Explicação: Erros na configuração de serviços ocorrem quando o responsável não configura tudo o que é necessário para manter o código seguro. 5a Questão Acerto: 1,0 / 1,0 Com relação a vulnerabilidade de Injeção, assinale a alternativa correta: Aplicações webs mais antigas são menos susceptíveis a Injeção de SQL que aplicações mais modernas. A vulnerabilidade de injeção é genérica e, conforme a tecnologia do servidor a ser explorada, poderá se chamar Injeção de SQL, Injeção de Comando, Injeção de LDAP e assim por diante. Para explorar uma injeção de comando, o invasor não precisa conhecer dos comandos de sistema operacional onde se encontra instalado o servidor web. Uma forma relativamente simples de evitar a Injeção em aplicações web é o uso de um firewall de rede. Uma forma de evitar uma Injeção de SQL é adicionar, na string do comando SQL, parênteses antes e depois do valor de cada campo recebido da requisição web (por GET ou por POST). Respondido em 05/06/2023 20:54:31 Explicação: A injeção é uma vulnerabilidade que depende, principalmente, da não validação por parte do servidor. Ainda, qualquer injeção funciona adicionando em campos onde se espera, por exemplo, somente texto, parte de comandos relacionados à tecnologia em uso. Assim, na injeção de SQL parte do conteúdo do campo texto será preenchido com sintaxe SQL. Isso vale para Injeção de Comando e Injeção de LDAP. 6a Questão Acerto: 0,0 / 1,0 Um usuário observa que, durante a utilização de uma aplicação web, já autenticado, o seguinte conteúdo existe em um COOKIE armazenado pelo seu navegador: O:7:"Usuario":3:{s:5:"login";s:10:"magitirana";s:6:"perfil";s:5:"comum";s:14:"expirationTime";N;}Quais das afirmações abaixo é correta com relação a estas informações? Um objeto da classe Usuário foi serializado e atributo perfil possui o valor comum Um objeto da classe Usuário foi serializado e é um administrador do sistema. Um objeto da classe Usuário foi serializado e armazenado no arquivo de COOKIE utilizando a linguagem Java. Um objeto da classe Usuário foi serializado e 7 objetos Usuários foram definidos. Um objeto da classe Usuário foi serializado e possui apenas 3 atributos: login, perfil e comum. Respondido em 05/06/2023 20:55:27 Explicação: A sequência apresenta é típica da serialização de um objeto utilizando a linguagem PHP. A linguagem Java realiza a serialização em formato binário o que não seria, em primeiro momento, acessível diretamente. Se analisarmos o conteúdo temos que um objeto da classe Usuário foi serializado. O atributo login possui o conteúdo magitirana, o atributo perfil possui o valor comum e o atributo expirationTime possui o valor NULL (N). 7a Questão Acerto: 0,0 / 1,0 Umaimportante medida para o aumento da adoção do 802.11 no mundo foi a introdução do WPA. A principal razão foi a vulnerabilidade comprovada do WEP. Sobre a segurança das redes sem fio IEEE 802.11, avalie as assertivas a seguir: I - A principal fragilidade do WEP é o uso do algoritmo simétrico RC4. PORQUE II - O uso do RC4 com vetores de inicialização de apenas 24 bits enviado em claro, que faz parte da chave de criptografia, facilita quebras de chave. A respeito dessas assertivas, assinale a opção correta: As assertivas I e II são proposições verdadeiras, mas II não é uma justificativa correta para a I. A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira. As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I. As assertivas I e II são proposições falsas. A assertiva I é uma proposição verdadeira, mas II é uma proposição falsa. Respondido em 05/06/2023 20:56:12 Explicação: Gabarito: A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira. Justificativa: O RC4 é um algoritmo de criptografia simétrico