Baixe o app para aproveitar ainda mais
Prévia do material em texto
02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 1/7 Atividade 3 Iniciado: 19 mar em 21:39 Instruções do teste Pergunta 1 0,2 pts Importante: Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no final da página. Leia o texto abaixo: A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16° do Marco Civil da Internet. [...] Sabemos que a informação possui um valor inestimável nos dias atuais e as empresas já se conscientizaram que proteger seu ambiente é crucial para a continuidade de negócio e um possível vazamento poderá ser devastador para qualquer organização que lida com dados sensíveis, seja de seus colaboradores e/ou seus clientes e fornecedores. Um pentest (ou teste de intrusão/invasão) será o divisor de águas para entender se as soluções de segurança aplicadas à sua instituição são realmente eficientes em caso de um incidente e, além disso, como sua equipe de TI irá responder a esse possível incidente. (Fonte: Por que o pentest é necessário em tempos de LGPD? Por Alan Sanches. Esecurity. Disponível em: https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/ (https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/) Acesso em: 25 abr. 2021.)(adaptado) Considerando os testes de intrusão ou testes de penetração ou Pentesting, avalie as afirmações abaixo: I Testes de intrusão podem ser feitos sem qualquer planejamento, pois somente irá verificar falhas em um ambiente de rede, ou sistema, ou em uma aplicação. II Pentesting é uma técnica que verifica e reconhece, por um conjunto de testes em um ambiente de rede, ou sistema, ou em uma aplicação, as possíveis vulnerabilidades baseadas na conexão da rede interna ou externa, permitindo acesso não autorizado a informações, dados e dispositivos na rede. III Os testes de penetração são classificados em três tipos: Black-box, White-box e Gray-box e podem ser executados em aplicações, aplicativos, na rede e no hardware. A+ A A- https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/ https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/ https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/ https://esecurity.com.br/por-que-o-pentest-e-necessario-em-tempos-de-lgpd/ 02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 2/7 Pergunta 2 0,2 pts IV Nos testes de penetração, a fase de "Reconhecimento" é uma investigação minuciosa nas vulnerabilidades detectadas, buscando por dados sigilosos que foram roubados, alterados ou corrompidos, e se podem trazer dano a empresa. É correto o que se afirma em: II e IV I e IV I e II II e III. I e III Leia o texto abaixo: “O objetivo do PenTest é provar que ao realizar testes que simulam ataques reais utilizando as mesmas técnicas e ferramentas que seriam utilizadas por crackers é possível prevenir-se de alguns ataques, assim aumentando a segurança de um sistema. E com a utilização de uma metodologia adequada para o teste que podem e devem ser aplicadas para chegar em resultados mais conclusivos e, também, algumas ferramentas para automatizar esses ataques é possível facilitar esses resultados, assim podendo avaliar melhor o grau de vulnerabilidade do sistema computacional de uma organização. Onde as principais metodologias existentes no mercado mundial, são: OSSTMM - Open Source Security Testing Methodology Manual; ISSAF - Information Systems Security Assessment Framework; OWASP - Open Web Application Security Project; WASC-TC - Web Application Security Consortium Threat Classification”. (Fonte: PenTest o que é? Por Bruno Branco. Blog MBM solution, 13/02/2020. Disponível em: https://blog.mbmsolutions.com.br/pentest-o-que-e/ (https://blog.mbmsolutions.com.br/pentest- o-que-e/) Acesso em: 25 abr. 2021.)(adaptado) Analisando as metodologias usadas na realização dos testes de penetração, avalie as seguintes asserções e a relação proposta entre elas. A+ A A- https://blog.mbmsolutions.com.br/pentest-o-que-e/ https://blog.mbmsolutions.com.br/pentest-o-que-e/ https://blog.mbmsolutions.com.br/pentest-o-que-e/ https://blog.mbmsolutions.com.br/pentest-o-que-e/ 02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 3/7 Pergunta 3 0,2 pts I Existem vários tipos de metodologias que podem ser aplicadas em um teste de penetração, considerando o cenário e o escopo do projeto gerando testes corretos. PORQUE II A Metodologia OWASP deve ser usada em redes sem fio e a Metodologia OSSTMM em servidores web. A respeito dessas asserções, assinale a opção correta: A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições falsas. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Leia o texto abaixo: Teste de intrusão utiliza ferramentas automatizadas e processos manuais para explorar o sistema em busca de vulnerabilidades, simulando um ataque real. Assim, o profissional que realiza a simulação adota o papel de um hacker que tenta descobrir formas de invadir a rede. Esse profissional informará os pontos falhos existentes que podem comprometer a segurança dos dados corporativos para que a organização possa agir preventivamente para deixar seus sistemas mais seguros. Em geral, há três tipos de testes de intrusão. São eles: - Blackbox: nessa opção, quem está executando o teste não tem nenhuma informação sobre a estrutura tecnológica e sistemica da empresa a ser invadida. Essa opção é a mais utilizada, pois é a que melhor simula um ataque real, visto que um hacker real tentará realizar sua invasão sem nenhum conhecimento prévio. - Whitebox: nesse tipo de teste, o profissional possuirá todas as informações sobre o sistema e infraestrutura tecnologia da organização. Ele é realizado para que seja possível realizar uma análise ampla e precisa. A+ A A- 02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 4/7 Pergunta 4 0,2 pts - Graybox: o terceiro tipo de teste de intrusão é executado com algumas informações sobre os sistemas corporativos para que o profissional consiga explorar de forma mais direcionada alguns pontos específicos da segurança.” O teste de intrusão funciona como uma ferramenta proativa para que as organizações possam lidar com o universo do cibercrime antes mesmo que uma ameaça consiga invadir seus sistemas. Portanto, contar com esse tipo de prática pode ser um grande diferencial estratégico para as empresas se tornarem mais confiáveis diante do mercado. (Fonte: Disponível em: https://blogbrasil.westcon.com/o-que-um-teste-de-intrusao-e-qual-a- importancia-para-as-empresase/ (http://www.auzac.com.br/testes-de-invasao/relatorios- gerenciais-e-tecnicos/) . Acesso em: 25 abr. 2021.)