EXERCÍCIOS DE FIXAÇÃO

Prévia do material em texto

EXERCÍCIOS DE FIXAÇÃO 
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, 
retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da 
disciplina, mas são de suma importância para o aproveitamento de seus estudos. 
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito. 
 
Questão 1 
A pessoa responsável pela classificação da informação em uma organização é: 
a) O proprietário da informação. 
b) A equipe de TI. 
c) O custodiante. 
d) Analista de Segurança. 
e) O diretor da organização. 
 
Questão 2 
A pessoa responsável pela classificação da informação em uma organização é: 
a) O proprietário da informação. 
b) A equipe de TI. 
c) O custodiante. 
d) Analista de Segurança. 
e) O diretor da organização. 
 
Questão 3 
A gestão do ciclo de vida da informação, no contexto da segurança da informação, tem 
se tornado um elemento fundamental para: 
a) A gestão dos usuários. 
b) A gestão dos negócios da organização. 
c) A gestão da área comercial. 
d) A gestão do ciclo da informação interna. 
e) A gestão de orçamento. 
Questão 4 
O advento da internet e a globalização transformaram completamente o mundo que vivemos e, 
consequentemente, estão revolucionando o modo de operação das empresas. A demanda 
gradual por armazenamento de conhecimento tem levado à necessidade de administração 
desses dados de forma confiável. 
Por que as organizações devem proteger as suas informações? 
a) Somente pelo seu valor financeiro. 
b) Pelos seus valores estratégicos e financeiros. 
c) Somente pelos seus valores qualitativos e financeiros. 
d) Pelos seus valores estratégicos e qualitativos. 
e) Pelos seus valores internos e qualitativos. 
 
Questão 5 
Carlos detectou, em uma máquina da empresa que trabalha, um software malicioso capaz de 
capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. 
Nesse caso, podemos afirmar que Carlos encontrou um: 
a) Backdoor 
b) Worm 
c) Keylogger 
d) Screenlogger 
e) Trojan 
 
Questão 6 
Você precisou realizar uma varredura à procura de software malicioso, nas máquinas de seu 
setor, e detectou um software especificamente projetado para apresentar propagandas através 
do navegador da internet. 
Nesse caso, você encontrou um: 
a) Spyware 
b) Java Script 
c) Active-x 
d) Adware 
e) Worm 
Questão 7 
Você precisou realizar uma varredura à procura de software malicioso, nas máquinas de seu 
setor, e detectou além de vírus, uma variação de adware que foi especificamente projetado para 
observar as atividades do usuário de computador sem o seu consentimento, e enviar as 
informações por relatórios ao autor do software. 
Nesse caso, você encontrou um: 
a) Spyware 
b) Java Script 
c) Active-x 
d) Adware 
e) Worm 
 
Questão 8 
Na empresa onde Pedro trabalha, ocorreu um incidente de segurança, um ataque onde foram 
expostas informações sigilosas da organização. Ao analisar o fato, Pedro percebeu que o ataque 
ocorreu por meio de um acesso privilegiado em um programa que acessava a base de dados. 
Nesse caso, podemos afirmar que o tipo de ataque ocorrido foi: 
a) Buffer Overflow 
b) Força bruta 
c) SYN Flooding 
d) IP Spoofing 
e) SQLinjection 
 
Questão 9 
As __________ por si só não provocam acidentes, pois são elementos __________, para que 
ocorra um incidente de segurança é necessário um agente causador ou uma condição favorável 
que são as __________. 
a) Vulnerabilidades, passivos, ameaças. 
b) Ameaças, ativos, vulnerabilidades. 
c) Vulnerabilidades, ativos, ameaças. 
d) Ameaças, essenciais, vulnerabilidades. 
e) Ameaças, passivos, vulnerabilidades. 
Questão 10 
Em 2015, as companhias A, B e C reportaram diversas tentativas de invasão aos banco de 
dados do Grupo ABC. A única empresa afetada pela onda de ataques foi a empresa C, que 
teve seus dados expostos por hackers não identificados. O ataque utilizado foi o 
SQLinjection. 
Nesse caso, podemos afirmar que foi explorada a: 
a) Vulnerabilidade de comunicação. 
b) Vulnerabilidade de software. 
c) Vulnerabilidade de mídias. 
d) Vulnerabilidade física. 
e) Vulnerabilidade natural. 
 
