AV - Criptografia hash e hacking

Prévia do material em texto

Criptografia hash e hacking
Professor(a): Marcelo Ferreira Zochio (Mestrado acadêmico)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e
corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode
responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
Ana Paula é brasileira com residência em São Paulo. Ela planeja viajar para Bariloche, na Argentina, em suas férias e pretende usar seu
cartão de crédito para comprar algo por lá. Caso Ana Paula forneça seus dados em alguma loja em Bariloche, ela terá seus direitos garantidos
pela Lei Geral de Proteção de Dados?
Alternativas:
Sim, pois a Argentina possui convênio com o Brasil na questão dessa legislação.
Não, porque fez compras com cartão de crédito brasileiro no exterior.
Não, porque seus dados não foram coletados no Brasil.  CORRETO
Sim, pois está em um país do Mercosul.
Não, porque fornecimento de dados para compra com cartão de crédito não é abrangido pela LGPD.
Código da questão: 58429
Um dos ataques que podem ser executados contra uma organização por crackers é a engenharia social. Ela é caracterizada por:
Alternativas:
Explorar o conhecimento das pessoas com intenção de crescer na empresa.
Construir relacionamentos visando subir de cargo na empresa.
Explorar o altruísmo e a boa vontade das pessoas.  CORRETO
Explorar o egoísmo e a má vontade das pessoas.
Explorar falhas de caráter das pessoas.
Código da questão: 58417
Sobre a lei brasileira que tipifica os crimes informáticos, podemos afirmar que:
I. Trata-se da lei conhecida como Lei Carolina Dieckmann, devido ao fato de ela ter sido vítima de roubo e exposição de fotos íntimas.
II. Ela declara que crimes informáticos só ocorrem quando há roubo de dados.
III. O simples fato de você invadir um dispositivo informático já configura um crime.
IV. Crimes cometidos contra o poder público são agravados.
V. Não há diferença entre cometer um crime informático contra o poder público e um cidadão comum, pelo fato de se aplicar o princípio da
isonomia de direitos.
São verdadeiras:
Alternativas:
III – IV – V.
II – IV.
I – III – IV.  CORRETO
I – III – V.
I – II – IV.
Resolução comentada:
devido aos seus dados não serem coletados no Brasil, ela não terá direito a invocar a LGPD caso tenha seus dados vazados. Terá que
recorrer à legislação local.
Resolução comentada:
engenharia social procura ganhar a confiança das pessoas com intenção de extrair delas informações úteis para posteriores ataques.
Essa confiança é ganha explorando seu altruísmo e sua boa vontade.
4)
5)
6)
Código da questão: 58423
Ataques de engenharia social possuem várias modalidades. Uma delas é o quid pro quo, que se caracteriza, por exemplo:
Alternativas:
Por fabricar situações falsas com intuito de ganhar a confiança do alvo.
Por tentar convencer o alvo de que a informação do atacante é confiável.
Por extorquir o alvo com ameaças a fim de obter informações.
Por despertar a curiosidade do alvo.
Por fornecer aparente solução a um problema, que na verdade abrirá portas para um futuro ataque.  CORRETO
Código da questão: 58416
Um pentest possui uma metodologia para ser aplicado. Ele é dividido em fases, que são executadas em uma ordem definida.
Assinale a alternativa que contém a ordem correta das fases de um pentest:
Alternativas:
Mapeamento de rede, reconhecimento, enumeração, obtenção de acesso, exploração, escalada de privilégios e apagamento de rastros.
Mapeamento de rede, reconhecimento, obtenção de acesso, enumeração, exploração, escalada de privilégios e apagamento de rastros.
Reconhecimento, mapeamento de rede, enumeração, obtenção de acesso, exploração, escalada de privilégios e apagamento de rastros.
Reconhecimento, mapeamento de rede, enumeração, obtenção de acesso, escalada de privilégios, exploração e apagamento de rastros.
Reconhecimento, mapeamento de rede, enumeração, exploração, obtenção de acesso, escalada de privilégios e apagamento de rastros.
 CORRETO
Código da questão: 58418
A lista dos tipos de ataque que podem ser realizados por crackers é bem extensa. Entre esses ataques, destaca-se a engenharia social. Sobre
ela, assinale a alternativa correta.
Alternativas:
É uma influência exercida por quem assume cargo de direção para colocar pessoas inaptas na empresa, mas que são indicadas por ela, e
isso acaba sendo um fator negativo para a segurança da informação, por imperícia do contratado.
É a manipulação de pessoas para que executem ações em favor do cracker ou forneçam informações confidenciais sobre si ou sobre uma
corporação.  CORRETO
É a manipulação de pessoas com vistas a extrair informações úteis para ataques man-in-the-middle, somente.
