Teste de conhecimentos

Prévia do material em texto

Disc.: SEGURANÇA CIBERNÉT 
	
		Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	02364CONTRAMEDIDAS E HARDENING
	 
		
	
		1.
		Sobre o HTTP e o HTTPS, avalie as seguintes assertivas:
I - HTTPS é a operação do HTTP simples, com todos os seus métodos e respostas, sobre uma camada de sessão segura.
II - O HTTPS é a operação do HTTP com o protocolo de criptografia e autenticação SSL embutido.
III - Com o HTTPS o servidor é obrigado a possuir um certificado digital.
IV - Com o HTTPS o servidor pode optar apenas pela criptografia, apenas autenticação, ou ambas.
V - Apesar de não ser obrigatório, o HTTPS suporta o uso do certificado digital pelo cliente, aumentando ainda mais a segurança.
É correto apenas o que afirma em:
	
	
	
	III, IV e V
	
	
	I, II e III
	
	
	I, II e IV
	
	
	I, III e V
	
	
	II, IV e V
	
		Explicação:
Gabarito: I, III e V
Justificativa: Assertivas incorretas - O SSL e o TLS são definições de uma camada de sessão, onde são negociados entre cliente e servidor os parâmetros, algoritmos e chaves criptológicas de acordo com a disponibilidade e preferências de ambos. Durante o handshake, os algoritmos são selecionados e ao seu término, todo o tráfego passa a ser criptografado e autenticado nos dois sentidos da comunicação. O HTTPS NÃO É o HTTP com o SSL embutido, uma vez que o SSL é uma outra camada de protocolo, entre a aplicação (HTTP) e o transporte (TCP), oferecendo as funcionalidades de segurança. Segundo as especificações do HTTPS, em ambiente WEB TODAS as mensagens de uma sessão DEVEM ser criptografadas e autenticadas, não havendo possibilidade de serem selecionadas estas funcionalidades alternativamente.
	
	
	 
		
	
		2.
		Uma importante medida para o aumento da adoção do 802.11 no mundo foi a introdução do WPA. A principal razão foi a vulnerabilidade comprovada do WEP. Sobre a segurança das redes sem fio IEEE 802.11, avalie as assertivas a seguir:
I - A principal fragilidade do WEP é o uso do algoritmo simétrico RC4.
PORQUE
II - O uso do RC4 com vetores de inicialização de apenas 24 bits enviado em claro, que faz parte da chave de criptografia, facilita quebras de chave.
A respeito dessas assertivas, assinale a opção correta:
	
	
	
	As assertivas I e II são proposições falsas.
	
	
	As assertivas I e II são proposições verdadeiras, e a II é uma justificativa correta para a I.
	
	
	As assertivas I e II são proposições verdadeiras, mas II não é uma justificativa correta para a I.
	
	
	A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira.
	
	
	A assertiva I é uma proposição verdadeira, mas II é uma proposição falsa.
	
		Explicação:
Gabarito: A assertiva I é uma proposição falsa, mas II é uma proposição verdadeira.
Justificativa: O RC4 é um algoritmo de criptografia simétrico de fluxo, e sua robustez DEPENDE do tamanho e do SIGILO da chave. Ele, em si, não é inseguro. O WEP usa o RC4, porém fragiliza o mecanismo quando além de mantê-la possivelmente pequena, não a altera periodicamente. Desta forma, a segunda assertiva é correta, mas a primeira não é.
	
	
	03598PRINCÍPIOS E CONCEITOS DE SEGURANÇA CIBERNÉTICA
	 
		
	
		3.
		Uma firma de advocacia necessita atribuir o valor de seus dados para que possa contratar um seguro contra eventos da natureza, como enchentes. Para isso, a firma procederá com uma análise de riscos para viabilizar a contratação de uma apólice que cubra todos os riscos aos quais está exposta. Diante disso, o primeiro procedimento será avaliar quais os valores de todos os equipamentos eletrônicos em sua sede. Em qual dos seguintes objetivos da Análise de Riscos se enquadra esse procedimento?
	
	
	
	Implementar as contramedidas de mitigação do risco.
	
	
	Estabelecer um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança.
	
	
	Identificar ativos e seus valores.
	
	
	Determinar as ameaças relevantes.
	
	
	Determinar as vulnerabilidades.
	
