Segurança aplicada no desenvolvimento de Software - Avaliação II - Individual FLEX - Uniasselvi

Prévia do material em texto

Acadêmico: Andre Cunha de Oliveira (1896366)
Disciplina: Segurança aplicada no desenvolvimento de Software (20215)
Avaliação: Avaliação II - Individual FLEX ( Cod.:653286) ( peso.:1,50)
Prova: 27704155
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Vários processos e procedimentos devem ser estipulados e implementados para a
implantação da segurança em uma organização. Por exemplo, devem ser verificados o tipo
de estrutura da segurança, onde será localizada a estrutura física e lógica, quem serão os
profissionais e quais devem ser suas qualificações. Além disso, devem ser criadas as
diretrizes de segurança e implantadas, quais equipamentos e sistemas serão utilizados,
responsáveis pela implementação do projeto e quais padrões de segurança devem ser
utilizados. Diante disso, no que tange à segurança lógica e física, assinale a alternativa
CORRETA:
 a) No que se refere à segurança física, a única preocupação refere-se com a proteção da
informação armazenada em mídias digitais.
 b) A segurança ambiental compreende os aspectos relacionados ao ambiente de tecnologia
e envolve integridade, confidencialidade e disponibilidade das informações armazenadas
em dispositivos computacionais e nas redes que os interligam.
 c) A segurança física diz respeito às áreas e aos ambientes físicos da organização que não
devem ser acessados por pessoas que não têm autorização. Por exemplo: a sala de
servidores deve estar sempre trancada e a chave dessa sala somente acessível por
usuários que estejam autorizados a trabalhar nos servidores.
 d) O controle e as barreiras físicas, como catracas, são uma técnica antiga de segurança e
não há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma
boa segurança lógica dos dados.
2. Com o avanço dos sistemas na web, a preocupação com a segurança dos sistemas e dos
dados é algo imprescindível, para a confidencialidade das organizações pelos seus clientes e
usuários. Por isso, fez-se necessário atentar para os problemas de segurança que a
tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou
destruição. Diante disso, no que tange à segurança da informação nos sistemas web,
classifique V para as sentenças verdadeiras e F para as falsas:
( ) Para um controle de segurança eficaz, deve-se sempre verificar as ameaças, as
vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao
negócio.
( ) Deve-se ter procedimentos de identificação de acesso aos sistemas web, que garantam
a autenticação de quem está se logando. O uso pode ser feito através de usuários e senhas,
por exemplos.
( ) As ameaças à segurança da informação se concentram apenas em dois aspectos:
naturais e lógicos.
( ) Os princípios de autenticidade e confidencialidade buscam a mesma coisa: evitar a
violação da integridade.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - F - F.
 b) F - V - V - F.
 c) V - F - V - V.
 d) F - F - F - V.
3. Cavalos de Troia, vírus e malwares são programas maliciosos desenvolvidos por invasores
com o objetivo de destruir o alvo. Sobre o exposto, classifique V para as sentenças
verdadeiras e F para as falsas:
( ) Os vírus e worms normalmente se aderem a um sistema de modo a inviabilizar o uso de
uma máquina ou de uma rede como 
um todo.
( ) Os DosHad infectam o computador e oferecem ao hacker acesso ao computador
vitimado, passando diversos tipos de informações.
( ) Alguns cavalos de Troia são spyware (programa automático de computador que recolhe
informações sobre o usuário), projetados para aguardar até que o usuário acesse contas on-
line ou insira dados de cartão de crédito. Depois, enviam suas senhas e dados pessoais de
volta ao computador "mestre" (de onde veio o ataque).
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V.
 b) F - V - F.
 c) V - F - V.
 d) V - V - F.
4. O Denial-of-Service Attack (DoS) é considerado os ataques que fazem com que recursos
sejam explorados de modo que usuários legítimos fiquem impossibilitados de utilizá-los. Em
outras palavras, qualquer ataque planejado para fazer uma máquina ou um software ficar
indisponível e incapaz de executar sua funcionalidade básica é conhecido como ataque de
negação de serviço. Sobre o exposto, classifique V para as sentenças verdadeiras e F para
as falsas:
( ) O uso de falsificação de IP dificulta a identificação da fonte de um ataque DoS.
( ) O IP usa o ICMP echo para realizar o ataque.
( ) SYN Flooding corresponde a um ataque que explora o mecanismo de estabelecimento
de conexões DoS. 
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V.
 b) V - F - F.
 c) V - V - F.
 d) F - V - F.
