Segurança e Auditoria de Sistemas de Informação

Prévia do material em texto

O kerberos é um protocolo que fornece autenticação em aplicações usuário/servidor 
que utiliza criptografia de chave simétrica para garantir a segurança e para a 
implementação de um sistema de autenticação baseado em kerbers, em que são 
envolvidos diferentes servidores. Assinale a alternativa que mostra CORRETAMENTE 
quais são os servidores envolvidos em um processo kerberos. 
A. Um servidor de autenticação (AS), um servidor de concessão de tíquetes (TGS) e 
um servidor DNS para resolver os endereços de redes. 
B. Um servidor de autenticação (AS), um servidor de concessão de tíquetes (TGS) e 
um servidor (de dados) real que fornece serviços a outros. 
C. Um servidor de autenticação (AS), um servidor de concessão de tíquetes (TGS) e 
um servidor DHCP para distribuir os endereços IP na rede. 
D. Um servidor de autenticação (AS), um servidor de certificado digital e um servidor 
(de dados) real que fornece serviços a outros. 
E. Um servidor de certificado digital, um servidor de concessão de tíquetes (TGS) e um 
servidor (de dados) real que fornece serviços a outros. 
 
Um dos problemas no uso da criptografia de chave assimétrica é encontrar uma forma 
segura para a divulgação da chave pública. Uma das formas utilizadas para garantir 
essa segurança é a criação de certificados de chave pública. Para isso, são usadas 
entidades administrativas, normalmente uma organização estadual ou federal que 
vincula uma chave pública a uma entidade e emite um certificado. Analise as 
alternativas e assinale a que mostra o nome que é dado a essas entidades. 
A. Autoridade de certificação. 
B. IANA. 
C. Entidade emissora de tokens. 
D. Autoridade de revogação. 
E. Autoridade de criptografia. 
 
O uso da criptografia oferece cinco serviços, sendo que um deles garante que o 
emissor não pode ser capaz de negar o envio de uma mensagem que ele efetivamente 
enviou. Esse serviço é conhecido por: 
A. Confidencialidade. 
B. Integridade. 
C. Autenticação. 
D. Não repúdio. 
E. Autenticação de entidade. 
 
Para criação de uma assinatura digital, utiliza-se o digest da mensagem, que 
representa uma mensagem ou documento de maior extensão e é obtido com a 
execução de um texto (tal como uma mensagem de e-mail) por meio de um 
determinado algoritmo. Assinale a alternativa que identifica o algoritmo usado para 
gerar o digest. 
A. Diffie-Hellman. 
B. DES. 
C. 3DES. 
D. Hash. 
E. AES. 
Um dos problemas no uso da criptografia é a distribuição de chaves, sendo que, para 
cada uma das formas de criptografia, simétrica ou assimétrica, há diferentes 
soluções. Analise as alternativas e assinale aquela que mostra uma forma de 
distribuição de chaves simétricas. 
A. KDC. 
B. Anúncio público. 
C. Autoridade de certificação. 
D. Digest. 
E. MACs. 
São exemplos de falhas na segurança de um sistema: 
A. a) Protocolos Seguros e Engenharia Social. 
B. b) Protocolos inseguros, senhas fáceis e bugs. 
C. c) Senhas complexas, firewall e força bruta. 
D. d) Autenticidade e integridade. 
E. e) Bugs, política e procedimentos. 
São atributos de segurança: 
A. a) Virus, keylogger e engenharia social. 
B. b) Cultura, mecanismos e firewall. 
C. c) Autenticidade, integridade, confidencialidade e disponibilidade. 
D. d) Senhas, criptografia e hardware. 
E. e) Antivírus, firewall e servidor. 
 
São componentes essenciais para a manutenção da segurança de um sistema: 
A. a) Troca de senhas, firewall e criptografia. 
B. b) Protocolos inseguros, senhas fáceis e bugs. 
C. c) Integridade, autenticidade e disponibilidade. 
D. d) Cultura, mecanismos e política de segurança. 
E. e) Bugs, política e procedimentos. 
 
