Princípios de Segurança em Computadores

Prévia do material em texto

· 
	Os princípios de segurança são essenciais para manter a segurança dos computadores. Um modelo de segurança deve seguir dez princípios básicos, com a finalidade de proteger um sistema e os dados dos usuários. O funcionamento desses princípios ocorre em harmonia e remete à construção do sistema quanto ao comportamento de usuários e invasores.
Considerando a temática apresentada, analise as asserções a seguir e a relação proposta entre elas.
I. A economia dos mecanismos de segurança destaca a execução de formas de segurança que, de forma paralela, são aplicadas em grande parte dos trabalhos de engenharia e demonstram o conceito de simplicidade atrelado ao domínio da segurança. Um framework de segurança simplifica o entendimento por desenvolvedores e utilizadores, o que possibilita o desenvolvimento eficaz e a verificação de formas de reforço destinadas à ele. 
PORQUE
II. A economia de mecanismos apoia naturalmente a ideia de que o projeto/arquitetura de segurança de um sistema seja disposto de forma pública, mantendo, de forma oculta, somente as chaves de criptografia, pois um projeto aberto permite que o sistema seja explorado e analisado por vários indivíduos. Assim, há a precoce identificação e correção de vulnerabilidades relacionadas à segurança e decorridas de erros gerados durante o projeto.
A respeito das asserções, assinale a alternativa correta. 
		Resposta Selecionada:
	e. 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
	Respostas:
	a. 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I.
	
	b. 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	c. 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	d. 
As asserções I e II são falsas.
	
	e. 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
	Comentário da resposta:
	JUSTIFICATIVA
A asserção I é verdadeira, pois existe uma concordância entre a economia de mecanismos e o projeto aberto. O primeiro princípio enfatiza a importância de se preservar um mecanismo de segurança no limite do tamanho e com simplicidade de codificação, a fim de facilitar a avaliação e a compreensão. Assim, são prevenidos os erros de codificação que possam comprometer a segurança. 
A asserção II é verdadeira, visto que o princípio “projeto aberto” destaca a simplicidade do projeto e a implementação de medidas de segurança. Sistemas abertos se fundamentam nas chaves de encriptação de senhas, e não em suprimir a arquitetura. Logo, o fato de a codificação de um mecanismo ser de código aberto não indica a obtenção de menor segurança. 
A asserção II justifica a I, porque a simplicidade de um sistema, em termos de implementação e projeto, facilita o entendimento dele e, consequentemente, um sistema aberto herda a segurança que reside em um sistema simples.
· Pergunta 2
2,5 em 2,5 pontos
	
	
	
	O X.800 é uma recomendação da Telecommunication Standardization Sector, ou International Telecommunication Union (ITU-T), que define uma arquitetura de segurança para sistemas de comunicação abertos. Essa arquitetura é baseada em uma estrutura de serviços e mecanismos de segurança. Conforme a X.800, um serviço de segurança é fornecido por um protocolo de camada, que garante proteção adequada dos dados, cuja finalidade é prevenir a ocorrência de ameaças à segurança. Esses serviços são categorizados em cinco classes: autenticação, controle de acesso, confidencialidade e integridade dos dados e irretratabilidade.
Com relação ao mecanismo de autenticação do serviço de segurança X.800, leia as afirmativas a seguir: 
I. O mecanismo de autenticação utiliza um par de chaves públicas e privadas para trocar mensagens criptografadas entre as entidades.
II. O mecanismo de autenticação utiliza um protocolo de desafio-resposta, baseado em uma função hash, para verificar a identidade das entidades.
III. O mecanismo de autenticação utiliza um código secreto compartilhado entre as entidades, para gerar um número aleatório que é enviado na mensagem.
IV. O mecanismo de autenticação utiliza uma assinatura digital anexada à mensagem e verificada pela entidade receptora.
Está correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	a. 
 II, apenas. 
	Respostas:
	a. 
 II, apenas. 
	
	b. 
 I e IV, apenas. 
	
	c. 
 I, II e IV, apenas.
	
	d. 
II e III, apenas. 
	