Questão 11 
Alfredo trabalha na empresa XPTO como analista de teste, e tem como principal 
responsabilidade a realização de prova de segurança. Com crise econômica a empresa 
resolveu suspender todos os treinamentos das equipes. Dessa forma, Alfredo não 
conseguiu fazer os cursos previstos para sua atualização, tendo em vista a empresa estar 
migrando todos os seus sistemas para JAVA. Um dos sistemas testados por Alfredo foi 
utilizado por hacker para invadir a organização. 
Nesse caso, podemos afirmar que ocorreu uma vulnerabilidade: 
a) Voluntária. 
b) Involuntária. 
c) Natural. 
d) De Hardware. 
e) De Comunicação. 
 
Questão 12 
Por uma desorganização interna, a empresa Y não renovou o contrato de manutenção 
dos seus equipamentos de armazenamento. Nesses equipamentos, estão armazenados 
os arquivos de trabalho de todos da organização. Nesse ano, quatro discos já estão 
inutilizados, pois apresentaram erros. Esse incidente ocasionou problemas de 
indisponibilidade nos dados e várias áreas tiveram que solicitar o backup de seus 
arquivos. 
Nesse caso, estamos falando de qual tipo de vulnerabilidade? 
a) Voluntária. 
b) Involuntária. 
c) Natural. 
d) Hardware. 
e) Comunicação. 
 
Questão 13 
 
Analise a figura acima e complete corretamente os desenhos: 
a) Agentes ameaçadores, vulnerabilidades, incidente de segurança, negócios, cliente 
e produtos. 
b) Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios. 
c) Ameaças, incidentes de segurança, negócios, vulnerabilidades, clientes e produtos. 
d) Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios. 
e) Vulnerabilidades, ataques, incidentes de segurança, clientes e produtos, negócios. 
 
Questão 14 
João foi contratado para realizar a análise de vulnerabilidade da empresa XPTO e precisa 
utilizar uma ferramenta que realize a coleta de informações sobre as portas do protocolo 
TCP/IP, e ajude a descobrir serviços ou servidores nessa rede. 
Nesse caso, ele poderá utilizar qual ferramenta? 
a) NMAP. 
b) SQLMAP. 
c) PING. 
d) Acunetix. 
e) Aircrack. 
Questão 15 
Para realizar a análise de vulnerabilidade de uma rede, o primeiro passo é reconhecer o 
tráfego e o comportamento dessa rede. 
Nesse caso, precisaremos utilizar qual das ferramentas? 
a) Metasploit. 
b) Wireshark. 
c) PING. 
d) Acunetix. 
e) Aircrack. 
 
Questão 16 
Você é consultor de segurança de sua empresa e precisa verificar se as aplicações 
construídas estão vulneráveis a ataques do tipo SQLinjection. 
Nesse caso, qual seria a ferramenta mais indicada para utilização? 
a) SQLFORMS. 
b) SQLMAP. 
c) Wireshark. 
d) PING. 
e) Aircrack. 
 
Questão 17 
O número de conexões que um servidor web pode manter com seus clientes é limitado. 
Nesse caso, se um usuário malicioso utilizar um programa para realizar requisições de 
conexão a esse servidor de forma a levá-lo à indisponibilidade, esse usuário está 
praticando um ataque do tipo: 
 
a) SQLInjection. 
b) Força bruta. 
c) Negação de serviço. 
d) Phising. 
e) Sequestro de sessão. 
Questão 18 
Maria recebeu um e-mail com solicitação de seu banco para que atualizasse seu cadastro. 
Junto com esse e-mail foi enviado um link do site para atualização. Somente após passar 
as suas informações confidenciais é que Maria percebeu que o site era falso. 
Nesse caso, Maria sofreuum ataque do tipo: 
a) Cross-site Scripting. 
b) Força bruta. 
c) Negação de serviço. 
d) Phising. 
e) Sequestro de sessão. 
 
Questão 19 
Maria utiliza um fórum na web e seu usuário tem permissão para incluir mensagens de 
sua própria autoria para que outros participantes possam ler. Esse aplicativo possui um 
erro, e um usuário mal intencionado conseguiu injetar instruções para enviar mensagens 
a todos os usuários do fórum. 
Nesse caso, esse fórum sofreu um ataque de: 
a) Cross-site Scripting. 
b) Força bruta. 
c) Negação de serviço. 
d) Phising. 
e) Sequestro de sessão. 
 
Questão 20 
Quando um usuário mal intencionado utiliza um endereço de origem IP ou HTTP 
representando o cliente para se passar por ele, estamos nos referindo a um ataque do 
tipo: 
a) Cross-site Scripting. 
b) Força bruta. 
c) Negação de serviço. 
d) Phising. 
e) Sequestro de sessão. 
Questão 21 
Na fase de levantamento de informações, o atacante pode utilizar dois tipos de 
levantamento: 
 
a) Formal e informal. 
b) Passivo e ativo. 
c) Interno e externo. 
d) Direto e indireto. 
e) Manual e automatizado. 
 
