AV - Criptografia hash e hacking

Prévia do material em texto

Criptografia hash e hacking
Professor(a): Marcelo Ferreira Zochio (Mestrado acadêmico)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e
corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode
responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
Sobre o modo de cifra CBC, considere as seguintes afirmações:
( ) Sua sigla significa cipher block chaining.
( ) É vulnerável ao ataque quadrático.
( ) É vulnerável ao ataque Padding Oracle, que usa a estrutura do banco de dados Oracle para atacar a cifra.
( ) É usado em cifras assimétricas
( ) É vulnerável ao ataque Padding Oracle, que permite testar os bytes decifrados dos blocos “perguntando ao oráculo”, no caso, o servidor, se
eles estão corretos ou não.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – V – F – V – F.
F – V – F – V – F.
F – V – V – V – F.
F – F – F – F – V.
V – F – F – F – V.  CORRETO
Código da questão: 58401
A lista dos tipos de ataque que podem ser realizados por crackers é bem extensa. Entre esses ataques, destaca-se a engenharia social. Sobre
ela, assinale a alternativa correta.
Alternativas:
É a manipulação de pessoas com vistas a extrair informações úteis para ataques man-in-the-middle, somente.
É a manipulação de pessoas para que executem ações em favor do cracker ou forneçam informações confidenciais sobre si ou sobre uma
corporação.  CORRETO
É uma espécie de alpinismo social corporativo.
É uma estratégia em que um cracker tenta trabalhar em setores-chaves da empresa, influenciando na contratação de funcionários que
atuarão em seu favor.
É uma influência exercida por quem assume cargo de direção para colocar pessoas inaptas na empresa, mas que são indicadas por ela, e
isso acaba sendo um fator negativo para a segurança da informação, por imperícia do contratado.
Código da questão: 58410
Sobre crimes praticados na internet, considere as seguintes afirmações:
( ) A diferença entre calúnia e difamação é que esta última é falar mal de alguém, mesmo que tal falar seja verdade.
( ) A diferença entre calúnia e difamação é que a primeira é falar mal de alguém, mesmo que tal falar seja verdade.
( ) Você pode ser processado se agredir verbalmente alguém pela internet.
( ) Ninguém pode ser processado pelo que diz na internet, pois pode ser um perfil falso.
( ) Hacktivismo é uma atividade legal, pois é uma ferramenta para expressar sua opinião.
Assinale a alternativa que contenha a sequência correta:
Resolução comentada:
sua sigla significa cipher block chaining; o ataque quadrático não é aplicável a esse modo de cifra; o ataque Padding Oracle nada tem a
ver com o banco de dados Oracle; esse modo de cifra é usado em cifras simétricas; o ataque Padding Oracle é aplicável a esse modo de
cifra e funciona exatamente como descrito na quinta afirmação.
Resolução comentada:
a engenharia social visa obter informações sobre o alvo ou dados que possibilitem o acesso a informações sensíveis de uma empresa
ou pessoa.
4)
5)
6)
Alternativas:
V – F – F – V – F.
F – V – V – F – F.
V – F – V – F – F.  CORRETO
V – F – F – F – V.
V – F – V – V – F.
Código da questão: 58413
Um pentest é composto por fases em sua execução. A fase em que se coletam dados de forma não intrusiva com o objetivo de conhecer o
alvo é a fase de:
Alternativas:
Coleta via Nmap.
Spying.
Scanning.
Footprint.  CORRETO
Recovering.
Código da questão: 58425
Entre os tipos de criptografia usadas atualmente, podemos citar a criptografia _________. Ela se caracteriza pelo compartilhamento da mesma
chave entre emissor e receptor. Um dos algoritmos simétricos mais usados é o _________, que foi escolhido para substituir o _________ , que foi
quebrado em 1998. Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Simétrica; RSA; DES.
Assimétrica; DES; AES.
Simétrica; AES; RSA.
Assimétrica; AES; DES.
Simétrica; AES; DES.  CORRETO
Código da questão: 58399
Um dos ataques que podem ser executados contra uma organização por crackers é a engenharia social. Ela é caracterizada por:
Alternativas:
Explorar falhas de caráter das pessoas.
