Laboratório Virtual Criptografia e Segurança Análise de Vulnerabilidade e Risco

Prévia do material em texto

Introdução a Segurança da Informação
Laboratório Virtual – Criptografia e Segurança – Análise de Vulnerabilidade e Risco
1. 
Leia o texto:
“Uma conta de usuário, também chamada de ‘nome de usuário’, ‘nome de login’ e ‘username’, corresponde à identificação única de um usuário em um computador ou serviço. Por meio das contas de usuário, é possível que um mesmo computador ou serviço seja compartilhado por diversas pessoas, pois permite, por exemplo, identificar unicamente cada usuário, separar as configurações específicas de cada um e controlar as permissões de acesso” (CERT.BR [a], [s. d.]).
Com base no texto, analise a situação hipotética:
João Victor foi contratado por uma empresa em que deverá se autenticar no sistema por um login e senha. 
Nesse cenário, o processo de autenticação se enquadra:
Você acertou!
A. 
naquilo que você conhece.
Senha e login se enquadram na categoria aquilo que você conhece, assim como perguntas e respostas.
Resposta incorreta.
B. 
naquilo que você é.
Na categoria aquilo que você é, a autenticação é feita por meio de biometria e identificação da retina, por exemplo. Já senha e login se enquadram na categoria aquilo que você conhece.
Resposta incorreta.
C. 
naquilo que você possui.
Na categoria aquilo que você possui, a autenticação é feita por meio de cartões e tokens, por exemplo. Já senha e login se enquadram na categoria aquilo que você conhece.
2. 
Uma autenticação é definida como: “1. Ato ou efeito de autenticar, de tornar autêntico. 2. Jur. Selo, chancela ou abonação dados por notório ou tabelião, pelos quais se reconhece um documento como verdadeiro. 3. Atestado de veracidade de algo” (MICHAELIS, [s. d.]).
Nesse cenário, na área de segurança da informação, verificamos que o conceito de autenticação é uma comprovação de identidade necessária para entrar em sistemas, por exemplo. 
Com base nas diversas formas de autenticação, analise os seguintes itens:
I. Uma impressão digital permite a autenticação, utilizando como critério uma característica física.
II. Um token permite a autenticação, utilizando como critério um elemento físico ou virtual. 
III. Um conjunto de perguntas e respostas permite a autenticação, utilizando como base o conhecimento.
Você acertou!
A. 
I, II e III.
Impressão digital, token e perguntas e respostas são formas de autenticação que utilizam, respectivamente, característica física, elemento físico ou virtual e conhecimento dos usuários. 
Resposta incorreta.
B. 
I e II, apenas.
Os itens I e II estão corretos, pois são formas de autenticação. Entretanto, o item III também está, pois a autenticação por perguntas e respostas exige o conhecimento do usuário, que deve responder corretamente o que foi perguntado.
Resposta incorreta.
C. 
I e III, apenas.
Os itens I e III estão corretos, pois são formas de autenticação. Entretanto, o item II também está, pois a autenticação por token necessita que os usuários tenham um token físico e virtual.
3. 
Algumas empresas definem um documento que contém um conjunto de normas e diretrizes que devem ser seguidas por todos, para garantia da segurança das informações. As normas e diretrizes de segurança, elaboradas em colaboração por diversos setores da empresa, devem ser amplamente divulgadas, evitando que pessoas não autorizadas tenham acesso às informações da empresa. A implantação da segurança das informações não é feita somente com tecnologia (por exemplo, com a criação de mecanismos de monitoramento e restrição de acesso), mas também com a conscientização de todos os colaboradores e, em alguns casos, até dos clientes. 
O conjunto de normas e diretrizes internas de uma empresa que devem ser seguidas por todos, para garantia da segurança das informações, é definido pela:
Resposta incorreta.
A. 
Autoridade Nacional de Proteção de Dados Pessoais.
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) fiscaliza os cumprimentos das diretrizes e políticas de proteção de dados pessoais, e não elabora uma política de segurança da informação para empresas.
Resposta incorreta.
B. 
autoridade de chaves públicas e privadas.
Esse conjunto de normas e diretrizes é definido pela elaboração da política de segurança da informação, que é um documento da empresa para garantia da segurança das informações.
Você acertou!
C. 
elaboração da política de segurança da informação.
Uma política de segurança da informação é um documento da empresa que define um conjunto de normas e diretrizes que devem ser seguidas por todos, para garantia da segurança das informações.
4. 
