segurança em tecnologia da informação 12 horas aac

Prévia do material em texto

Segurança em Tecnologia da Informação 
 
Nota 9.0 
 
Qual é a errada ??  
 
1- Questão: Ao participar de um processo seletivo promovido por uma grande empresa que atua 
na área de segurança da internet e em redes para usuários domésticos e corporações através de 
soluções baseadas em software e aplicativos, você foi informado que a vaga é para a área de 
desenvolvimento, já que a empresa está trabalhando em um projeto de firewall para distribuí-
lo em conjunto com a sua suíte de programas. 
 
Com base em seus conhecimentos sobre firewall, você pode afirmar que ele é: 
 
(X) Um dispositivo de segurança de rede que monitora o tráfego de entrada e saída, e admite ou bloqueia 
tráfegos específicos de acordo com as regras de segurança estabelecidas. 
 
Um antivírus que atua diretamente na conexão de uma rede interna, protegida, com o mundo exterior, de 
acordo com o tipo de malware a ser evitado. 
 
Um processo de criptografia dedicado aos procedimentos de codificação/decodificação do tráfego de entrada 
de uma rede protegida. 
 
Um nome genérico para uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, 
usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. 
 
 
2 - Questão: Durante a aula de segurança da informação, seu professor disse que as ameaças são 
representadas por qualquer meio ou mecanismo que possa violar a informação, como os vírus. Essas 
ameaças visam a modificação, a perda ou o roubo da informação e até mesmo a paralisação dos 
serviços que estão sendo executados. 
Dessa forma, relacione as colunas de acordo com as características de tipos de vírus e códigos 
maliciosos feitos para se apropriar indevidamente de informações no mundo virtual. 
 
1. Spware 
2. Cavalo de Tróia 
3. Spam 
4. Keylogger 
 
( ) É um programa monitora as teclas digitadas e as grava em um arquivo escondido, que futuramente 
será enviado por e-mail para o criminoso cibernético. 
( ) É um programa que pode ser considerado um vírus e se instala no computador disfarçado em jogos 
e aplicativos baixados na internet. 
( ) É uma propaganda enviada em grande quantidade por e-mail, lotando a caixa de entrada. Em 
muitos casos, se apresenta como empresa, solicitando dados pessoais e senhas. 
( ) É um programa oculto que se instala no computador e recolhe informações sobre o usuário, como 
senhas e dados pessoais, enviando-as para outros computadores por meio da internet. Instala-se por 
meio de arquivos anexos em e-mails, sites, programas gratuitos como jogos e aplicativos, entre outros. 
 
(X) 4, 2, 3, 1. 
4, 3, 2, 1. 
1, 2, 3, 4. 
1, 4, 3, 2. 
 
 
3 - Questão: Recentemente uma mensagem falsa que circulou em um aplicativo de envio de mensagens 
prometendo emprego em uma grande rede de franquias de chocolates fez mais de 1 milhão de vítimas. 
O golpe tenta obter informações pessoais dos usuários, além de incentivar os “candidatos” a 
compartilhar o conteúdo com contato e grupos de rede social. 
A mensagem que usa o logotipo e as cores da rede de lojas de chocolate foi enviada aos usuários 
oferecendo vagas em seis cargos, mediante o cadastro em um suposto processo seletivo. Ao clicar no 
link presente na imagem, o usuário é levado a fornecer informações pessoais como nome, e-mail, 
cidade em que reside e se é maior de 18 anos. 
Como especialista na área de segurança da informação, ao receber essa mensagem de um colega de 
trabalho, você identificou que se trata de uma prática conhecida como: 
 
Trojan horse que abre as portas do computador disfarçado em mensagens para que o programa malicioso 
possa ser instalado. 
 
(X) Phishing que é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros 
por meio de mensagens eletrônicas. 
 
Malware que são programas especificamente desenvolvidos para executar ações danosas e atividades 
maliciosas em um computador. 
 