de fluxo, e sua robustez DEPENDE do tamanho e do SIGILO da chave. Ele, em si, não é inseguro. O WEP usa o RC4, porém fragiliza o mecanismo quando além de mantê-la possivelmente pequena, não a altera periodicamente. Desta forma, a segunda assertiva é correta, mas a primeira não é. 8a Questão Acerto: 1,0 / 1,0 Uma das opções de segurança no ambiente TCP/IP é o IPSEC. Assinale a opção correta acerca do IPSEC. No IPSEC, caso haja demanda de confidencialidade, autenticidade e integridade, basta usar o cabeçalho ESP para confidencialidade e o AH para a autenticidade/integridade. A implementação do IPSEC oferece confidencialidade e autenticidade/integridade para todas as aplicações instaladas. Na operação do IPSEC com ESP em modo túnel não se garante anonimidade, o que ocorre em modo transporte. O IPSEC é uma solução de segurança adicional, devendo ser instalada e configurada tanto para o IPv4 quanto para o IPv6. Através de negociação, os pares de uma comunicação em IPSEC definem uma "associação de segurança" com parâmetros únicos válidos para as mensagens em ambas as direções. Respondido em 05/06/2023 20:57:16 Explicação: Gabarito: A implementação do IPSEC oferece confidencialidade e autenticidade/integridade para todas as aplicações instaladas. Justificativa: Opções erradas - Associações de Segurança são UNIDIRECIONAIS, ou seja, são criadas para cada sentido da comunicação. No modo TÚNEL do IPSEC ESP, um novo cabeçalho é acrescentado com os endereços dos gateways, ocultando os endereços de origem e destino dos pacotes e consequentemente garantindo a anonimidade. No modo TRANSPORTE não há esse encapsulamento, logo, não há anonimidade. O cabeçalho dá opção de autenticação adicionalmente à criptografia, logo, não há necessidade de uso simultâneo dos dois cabeçalhos. O IPSEC é uma funcionalidade PADRÃO do IPv6 e adicional ao IPv4, logo, não é preciso ser "instalada" para o IPv4. A opção certa decorre do fato da segurança com o IPSEC ser implementada na camada de REDE, fazendo com que todas as aplicações em execução se beneficiem disso, de forma transparente. 9a Questão Acerto: 0,0 / 1,0 Os termos abaixo podem corresponder a técnicas de resposta a riscos. Marque a opção que só contem termos válidos. I - ANULAR; II - MITIGAR; III - TRANSFERIR; IV - ACEITAR; e V - EVITAR. I, II, III e IV I, II, IV e V II, III, IV e V I, III, IV e V I, II, III e V Respondido em 05/06/2023 20:58:44 Explicação: Gabarito: II, III, IV e V Justificativa: Resposta correta: I,II,III e V. Aceitar é a concordância do risco e das consequências que vêm junto com ele, se esse risco se materializar. Transferir o risco é o tipo de resposta usada para alocar a responsabilidade do risco para um terceiro. Evitar o risco é o tipo de resposta usada para eliminar o risco juntamente com da causa. Mitigar o risco é o tipo de resposta que envolve técnicas que protegem os ativos de possíveis ataques e são implementadas quando o impacto de um potencial risco é substancial. Anular não é uma técnica de resposta a riscos. 10a Questão Acerto: 1,0 / 1,0 Quais são as informações que os MAC Times podem fornecer? (Escolha três) I - Data/hora de Modificação II - Data/hora de Acesso III - Data/hora de Construção IV - Data/hora de Criação V - Data/hora de Arquivamento I, II e IV I, III e V III, IV e V I, II e III II, IV e V Respondido em 05/06/2023 20:59:48 Explicação: Gabarito: I, II e IV Justificativa: Data/hora de Modificação descreve a última vez que o arquivo sofreu uma modificação. Data/hora de Acesso descreve a última vez que o arquivo foi acessado. Data/hora de Criação descreve a data em que o arquivo foi criado. Data/hora de Construção e Arquivamento são informações inexistentes no MAC Times.
Compartilhar