É uma espécie de alpinismo social corporativo.
É uma estratégia em que um cracker tenta trabalhar em setores-chaves da empresa, influenciando na contratação de funcionários que
atuarão em seu favor.
Resolução comentada:
a afirmação I é verdadeira, pois é o nome informal pelo qual ela é conhecida; a II é falsa, pois o simples fato de invadir um dispositivo
informático sem autorização já configura um crime, o que já confere como verdadeira a afirmação III; a afirmação IV é verdadeira, pois
crimes informáticos cometidos contra a administração pública são agravados, o que torna falsa a afirmação V.
Resolução comentada:
quid pro quo significa “isto por aquilo”. Nesse ataque, o cracker oferece uma suposta vantagem ao alvo, que pensa que está sendo
ajudado, mas está tendo seus dados e informações roubados.
Resolução comentada:
As fases de um pentest começa com um reconhecimento do cenário em que você vai atuar, depois um mapeamento da rede alvo,
enumeração de itens interessantes a serem explorados, seguida de exploração desses itens, escalada de privilégios após a invasão do
sistema, e uma vez explorado, apagar os ratros deixados na invasão.
Resolução comentada:
7)
8)
9)
Código da questão: 58410
Devido à grande _________ entre as empresas, o cenário atual exige que elas _________, e não somente se preocupem com __________________
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Competitividade; abram seu capital; o mercado.
Competitividade; inovem; produção e qualidade.  CORRETO
União; se individualizem; unir forças.
Falência; invistam; seu fechamento.
Rivalidade; se unam; competição.
Código da questão: 58431
Entre os tipos de criptografia usadas atualmente, podemos citar a criptografia _________. Ela se caracteriza pelo compartilhamento da mesma
chave entre emissor e receptor. Um dos algoritmos simétricos mais usados é o _________, que foi escolhido para substituir o _________ , que foi
quebrado em 1998. Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Assimétrica; DES; AES.
Simétrica; RSA; DES.
Simétrica; AES; RSA.
Assimétrica; AES; DES.
Simétrica; AES; DES.  CORRETO
Código da questão: 58399
Sobre a Lei Geral de Proteção de Dados, considere as seguintes afirmações:
( ) Uma rede hoteleira localizada no Peru quer fazer uma campanha para atração de turistas brasileiros para seu período de baixa temporada.
Essa rede hoteleira precisa observar a LGPD ao coletar e tratar dados de brasileiros.
( ) Uma rede de cassinos localizada no Uruguai pretende atrair turistas brasileiros e faz uma campanha aqui no território brasileiro. Por se
tratar de uma empresa estrangeira coletando dados que serão usados em país estrangeiro, não precisará observar a LGPD.
( ) Sandrovaldo mora em Governador Valadares, no estado de Minas Gerais, e pretende viajar a negócios para os Estados Unidos. Ele ficará em
um hotel em El Paso, no Texas. Ele deverá fornecer seus dados durante o check-in do hotel. O hotel precisará observar a LGPD ao tratar os
dados de Sandrovaldo, visto que é brasileiro.
( ) Controlador e operador são considerados agentes detratamento pela LGPD.
( ) Segundo o art. 5º da LGPD, o encarregado é uma pessoa indicada pelo controlador que decide pela autorização ou não sobre a privacidade
de dados.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – V – V – V – F.
F – V – F – V – F.
F – V – V – V – F.
V – F – F – V – F.  CORRETO
a engenharia social visa obter informações sobre o alvo ou dados que possibilitem o acesso a informações sensíveis de uma empresa
ou pessoa.
Resolução comentada:
o mercado está muito competitivo, então as empresas devem mostrar um diferencial em relação ao cliente. Logo, devem inovar, serem
originais. Produção e qualidade são itens que todas elas buscam, então, se tiver algo diferente a oferecer, a empresa sai na frente.
Resolução comentada:
o AES é um algoritmo simétrico que foi escolhido para substituir o DES no final da década de 1990.
10)
F – V – F – F – F.
Código da questão: 58432
Algoritmos criptográficos assimétricos possuem modos de operação. Cada um deles tem suas características, que permitem cifrar as
mensagens de modo diferente. Mas um deles apresenta falha de segurança que pode ser explorado pelo ataque Padding Oracle. Estamos
falando do modo:
Alternativas:
OFB.
ECB.
CFB.
CTR.
CBC.  CORRETO
Código da questão: 58408
Resolução comentada:
o tratamento de dados tem por objetivo o tratamento de dados com oferecimento de serviços a brasileiros; logo, a LGPD tem que ser
observada.
Resolução comentada:
o modo CBC apresenta falha na sua construção, que permite que o atacante obtenha o texto original sem precisar da chave, por meio
do ataque Padding Oracle.
Arquivos e Links