Baixe o app para aproveitar ainda mais
Prévia do material em texto
Acadêmico: Andre Cunha de Oliveira (1896366) Disciplina: Segurança aplicada no desenvolvimento de Software (20215) Avaliação: Avaliação II - Individual FLEX ( Cod.:653286) ( peso.:1,50) Prova: 27704155 Nota da Prova: 10,00 Legenda: Resposta Certa Sua Resposta Errada 1. Vários processos e procedimentos devem ser estipulados e implementados para a implantação da segurança em uma organização. Por exemplo, devem ser verificados o tipo de estrutura da segurança, onde será localizada a estrutura física e lógica, quem serão os profissionais e quais devem ser suas qualificações. Além disso, devem ser criadas as diretrizes de segurança e implantadas, quais equipamentos e sistemas serão utilizados, responsáveis pela implementação do projeto e quais padrões de segurança devem ser utilizados. Diante disso, no que tange à segurança lógica e física, assinale a alternativa CORRETA: a) No que se refere à segurança física, a única preocupação refere-se com a proteção da informação armazenada em mídias digitais. b) A segurança ambiental compreende os aspectos relacionados ao ambiente de tecnologia e envolve integridade, confidencialidade e disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. c) A segurança física diz respeito às áreas e aos ambientes físicos da organização que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a sala de servidores deve estar sempre trancada e a chave dessa sala somente acessível por usuários que estejam autorizados a trabalhar nos servidores. d) O controle e as barreiras físicas, como catracas, são uma técnica antiga de segurança e não há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma boa segurança lógica dos dados. 2. Com o avanço dos sistemas na web, a preocupação com a segurança dos sistemas e dos dados é algo imprescindível, para a confidencialidade das organizações pelos seus clientes e usuários. Por isso, fez-se necessário atentar para os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos sistemas web, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Para um controle de segurança eficaz, deve-se sempre verificar as ameaças, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio. ( ) Deve-se ter procedimentos de identificação de acesso aos sistemas web, que garantam a autenticação de quem está se logando. O uso pode ser feito através de usuários e senhas, por exemplos. ( ) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos. ( ) Os princípios de autenticidade e confidencialidade buscam a mesma coisa: evitar a violação da integridade. Assinale a alternativa que apresenta a sequência CORRETA: a) V - V - F - F. b) F - V - V - F. c) V - F - V - V. d) F - F - F - V. 3. Cavalos de Troia, vírus e malwares são programas maliciosos desenvolvidos por invasores com o objetivo de destruir o alvo. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Os vírus e worms normalmente se aderem a um sistema de modo a inviabilizar o uso de uma máquina ou de uma rede como um todo. ( ) Os DosHad infectam o computador e oferecem ao hacker acesso ao computador vitimado, passando diversos tipos de informações. ( ) Alguns cavalos de Troia são spyware (programa automático de computador que recolhe informações sobre o usuário), projetados para aguardar até que o usuário acesse contas on- line ou insira dados de cartão de crédito. Depois, enviam suas senhas e dados pessoais de volta ao computador "mestre" (de onde veio o ataque). Assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V. b) F - V - F. c) V - F - V. d) V - V - F. 4. O Denial-of-Service Attack (DoS) é considerado os ataques que fazem com que recursos sejam explorados de modo que usuários legítimos fiquem impossibilitados de utilizá-los. Em outras palavras, qualquer ataque planejado para fazer uma máquina ou um software ficar indisponível e incapaz de executar sua funcionalidade básica é conhecido como ataque de negação de serviço. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O uso de falsificação de IP dificulta a identificação da fonte de um ataque DoS. ( ) O IP usa o ICMP echo para realizar o ataque. ( ) SYN Flooding corresponde a um ataque que explora o mecanismo de estabelecimento de conexões DoS. Assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V. b) V - F - F. c) V - V - F. d) F - V - F. 5. Precisa-se buscar sempre a mitigação das falhas por meio de análises de segurança realizadas de forma adequada. Então, para selecionar e manter os atributos de segurança em um sistema, desde a fase de análise até o dia a dia, existe um tripé de sustentação. Sobre esse tripé, assinale a alternativa CORRETA: a) Autenticidade, mecanismos, cultura. b) Disponibilidade, confidencialidade, política de segurança da informação. c) Política de segurança da informação, cultura, mecanismos. d) Política de segurança da informação, confidencialidade, autenticidade. 