Questão 22 
Qual das opções a seguir é utilizada pelo atacante para manutenção de acesso ao sistema 
após a realização de um ataque: 
 
a) Ataque DDoS. 
b) Scan de Rede. 
c) Engenharia Social. 
d) Backdoors. 
e) Buffer overflow. 
 
Questão 23 
Ferramenta que pode ser utilizada por um atacante para a camuflagem das evidências de 
ataque: 
 
a) Cavalo de Troia. 
b) Rootkit. 
c) Scan de Host. 
d) Traceroute. 
e) Buffer Overflow. 
 
Questão 24 
Fase que apresenta um alto risco para os negócios de uma empresa, pois além de ser 
considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e 
softwares, além de prejudicar o desempenho do ambiente: 
a) Levantamento das informações. 
b) Mapeamento das informações. 
c) Exploração das informações. 
d) Visualização das informações. 
e) Manutenção das informações. 
 
Questão 25 
João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo 
após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma 
porção de risco que não é eliminada. 
Nesse caso, como denominamos este tipo de risco? 
a) Risco verdadeiro. 
b) Risco percebido. 
c) Risco real. 
d) Risco tratado. 
e) Risco residual. 
 
Questão 26 
Existe uma série de benefícios na implementação da Gestão de Risco em uma 
organização. 
 
 Analise as questões a seguir e identifique a opção que NÃO representa um benefício: 
a) Melhorar a efetividade das decisões para controlar os riscos. 
b) Eliminar os riscos completamente e não precisar mais tratá-los. 
c) Melhorar a eficácia no controle de riscos. 
d) Manter a reputação e imagem da organização. 
e) Entender os riscos associados ao negócio e a gestão da informação. 
Questão 27 
Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para 
atuar na equipe. Ao chegar, ele perguntou o conceito de risco. 
Você prontamente respondeu que risco é... : 
a) Probabilidade de uma ameaça explorar uma vulnerabilidade. 
b) Probabilidade de um incidente ocorrer mais vezes. 
c) Probabilidade de uma ameaça explorar um incidente. 
d) Probabilidade de um ativo explorar uma ameaça. 
e) Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Questão 28 
Pedro trabalha na área de gestão de risco da empresa Zanfas, e verificou que o custo de 
proteção contra um determinado risco está muito além das possibilidades da empresa e, 
portanto não vale a pena tratá-lo. 
Nesse caso, Pedro: 
a) Aceita o risco. 
b) Rejeita o risco. 
c) Ignora o risco. 
d) Comunica o risco. 
e) Trata o risco a qualquer custo. 
 
Questão 29 
A partir das assertivas: “Forma como um risco é visto por uma parte envolvida. Pode 
variar em virtude de critérios, valores, interesses e prioridades”, qual a alternativa 
correta? 
 
a) Risco verdadeiro; 
b) Risco percebido; 
c) Risco real; 
d) Risco tratado; 
e) Risco residual; 
Questão 30 
No processo de análise e avaliação serão realizados todos os levantamentos em relação 
às ameaças, às vulnerabilidades, às probabilidades e ao impacto aos quais os ativos estão 
sujeitos. 
 
Existem duas metodologias que podemos aplicar, são elas: 
a) Análise quantitativa e análise qualitativa. 
b) Análise de processo e análise tecnológica. 
c) Análise financeira e qualitativa. 
d) Análise processo e análise financeira. 
e) Análise quantitativa e análise financeira. 
 
Questão 31 
No processo de avaliação de risco, o grau de aceitação de um risco pode ser: 
 
a) Risco intolerável, risco aceitável, riscos tolerável. 
b) Risco bom, risco médio e risco alto. 
c) Risco financeiro, risco físico, risco de software. 
d) Risco tecnológico, risco financeiro, risco administrativo. 
e) Risco financeiro, risco de pessoal, riscos tecnológico. 
 
Questão 32 
Qual alternativa indica a “Fase da gestão de riscos onde serão realizados todos os 
levantamentos em relação às ameaças, às vulnerabilidades, às probabilidades e ao 
impacto aos quais os ativos estão sujeitos”? 
 
a) Levantamento dos riscos. 
b) Análise e avaliação dos riscos. 
c) Tratamento dos riscos. 
d) Aceitação dos riscos. 
e) Comunicação dos riscos.