No teletrabalho, o empregado utiliza recursos tecnológicos para ter acesso à empresa de qualquer lugar. Ele é definido pelo art. 75-B da Consolidação das Leis do Trabalho (Decreto-Lei nº 5.452, de 1º de maio de 1943, e suas alterações) como:
 “Art. 75-B. Considera-se teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de tecnologias de informação e de comunicação que, por sua natureza, não se constituam como trabalho externo” (BRASIL, 1943).
O teletrabalho exige que os empregados fiquem atentos à política de segurança da informação da empresa, evitando vazamento de dados e invasão dos sistemas, por exemplo.
O teletrabalho exercido exclusivamente do ambiente residencial, muito utilizado nas empresas de TI, é chamado de:
Resposta incorreta.
A. 
residential work.
O teletrabalho exercido no ambiente residencial é chamado home office.
Você acertou!
B. 
home office.
O teletrabalho exercido no ambiente residencial é chamado home office. Essa espécie de trabalho está se tornando muito popular, principalmente devido às políticas de distanciamento social impostas pela pandemia da covid-19. 
Resposta incorreta.
C. 
tele work. 
O teletrabalho exercido no ambiente residencial é chamado home office.
5. 
Existem vários tipos de assinatura eletrônica que permitem fazer o aceite digital de documentos. A assinatura digital é um dos principais tipos de assinatura eletrônica, garantindo a confiabilidade, uma vez que, em seu processo, são envolvidos criptografia e certificado digital.
 
A assinatura digitalizada tem a mesma garantia jurídica que uma assinatura digital.
Porque
As assinaturas digitalizadas e digitais utilizam certificado digital e criptografia.
Analisando essas afirmações, conclui-se que:
Resposta incorreta.
A. 
ambas são verdadeiras, e a segunda justifica a primeira.
Ambas as afirmações são falsas. A assinatura digitalizada não tem garantia jurídica e não é feita por um certificado digital.
Resposta incorreta.
B. 
ambas são verdadeiras, e a segunda não justifica a primeira.
As afirmações são falsas, pois somente a assinatura digital tem garantias jurídicas, uma vez que utiliza um certificado digital e criptografia. 
Você acertou!
C. 
ambas são falsas.
As duas afirmações são falsas, uma vez que somente a assinatura digital tem garantias jurídicas, pois é feita com base em um certificado digital e utilizando criptografia. 
Pós teste
1. 
Uma autenticação é uma comprovação de identidade que pode servir no contexto de segurança de informação para autenticar em sistemas e acessar informações privadas e locais com acesso restrito, entre outras opções.
Com base nos diferentes tipos de autenticação, analise os seguintes itens:
I. Uma identificação de retina permite a autenticação utilizando como critério uma característica física da pessoa.
II. Um cartão permite a autenticação utilizando como critério um elemento físico ou virtual.
III. Um login e senha permitem a autenticação utilizando como base o conhecimento.
Estão corretos os itens:
Você acertou!
A. 
I, II e III.
Identificação de retina, cartão e login e senha são formas de autenticação que utilizam, respectivamente, característica física, elemento físico ou virtual e conhecimento dos usuários.
Resposta incorreta.
B. 
I e II, apenas.
Os itens I e II estão corretos, pois são formas de autenticação. Entretanto, o item III também está, pois a autenticação por login e senha exige o conhecimento do usuário, que deveinserir corretamente seu login e senha.
Resposta incorreta.
C. 
I e III, apenas.
Os itens I e III estão corretos, pois são formas de autenticação. Entretanto, o item II também está, pois a autenticação por cartão necessita que os usuários tenham um cartão físico e virtual.
2. 
Considerando diversos aspectos ligados à análise de vulnerabilidade de risco, avalie o texto a seguir, identificando os termos que preenchem corretamente as lacunas.
Uma [I] é um documento da empresa que define um conjunto de normas e diretrizes que devem ser seguidas por todos, para garantia da [II]. As normas e diretrizes de segurança, elaboradas em colaboração por diversos setores da empresa, devem ser amplamente divulgadas, evitando que pessoas não autorizadas tenham acesso às [III].
Os itens I, II e III são corretamente preenchidos por:
Resposta incorreta.
A. 
I – política de invasão; II – segurança das informações; III – informações da empresa.
Os itens II e III estão correlacionados corretamente. Entretanto, o item I deveria ser preenchido pela política de segurança da informação, que é um documento da empresa que define um conjunto de normas e diretrizes que devem ser seguidas por todos, para garantia da segurança das informações.
Você acertou!
B. 
I – política de segurança da informação; II – segurança das informações; III – informações da empresa.
