Teste_ Atividade 3 ATIVIDADE OBJETIVA 3 DEFESA CIBERNETICA RESPONDIDA nota 1

Prévia do material em texto

02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 1/7
Atividade 3
Iniciado: 19 mar em 21:39
Instruções do teste

Pergunta 1 0,2 pts
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Leia o texto abaixo:
 
A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula
as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16° do Marco
Civil da Internet. [...] Sabemos que a informação possui um valor inestimável nos dias atuais e as
empresas já se conscientizaram que proteger seu ambiente é crucial para a continuidade de negócio
e um possível vazamento poderá ser devastador para qualquer organização que lida com dados
sensíveis, seja de seus colaboradores e/ou seus clientes e fornecedores.
Um pentest (ou teste de intrusão/invasão) será o divisor de águas para entender se as soluções de
segurança aplicadas à sua instituição são realmente eficientes em caso de um incidente e, além
disso, como sua equipe de TI irá responder a esse possível incidente.
 
(Fonte: Por que o pentest é necessário em tempos de LGPD? Por Alan Sanches. Esecurity.
Disponível em: https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/
(https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/) Acesso em: 25 abr.
2021.)(adaptado)
Considerando os testes de intrusão ou testes de penetração ou Pentesting, avalie as afirmações
abaixo:
 
I Testes de intrusão podem ser feitos sem qualquer planejamento, pois somente irá verificar falhas
em um ambiente de rede, ou sistema, ou em uma aplicação.
II Pentesting é uma técnica que verifica e reconhece, por um conjunto de testes em um ambiente de
rede, ou sistema, ou em uma aplicação, as possíveis vulnerabilidades baseadas na conexão da rede
interna ou externa, permitindo acesso não autorizado a informações, dados e dispositivos na rede.
III Os testes de penetração são classificados em três tipos: Black-box, White-box e Gray-box e
podem ser executados em aplicações, aplicativos, na rede e no hardware.
A+
A
A-
https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/
https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/
https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/
https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/
02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 2/7

Pergunta 2 0,2 pts
IV Nos testes de penetração, a fase de "Reconhecimento" é uma investigação minuciosa nas
vulnerabilidades detectadas, buscando por dados sigilosos que foram roubados, alterados ou
corrompidos, e se podem trazer dano a empresa.
 
É correto o que se afirma em:
II e IV
I e IV
I e II
II e III.
I e III
Leia o texto abaixo:
 
“O objetivo do PenTest é provar que ao realizar testes que simulam ataques reais utilizando as
mesmas técnicas e ferramentas que seriam utilizadas por crackers é possível prevenir-se de alguns
ataques, assim aumentando a segurança de um sistema.
E com a utilização de uma metodologia adequada para o teste que podem e devem ser aplicadas
para chegar em resultados mais conclusivos e, também, algumas ferramentas para automatizar
esses ataques é possível facilitar esses resultados, assim podendo avaliar melhor o grau de
vulnerabilidade do sistema computacional de uma organização. Onde as principais metodologias
existentes no mercado mundial, são: OSSTMM - Open Source Security Testing Methodology Manual;
ISSAF - Information Systems Security Assessment Framework; OWASP - Open Web Application
Security Project; WASC-TC - Web Application Security Consortium Threat Classification”.
 
(Fonte: PenTest o que é? Por Bruno Branco. Blog MBM solution, 13/02/2020. Disponível em:
https://blog.mbmsolutions.com.br/pentest-o-que-e/ (https://blog.mbmsolutions.com.br/pentest-
o-que-e/) Acesso em: 25 abr. 2021.)(adaptado)
Analisando as metodologias usadas na realização dos testes de penetração, avalie as seguintes
asserções e a relação proposta entre elas.
 
A+
A
A-
https://blog.mbmsolutions.com.br/pentest-o-que-e/
https://blog.mbmsolutions.com.br/pentest-o-que-e/
https://blog.mbmsolutions.com.br/pentest-o-que-e/
https://blog.mbmsolutions.com.br/pentest-o-que-e/
02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 3/7

Pergunta 3 0,2 pts
I Existem vários tipos de metodologias que podem ser aplicadas em um teste de penetração,
considerando o cenário e o escopo do projeto gerando testes corretos.
PORQUE
II A Metodologia OWASP deve ser usada em redes sem fio e a Metodologia OSSTMM em servidores
web.
 
A respeito dessas asserções, assinale a opção correta:
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições falsas.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
Leia o texto abaixo:
 
Teste de intrusão utiliza ferramentas automatizadas e processos manuais para explorar o sistema
em busca de vulnerabilidades, simulando um ataque real. Assim, o profissional que realiza a
simulação adota o papel de um hacker que tenta descobrir formas de invadir a rede.
Esse profissional informará os pontos falhos existentes que podem comprometer a segurança dos
dados corporativos para que a organização possa agir preventivamente para deixar seus sistemas
mais seguros. Em geral, há três tipos de testes de intrusão. São eles:
- Blackbox: nessa opção, quem está executando o teste não tem nenhuma informação sobre a
estrutura tecnológica e sistemica da empresa a ser invadida. Essa opção é a mais utilizada, pois é a
que melhor simula um ataque real, visto que um hacker real tentará realizar sua invasão sem
nenhum conhecimento prévio.
- Whitebox: nesse tipo de teste, o profissional possuirá todas as informações sobre o sistema e
infraestrutura tecnologia da organização. Ele é realizado para que seja possível realizar uma análise
ampla e precisa.
A+
A
A-
02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 4/7

Pergunta 4 0,2 pts
- Graybox: o terceiro tipo de teste de intrusão é executado com algumas informações sobre os
sistemas corporativos para que o profissional consiga explorar de forma mais direcionada alguns
pontos específicos da segurança.”
 
