Sistemas Distribuídos - Atividade 02

Prévia do material em texto

Pergunta 1 
 
Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá 
estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação 
de risco adequada, devemos considerar os três requisitos básicos de segurança, que 
são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios. 
 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são 
os benefícios encontrados ao se utilizar a avaliação de riscos. 
 
o O melhor da avaliação de risco é que só é necessária uma única vez. 
o Os riscos são eliminados logo no primeiro momento. 
o A avaliação de risco é opcional, visto que as organizações já conhecem seus 
riscos. 
o Podem-se identificar, priorizar e medir os riscos. 
o Os riscos tendem a ficar mais baratos. 
 
 
Pergunta 2 
 
Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra 
as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é 
necessário medir o risco para posteriormente, definir prioridade e custo de 
contramedida. Nem sempre é possível minimizar um risco, pois seu valor de 
contramedida pode exceder o próprio dano em si. 
 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
Resposta correta. A alternativa está correta, pois, durante os estudos, você viu 
que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma 
e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, 
será a partir daí que podemos medi-los para uma efetiva contramedida. 
Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um tipo 
de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de seus 
conteúdos interessantes, as vítimas se sentem atraídas e acabam clicando em 
algum link e comprando algum produto falso, caindo em golpes bem elaborados. 
Muitos exemplos disso são de produtos que realizam ações milagrosas, como 
queda de cabelo etc. 
A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma 
técnica de levantamento: 
 
o Falhas de equipamentos. 
o Por ameaça. 
o Por ataque. 
o Brainstorming. 
o Contagem de dados. 
 
 
 
Pergunta 3 
 
Existe também um tipo de ataque que visa divulgar produtos por e-mail. Diariamente, 
recebemos alguns desses tipos de mensagens, os quais apresentam títulos 
interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 
55% de todos os e-mails foram considerados desse tipo de ameaça. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
o Spam. 
o Sequestro. 
o Vírus. 
o Vermes. 
o Cookies. 
 
 
 
 
 
Resposta correta. A alternativa está correta, pois, conforme estudado durante a 
leitura do livro-texto, as principais técnicas utilizadas na análise qualitativa 
são: brainstorming, Delphi, entrevistas, discussões etc. Observa-se aqui que são 
exploradas técnicas que envolvem um grupo de pessoas. 
Pergunta 4 
 
Há também um tipo de ataque de que visa obter informações sobre uma determinada 
organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca 
explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. São 
Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que represente tal conceito: 
 
o Pharming. 
o Cookie. 
o Engenharia social. 
o Cavalo de Troia. 
o Vírus. 
 
 
 
Pergunta 5 
 
Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo 
é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma 
instituição financeira. Na avaliação de riscos, independentemente do modelo de 
processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir 
custos e estratégias apropriadas. 
 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que 
identifique as principais formas de se medir um risco: 
Resposta correta. A alternativa está correta, pois a engenharia social é, sem 
dúvida, um meio de ataque muito poderoso. Ele visa obter informações de 
pessoas novatas ou que não conhecem a importância da informação. Por meio 
dela, dados sigilosos/importantes podem ser obtidos com uma boa conversa e 
um sorriso no rosto. 
o Uma média qualitativa. 
o Forças e fraquezas de organizações concorrentes. 
o Quantitativa e qualitativa. 
o Testes e estudos empíricos. 
o Vulnerabilidades e incidentes não conhecidos. 
 
 
 
Pergunta 6 
 
Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um 
erro no sistema criando um incidente não desejado, em que se podem abrir 
oportunidades para ataques. Vimos que um evento é algo relacionado a um 
comportamento inesperado de um ativo. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não 
desejado”: 
 
o Aceitação. 
o Preventiva. 
o Qualitativa. 
o Ameaça. 
o Gatilho. 
 
