prova 2 de segurança aplicada no desenvolvimento de softw

Prévia do material em texto

Segurança aplicada no desenvolvimento de Software (20215)
	
	Avaliação:
	Avaliação II - Individual FLEX ( Cod.:653286) ( peso.:1,50)
	Prova:
	27724966
	Nota da Prova:
	6,00
Legenda: Resposta Certa Sua Resposta Errada 
	1.
	Com o avanço dos sistemas na web, a preocupação com a segurança dos sistemas e dos dados é algo imprescindível, para a confidencialidade das organizações pelos seus clientes e usuários. Por isso, fez-se necessário atentar para os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos sistemas web, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Para um controle de segurança eficaz, deve-se sempre verificar as ameaças, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
( ) Deve-se ter procedimentos de identificação de acesso aos sistemas web, que garantam a autenticação de quem está se logando. O uso pode ser feito através de usuários e senhas, por exemplos.
( ) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
( ) Os princípios de autenticidade e confidencialidade buscam a mesma coisa: evitar a violação da integridade.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - F - F.
	 b)
	F - V - V - F.
	 c)
	F - F - F - V.
	 d)
	V - F - V - V.
	2.
	A vulnerabilidades de inclusão de script no servidor é quando um script é incluído no servidor de forma vulnerável, o que é explorado por um atacante para injetar um código de script arbitrário no servidor, que o executa para realizar uma ação desejada pelo invasor. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) A inclusão de arquivo remoto (RFI) tem se tornado menos comum, pois a maioria das instalações PHP não permite, por padrão, que o servidor execute um código hospedado em um servidor separado.
( ) A inclusão de arquivo local (LFI) faz o servidor executar um código injetado que, de outro modo, não seria executado (normalmente para um propósito malicioso).
( ) O banco de dados e ataques de inspeção SPL ocorre porque muitos sites utilizam bancos de dados, um sistema que armazena informação de maneira organizada e produz relatórios sobre essa informação, com base em consultas apresentadas por usuários.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F.
	 b)
	V - F - V.
	 c)
	F - F - F.
	 d)
	V - V - F.
	3.
	Considerando o atributo de segurança confidencialidade, ao digitar o número do cartão de crédito, pode haver o comprometimento da confidencialidade desse dado em algumas situações. Sobre essas situações, analise as sentenças a seguir:
I- Alguém pode olhar o número digitado pelo usuário acompanhando sua digitação no teclado.
II- No computador do cliente, pode haver um software malicioso que captura os dados e os envia por meio da rede para um atacante
III- Entre o cliente e o servidor Web pode haver um atacante interceptando os dados em trânsito.
IV- Entre o teclado e o computador pode haver um dispositivo de captura USB do tipo keylogger, que salva todos os caracteres digitados no teclado e os envia ao atacante.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I, II, III e IV estão corretas.
	 b)
	Somente a sentença I está correta.
	 c)
	Somente a sentença II está correta.
	 d)
	Somente a sentença III está correta.
	4.
	Não basta ter a informação em tempo real ou um sistema funcionando sem erros, é preciso que em ambos os casos as informações sejam confiáveis. A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade e disponibilidade. Com base nesses princípios, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O princípio da confidencialidade refere-se à proteção da informação, independentemente de onde esteja armazenada ou em trânsito.
( ) Na aplicação do princípio da integridade pode-se usar dispositivos biométricos.
( ) Na aplicação do princípio da disponibilidade pode-se usar sistemas de detecção de intrusão e criptografia.
( ) Na aplicação do princípio da autenticidade pode-se usar senhas, tokens e até mesmo um sistema de smart card.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F - F.
	 b)
	V - F - F - V.
	 c)
	V - V - V - F.
	 d)
	F - V - V - V.
	5.
	A grande quantidade de informações que circulam na internet possibilitou que informações sejam transmitidas em tempo real. Isso gerou grande benefícios, como ganho de tempo e redução considerável dos custos. Em contrapartida, é necessário tratar as informações com segurança, sendo que existem três princípios basilares para garantir a preservação dos ativos de informação. Diante disso, assinale a alternativa CORRETA que apresenta o princípio que visa garantir que a informação chegue ao seu destino sem alterações:
	 a)
	Integridade.
	 b)
	Confirmação.
	 c)
	Disponibilidade.
	 d)
	Confidencialidade.
	6.