O teste de intrusão funciona como uma ferramenta proativa para que as organizações possam lidar
com o universo do cibercrime antes mesmo que uma ameaça consiga invadir seus sistemas.
Portanto, contar com esse tipo de prática pode ser um grande diferencial estratégico para as
empresas se tornarem mais confiáveis diante do mercado.
(Fonte: Disponível em: https://blogbrasil.westcon.com/o-que-um-teste-de-intrusao-e-qual-a-
importancia-para-as-empresase/ (http://www.auzac.com.br/testes-de-invasao/relatorios-
gerenciais-e-tecnicos/) . Acesso em: 25 abr. 2021.)(adaptado)
Considerando as afirmações apresentadas sobre os tipos de testes de intrusão, assinale a opção
correta:
O Teste Whitebox é subdividido em dois tipos: Tandem, que é um teste que o especialista e o alvo possuem
conhecimento total dos testes que serão executados e o Reversal que colabora para que o especialista tenha
conhecimento total da rede a ser testada.
O Teste Black box é mais específico e detalhado que o Whitebox, devido ao especialista ter acesso a toda e
qualquer informação da rede e as informações obtidas em testes Blackbox podem ser adquiridas em testes
Whitebox.
O Teste Whitebbox é indicado em situações em que a empresa quer ter o conhecimento exato de como um
atacante percebe ou compreendealgumas partes da infraestrutura organizacional.
O Teste Backbox é subdividido em dois tipos: Blind que é o teste que o especialista não tem conhecimento da
infraestrutura a ser testada, e o alvo, também não sabe o que será testado e o Double Blind que é teste que o
especialista não tem conhecimento da rede a ser testada, mas o alvo tem conhecimento do que será testado.
No Teste Graybox o especialista obtém as informações completas, pois a análise inicia com todas as informações
detalhadas para efetuar o ataque em si.
Leia o texto abaixo:
 
“O grande hackeamento. Assim alguns analistas qualificam o mais recente e audacioso ataque
cibernético maciço que os Estados Unidos vinham sofrendo desde o primeiro semestre. Os hackers
penetraram nas entranhas dos setores mais protegidos do Governo dos EUA, como o Departamento
A+
A
A-
http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/
http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/
http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/
http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/
http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/
02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 5/7

Pergunta 5 0,2 pts
do Tesouro. Altos funcionários da inteligência e especialistas em segurança e perícia forense
computacional apontam a Rússia e suas principais unidades de espionagem cibernética como
responsáveis pela espetacular violação dos sistemas. Velhos e incômodos conhecidos. Além do
mais, tudo foi descoberto três meses depois de o presidente russo, Vladimir Putin, propor a
Washington uma trégua para evitar incidentes no ciberespaço”.
 
(Fonte: Anatomia do grande ataque cibernético que comprometeu o eixo da Administração dos EUA
por Pablo Guimón e Maria R. Sahuquillo. El País, 29/012/2020. Disponível em:
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-
comprometeu-o-eixo-da-administracao-dos-eua.html
(https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-
comprometeu-o-eixo-da-administracao-dos-eua.html) . Acesso em: 24 abr. 2021.
Assinale a alternativa que melhor define ataque cibernético: 
É a não realização da proteção de um conjunto de processos e metodologias, com o objetivo de preservar o valor
da informação para um indivíduo ou uma organização.
Consiste em uma escuta clandestina com o objetivo de armazenar o conteúdo de cada pacote trafegado,
realizando a violação da confidencialidade.
Invasão de uma rede de computadores de uma organização não governamental.
São tentativas de acesso não autorizado, de roubo, alteração, exposição e destruição aos dados dos usuários e,
também, uma interrupção dos sistemas e dispositivos das empresas.
Consiste em um Backdoor, um trojan que permite ao invasor o acesso ao sistema infectado e lhe permite um
controle remoto.
Leia o texto e observe a figura abaixo:
 
No processo de Criptografia, uma cifra é definida sobre um par de algoritmos de encriptação e um
algoritmo de desencriptação (sendo composto por dois processos), conforme mostrado na figura
abaixo.
A+
A
A-
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html
https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html
02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 6/7
 
(Fonte: Disponível em: http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm
(http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm) . Acesso em: 25 abr. 2021.)(adaptado.)
 
No processo mostrado na figura acima, tem-se:
Bia cria uma mensagem;
A mensagem de Bia é encriptada com uma chave A;
Bia envia a mensagem encriptada para Leo;
Leo usa a chave A para decriptar a mensagem;
Leo lê a mensagem decriptada.
Considerando a figura sobre criptografia e seus tipos, avalie as afirmações abaixo:
 
I Uma chave pública é utilizada pelo destinatário, aplicando algoritmos para criptografar onde
acontece a autenticidade do autor e do remetente.
II Na imagem, é usado o tipo de Criptografia de Chave Simétrica, pois utiliza um tipo de chave
simples, onde a mesma chave é usada para a codificação e decodificação.
III É usado o tipo de Chave Assimétrica, pois é para a codificação e decodificação são utilizadas
duas chaves sendo uma privada e outra pública.
 
A+
A
A-
http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm
http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm
http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm
http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm
02/04/2024, 19:09 Teste: Atividade 3
https://famonline.instructure.com/courses/35510/quizzes/174068/take 7/7
Salvo em 19:09 
É correto o que se afirma em:
II, apenas.
I e III, apenas.
III, apenas.
I, apenas.
I e II, apenas.
Enviar teste
A+
A
A-