Resposta correta. A alternativa está correta, pois, para se medir um risco, 
utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise 
quantitativa, consideram-se números tangíveis, como custos, quantidade de 
acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre a 
probabilidade da ocorrência do risco. 
Resposta correta. A alternativa está correta, pois a ameaça é quando um 
incidente não desejável é iniciado. O evento (comportamento irregular do ativo) 
poderá disparar um incidente, que é um evento adverso em um sistema de 
informação e/ou em uma rede que representa uma ameaça à segurança do 
computador ou da rede em relação à disponibilidade, integridade e 
confidencialidade. 
 
Pergunta 7 
 
Avaliação de risco é um termo usado para descrever o processo ou método geral em 
que você identifica perigos e fatores de risco com potencial para causar danos. 
Precaver-se de riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se 
precaver, poderíamos obter os riscos de outras organizações e aplicá-las à nossa 
realidade. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. 
São Paulo: LTC, 2014. 
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos 
que uma organização deve considerar: 
 
o Eventos, incidentes e estratégias. 
o Regras de negócios e sistemas legados. 
o Funcionais e não funcionais. 
o Stakeholders, leis e terceiros. 
o Objetivos e estratégias, leis e regras de negócio. 
 
 
 
Pergunta 8 
 
A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área 
de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques 
juntamente com o seu número. Isso permite que se observem as tendências dos 
ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de 
ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço 
de contramedidas, como o antivírus, tornou tal ataque menos ineficiente. 
 
Resposta correta. A alternativa está correta, pois, de acordo com o que vimos 
durante nossos estudos, para se conhecer e levantar bem os riscos de uma 
organização deve-se considerar pelo menos os três requisitos básicos, que são: 
estratégia, visão e objetivos; leis/regulamentos; e, por fim, regras denegócio/manipulação de dados. 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética: a próxima ameaça à segurança e o 
que fazer. São Paulo: Brasport, 2015. 
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a 
cada ano: 
 
o Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-
mails maliciosos. 
o O número de ataques a disquetes. 
o Aumentou-se mais de 3000% ataques do tipo Ransomware (criptografa seus 
dados e exige pagamento). 
o Vírus contra o MS-DOS (Microsoft Disk Operating System). 
o A quantidade de CDs com vírus cresceu. 
 
 
 
Pergunta 9 
 
Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem 
dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar 
com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente 
organização. Um exemplo desse tipo de ferramenta é o Kali do Linux. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas 
utilizadas em ataques: 
 
o Gerenciador de riscos, captura de tela, varreduras de portas etc. 
o Testes unitários de software, vulnerabilidades, estruturais etc. 
o Varreduras de vulnerabilidades, portas, captura de teclado etc. 
Resposta correta. A alternativa está correta, pois, apesar de ser um ataque bem 
antigo, a ameaça por e-mails trouxe uma abordagem nova, na qual se usa todo o 
poder do PowerShell (comandos de linha de comando para automatizar tarefas e 
processos dentro de sistemas operacionais). Com isso, os ataques podem gerar 
mais prejuízos. 
o Revisão ortográfica, farejadores, captura de cliques etc. 
o Discadores, impressão, controle etc. 
 
 
 
Pergunta 10 
 
Uma variante do ataque de negação de serviço é o ataque de negação de serviço 
distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder 
de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional 
no sistema (uma falha) ou uma brecha intencional deixa no 
software (desenvolvedor). 
 
HINTZBERGEN J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
o Cookies. 
o Spam. 
o Ataques de força bruta. 
o Portas dos fundos ( backdoor). 
o Rootkits. 
 
Resposta correta. A alternativa está correta, pois as ferramentas visam buscar 
alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o 
Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL 
Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma 
organização, na medida em que se pode identificar suas vulnerabilidades 
primeiramente. 
Resposta correta. A alternativa está correta, pois esse ataque é o de portas dos 
fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras vezes, 
esse ataque visa entrar em uma porta (brecha) na qual ninguém está acostumado 
a entrar. Este tipo de brecha pode ser algum caminho criado pelo desenvolvedor 
para manutenção do sistema, por exemplo, um usuário administrador e senha 
123456.