Resolução comentada:
caluniar alguém é espalhar fatos inverídicos sobre essa pessoa; difamar alguém é dizer verdades que mancham sua honra. Injúria é
crime, independente da forma como é praticada; agredir alguém verbalmente se enquadra nesse caso. Embora perfis falsos possam ser
criados para imputar crimes a outra pessoa, essa prática pode ser provada; portanto, o fato de ela ser uma hipótese provável também
permite o contrário (o perfil ser verdadeiro); ambos são passíveis de comprovação pericial. Hacktivistas normalmente cometem atos
classificados como criminosos para chamar a atenção do público para suas causas (invasão de sites, negação de serviço a servidores,
entre outros).
Resolução comentada:
a fase de footprint, a primeira delas, visa obter dados e informações sobre o alvo de forma não intrusiva, a fim de ter uma visão geral
sobre o alvo.
Resolução comentada:
o AES é um algoritmo simétrico que foi escolhido para substituir o DES no final da década de 1990.
7)
8)
Explorar o altruísmo e a boa vontade das pessoas.  CORRETO
Explorar o egoísmo e a má vontade das pessoas.
Construir relacionamentos visando subir de cargo na empresa.
Explorar o conhecimento das pessoas com intenção de crescer na empresa.
Código da questão: 58417
Leia e associe as duas colunas:
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I – A; II – C; III – B.
I – B; II – A; III – C.
I – B; II – C; III – A.  CORRETO
I – C; II – A; III – B.
I – A; II – B; III – C.
Código da questão: 58414
Footprint, ou reconhecimento, é a ________ fase, em que você usa métodos __________ para obter informações sobre um alvo e,
posteriormente, usa métodos __________.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Primeira; intrusivos; não intrusivos.
Terceira; evasivos; não intrusivos.
Segunda; intrusivos; não intrusivos.
Primeira; evasivos; não intrusivos.
Primeira; não invasivos; mais intrusivos.  CORRETO
Resolução comentada:
engenharia social procura ganhar a confiança das pessoas com intenção de extrair delas informações úteis para posteriores ataques.
Essa confiança é ganha explorando seu altruísmo e sua boa vontade.
Resolução comentada:
o princípio do baiting é explorar a curiosidade humana; o do phishing, é convencer o usuário de que a mensagem que ele recebeu (a
isca) é confiável; e o princípio do pretexting é montar uma situação a fim de que o alvo seja convencido a confiar no atacante.
Resolução comentada:
9)
10)
Código da questão: 58419
A Lei Geral de Proteção de Dados classifica alguns dados como sendo sensíveis. Isso se dá porque:
Alternativas:
Esses dados podem prejudicar seu titular se ocorrer violação de dados no operador desses dados.  CORRETO
São dados que não podem ser acessados em hipótese alguma.
São dados que devem ser acessados por meio de serviços especiais.
Esses dados podem ser destruídos mais facilmente.
Esses dados podem ser acessados mais facilmente.
Código da questão: 58439
Sobre a lei brasileira que tipifica os crimes informáticos, podemos afirmar que:
I. Trata-se da lei conhecida como Lei Carolina Dieckmann, devido ao fato de ela ter sido vítima de roubo e exposição de fotos íntimas.
II. Ela declara que crimes informáticos só ocorrem quando há roubo de dados.
III. O simples fato de você invadir um dispositivo informático já configura um crime.
IV. Crimes cometidos contra o poder público são agravados.
V. Não há diferença entre cometer um crime informático contra o poder público e um cidadão comum, pelo fato de se aplicar o princípio da
isonomia de direitos.
São verdadeiras:
Alternativas:
II – IV.
I – III – IV.  CORRETO
I – II– IV.
III – IV – V.
I – III – V.
Código da questão: 58423
footprint é a primeira fase de um pentest. Nele você faz um reconhecimento de modo não intrusivo, procurando informações sobre o
alvo, como faixa de IP, responsável técnico, DNS, entre outros.
Resolução comentada:
eles são considerados sensíveis porque podem prejudicar seu titular (proprietário), que pode sofrer preconceito, racismo, ser preterido
em processos seletivos ou até sofrer exclusão social por parte de grupos ou pessoas separatistas radicais.
Resolução comentada:
a afirmação I é verdadeira, pois é o nome informal pelo qual ela é conhecida; a II é falsa, pois o simples fato de invadir um dispositivo
informático sem autorização já configura um crime, o que já confere como verdadeira a afirmação III; a afirmação IV é verdadeira, pois
crimes informáticos cometidos contra a administração pública são agravados, o que torna falsa a afirmação V.
Arquivos e Links