Spam que são propagandas não solicitadas disparadas para e-mails de um grande número de pessoas. 
 
 
4 - Questão: Como especialista em segurança da informação, você sabe que os ataques cibernéticos 
estão cada vez mais comuns. A probabilidade de que mais uma organização, de qualquer lugar do 
mundo, anuncie aos clientes e usuários que o sistema foi violado e seus dados estão comprometidos é 
enorme! 
Os objetivos dos ataques são diversos - vão de fraudes e espionagem econômica à destruição de 
informações. Independentemente das razões, os ataques virtuais têm sido notícia constante na mídia, 
porém diferentemente do que você lê ou ouve, hacker e crackers têm propósitos totalmente diferentes. 
De acordo com o seu conhecimento a respeito das características dos hackers e crackers, assinale V 
para as informações verdadeiras e F para as falsas. 
 
( ) A principal diferença entre crackers e hackers refere-se ao modo como esses malfeitores da área de 
segurança da informação atacam: os crackers são mais experientes e realizam ataques sem utilizar 
softwares, ao passo que os hackers utilizam códigos maliciosos associados aos softwares para realizar 
ataques ao ciberespaço. 
( ) Os hackers são indivíduos com conhecimento amplo em tecnologia e de informática, que utilizam 
seu grande conhecimento para quebrar códigos de segurança, senhas de acesso e códigos de 
programas, sempre com fins criminosos. 
( ) Os crackers são usuários mal intencionados que trabalham dentro das empresas e, com pouco 
conhecimento de informática, abrem brechas para que hackers, também mal intencionados, invadam 
as redes das empresas a fim de obter informações valiosas. 
( ) Os hackers, por serem usuários com conhecimento avançado de informática e redes, são 
frequentemente contratados pelas empresas para fazerem testes de segurança em ambientes 
computacionais, a fim de encontrar soluções que melhorem a segurança da informação. 
 
F, V, V, F. 
V, F, V, F. 
(X) F, F, F, V. 
F, V, V, V. 
 
 
5 - Questão: Atualmente você está alocado no setor de segurança da informação de uma grande 
empresa que emite Certificado Digital, uma espécie de “selo de confiabilidade”, que é concedido a 
uma pessoa física ou jurídica pela Autoridade Certificadora. A intenção dessa certificação é garantir a 
autenticidade, a confidencialidade e a integridade às informações eletrônicas que estão transitando no 
universo cibernético. 
 
Explicando para seus amigos o que faz a empresa em que trabalha, você disse que: 
 
(X) Ela pode gerar os certificados digitais, assiná-los, entregá-los aos solicitantes e reconhece-los durante o 
seu período de validade. 
 
Ela pode verificar a identidade de um solicitante e passar a solicitação a uma autoridade de registro. 
 
Ela pode alterar os campos ou as chaves de um certificado digital e reemiti-lo sempre que isso for solicitado 
pelo proprietário do certificado. 
 
Ela pode assinar digitalmente mensagens de e-mail para proprietários de certificados digitais emitidos por 
uma autoridade de registro conveniada. 
 
6 - Questão: Durante a apresentação do seu trabalho de conclusão de curso, você mostrou na prática a 
importância de utilizar soluções que garantam a autenticidade, a confidencialidade e a integridade 
das informações eletrônicas que estão transitando pela internet. 
Você exemplificou como um intruso X pode convencer dois profissionais Y e Z que chaves públicas 
falsas pertencem a eles. Assim, estabelecendo um processo de confiança entre os dois, X pode fazer-se 
passar por ambos. 
Neste cenário, quando Y enviar uma mensagem para Z solicitando sua chave pública, o intruso X 
poderá intercepta-la e devolver-lhe uma chave pública forjada por ele. Ele também pode fazer o 
mesmo com Y, fazendo com que cada lado pense que está se comunicando com o outro, quando na 
verdade estão sendo interceptados pelo intruso. X então pode decifrar todas as mensagens, cifrá-las 
novamente ou se preferir, pode até substituí-las por outras mensagens. 
Você explicou que a garantiapara evitar este tipo de ataque, consiste em chaves públicas assinadas 
por uma terceira parte de confiança, que evitam tentativas de substituição de uma chave pública por 
outra. De posse de um destes, Z teria, além da sua chave pública, mais informações como seu nome, 
endereço e outros dados pessoais, e a assinatura de alguém em que Y deposita sua confiança: uma 
autoridade de certificação. 
 