O que é PSI? 
A. a) Política de Segurança da Informação - Procedimentos, regras de uso, requisitos e 
punições. 
B. b) Política de Serviços de Internet - Procedimentos para uma navegação segura. 
C. c) Procedimentos de Segurança Integrada - Regras para integração da segurança 
de sistemas. 
D. d) Privacidade e Segurança Individual - Protocolos que definem o princípio da 
individualidade do usuário. 
E. e) Punições de Sistemas Integrados - Políticas de punição para invasores de 
sistemas Web. 
 
São exemplos de ameaças à segurança: 
A. a) Bugs, política e procedimentos. 
B. b) Integridade, autenticidade e disponibilidade. 
C. c) PSI, MSI e GSI. 
D. d) Antivírus, firewall e servidor. 
E. e) Keylogger, força bruta e negação de serviço. 
 
Qual a função da criptografia? 
A. a) Desembaralhar os dados. 
B. b) Embaralhar os dados para proteger a segurança das informações. 
C. c) Impedir que os dados sejam apagados do banco de dados. 
D. d) Monitorar a ação de usuários invasores. 
E. e) Bloquear ações maliciosas dentro de uma aplicação. 
 
 
São tipos de criptografia: 
A. a) De chave pública e de chave particular. 
B. b) De chave direta e de chave indireta. 
C. c) De chave singular e de chave múltipla. 
D. d) De chave simétrica e de chave assimétrica. 
 
E. e) De chave livre e de chave proprietária. 
O que é uma chave privada? 
A. a) Chave utilizada para cifrar os dados. 
B. b) Chave utilizada para decifrar os dados cifrados por outra chave privada. 
C. c) Chave utilizada para se conectar ao banco de dados. 
D. d) Chave utilizada para decifrar os dados cifrados por uma chave pública. 
E. e) Chave utilizada como senha mestra de uma aplicação. 
 
O que é XSS? 
A. a) Extense Site Spoof - Técnica usada para escrever dados no banco de dados. 
B. b) Extensible Site Script - Técnica usada para quebra de senhas. 
C. c) Cross Start Site - Técnica usada para proteger os campos de formulário. 
D. d) Extra Strong Site - Proteção adicional para Aplicações Web contra invasões. 
E. e) Cross-Site Scripting - Técnica usada para inserir scripts maliciosos na aplicação. 
 
Qual a função dos logs? 
A. a) Habilitar os comentários em um blog ou aplicação. 
B. b) Guardar todas as senhas de acesso ao site ou aplicação. 
C. c) Manter um registro das atividades do site ou aplicação e os horários de acesso. 
D. d) Guardar todos os nomes de usuário que têm acesso à aplicação. 
E. e) Manter as informações ativas dentro de uma sessão. 
Qual a definição de proxy? 
A. Software instalado em um sistema operacional, preferencialmente servidor, que atua 
sobre os protocolos de camada 7. 
B. É um sistema operacional que atua sobre os protocolos de camada 7. 
C. É um hardware que atua sobre os protocolos de camada 7. 
D. É um software, exclusivamente instalado, em sistemas operacionais clientes. Assim 
monitora toda a atividade de camada 7. 
E. Software instalado em um sistema operacional preferencialmente servidor, que atua 
sobre os protocolos de camada 4. 
 
 
 
Quantos e quais são os objetivos de um servidor proxy HTTP? 
A. Efetuar cache de conteúdo. 
B. Efetuar filtro de pacotes. 
C. Efetuar cache de conteúdo e filtragem de pacotes. 
D. Efetuar controle de SMTP e cache SMTP. 
E. Cache de pacotes. 
Qual é o diretório de configuração do proxy no Linux? 
A. /etc/proxy 
B. /var/log/squid 
C. /var/lib/squid 
D. /etc/squid 
E. /squid 
 
Para um servidor proxy transparente, qual porta deverá ser redirecionada? 
A. 80. 
B. 22. 
C. 21. 
D. 53. 
E. 3128. 
Qual a porta padrão utilizada pelo servidor proxy squid? 
A. 3389. 
B. 3306. 
C. 25. 
D. 53. 
E. 3128. 
 
