Avaliação II - Individual Análise de Vulnerabilidade de Riscos

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação II - Individual (Cod.:1027241)
Peso da Avaliação 2,00
Prova 98831085
Qtd. de Questões 10
Acertos/Erros 8/2
Nota 8,00
A análise de vulnerabilidades é uma tarefa essencial para manter a segurança dos ambientes computacionais. Diversas ferramentas estão disponíveis para auxiliar na identificação e correção de vulnerabilidades, cada uma com suas 
características e funcionalidades específicas.
Fonte: ACUNETIX. Find, fix, and prevent vulnerabilities. 2020. Disponível em: https://www.acunetix.com/. Acesso em: 2 ago. 2024.
A análise de vulnerabilidades é uma tarefa essencial para manter a segurança dos ambientes computacionais. Diversas ferramentas estão disponíveis para auxiliar na identificação e correção de vulnerabilidades, cada uma com suas 
características e funcionalidades específicas. Sobre o exposto, assinale a alternativa correta:
A O GFI LanGuard é um scanner de vulnerabilidades que não realiza auditoria de hardware e software.
B O Nexpose é uma ferramenta de análise de vulnerabilidades que não possui integração com o Metasploit.
C O Acunetix é um scanner de vulnerabilidades em web sites e APIs web, que segue as principais falhas estabelecidas pelo OWASP Top Ten.
D O Nessus é uma ferramenta de análise de vulnerabilidades gratuita e de código aberto, desenvolvida pela Greenbone Networks.
E O OpenVAS é um scanner de vulnerabilidades comercial, mantido pela Tenable Network Security.
"Uma vulnerabilidade de hardware é um erro no hardware ou em seu firmware que pode ser usado por um hacker para obter acesso remoto ou físico a um sistema" (CWE, 2020, s.p.). 
FONTE: CWE. Common Weakness Enumeration. About CWE: overview: what is CWE? 2020. Disponível em: https://cwe.mitre.org/about/index.html. Acesso em: 4 maio 2021.
Considerando exemplos de tipos de vulnerabilidades identificadas em hardwares, analise as opções a seguir: 
I - Erros de canal e caminho (maneiras pelas quais o uso de canais de comunicação ou caminhos de execução podem ser relevantes para a segurança).
II - Problemas de núcleo e computação tipicamente associados a CPUs, gráficos, visão, inteligência artificial, FPGA (Field Programmable Gate Array - Arranjo de Portas Programáveis em Campo) e microcontroladores.
III - Separação de privilégios e questões de controle de acesso relacionadas à identificação e política, recursos compartilhados, controles de bloqueio, registros e outros recursos e mecanismos.
 VOLTAR
A+Aumentar, FonteAlterar modo de visualização
1
2
IV - Preocupações de energia, clock e reset relacionadas à tensão, corrente elétrica, temperatura, controle de relógio e economia/restauração de estado. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A II e III
B II, III e IV
C I e III
D I, II, III e IV
E I e IV
A classificação das vulnerabilidades é essencial para entender as ameaças que elas representam e para implementar ações de defesa eficazes. O CVE (Common Vulnerabilities and Exposures) é um padrão amplamente utilizado 
para a identificação de vulnerabilidades.
Fonte: CVE. Common Vulnerabilities and Exposures. About CVE. 2019. Disponível em: https://cve.mitre.org/about/index.html. Acesso em: 2 ago. 2024.
Sobre o CVE, assinale a alternativa correta:
A O CVE é um banco de dados que armazena informações detalhadas sobre vulnerabilidades.
B O CVE foi criado para substituir todos os outros esquemas de numeração de vulnerabilidades existentes.
C O CVE fornece uma descrição padronizada para cada vulnerabilidade ou exposição, facilitando a comunicação entre diferentes ferramentas e bancos de dados.
D O CVE é utilizado apenas por organizações governamentais para a identificação de vulnerabilidades em sistemas críticos.
E O CVE é um projeto que visa identificar fraquezas em hardware e software, mas não fornece identificadores únicos para vulnerabilidades.
Vulnerabilidades são definidas como fraquezas, condições que, quando exploradas, tornam um sistema suscetível a ataques, que podem resultar em alguma violação de segurança. As falhas que ocasionam as vulnerabilidades em 
um sistema computacional são geralmente não intencionais, e costumam apresentar diversas origens, desde aspectos relacionados a software ou hardware, até falhas de origem humana ou mesmo naturais (MARTINELO; 
3
4
BELLEZI, 2014). Ao organizar os tipos de vulnerabilidades de sistemas computacionais, Ribera (2021) os resume em três formas. 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014. RIBERA, J. I. M. Analisis de 
vulnerabilidades web. [s.l.]: OWASP, 2021c. Disponível em: ttps://owasp.org/www-pdf-archive//Analisis_de_vulnerabilidades_web.pdf. Acesso em: 4 maio 2021.
Considerando essas definições, analise as opções a seguir: 
I - As vulnerabilidades de projeto.
II - As vulnerabilidades de implementação.
III - As vulnerabilidades de conexão.
IV - As vulnerabilidades de uso. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A II e IV
B II e III
C I, II e IV
D I e III
E I e IV
Ao estudar a literatura especializada, é comum perceber diferentes formas de organizar ou mesmo identificar os tipos de vulnerabilidades de sistemas computacionais. 
FONTE: RIBERA, J. I. M. Analisis de vulnerabilidades web. [s.l.]: OWASP, 2021c. Disponível em: https://owasp.org/www-pdf-archive//Analisis_de_vulnerabilidades_web.pdf. Acesso em: 26 abr. 2021.
Com base em como podemos organizá-las através dos seguintes tipos gerais, segundo Ribera (2021c), analise as opções a seguir: 
I- Projeto.
II- Computação.
III- Implementação.