(adaptado) Considerando as afirmações apresentadas sobre os tipos de testes de intrusão, assinale a opção correta: O Teste Whitebox é subdividido em dois tipos: Tandem, que é um teste que o especialista e o alvo possuem conhecimento total dos testes que serão executados e o Reversal que colabora para que o especialista tenha conhecimento total da rede a ser testada. O Teste Black box é mais específico e detalhado que o Whitebox, devido ao especialista ter acesso a toda e qualquer informação da rede e as informações obtidas em testes Blackbox podem ser adquiridas em testes Whitebox. O Teste Whitebbox é indicado em situações em que a empresa quer ter o conhecimento exato de como um atacante percebe ou compreendealgumas partes da infraestrutura organizacional. O Teste Backbox é subdividido em dois tipos: Blind que é o teste que o especialista não tem conhecimento da infraestrutura a ser testada, e o alvo, também não sabe o que será testado e o Double Blind que é teste que o especialista não tem conhecimento da rede a ser testada, mas o alvo tem conhecimento do que será testado. No Teste Graybox o especialista obtém as informações completas, pois a análise inicia com todas as informações detalhadas para efetuar o ataque em si. Leia o texto abaixo: “O grande hackeamento. Assim alguns analistas qualificam o mais recente e audacioso ataque cibernético maciço que os Estados Unidos vinham sofrendo desde o primeiro semestre. Os hackers penetraram nas entranhas dos setores mais protegidos do Governo dos EUA, como o Departamento A+ A A- http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/ http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/ http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/ http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/ http://www.auzac.com.br/testes-de-invasao/relatorios-gerenciais-e-tecnicos/ 02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 5/7 Pergunta 5 0,2 pts do Tesouro. Altos funcionários da inteligência e especialistas em segurança e perícia forense computacional apontam a Rússia e suas principais unidades de espionagem cibernética como responsáveis pela espetacular violação dos sistemas. Velhos e incômodos conhecidos. Além do mais, tudo foi descoberto três meses depois de o presidente russo, Vladimir Putin, propor a Washington uma trégua para evitar incidentes no ciberespaço”. (Fonte: Anatomia do grande ataque cibernético que comprometeu o eixo da Administração dos EUA por Pablo Guimón e Maria R. Sahuquillo. El País, 29/012/2020. Disponível em: https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que- comprometeu-o-eixo-da-administracao-dos-eua.html (https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que- comprometeu-o-eixo-da-administracao-dos-eua.html) . Acesso em: 24 abr. 2021. Assinale a alternativa que melhor define ataque cibernético: É a não realização da proteção de um conjunto de processos e metodologias, com o objetivo de preservar o valor da informação para um indivíduo ou uma organização. Consiste em uma escuta clandestina com o objetivo de armazenar o conteúdo de cada pacote trafegado, realizando a violação da confidencialidade. Invasão de uma rede de computadores de uma organização não governamental. São tentativas de acesso não autorizado, de roubo, alteração, exposição e destruição aos dados dos usuários e, também, uma interrupção dos sistemas e dispositivos das empresas. Consiste em um Backdoor, um trojan que permite ao invasor o acesso ao sistema infectado e lhe permite um controle remoto. Leia o texto e observe a figura abaixo: No processo de Criptografia, uma cifra é definida sobre um par de algoritmos de encriptação e um algoritmo de desencriptação (sendo composto por dois processos), conforme mostrado na figura abaixo. A+ A A- https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html https://brasil.elpais.com/internacional/2020-12-29/anatomia-do-grande-ataque-cibernetico-que-comprometeu-o-eixo-da-administracao-dos-eua.html 02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 6/7 (Fonte: Disponível em: http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm (http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm) . Acesso em: 25 abr. 2021.)(adaptado.) No processo mostrado na figura acima, tem-se: Bia cria uma mensagem; A mensagem de Bia é encriptada com uma chave A; Bia envia a mensagem encriptada para Leo; Leo usa a chave A para decriptar a mensagem; Leo lê a mensagem decriptada. Considerando a figura sobre criptografia e seus tipos, avalie as afirmações abaixo: I Uma chave pública é utilizada pelo destinatário, aplicando algoritmos para criptografar onde acontece a autenticidade do autor e do remetente. II Na imagem, é usado o tipo de Criptografia de Chave Simétrica, pois utiliza um tipo de chave simples, onde a mesma chave é usada para a codificação e decodificação. III É usado o tipo de Chave Assimétrica, pois é para a codificação e decodificação são utilizadas duas chaves sendo uma privada e outra pública. A+ A A- http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm http://www.macoratti.net/Cursos/Cripto/net_cripto4.htm 02/04/2024, 19:09 Teste: Atividade 3 https://famonline.instructure.com/courses/35510/quizzes/174068/take 7/7 Salvo em 19:09 É correto o que se afirma em: II, apenas. I e III, apenas. III, apenas. I, apenas. I e II, apenas. Enviar teste A+ A A-
Compartilhar