5. Precisa-se buscar sempre a mitigação das falhas por meio de análises de segurança
realizadas de forma adequada. Então, para selecionar e manter os atributos de segurança
em um sistema, desde a fase de análise até o dia a dia, existe um tripé de sustentação.
Sobre esse tripé, assinale a alternativa CORRETA:
 a) Autenticidade, mecanismos, cultura.
 b) Disponibilidade, confidencialidade, política de segurança da informação.
 c) Política de segurança da informação, cultura, mecanismos.
 d) Política de segurança da informação, confidencialidade, autenticidade.
6. Não basta ter a informação em tempo real, ou um sistema funcionando sem erros, é preciso
que em ambos os casos as informações sejam confiáveis. A segurança da informação está
relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor
que possuem para um indivíduo ou uma organização. Para alcançar esse objetivo, alguns
princípios da segurança da informação devem ser seguidos, como confidencialidade,
integridade e disponibilidade. Com base nesses princípios, analise as sentenças a seguir:
I- O princípio da confidencialidade refere-se à proteção informação, independentemente de
onde esteja armazenada ou em trânsito.
II- Na aplicação do princípio da integridade, pode-se usar dispositivos biométricos.
III- Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de
intrusão e criptografia.
IV- Na aplicação do princípio da autenticidade, pode-se usar senhas, tokens e até mesmo um
sistema de backup.
Assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) Somente a sentença I está correta.
 c) As sentenças I e II estão corretas.
 d) As sentenças I e III estão corretas.
7. Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-
americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um
prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas
individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de
identidade não se refere apenas ao roubo e ao uso da informação pela internet e por outros
meios via tecnologia. Sobre as possíveis formas de obtenção indevida de dados através da
engenharia social, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Um hacker envia um e-mail para um usuário apresentando-se como administrador da
rede e solicita a entrega da senha para a realização de manutenção dos serviços.
( ) Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola para na
frente do portão de entrada de uma empresa para obter dados.
( ) Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas.
( ) Envio de mensagens solicitando a realização de qualquer ação solicitada por e-mail,
como executar um arquivo.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) V - F - V - V.
 c) F - F - F - V.
 d) V - V - F - V.
8. Para minimizar a exposição dos sistemas computacionais, é essencial que exista certo grau
de formalismo nas etapas de análise e desenvolvimento dos sistemas. É necessário que se
especifiquem todos os possíveis estados que o sistema deve apresentar no seu
funcionamento normal. Para compreender o quesignifica um comprometimento de
segurança, precisamos primeiro saber quais são os atributos de segurança que devem ser
garantidos. Com relação aos atributos de segurança, assinale a alternativa CORRETA que
apresenta o princípio que visa controlar o acesso, garantindo de uma maneira inequívoca
quem está tentando acessar o sistema:
 a) Disponibilidade.
 b) Confidencialidade.
 c) Autenticidade.
 d) Confirmação.
9. Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações
confidenciais, quebra de criptografia, ataque a sites por hackers. Vale reforçar que, quando
falamos em segurança da informação, pensamos em algo que busque preservar a
confidencialidade, a integridade e a disponibilidade da informação, seja fisicamente ou em
um sistema web. Com base nos ataques conhecidos, classifique V para as sentenças
verdadeiras e F para as falsas:
( ) Conhecidos como ataques de negação de serviços, os DOS fazem com que recursos
sejam explorados de modo que usuários legítimos não consigam utilizá-los. 
( ) Além do ataque DOS de negação de serviço, temos o Smurf e o ICMS, que
impossibilitam o trabalho em uma rede.
( ) Problemas na implementação e na concepção de serviços, aplicativos, protocolos e
sistemas operacionais facilitam ataques de negação de serviço.
( ) O ataque buffer overflow ocorre quando mais de um processo tenta acessar os mesmos
dados ao mesmo tempo, gerando inconsistências das informações.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) V - F - V - F.
 c) V - F - V - V.
 d) F - F - F - V.
10.A grande quantidade de informações que circulam na internet possibilitou que informações
sejam transmitidas em tempo real. Isso gerou grande benefícios, como ganho de tempo e
redução considerável dos custos. Em contrapartida, é necessário tratar as informações com
segurança, sendo que existem três princípios basilares para garantir a preservação dos
ativos de informação. Diante disso, assinale a alternativa CORRETA que apresenta o
princípio que visa garantir que a informação chegue ao seu destino sem alterações:
 a) Disponibilidade.
 b) Confirmação.
 c) Integridade.
 d) Confidencialidade.
Prova finalizada com 10 acertos e 0 questões erradas.