Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança em Tecnologia da Informação Nota 9.0 Qual é a errada ?? 1- Questão: Ao participar de um processo seletivo promovido por uma grande empresa que atua na área de segurança da internet e em redes para usuários domésticos e corporações através de soluções baseadas em software e aplicativos, você foi informado que a vaga é para a área de desenvolvimento, já que a empresa está trabalhando em um projeto de firewall para distribuí- lo em conjunto com a sua suíte de programas. Com base em seus conhecimentos sobre firewall, você pode afirmar que ele é: (X) Um dispositivo de segurança de rede que monitora o tráfego de entrada e saída, e admite ou bloqueia tráfegos específicos de acordo com as regras de segurança estabelecidas. Um antivírus que atua diretamente na conexão de uma rede interna, protegida, com o mundo exterior, de acordo com o tipo de malware a ser evitado. Um processo de criptografia dedicado aos procedimentos de codificação/decodificação do tráfego de entrada de uma rede protegida. Um nome genérico para uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. 2 - Questão: Durante a aula de segurança da informação, seu professor disse que as ameaças são representadas por qualquer meio ou mecanismo que possa violar a informação, como os vírus. Essas ameaças visam a modificação, a perda ou o roubo da informação e até mesmo a paralisação dos serviços que estão sendo executados. Dessa forma, relacione as colunas de acordo com as características de tipos de vírus e códigos maliciosos feitos para se apropriar indevidamente de informações no mundo virtual. 1. Spware 2. Cavalo de Tróia 3. Spam 4. Keylogger ( ) É um programa monitora as teclas digitadas e as grava em um arquivo escondido, que futuramente será enviado por e-mail para o criminoso cibernético. ( ) É um programa que pode ser considerado um vírus e se instala no computador disfarçado em jogos e aplicativos baixados na internet. ( ) É uma propaganda enviada em grande quantidade por e-mail, lotando a caixa de entrada. Em muitos casos, se apresenta como empresa, solicitando dados pessoais e senhas. ( ) É um programa oculto que se instala no computador e recolhe informações sobre o usuário, como senhas e dados pessoais, enviando-as para outros computadores por meio da internet. Instala-se por meio de arquivos anexos em e-mails, sites, programas gratuitos como jogos e aplicativos, entre outros. (X) 4, 2, 3, 1. 4, 3, 2, 1. 1, 2, 3, 4. 1, 4, 3, 2. 3 - Questão: Recentemente uma mensagem falsa que circulou em um aplicativo de envio de mensagens prometendo emprego em uma grande rede de franquias de chocolates fez mais de 1 milhão de vítimas. O golpe tenta obter informações pessoais dos usuários, além de incentivar os “candidatos” a compartilhar o conteúdo com contato e grupos de rede social. A mensagem que usa o logotipo e as cores da rede de lojas de chocolate foi enviada aos usuários oferecendo vagas em seis cargos, mediante o cadastro em um suposto processo seletivo. Ao clicar no link presente na imagem, o usuário é levado a fornecer informações pessoais como nome, e-mail, cidade em que reside e se é maior de 18 anos. Como especialista na área de segurança da informação, ao receber essa mensagem de um colega de trabalho, você identificou que se trata de uma prática conhecida como: Trojan horse que abre as portas do computador disfarçado em mensagens para que o programa malicioso possa ser instalado. (X) Phishing que é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros por meio de mensagens eletrônicas. Malware que são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Spam que são propagandas não solicitadas disparadas para e-mails de um grande número de pessoas. 4 - Questão: Como especialista em segurança da informação, você sabe que os ataques cibernéticos estão cada vez mais comuns. A probabilidade de que mais uma organização, de qualquer lugar do mundo, anuncie aos clientes e usuários que o sistema foi violado e seus dados estão comprometidos é enorme! Os objetivos dos ataques são diversos - vão de fraudes e espionagem econômica à destruição de informações. Independentemente das razões, os ataques virtuais têm sido notícia constante na mídia, porém diferentemente do que você lê ou ouve, hacker e crackers têm propósitos totalmente diferentes. De acordo com o seu conhecimento a respeito das características dos hackers e crackers, assinale V para as informações verdadeiras e F para as falsas. ( ) A principal diferença entre crackers e hackers refere-se ao modo como esses malfeitores da área de segurança da informação atacam: os crackers são mais experientes e realizam ataques sem utilizar softwares, ao passo que os hackers utilizam códigos maliciosos associados aos softwares para realizar ataques ao ciberespaço. ( ) Os hackers são indivíduos com conhecimento amplo em tecnologia e de informática, que utilizam seu grande conhecimento para quebrar códigos de segurança, senhas de acesso e códigos de programas, sempre com fins criminosos. ( ) Os crackers são usuários mal intencionados que trabalham dentro das empresas e, com pouco conhecimento de informática, abrem brechas para que hackers, também mal intencionados, invadam as redes das empresas a fim de obter informações valiosas. ( ) Os hackers, por serem usuários com conhecimento avançado de informática e redes, são frequentemente contratados pelas empresas para fazerem testes de segurança em ambientes computacionais, a fim de encontrar soluções que melhorem a segurança da informação. F, V, V, F. V, F, V, F. (X) F, F, F, V. F, V, V, V. 5 - Questão: Atualmente