6. Não basta ter a informação em tempo real, ou um sistema funcionando sem erros, é preciso que em ambos os casos as informações sejam confiáveis. A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade e disponibilidade. Com base nesses princípios, analise as sentenças a seguir: I- O princípio da confidencialidade refere-se à proteção informação, independentemente de onde esteja armazenada ou em trânsito. II- Na aplicação do princípio da integridade, pode-se usar dispositivos biométricos. III- Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de intrusão e criptografia. IV- Na aplicação do princípio da autenticidade, pode-se usar senhas, tokens e até mesmo um sistema de backup. Assinale a alternativa CORRETA: a) As sentenças III e IV estão corretas. b) Somente a sentença I está correta. c) As sentenças I e II estão corretas. d) As sentenças I e III estão corretas. 7. Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte- americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere apenas ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um hacker envia um e-mail para um usuário apresentando-se como administrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços. ( ) Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola para na frente do portão de entrada de uma empresa para obter dados. ( ) Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. ( ) Envio de mensagens solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo. Assinale a alternativa que apresenta a sequência CORRETA: a) F - V - V - F. b) V - F - V - V. c) F - F - F - V. d) V - V - F - V. 8. Para minimizar a exposição dos sistemas computacionais, é essencial que exista certo grau de formalismo nas etapas de análise e desenvolvimento dos sistemas. É necessário que se especifiquem todos os possíveis estados que o sistema deve apresentar no seu funcionamento normal. Para compreender o quesignifica um comprometimento de segurança, precisamos primeiro saber quais são os atributos de segurança que devem ser garantidos. Com relação aos atributos de segurança, assinale a alternativa CORRETA que apresenta o princípio que visa controlar o acesso, garantindo de uma maneira inequívoca quem está tentando acessar o sistema: a) Disponibilidade. b) Confidencialidade. c) Autenticidade. d) Confirmação. 9. Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações confidenciais, quebra de criptografia, ataque a sites por hackers. Vale reforçar que, quando falamos em segurança da informação, pensamos em algo que busque preservar a confidencialidade, a integridade e a disponibilidade da informação, seja fisicamente ou em um sistema web. Com base nos ataques conhecidos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Conhecidos como ataques de negação de serviços, os DOS fazem com que recursos sejam explorados de modo que usuários legítimos não consigam utilizá-los. ( ) Além do ataque DOS de negação de serviço, temos o Smurf e o ICMS, que impossibilitam o trabalho em uma rede. ( ) Problemas na implementação e na concepção de serviços, aplicativos, protocolos e sistemas operacionais facilitam ataques de negação de serviço. ( ) O ataque buffer overflow ocorre quando mais de um processo tenta acessar os mesmos dados ao mesmo tempo, gerando inconsistências das informações. Assinale a alternativa que apresenta a sequência CORRETA: a) F - V - V - F. b) V - F - V - F. c) V - F - V - V. d) F - F - F - V. 10.A grande quantidade de informações que circulam na internet possibilitou que informações sejam transmitidas em tempo real. Isso gerou grande benefícios, como ganho de tempo e redução considerável dos custos. Em contrapartida, é necessário tratar as informações com segurança, sendo que existem três princípios basilares para garantir a preservação dos ativos de informação. Diante disso, assinale a alternativa CORRETA que apresenta o princípio que visa garantir que a informação chegue ao seu destino sem alterações: a) Disponibilidade. b) Confirmação. c) Integridade. d) Confidencialidade. Prova finalizada com 10 acertos e 0 questões erradas.
Compartilhar