N2_AUDITORIA_DE_SEGURANCA

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
De acordo com a lei penal no Brasil, invadir qualquer tipo de sistema sem a 
devida autorização comprovada do dono do que foi vítima da invasão é um 
crime federal, passível de indenização e até prisão. Portanto, conseguir uma 
autorização do dono da empresa a qual terá seu sistema testado é muito 
importante. 
 
A seguir, assinale a alternativa correta. 
 
 
Resposta 
Selecionada: 
 
O profissional de segurança deve buscar sempre uma 
autorização prévia documentada para que se faça um 
teste de segurança depois. 
Resposta 
Correta: 
 
O profissional de segurança deve buscar sempre uma 
autorização prévia documentada para que se faça um 
teste de segurança depois. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois, como já 
dito no procedimento padrão de uma auditoria de 
segurança, para que se faça uma exploração de falhas, 
deve-se ter autorização para realizar essa exploração de 
vulnerabilidade. Fazendo uma breve analogia, seria a 
mesma coisa que entrar no quintal de uma casa sem 
permissão, ou seja, é passível de crime. Um hacker ético 
sempre pedirá permissão antes de fazer qualquer coisa 
no sistema de outra pessoa, e, mesmo que seja 
combinado boca a boca, o profissional sempre deverá ter 
a assinatura do possível cliente autorizando um teste de 
invasão. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
As normas ISO têm como objetivo garantir padrões e qualidade para uma 
melhor gestão e administração do negócio. Assim, as empresas utilizam 
desses certificados que são ganhos para propagandear e mostrar que estão 
preocupados com a segurança dos dados de seus clientes. Assim, 
geralmente a empresa consegue demonstrar muito mais confiança no 
mercado. 
 
De acordo com a introdução, assinale a norma descrita que está correta. 
 
Resposta 
Selecionada: 
 
ISO 27001 – Norma antiga substituída pela atual 
norma BS779-2. 
Resposta Correta: 
ISO 27001 – Norma antiga substituída pela atual 
norma BS779-2. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a ISO 
27001, na verdade, é bastante atual. A BS779-2 foi 
trocada pela 27001, e a ISO 27001 está muito relacionada 
a padrões da segurança da informação, sendo um 
certificado muito interessante e que dá credibilidade ao 
profissional. 
 
• Pergunta 3 
1 em 1 pontos 
 
Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram 
todo tipo de profissional, até encontrar um da área de segurança. Muitas 
vezes, os casos são resolvidos, enquanto, em outras, os profissionais até 
descobrem de que forma a empresa sofreu a invasão, porém, em diversas 
vezes, o criminoso não é pego por conseguir ficar anônimo. Assinale a 
alternativa que apresenta a análise forense computacional. 
 
Resposta 
Selecionada: 
 
Consiste em utilizar técnicas para rastrear o atacante. 
Lembre-se de que uma invasão sempre vai gerar 
rastros. 
Resposta 
Correta: 
 
Consiste em utilizar técnicas para rastrear o atacante. 
Lembre-se de que uma invasão sempre vai gerar 
rastros. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a 
análise forense é feita justamente quando se precisa 
recriar toda a cena do crime, entender como o crime 
ocorreu, entender como o atacante entrou no sistema e 
verificar vestígios para que o atacante possa ser até 
encontrado. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
Muitas pessoas confundem o teste de invasão com a análise de 
vulnerabilidade, cometendo erros até na prática na hora de entregar o 
produto para a empresa. Dessa forma, assinale a alternativa correta que 
descreva o que seria o processo de análise de vulnerabilidade. 
 
Resposta 
Selecionada: 
 
A análise de vulnerabilidade apenas encontra 
vulnerabilidades, não precisando consertá-las. 
Resposta 
Correta: 
 
A análise de vulnerabilidade apenas encontra 
vulnerabilidades, não precisando consertá-las. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a análise 
de vulnerabilidade resume-se somente a encontrar as 
falhas, mas não falar onde encontrou nem como 
encontrou, pois é um teste menor do que um Pentest, e, 
geralmente, até tem uma diferenciação de preços entre 
um Pentest e uma análise de vulnerabilidade. 
 
 
• Pergunta 5 
1 em 1 pontos 
 
Há muitos especialistas na área de segurança da informação que dizem não 
existir sistema seguro, quando se tomam medidas de prevenção e protetiva 
nos sistemas, as quais fazem com que o seu sistema seja mais difícil de ser 
invadido, mas não que ele esteja 100% seguro. 
Existem dois tipos de ameaças classificadas: a lógica e a física. 
 
De acordo com essa afirmação, analise as afirmativas sobre a descrição do 
que são as ameaças lógica e física. 
 
I. Alagamentos, que podem fazer com que o sistema pare de funcionar, 
fazendo, consequentemente, uma empresa parar, e, caso não tiver backup, 
ela ainda perde todas as informações obtidas. 
II. A quebra de senhas é um ataque mais conhecido como “brute force”, 
sendo uma das técnicas usadas para entrar em sistemas nos quais não se 
tem autorização. 
III. Um malware tem mil utilidades, dependendo do que foi programado para 
fazer. É um código em funcionamento, moldado para prejudicar o sistema. 
IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o 
sistema está localizado. 
 
Está correto o que se afirma em: 
 
Resposta Selecionada: 
I, II, III e IV. 
Resposta Correta: 
I, II, III e IV. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a 
segurança da informação tem como base dois supostos 
caminhos de ataques: os físicos e os lógicos. Os físicos 
 
são representados por aqueles que a natureza pode 
acabar estragando o sistema ou a até a empresa. Já os 
ataques lógicos são programados por algum hacker 
atacante que quer prejudicar de alguma maneira sua 
empresa. 
 