5
IV- Uso. 
Assinale a alternativa CORRETA: 
A Somente a opção III está correta.
B As opções I, III e IV estão corretas.
C As opções II e IV estão corretas.
D As opções I, II e IV estão corretas.
E Somente a opção II está correta.
Os scanners de vulnerabilidades são ferramentas que buscam, de forma automatizada, por vulnerabilidades de segurança em sistemas e redes. Eles são essenciais para identificar e corrigir falhas antes que sejam exploradas por 
atacantes.
Fonte: GODINHO, P. X. M. Preventive vulnerability scanner: sistema de detecção de vulnerabilidade em aplicações instaladas em sistemas Windows. 2016.
85 f. Dissertação (Mestrado em Engenharia de Segurança Informática) – Escola Superior de Tecnologia e Gestão, Instituto Politécnico de Beja, Beja, 2016. Disponível em: 
https://repositorio.ipbeja.pt/bitstream/20.500.12207/4718/1/Pedro%20Godinho.pdf. Acesso em: 2 ago. 2024.
Sobre o funcionamento dos scanners de vulnerabilidades, assinale a alternativa correta:
A Um scanner de vulnerabilidades não pode ser utilizado em ambientes corporativos de redes.
B Um scanner de vulnerabilidades não precisa de uma base de dados atualizada de vulnerabilidades para funcionar corretamente.
C Um scanner de vulnerabilidades deve evitar falsos positivos e falsos negativos nos resultados da análise.
D Um scanner de vulnerabilidades realiza varreduras em um intervalo de endereços IP automaticamente, sem a necessidade de supervisão.
E Um scanner de vulnerabilidades não fornece recomendações sobre como corrigir as falhas de segurança encontradas.
6
Revisar Conteúdo do Livro
Para Martinelo e Bellezi (2014), podemos organizar as vulnerabilidades de sistemas computacionais nos seguintes tipos: software, hardware, humanas, físicas e naturais. 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014.
Considerando as definições tanto de software quanto de hardware diante deste contexto, analise as opções a seguir: 
I - Estão relacionadas a falhas de programação. Este tipo de vulnerabilidade abre brechas no sistema que podem ser exploradas por atacantes.
II - Estão relacionadas à ocorrência de desastres ocasionadas por fenômenos naturais (como tempestades, por exemplo), que podem vira comprometer a segurança ou mesmo a disponibilidade dos dados armazenados.
III - Estão relacionadas à indisponibilidade do sistema, o que pode ocasionar perda de dados. Exemplo deste tipo de vulnerabilidade pode ainda incluir o uso de hardware malicioso, como um keylogger.
IV - Estão relacionadas ao mau uso do sistema ou de alguma função deste por parte do usuário. Neste caso, pode ocorrer o mau funcionamento do sistema ou a perda de informações. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A II e IV
B I e IV
C I e III
D I, II e IV
E Somente a I
Para Martinelo e Bellezi (2014), podemos organizar as vulnerabilidades de sistemas computacionais nos seguintes tipos: software, hardware, humanas, físicas e naturais. 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014.
 Considerando as definições tanto de software quanto de hardware diante deste contexto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Estão relacionadas a falhas de programação. Este tipo de vulnerabilidade abre brechas no sistema que podem ser exploradas por atacantes.
( ) Estão relacionadas à ocorrência de desastres ocasionadas por fenômenos naturais (como tempestades, por exemplo), que podem vir a comprometer a segurança ou mesmo a disponibilidade dos dados armazenados.
7
8
( ) Estão relacionadas à indisponibilidade do sistema, o que pode ocasionar perda de dados. Exemplo deste tipo de vulnerabilidade pode ainda incluir o uso de hardware malicioso, como um keylogger.
( ) Estão relacionadas ao mau uso do sistema ou de alguma função deste por parte do usuário. Neste caso, pode ocorrer o mau funcionamento do sistema ou a perda de informações.
É correto o que se afirma em:
A F - F - V - F.
B V - F - F - V.
C F - V - F - V.
D V - V - V - V
E V - F - V - V.
"Uma vulnerabilidade de software [...], é um erro no software que pode ser usado diretamente por um hacker para obter acesso a um sistema ou rede" (CWE, 2020, s.p.). 
FONTE: CWE. Common Weakness Enumeration. About CWE: overview: what is CWE? 2020. Disponível em: https://cwe.mitre.org/about/index.html. Acesso em: 04 mai. 2021.
Considerando exemplos de tipos de vulnerabilidades identificadas em softwares, analise as opções a seguir: 
I - Buffer overflow e strings de formato.
II - Problemas de estrutura e validade de dados.
III - Manipulação de elementos especiais comuns (diferentes maneiras com que elementos podem ser introduzidos como entradas de um software).
IV - Preocupações de energia, clock e reset relacionadas à tensão, corrente elétrica, temperatura, controle de relógio e economia/restauração de estado. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A I, II e IV
Revisar Conteúdo do Livro
9
B III e IV
C I e IV
D II e III
E I, II e III
Vulnerabilidades são definidas como fraquezas, condições que, quando exploradas, tornam um sistema suscetível a ataques, que podem resultar em alguma violação de segurança. As falhas que ocasionam as vulnerabilidades em 
um sistema computacional são geralmente não intencionais, e costumam apresentar diversas origens. 
FONTE: MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 34-44, jan./abr. 2014. Disponível em: 
http://www.revistatis.dc.ufscar.br/index.php/revista/article/view/74. Acesso em: 25 set. 2020.
Com base nos estudos de Martinelo e Bellezi (2014), pensando nas vulnerabilidades de sistemas computacionais nos seguintes tipos, assinale a alternativa INCORRETA: 
A Lógica.
B Software.
C Ferramenta
D Hardware.
E Humana.
10
Imprimir