	Vários processos e procedimentos devem ser estipulados e implementados para a implantação da segurança em uma organização. Por exemplo, devem ser verificados o tipo de estrutura da segurança, onde será localizada a estrutura física e lógica, quem serão os profissionais e quais devem ser suas qualificações. Além disso, devem ser criadas as diretrizes de segurança e implantadas, quais equipamentos e sistemas serão utilizados, responsáveis pela implementação do projeto e quais padrões de segurança devem ser utilizados. Diante disso, no que tange à segurança lógica e física, assinale a alternativa CORRETA:
	 a)
	A segurança ambiental compreende os aspectos relacionados ao ambiente de tecnologia e envolve integridade, confidencialidade e disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam.
	 b)
	A segurança física diz respeito às áreas e aos ambientes físicos da organização que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a sala de servidores deve estar sempre trancada e a chave dessa sala somente acessível por usuários que estejam autorizados a trabalhar nos servidores.
	 c)
	No que se refere à segurança física, a única preocupação refere-se com a proteção da informação armazenada em mídias digitais.
	 d)
	O controle e as barreiras físicas, como catracas, são uma técnica antiga de segurança e não há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma boa segurança lógica dos dados.
	7.
	A política de segurança da informação visa comunicar e a estabelecer a responsabilidade de todos os usuários de informações e dos sistemas de informações nos aspectos da confidencialidade, integridade e disponibilidade deste manancial informativo. O documento dessa política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados devem conhecer também as sanções pelo não cumprimento de suas diretrizes. No que se refere às PSI, analise as afirmativas a seguir:
I- A política estabelece os objetivos e expectativas com relação ao tratamento a ser dado por cada integrante na organização às informações.
II- É documento que registra um conjunto de normas e que definem requisitos de segurança para garantir a segurança das informações.
III- A Política de segurança da informação refere-se somente às boas condutas do funcionário na empresa, e não ao desenvolvimento do sistema.
IV- A política de segurança deve ser amplamente divulgada, para que todos possam ter conhecimento dela e aplicá-la.
Assinale a alternativa CORRETA:
	 a)
	Somente a afirmativa I está correta.
	 b)
	As afirmativas I,II e IV estão corretas.
	 c)
	As afirmativas II, III e IV estão corretas.
	 d)
	Somente a afirmativa IV está correta.
	8.
	Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere apenas ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, analise as afirmativas a seguir:
I- Um hacker envia um e-mail para um usuário, apresentando-se como administrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços.
II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola para na frente do portão de entrada de uma empresa para obter dados.
III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas.
IV- Envio de mensagens solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo.
Assinale a alternativa CORRETA:
	 a)
	As afirmativas I, II e IV estão corretas.
	 b)
	Somente a afirmativa IV está correta.
	 c)
	As afirmativas II, III e IV estão corretas.
	 d)
	Somente a afirmativa I está correta.
	9.
	O sequestro de sessão trata-se de um sinônimo de uma sessão roubada, na qual um invasor intercepta e assume uma sessão legitimamente estabelecida entre um usuário e um host, a qual se dá pelo acesso de qualquer recurso autenticado, como um servidor web. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Os invasores se colocam entre o usuário e o software, permitindo o monitoramento do tráfego do usuário e o lançamento de ataques específicos.
( ) O atacante pode assumir o papel do usuário legítimo ou monitorar o tráfego para injetar ou coletar pacotes específicos a fim de criar o efeito desejado.
( ) Através desse tipo de ataque, pode-se enviar comandos, roubar identidades e elevar a corrupção de dados.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - F - V.
	 b)
	F - V - V.
	 c)
	V - V - F.
	 d)
	V - F - V.
	10.
	Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações confidenciais, quebra de criptografia, ataque a sites por hackers. Vale reforçar que, quando falamos em segurança da informação, pensamos em algo que busque preservar a confidencialidade, a integridade e a disponibilidade da informação, seja fisicamente ou em um sistema web. Com base nos ataques conhecidos, assinale a alternativa CORRETA:
	 a)
	Conhecidos como ataques de negação de serviços, os DOS fazem com que recursos sejam explorados de modo que usuários legítimos não consigam utilizá-los.
	 b)
	O ataque buffer overflow, ocorre quando mais de um processo tenta acessar os mesmos dados ao mesmo tempo, gerando inconsistências das informações.
	 c)
	Além do ataque DOS de negação de serviço, temos o Smurf e o ICMS, que impossibilitam o trabalho em uma rede.
	 d)
	SYN Flooding, corresponde a um ataque que explora o mecanismo configuração da rede, onde são abertas portas via firewall.
Prova finalizada com 6 acertos e 4 ques