		Explicação:
Esse procedimento está enquadrado no objetivo "Identificar ativos e seus valore". É nessa etapa que são enumerados todos os ativos de interesse para a organização e mensurado seus respectivos valores, de acordo com os critérios a serem adotados pela própria organização. Não houve determinação de ameaças ou vulnerabilidades nos equipamentos eletrônicos mencionados, bem como não se concretizou o procedimento de estabelecimento de equilíbrio entre os custos dos equipamentos eletrônicos e os custos de medidas de segurança para esses equipamentos. A implementação de contramedidas de mitigação do risco não faz parte dos objetivos da Análise de Riscos.
	
	
	 
		
	
		4.
		Dentre as contramedidas utilizadas para mitigação do risco, qual das medidas abaixo pode ser classificada como uma contramedida de prevenção?
	
	
	
	Interromper o fluxo de dados vindos da Internet durante um incidente cibernético.
	
	
	Instalar uma solução de antivírus para evitar a execução de códigos maliciosos.
	
	
	Configurar um sistema de alerta de atividades de malwares em rede.
	
	
	Realizar a recuperação de informações sensíveis por meio de backup.
	
	
	Desligar todos os equipamentos eletrônicos logo depois da ocorrência de um incidente cibernético.
	
		Explicação:
Em relação às contramedidas de prevenção, cabe destacar que elas devem vir antes  do incidente cibernético. Dessa forma, as alternativas que abordam medidas durante e depois de um incidente cibernético não se encaixam na resposta. A configuração de um sistema de alerta de atividades de malwares em rede é uma medida para detecção durante a ocorrência de possíveis incidentes cibernéticos, ou seja, o incidente já está em curso. A recuperação de informações por meio de backups é uma medida pós-incidente. Diante dessas constatações, a única alternativa correta seria a instalação de uma solução antivírus para evitar a execução de códigos maliciosos, ou seja, prevenir que o incidente ocorra.
	
	
	03599ANÁLISE DAS VULNERABILIDADES E DOS TIPOS DE ATAQUES
	 
		
	
		5.
		Em um ambiente de trabalho, a equipe de TI sabiamente configurou seus servidores para não responderem aos pacotes do protocolo ICMP, aumentando a segurança dos ativos.
Com base na situação descrita, como o atacante prossegue no ataque?
	
	
	
	É possível identificar quais hosts estão ativos com a ferramenta aircrack-ng, mesmo que eles não respondam pacotes ICMP.
	
	
	É impossível verificar quais hosts estão ativos em uma rede, portanto o atacante irá encerrar o ataque.
	
	
	O atacante irá utilizar a ferramenta nmap, que envia pacotes TCP para as portas 443 e 80, além dos pacotes ICMP comuns.
	
	
	O atacante pode usar ferramentas como fping e ping para verificar quais hosts estão ativos na rede.
	
	
	O atacante irá utilizar a ferramenta fping, que pode testar outros tipos de protocolo.
	
		Explicação:
O nmap, por padrão, envia pacotes TCP nas portas 80 e 443 para os alvos, além dos pacotes de protocolo ICMP. As ferramentas ping e fping utilizam apenas o protocolo ICMP.
	
	
	 
		
	
		6.
		A empresa Tecnologia & Comunicações teve seus servidores comprometidos e os seus clientes não estavam conseguindo acessá-los. O técnico de TI da empresa verificou que os servidores não foram invadidos, mas estavam recebendo diversas conexões TCP que não completavam o 3-way handshake.
O técnico de TI então identificou o ataque como:
	
	
	
	Ataque de força bruta no servidor.
	
	
	DDoS do tipo UDP reflection.
	
	
	Buffer Overflow.
	
	
	Varredura de portas com o nmap.
	
	
	DDoS do tipo SYN Flood.
	
		Explicação:
O ataque de SYN Flood é responsávelpor enviar vários pacotes SYN para um servidor e não manter a conexão.
	
	
	02849VULNERABILIDADES COMUNS DA OPEN WEB APPLICATION SECURITY PROJECT (OWASP)
	 
		
	
		7.
		Na página de autenticação de uma aplicação Web os campos Username e Password são preenchidos e passados diretamente (sem validação) para compor o comando SQL a ser executado pelo gerenciador de banco de dados. Sabendo que o usuário preencheu o campo Username com carlos e a Password com qwerty e que o comando SQL executado é:
SELECT * FROM users WHERE name=('carlos') and password=('querty') LIMIT 0,1Qual seria o valor do campo Password para que pudéssemos acessar a conta de tom sem sua senha?
	