Assinale a alternativa que corresponde à solução na qual relatou em seu TCC 
 
(X) Assinatura eletrônica 
Algoritmos de criptografia simétrica 
Certificados digitais 
Algoritmos de criptografia assimétrica 
 
7 - Questão: O departamento de inovação e design de negócios em que trabalha como técnico em 
informática acabou de implantar recentemente medidas que visam a proteção da informação através 
da utilização de crachás de identificação e instalação de equipamentos de controle de acesso para seus 
colaboradores. 
Dentre as alternativas abaixo assinale àquela que está associada ao tipo de proteção implementada 
pela empresa. 
 
Corretiva 
Detectiva 
(X) Preventiva 
Preditiva 
 
8 - Questão: Trabalhando na área de Segurança da Informação de empresa que atua no mercado 
financeiro, você enviará um arquivo sigiloso pela internet, utilizando um método criptográfico que 
permite verificar se o arquivo foi alterado, ou seja, se teve sua integridade violada. 
 
O seu chefe, bastante preocupado, pediu a você que explicasse como funcionaria o envio do arquivo e 
você disse que o método a ser utilizado, quando aplicado as informações do arquivo, independente do 
seu tamanho gera um resultado A único e de tamanho fixo. Assim, quando o arquivo for recebido pelo 
destinatário aplica-se novamente o método gerando um resultado B. Logo, se o resultado A for igual 
ao resultado B significa que o arquivo está íntegro e não foi modificado; caso contrário, significa que o 
arquivo teve sua integridade violada. 
 
Muito interessado, seu chefe quer saber o nome do método criptografado que você utilizará. Você 
então respondeu que se chama: 
 
Criptografia assimétrica 
Certificação digital 
Criptografia simétrica 
(X) Função de hash 
 
9 - Questão: Durante o seminário de Tecnologia e Segurança da Informação que a empresa em que 
atua como estagiário realiza mensalmente, seu gerente de TI destacou para você e os demais, a 
importância em conceder (firmar, outorgar, referendar) eletronicamente a autenticidade de um 
documento a uma pessoa ou uma entidade, da mesma forma como é assinado de próprio punho um 
contrato, um termo ou qualquer documento que necessite da comprovação de validade e da autoria 
das informações. 
Ao final, foi projetada a figura abaixo para avaliar se os estagiários compreenderam o conceito da 
função hash que apresenta como vantagem o aumento do desempenho. 
 
Para mostrar que realmente você entendeu o que foi apresentado no seminário, você assinalou que as 
lacunas I e II da figura devem ser preenchidas, correta e respetivamente, com 
 
(X) chave privada – assinatura digital 
chave privada - certificado digital 
chave pública – assinatura digital 
chave pública – certificado digital 
 
10 - Questão: Em junho de 2011, o site do IBGE foi atacado e seu site posteriormente ficou fora do ar, 
antes foi deixada uma mensagem informando: "Este mês, o governo vivenciará o maior número de 
ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só 
para este site mas para várias instituições governamentais. No caso do IBGE, foi feita uma “pichação” 
no site, ou uma alteração de página. Segundo fontes, o banco de dados IBGE não foi afetado, já que o 
portal é mais informativo, não comprometendo aos dados internos e críticos que não devem ser 
divulgados. 
 
 
Como analista de segurança da informação, assinale a vulnerabilidade a que foi exposto o site. 
 
Vulnerabilidade de Comunicação. 
Vulnerabilidade Natural. 
Vulnerabilidade Física. 
(X) Vulnerabilidade de Software.