• Pergunta 6 
1 em 1 pontos 
 
Numa auditoria de segurança, aprendemos que há começo, meio e fim. 
Durante esse processo, é preciso saber quais técnicas usar e em que 
momento utilizá-las. Existem vários ataques os quais possibilitam que sejam 
feitos testes de invasões, sendo um muito utilizado: os Exploits. O que 
seriam esses Exploits? 
 
Resposta Selecionada: 
Exploração de falhas em softwares. 
Resposta Correta: 
Exploração de falhas em softwares. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois os 
Exploits são utilizados justamente para se localizarem 
falhas em softwares, ou seja, vulnerabilidades em 
aplicações. Há Exploits que podem causar até mesmo 
paralisação de uma aplicação e de um sistema inteiro. 
Ferramentas desse tipo estão disponíveis, por exemplo, 
em sistemas operacionais como o Kali Linux. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Quando falamos da área de segurança da informação, o Hardening 
atualmente é muito pouco protegido. Em 2012, por exemplo, foram 
descobertas falhas nos processadores fabricados pela Intel, ocasionando 
uma falha de segurança notada por usuários em todo o mundo. Desde 
então, muitas pessoas abriram seus olhos e começaram a se especializar 
mais em Hardening. Assinale a alternativa que apresenta no que consiste o 
Hardening. 
 
Resposta 
Selecionada: 
 
Consiste na implementação de máquinas 
seguras. 
Resposta Correta: 
Consiste na implementação de máquinas 
seguras. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a ideia 
do Hardening é justamente saber se aquele hardware 
 
está seguro para uso ou não. Acredite-se ou não, existem 
hackers especializados somente em achar 
vulnerabilidades usando hardware. 
 
• Pergunta 8 
1 em 1 pontos 
 
Na segurança da informação, temos alguns fundamentos que são a raiz de 
todo o processo de uma auditoria de segurança, ou seja, a estrutura de um 
modelo que precisa ser seguido para que toda a auditoria seja feita de forma 
corretae coerente. Sem essas colunas-base, o profissional de segurança se 
encontra perdido no meio de tanta informação para proteger e auditar. 
Desse modo, assinale a alternativa mais adequada sobre quais são os 
fundamentos corretos. 
 
Resposta 
Selecionada: 
 
Autenticidade, confidencialidade, disponibilidade, 
integridade, legalidade. 
Resposta Correta: 
Autenticidade, confidencialidade, disponibilidade, 
integridade, legalidade. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a 
autenticidade garante que uma mensagem não seja 
alterada; a confidencialidade, que haja sigilo; a 
disponibilidade, que a informação esteja sempre 
disponível; a integridade, que se mantenha íntegra; e a 
legalidade, que todo o processo não tenha problemas 
com a lei. 
 
 
• Pergunta 9 
1 em 1 pontos 
 
O nome “engenharia” é comumente empregado, pelos populares, quando se 
constroem mecanismos para resolver um problema ou arquitetar uma 
solução. Na área da segurança da informação, a engenharia social tem um 
significado bastante particular. Assim sendo, assinale a alternativa correta 
sobre o que é engenharia social. 
 
Resposta 
Selecionada: 
 
Engenharia social é quando um atacante consegue 
informações de uma empresa, fazendo um ataque por 
meio de técnicas como enganar alguém por conversa. 
Resposta 
Correta: 
 
Engenharia social é quando um atacante consegue 
informações de uma empresa, fazendo um ataque por 
meio de técnicas como enganar alguém por conversa. 
 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a 
engenharia social é utilizada justamente para evitar 
vestígios, então não é usado nenhum tipo de técnica de 
um computador, somente a lábia, uma ligação telefônica, 
em que o atacante extrai informações sem que a vítima 
perceba. O foco da engenharia social são as pessoas, e 
não diretamente a tecnologia em si. Portanto, a 
engenharia social tem bastante a ver com conceitos 
psicológicos do comportamento humano. 
 
• Pergunta 10 
1 em 1 pontos 
 
Há alguns principais tipos de Pentest que são efetuados, quando os testes 
vão ocorrer, e tudo depende exatamente do que a pessoa que irá contratar 
o serviço deseja, se vai querer um Pentest interno, externo ou via wi-fi. 
Existem muitos tipos os testes, de acordo com o que é pretendido pela 
empresa. 
De acordo com a questão, analise as afirmativas a seguir e assinale V para 
a(s) Verdadeira(s) e F para a(s) Falsa(s). 
 
I. ( ) Aplicativos web. 
II. ( ) Redes cabeadas. 
III. ( ) Antenas. 
IV. ( ) VoIP. 
 
Resposta Selecionada: 
V, V, F, V. 
Resposta Correta: 
V, V, F, V. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois 
apresenta sequência adequada. Os principais tipos de 
Pentest são: as redes cabeadas (os testes são realizados 
numa rede interna dentro da empresa, verificando suas 
vulnerabilidades), os aplicativos web (sempre também no 
escopo do Pentest, pois quase tudo gira em torno da 
internet atualmente, todo software que usamos está on-
line via web para utilizarmos) e o VoIP (é muito 
interessante estar no escopo do Pentest justamente para 
que a empresa não fique sem a comunicação desejada). 
Não são todos, mas são tópicos importantes de um teste 
de invasão numa companhia.