você está alocado no setor de segurança da informação de uma grande empresa que emite Certificado Digital, uma espécie de “selo de confiabilidade”, que é concedido a uma pessoa física ou jurídica pela Autoridade Certificadora. A intenção dessa certificação é garantir a autenticidade, a confidencialidade e a integridade às informações eletrônicas que estão transitando no universo cibernético. Explicando para seus amigos o que faz a empresa em que trabalha, você disse que: (X) Ela pode gerar os certificados digitais, assiná-los, entregá-los aos solicitantes e reconhece-los durante o seu período de validade. Ela pode verificar a identidade de um solicitante e passar a solicitação a uma autoridade de registro. Ela pode alterar os campos ou as chaves de um certificado digital e reemiti-lo sempre que isso for solicitado pelo proprietário do certificado. Ela pode assinar digitalmente mensagens de e-mail para proprietários de certificados digitais emitidos por uma autoridade de registro conveniada. 6 - Questão: Durante a apresentação do seu trabalho de conclusão de curso, você mostrou na prática a importância de utilizar soluções que garantam a autenticidade, a confidencialidade e a integridade das informações eletrônicas que estão transitando pela internet. Você exemplificou como um intruso X pode convencer dois profissionais Y e Z que chaves públicas falsas pertencem a eles. Assim, estabelecendo um processo de confiança entre os dois, X pode fazer-se passar por ambos. Neste cenário, quando Y enviar uma mensagem para Z solicitando sua chave pública, o intruso X poderá intercepta-la e devolver-lhe uma chave pública forjada por ele. Ele também pode fazer o mesmo com Y, fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso. X então pode decifrar todas as mensagens, cifrá-las novamente ou se preferir, pode até substituí-las por outras mensagens. Você explicou que a garantiapara evitar este tipo de ataque, consiste em chaves públicas assinadas por uma terceira parte de confiança, que evitam tentativas de substituição de uma chave pública por outra. De posse de um destes, Z teria, além da sua chave pública, mais informações como seu nome, endereço e outros dados pessoais, e a assinatura de alguém em que Y deposita sua confiança: uma autoridade de certificação. Assinale a alternativa que corresponde à solução na qual relatou em seu TCC (X) Assinatura eletrônica Algoritmos de criptografia simétrica Certificados digitais Algoritmos de criptografia assimétrica 7 - Questão: O departamento de inovação e design de negócios em que trabalha como técnico em informática acabou de implantar recentemente medidas que visam a proteção da informação através da utilização de crachás de identificação e instalação de equipamentos de controle de acesso para seus colaboradores. Dentre as alternativas abaixo assinale àquela que está associada ao tipo de proteção implementada pela empresa. Corretiva Detectiva (X) Preventiva Preditiva 8 - Questão: Trabalhando na área de Segurança da Informação de empresa que atua no mercado financeiro, você enviará um arquivo sigiloso pela internet, utilizando um método criptográfico que permite verificar se o arquivo foi alterado, ou seja, se teve sua integridade violada. O seu chefe, bastante preocupado, pediu a você que explicasse como funcionaria o envio do arquivo e você disse que o método a ser utilizado, quando aplicado as informações do arquivo, independente do seu tamanho gera um resultado A único e de tamanho fixo. Assim, quando o arquivo for recebido pelo destinatário aplica-se novamente o método gerando um resultado B. Logo, se o resultado A for igual ao resultado B significa que o arquivo está íntegro e não foi modificado; caso contrário, significa que o arquivo teve sua integridade violada. Muito interessado, seu chefe quer saber o nome do método criptografado que você utilizará. Você então respondeu que se chama: Criptografia assimétrica Certificação digital Criptografia simétrica (X) Função de hash 9 - Questão: Durante o seminário de Tecnologia e Segurança da Informação que a empresa em que atua como estagiário realiza mensalmente, seu gerente de TI destacou para você e os demais, a importância em conceder (firmar, outorgar, referendar) eletronicamente a autenticidade de um documento a uma pessoa ou uma entidade, da mesma forma como é assinado de próprio punho um contrato, um termo ou qualquer documento que necessite da comprovação de validade e da autoria das informações. Ao final, foi projetada a figura abaixo para avaliar se os estagiários compreenderam o conceito da função hash que apresenta como vantagem o aumento do desempenho. Para mostrar que realmente você entendeu o que foi apresentado no seminário, você assinalou que as lacunas I e II da figura devem ser preenchidas, correta e respetivamente, com (X) chave privada – assinatura digital chave privada - certificado digital chave pública – assinatura digital chave pública – certificado digital 10 - Questão: Em junho de 2011, o site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando: "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para várias instituições governamentais. No caso do IBGE, foi feita uma “pichação” no site, ou uma alteração de página. Segundo fontes, o banco de dados IBGE não foi afetado, já que o portal é mais informativo, não comprometendo aos dados internos e críticos que não devem ser divulgados. Como analista de segurança da informação, assinale a vulnerabilidade a que foi exposto o site. Vulnerabilidade de Comunicação. Vulnerabilidade Natural. Vulnerabilidade Física. (X) Vulnerabilidade de Software.
Compartilhar