Atividade II Segurança e Auditoria de Sistemas

Prévia do material em texto

Curso SEGURANÇA E AUDITORIA DE SISTEMAS 
Teste ATIVIDADE 2 (A2) 
Iniciado 06/11/20 
Enviado 06/11/20 
Status Completada 
Resultado da tentativa 10 em 10 pontos 
Tempo decorrido 
Resultados exibidos Respostas enviadas, Respostas corretas, Comentários 
• Pergunta 1 
1 em 1 pontos 
 
Há também um tipo de ataque de que visa obter informações sobre uma determinada 
organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca 
explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que represente tal conceito: 
 
Resposta Selecionada: 
Engenharia social. 
Resposta Correta: 
Engenharia social. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a engenharia 
social é, sem dúvida, um meio de ataque muito poderoso. Ele 
visa obter informações de pessoas novatas ou que não 
conhecem a importância da informação. Por meio dela, dados 
sigilosos/importantes podem ser obtidos com uma boa conversa 
e um sorriso no rosto. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
Uma variante do ataque de negação de serviço é o ataque de negação de serviço 
distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder 
de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no 
sistema (uma falha) ou uma brecha intencional deixa no 
software (desenvolvedor). 
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
Resposta Selecionada: 
Portas dos fundos ( backdoor). 
Resposta Correta: 
Portas dos fundos (backdoor). 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois esse ataque é 
o de portas dos fundos. Enquanto a negação de serviço tenta 
“bater na porta” inúmeras vezes, esse ataque visa entrar em 
uma porta (brecha) na qual ninguém está acostumado a entrar. 
 
Este tipo de brecha pode ser algum caminho criado pelo 
desenvolvedor para manutenção do sistema, por exemplo, um 
usuário administrador e senha 123456. 
 
• Pergunta 3 
1 em 1 pontos 
 
Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá 
estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de 
risco adequada, devemos considerar os três requisitos básicos de segurança, que são: 
estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os 
benefícios encontrados ao se utilizar a avaliação de riscos. 
 
Resposta Selecionada: 
Podem-se identificar, priorizar e medir os riscos. 
Resposta Correta: 
Podem-se identificar, priorizar e medir os riscos. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, durante os 
estudos, você viu que, quando avaliamos os riscos, estamos 
identificando-os de uma melhor forma e ainda priorizando-os de 
acordo com sua gravidade. De posse dessa definição, será a 
partir daí que podemos medi-los para uma efetiva contramedida. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de 
segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente 
com o seu número. Isso permite que se observem as tendências dos ataques ao longo do 
tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o 
alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o 
antivírus, tornou tal ataque menos ineficiente. 
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o 
que fazer. São Paulo: Brasport, 2015. 
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada 
ano: 
 
Resposta 
Selecionada: 
 
Com o uso de scripts PowerShell, aumentou-se 1000% o 
número de e-mails maliciosos. 
Resposta Correta: 
Com o uso de scripts PowerShell, aumentou-se 1000% o 
número de e-mails maliciosos. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, apesar de ser 
um ataque bem antigo, a ameaça por e-mails trouxe uma 
abordagem nova, na qual se usa todo o poder do PowerShell 
(comandos de linha de comando para automatizar tarefas e 
 
processos dentro de sistemas operacionais). Com isso, os 
ataques podem gerar mais prejuízos. 
 
• Pergunta 5 
1 em 1 pontos 
 
Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of 
Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um 
determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a 
recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar 
determinados arquivos contendo informações sigilosas da organização, mas lhe é 
permitido. 
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
Resposta Selecionada: 
Política de navegação aceitável. 
Resposta Correta: 
Política de navegação aceitável. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois em uma 
organização devem-se definir políticas para indicar quem deve 
ter acesso a determinados tipos de recursos. Isso impossibilita 
que pessoas não autorizadas tenham acesso a arquivos 
confidenciais dela. Aqui, também se define o que os 
empregados podem acessar na rede, limitando os tipos de sites, 
por exemplo sites pornográficos, que pratiquem pirataria etc. 
 
 
• Pergunta 6 
1 em 1 pontos 
 
No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar 
ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que 
recebem e-mails oferecendo ofertas encantadoras, produtos com preços abaixo do 
mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado 
a uma conta falsa e, sem saber, acaba sendo vítima de um golpe. 
Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: 
 
Resposta 
Selecionada: 
 
Pedir para a vítima realizar um depósito, como sinal de 
interesse na venda, e logo depois desaparecer. 
Resposta 
Correta: 
 
Pedir para a vítima realizar um depósito, como sinal de 
interesse na venda, e logo depois desaparecer. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, a cada dia que 
passa, percebemos que os golpes tendem a evoluir, para assim 
enganar mais gente de forma despercebida. Geralmente, os 
idosos caem bastante em golpes, pois confiam na palavra e na 
história contada. Resta-nos sempre alertá-los e termos um pé 
atrás em relação a qualquer coisa que envolva dinheiro. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem 
dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar 
com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente 
organização. Um exemplo desse tipo de ferramenta é o Kali do Linux. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas 
em ataques: 
 
Resposta 
Selecionada: 
 
Varreduras de vulnerabilidades, portas, captura de 
teclado etc. 
Resposta Correta: 
Varreduras de vulnerabilidades, portas, captura de 
teclado etc.Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois as ferramentas 
visam buscar alvos fáceis em um conjunto de inúmeras 
possibilidades. Por exemplo, com o Kali do Linux, é possível ver 
se um determinado sistema possui brecha para SQL Injection, 
senhas comuns etc. Porém, tais ferramentas podem ser úteis 
para uma organização, na medida em que se pode identificar 
suas vulnerabilidades primeiramente. 
 
 
• Pergunta 8 
1 em 1 pontos 
 
Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro 
no sistema criando um incidente não desejado, em que se podem abrir oportunidades para 
ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um 
ativo. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não 
desejado”: 
 
Resposta Selecionada: 
Ameaça. 
Resposta Correta: 
Ameaça. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a ameaça é 
quando um incidente não desejável é iniciado. O evento 
(comportamento irregular do ativo) poderá disparar um incidente, 
que é um evento adverso em um sistema de informação e/ou em 
uma rede que representa uma ameaça à segurança do 
computador ou da rede em relação à disponibilidade, integridade 
e confidencialidade. 
 
 
• Pergunta 9 
1 em 1 pontos 
 
Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é 
possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal 
 
dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se 
ativos que são os alvos favoritos de ameaças. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização: 
Resposta 
Selecionada: 
 
Propriedade intelectual, dados financeiros e 
disponibilidade. 
Resposta Correta: 
Propriedade intelectual, dados financeiros e 
disponibilidade. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois os principais 
ativos de uma organização são a infraestrutura de TI e rede, 
propriedade intelectual, dados financeiros e disponibilidade. 
Cada organização deve gerenciar os riscos, a fim de priorizar 
seus riscos para a definição apropriada de contramedidas. 
 
 
• Pergunta 10 
1 em 1 pontos 
 
Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente, 
recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes 
para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-
mails foram considerados desse tipo de ameaça. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
Resposta Selecionada: 
Spam. 
Resposta Correta: 
Spam. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois o spam é, sem 
dúvida, um tipo de ataque muito antigo, mas que ainda faz 
inúmeras vítimas. Por meio de seus conteúdos interessantes, as 
vítimas se sentem atraídas e acabam clicando em algum link e 
comprando algum produto falso, caindo em golpes bem 
elaborados. Muitos exemplos disso são de produtos que 
realizam ações milagrosas, como queda de cabelo etc.