	
	
	1') or 1=('1
	
	
	"" or "1"=("1
	
	
	" or '='1'
	
	
	' or 1='1'
	
	
	') or '=('1'
	
		Explicação:
Desejamos que, no lugar da palavra querty, tenhamos um comando SQL que seja sempre verdadeiro para a senha (campo passord). Uma idéia seria exatamente usar ') or 1=('1 , que levaria a:
SELECT * FROM users WHERE name=('carlos') and password=('') or 1=('1') LIMIT 0,1
Mas esta alternativa não existe. Mas a letra (D) torna o funcionamento do SQL similar ao que nos interessa: 1') or 1=('1
SELECT * FROM users WHERE name=('carlos') and password=('1') or 1=('1') LIMIT 0,1
	
	
	 
		
	
		8.
		Um dos problemas de configuração padrão é que quando instalamos um servidor web, algumas aplicações de exemplo já vêm instaladas por padrão. Assinale a alternativa correta com relação a aplicações de exemplo que já vem como padrão:
	
	
	
	As aplicações de exemplo devem ser instaladas para que o servidor web funcione corretamente
	
	
	As aplicações de exemplo podem possuir vulnerabilidades que, ao ser exploradas, permitem o acesso do invasor ao sistema operacional. Ou seja, a partir de agora ele pode ter acesso às informações de outros sistemas instalados no mesmo servidor.
	
	
	As aplicações de exemplo podem possuir vulnerabilidade e a exploração destas pode, por parte do invasor, torná-las indisponíveis.
	
	
	As aplicações de exemplo estão sempre atualizadas e, por isso, é pouco provável que elas possam ser exploradas por um invasor.
	
	
	Estas aplicações de exemplo são inofensivas do ponto de vista de segurança porque não contém dados sensíveis
	
		Explicação:
O grande problema das aplicações de exemplo é que sua exploração pode dar acesso privilegiado ao invasor que antes ele não possuia. Pior ainda é se este acesso for a outras aplicações que estão instaladas no mesmo servidor. Ou seja, por meio da exploração de uma vulnerabilidade em uma aplicação de exemplo pode ser possível ter acesso a informações e dados de outras aplicações. Geralmente, quem realiza esta instalação de aplicações padrão (problema de Configurações de Segurança Incorretas) não se atenta para esta possibilidade.
	
	
	02778RESPOSTA À INCIDENTES E RECUPERAÇÃO (DISASTER RECOVERY)
	 
		
	
		9.
		Um investigador forense precisa seguir um processo apropriado para a coleta, análise e preservação de evidências. Qual dos termos a seguir representa o processo que ele precisa seguir?
	
	
	
	Cadeia de custódia
	
	
	Backup
	
	
	Retenção legal
	
	
	Ordem de volatilidade
	
	
	Tratamento de incidentes
	
		Explicação:
Gabarito: Cadeia de custódia
Justificativa: Cadeia de custódia refere-se à documentação cronológica que mostra a custódia, controle, transferência, análise e disposição das evidências físicas ou eletrônicas. Tratamento de incidentes é um guia que explica o processo e os procedimentos de como lidar com incidentes. A retenção legal é uma diretiva por escrito emitida por advogados que ordenam aos clientes que preservem as evidências pertinentes em um litígio. A ordem de volatilidade representa a ordem em que você deve coletar evidências. Em termos gerais, as evidências devem ser coletadas começando com a mais volátil e avançando para a menos volátil. Backup não faz parte do contexto do processo forense.
	
	
	 
		
	
		10.
		Você recebe uma ligação do gerente de suporte técnico informando que houve um aumento nas ligações de usuários relatando que seus computadores estão infectados com malware. Qual das seguintes etapas de resposta a incidentes deve ser concluída primeiro?
	
	
	
	Erradicação
	
	
	Identificação
	
	
	Pós-Incidente
	
	
	Backup
	
	
	Contenção
	
		Explicação:
Gabarito: Identificação
Justificativa: A primeira ação a ser tomada dentro do processo de resposta é identificar o malware, assim como os computadores afetados. A etapa de contenção é projetada para minimizar os danos e evitar que outros danos aconteçam. A etapa de erradicação envolve a remoção e restauração dos sistemas afetados, recriando a imagem do disco rígido do sistema e instalando patches. A etapa de pós-incidente é a fase em que são levantadas oportunidades de melhorias para evitar incidentes semelhantes no futuro. O backup é uma das diversas atividades que compõem o processo como um todo.