	e. 
 III e IV, apenas.
	Comentário da resposta:
	JUSTIFICATIVA
A afirmativa I está incorreta, pois o serviço de segurança X.800 não utiliza criptografia assimétrica para a autenticação, mas, sim, simétrica.
A afirmativa II está correta, pois o serviço de segurança X.800 utiliza o protocolo ISO/IEC 9798 para realizar a autenticação, que se baseia em um esquema de desafio-resposta com uma função hash.
A afirmativa III está incorreta, pois o serviço de segurança X.800 não utiliza um código secreto compartilhado para a autenticação, mas, sim, uma chave simétrica, derivada do código secreto e do número aleatório.
A afirmativa IV está incorreta, pois o serviço de segurança X.800 não utiliza uma assinatura digital para a autenticação, mas, sim, um código de autenticação da mensagem (MAC)
	
	
	
· Pergunta 3
2 em 2 pontos
	
	
	
	De um modo geral, a segurança em camadas consiste na disposição de várias etapas de proteção para garantir a operacionalização de uma organização. Isso visa de algum modo, limitar acessos a dados sensíveis e ataques a servidores que contêm diversas aplicações da WWW. Em relação à abordagem de segurança da informação baseada em camadas, assinale a alternativa correta:
	
	
	
	
		Resposta Selecionada:
	 
Além de considerarmos camadas de pilhas de protocolos, também consideramos os fatores humanos, estrutura física, dados e aplicações. 
	Respostas:
	 
Além de considerarmos camadas de pilhas de protocolos, também consideramos os fatores humanos, estrutura física, dados e aplicações. 
	
	O IPSec atua na camada de aplicação do TCP/IP.
	
	A camada de dados protege os dispositivos da execução de programas maliciosos.
	
	SSL e TLS atuam na camada de enlace do TCP/IP.
	
	A camada de endpoint protege conexões entre dispositivos, servidores, datacenter etc. 
	Comentário da resposta:
	Justificativa 
SSL e TLS  - camada de transporte. IPSec na camada de rede do TCP/IP. Camada de rede protege conexões entre os dispositivos. A camada de endpoint protege os dispositivos da execução de programas maliciosos. 
	
	
	
· Pergunta 4
2 em 2 pontos
	
	
	
	Ataques passivos em redes de computadores não causam nenhum dano imediato aos dados ou sistemas. Em vez disso, concentram-se em interceptar a comunicação entre dois ou mais dispositivos na rede. O objetivo principal de um ataque passivo é obter informações confidenciais, que podem ser usadas em ataques futuros: senhas, informações de cartão de crédito e pessoal ou qualquer outra que seja útil para o invasor. Além disso, os atacantes podem usar essas informações para espionar atividades de usuários legítimos ou roubar dados comerciais valiosos.
Com base nesses aspectos, assinale a alternativa que indica as características de um ataque passivo.
	
	
	
	
		Resposta Selecionada:
	c. 
Intercepta e monitora a comunicação entre dois ou mais dispositivos, sem afetar diretamente os dados.
	Respostas:
	a. 
Explora vulnerabilidades em softwares e sistemas para conseguir acesso não autorizado.
	
	b. 
Envolve a alteração de dados transmitidos entre dois ou mais dispositivos na rede.
	
	c. 
Intercepta e monitora a comunicação entre dois ou mais dispositivos, sem afetar diretamente os dados.
	
	d. 
Interrompe ou nega o serviço a usuários legítimos, geralmente por meio de sobrecarga de rede.
	
	e. 
Realizado apenas para testar a segurança da rede, sem qualquer intenção maliciosa.
	Comentário da resposta:
	JUSTIFICATIVA
Os ataques ativos envolvem ações diretas de um invasor, para violar a segurança da rede. Já os ataques de negação de serviço (DoS), envolvem a sobrecarga de recursosda rede, para impedir que usuários legítimos acessem serviços ou recursos. Os ataques passivos interceptam comunicações, como a captura de pacotes de dados em uma rede, sem causarem diretamente danos. Existem também ataques de manipulação de dados, que alteram informações transmitidas entre dispositivos na rede, mas não são os ataques passivos. Todos os ataques têm uma intenção maliciosa subjacente, mesmo que ​​para fins de teste ou avaliação de segurança.
	
	
	
image6.gif
image1.png
image2.png
image3.png
image4.png
image5.gif