A política de segurança da informação é um documento da empresa que define um conjunto de normas e diretrizes que devem ser seguidas por todos, para garantia da segurança das informações. Essas normas devem ser amplamente divulgadas, evitando que pessoas não autorizadas tenham acesso às informações da empresa.
Resposta incorreta.
C. 
I – política de segurança da informação; II – segurança das informações; III – áreas públicas do governo.
Os itens I e II estão correlacionados corretamente. Entretanto, o item III deveria ser preenchido por informações da empresa, que é o que a política de segurança da informação visa a proteger.
3. 
Considerando os conhecimentos aprendidos neste laboratório virtual, analise os seguintes itens:
I. Por meio de uma conversa convincente, é possível que um estelionatário consiga dados da vítima que possibilitem acesso aos sistemas.
II. O ataque de força bruta em sistema de login e senha testa várias combinações de login e senha para invadir sistemas.
III. O ataque de força bruta é dificultado se os usuários definirem senhas fortes.
Estão corretos os itens:
Você acertou!
A. 
I, II e III.
Na engenharia social, o estelionatário usa uma conversa convincente para conseguir os dados da vítima que possibilitem acesso aos sistemas. O ataque de força bruta testa várias combinações de login e senha para invadir sistemas, e pode ser dificultado por definição de senhas mais fortes.
Resposta incorreta.
B. 
I e II, apenas.
Os itens I e II estão corretos. Entretanto, o item III também está, pois senhas fortes dificultam o ataque de força bruta.
Resposta incorreta.
C. 
I e III, apenas.
Os itens I e III estão corretos, pois são formas de autenticação. Entretanto, o item II também está, pois o ataque de força bruta testa diversas combinações de senha, até que o sistema possa ser invadido.
4. 
No teletrabalho, o empregado utiliza recursos tecnológicos para ter acesso à empresa de qualquer lugar. Quando exercido exclusivamente do ambiente residencial, é chamado de home office. A implantação do home office é um processo que vem se popularizando nas empresas, sendo acelerado pela pandemia da covid-19 e a necessidade de implementação de diversas políticas para garantir o distanciamento social.
Considerando os conceitos de teletrabalho e segurança da informação, analise as seguintes asserções:
Na implantação de um processo de home office, é preciso que seja garantida a segurança das informações, em especial de dados mais sensíveis.
PORQUE
O vazamento de dados pode prejudicar a empresa, que poderá ser responsabilizada e sofrer punições, aplicadas com base, por exemplo, na Lei Geral de Proteção de Dados (LGPD).
Analisando essas afirmações, conclui-se que:
Resposta incorreta.
A. 
ambas são falsas.
As duas afirmações são verdadeiras e descrevem os cuidados da implantação de um processo de home office em consonância com a LGPD, evitando punições.
Resposta incorreta.
B. 
ambas são verdadeiras, e a segunda não justifica a primeira.
As duas afirmações são verdadeiras, e a segunda é uma justificativa para a primeira, pois descreve os problemas que podem ser ocasionados por falhas na implantação de política de segurança no home office.
Você acertou!
C. 
ambas são verdadeiras, e a segunda justifica a primeira.
Ambas as afirmações são verdadeiras, e a segunda justifica a primeira, pois, na implantação de um processo de home office, é preciso que seja garantida a segurança das informações, em especial de dados mais sensíveis, em consonância com a LGPD, evitando punições.
5. 
Considerando os conhecimentos aprendidos neste laboratório virtual, analise o seguinte caso hipotético:
Neide, professora de pedagogia, recebeu uma ligação para responder uma pesquisa sobre a ciência no Brasil. Na última pergunta, foi solicitado que fossem enviados os 6 dígitos de um código recebido no celular. Neide achou estranho, mas enviou o código, acreditando na fala do pesquisador. Após alguns minutos, teve seu WhatsApp clonado, fazendo com que todos os seus amigos recebessem uma mensagem solicitando dinheiro.
Nesse cenário, Neide foi vítima de um ataque baseado em:
Resposta incorreta.
A. 
certificação digital.
Um certificado digital permite a validação de uma assinatura digital. No caso descrito, foi utilizada uma engenharia social.
Resposta incorreta.
B. 
assinatura eletrônica.
Uma assinatura eletrônica permite que um documento seja assinado eletronicamente. No caso descrito, foi feita uma engenharia social.
Você acertou!
C. 
engenharia social.
A engenharia social é amplamente usada para convencer pessoas a entregarem seus dados pessoais. No caso descrito, Neide foi convencida a passar o código de validação do WhatsApp.