 
 
 
 
 
 
 
 
 
Qual o objetivo de se ocultar o SSID de uma rede sem fio? 
A. Deixar a rede sem senha de acesso, permitindo que qualquer um se conecte na 
mesma. 
B. Deixar a rede fechada para o acesso de novos dispositivos, permitindo apenas os 
cadastrados anteriormente. 
C. Colocar uma senha de acesso criptografada à rede sem fio. 
D. Ocultar o nome da rede para novos usuários. 
E. Ocultar o nível de intensidade de sinal recebido do ponto de acesso, como é 
mostrado em muitos dispositivos. 
Qual dos protocolos mostrados implementa recursos de criptografia? 
A. SMTP. 
B. FTP. 
C. POP3. 
D. HTTP. 
E. HTTPS. 
Ataques do tipo homem no meio podem ser feitos de algumas formas. Uma dessas 
formasé o ARP spoofing. Nesse tipo de ataque, qual o endereço que é manipulado 
para redirecionar o tráfego de dados? 
A. Endereço MAC do gateway. 
B. Endereço MAC do PC do cliente. 
C. Endereço IP do PC do cliente. 
D. Endereço de porta do gateway. 
E. Endereço de porta do PC do cliente. 
Quando um dispositivo é configurado para divulgar, de forma não autorizada, 
endereços IP para os demais PCs dentro de uma rede local, isso se configura como 
uma falha de segurança. Que nome é dado a esse procedimento? 
A. Falha de atualização de software. 
B. DHCP não autorizado. 
C. Firewall malconfigurado. 
D. Servidor proxy não bloqueado. 
E. Problema de DNS. 
 
 
 
A autenticação de usuários nas comunicações e trocas de dados é indispensável para 
o contexto atual. Existem diferentes algoritmos de criptografia que proporcionam uma 
autenticação mais segura. O que é a criptografia de dados? 
A. A definição de uma senha qualquer pelo usuário. 
B. A definição de uma senha forte pelo usuário. 
C. Uma forma de tornar ilegível a senha fornecida pelo usuário. 
D. Uma forma de segmentar em vários pedaços a senha do usuário. 
E. Uma forma de ocultar a informação, como se nada fosse transmitido. 
A segurança da informação está diretamente relacionada à proteção de um conjunto 
de informações, no sentido de preservar o valor que possuem para um indivíduo ou 
uma organização. A propriedade em que a informação não é revelada para as 
entidades sem que antes tenha sido autorizada é a: 
A. Confidencialidade. 
B. Integridade. 
C. Disponibilidade. 
D. Elasticidade. 
E. Nenhuma das anteriores. 
Controla e protege a rede interna contra acessos externos que não são permitidos. 
Age como um porteiro bloqueando o tráfego indesejado ou não autorizado de entrada 
ou saída, descartando os pacotes de acordo com um conjunto definido de regras de 
segurança. Esta é a definição de: 
A. Pen test. 
B. Port scan. 
C. Firewall. 
D. Ethical hacker. 
E. Política de segurança. 
O Distributed Denial of Service (DDoS) é o tipo de ataque mais comum no Brasil e no 
resto do mundo. Ele torna uma página web e seus serviços indisponíveis por meio da 
realização de um número enorme de requisições a seu servidor e, por isso, passa a 
negar as requisições por estar sobrecarregado. Qual a propriedade da segurança da 
informação que é afetada neste tipo de ataque? 
A. Confidencialidade. 
B. Integridade. 
C. Disponibilidade. 
D. Elasticidade. 
E. Nenhuma das anteriores. 
____________ é utilizado para quebrar senhas por meio da tentativa de todas as 
combinações possíveis. Trata-se de um software que testa automaticamente milhões 
de combinações de senha até encontrar a correta e, então, invadir o servidor. A 
resposta correta para a lacuna é: 
A. Phishing. 
B. Ataque de força bruta. 
C. Pen test. 
D. Worm. 
E. Ethical hacker.