Exercícios - FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO (NPG1539)

Prévia do material em texto

Lista de Exercício – Fundamentos de 
Segurança da Informação 
 
 
1) Uma pessoa faz um compra na internet, mas ao receber a fatura nega que a tenha 
feito. A dimensão da segurança da informação que visa evitar esta situação é: 
 
a) Disponibilidade c) Integridade e) Irretratabilidade 
b) Confidencialidade d) Autenticidade 
 
R: e) Irretratabilidade - Se a autenticidade busca assegurar a veracidade e a 
legitimidade do “autor” da informação, o pilar da irretratabilidade ou não repúdio 
atua para que um indivíduo ou entidade não negue a autoria de uma ação específica 
(criar ou assinar um arquivo/documento, por exemplo). 
 
 
2) Quando precisamos acessar dados da organização para tomada de uma decisão, a 
dimensão que garante este acesso no momento apropriado é: 
 
a) Disponibilidade c) Integridade e) Irretratabilidade 
b) Confidencialidade d) Autenticidade 
 
R: a) Disponibilidade é o conjunto de medidas de segurança que devem garantir 
que a informação esteja disponível, sempre que necessário, aos usuários e/ou 
sistemas associados que tenham direito de acesso a ela. 
 
 
3) Uma empresa possui um plano estratégico de negócios, em que constam os próximos 
passos a serem adotados. Este tipo de informação é considerado: 
 
a) Informação Mínima c) Informação Irrestrita e) Informação Interna 
b) Informação Pública d) Informação Secreta 
 
R: d) Informação secreta: Destina-se à sobrevivência da organização para atender 
prioritariamente às áreas operacionais. Sua integridade é vital para a empresa, 
devendo ser preservada a qualquer custo e seu acesso deve ser extremamente 
restrito. 
 
 
4) A existência de uma porta frágil em seção de acesso restrito é um exemplo de: 
 
a) Ativo c) Ataque e) Dano 
b) Ameaça d) Vulnerabilidade 
 
R: d) Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um 
mecanismo de proteção existente. São as vulnerabilidades que permitem que as 
ameaças se concretizem. 
 
 
 
5) A ausência de mecanismo de proteção ou a falha em um mecanismo de proteção 
existente chamamos de: 
 
a) Ameaças c) Impacto e) Ataque 
b) Vulnerabilidades d) Risco 
 
R: b) Vulnerabilidade – Condição que, quando explorada por um atacante, pode 
resultar em uma violação de segurança. 
 
 
6) Eventuais problemas em um HD são um exemplo de vulnerabilidade: 
 
a) Natural c) Hardware e) Mídia 
b) Física d) Software 
 
R: e) Mídia: São os suportes físicos ou magnéticos utilizados para armazenar as 
informações. Entre elas estão os disquetes, CD-ROMs, fitas magnéticas, discos 
rígidos de servidores e de banco de dados, assim como o que está registrado em 
papel. Se esses suportes não forem utilizados de forma adequada, a informação 
neles contida pode estar vulnerável a uma série de fatores que podem afetar a 
integridade, disponibilidade e confidencialidade das informações. 
 
 
7) Programa ou parte de um programa de computador que se propaga infectando, isto é, 
inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um 
computador: 
 
a) Vírus c) Rootkit e) Trojan 
b) Worm d) Spyware 
 
R: a) Vírus de computador são programas desenvolvidos com fins maldosos. 
Podemos encontrar semelhança em um vírus de computador com um vírus 
orgânico. Ambos precisam de um sistema ou um programa hospedeiro, o vírus de 
computador é capaz de se propagar de forma quase sem suspeitas e com a 
gravidade dos vírus dos seres humanos. Eles podem variar de uma pequena 
inconveniência a um alto grau de destrutividade na máquina. O vírus de 
computador se abriga com o objetivo de prejudicar o desempenho dele, de apagar 
arquivos e de se propagar para outros computadores. 
 
 
8) Como podemos conceituar um cavalo de Troia (Trojan)? 
 
a) Programa que parece útil, mas tem código destrutivo embutido; 
b) Programa que fornece mecanismo para esconder e assegurar a presença de um 
invasor; 
c) Software especificamente projetado para apresentar propagandas, seja através de um 
browser, seja através de algum outro programa instalado em um computador; 
d) Software que tem o objetivo de monitorar atividades de um sistema e enviar as 
informações coletadas para terceiros; 
e) Programa que dispõe de mecanismos de comunicação com o invasor que permitem 
que ele seja controlado remotamente. 
 
R: a) Trojan são cavalos de Troia, em que, assim como na história, envia-se um 
falso presente para a vítima (geralmente por e-mail), que ingenuamente aceita e o 
executa. Assim, o Trojan começa a fazer seu ataque se enviando por e-mail para 
outras pessoas de sua lista, como se fosse o usuário (está sendo uma prática cada 
vez mais comum também por parte dos vírus). Mas há uma diferença fundamental 
entre os Trojans e os vírus: os primeiros não se reproduzem como os vírus. 
 
 
9) O que é o ataque denominado engenharia social? 
 
a) Tenta tornar os recursos de um sistema indisponíveis para seus utilizadores, porém de 
forma distribuída. 
b) Consiste em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
c) Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. 
d) Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes 
transmitido na rede. 
e) Consistem em utilizar a persuasão, para obter informações que podem ser 
utilizadas para ter acesso não autorizado a computadores ou informações. 
 
R: e) Engenharia social é um tipo de ataque hacker, em que o instrumento utilizado 
é a habilidade de lidar com as pessoas, persuadindo-as a fornecerem as 
informações. Esses ataques podem ser feitos por salas de bate-papo, telefone, e-
mails falsos (spam) ou até mesmo pessoalmente. 
 
 
10) Quais as etapas, em ordem cronológica, de um planejamento de ataque? 
 
a) Levantamento das informações, Exploração das informações (scanning), 
Obtenção do acesso, Manutenção do acesso, Camuflagem das evidências. 
b) Exploração das informações (scanning), Levantamento das informações, Obtenção do 
acesso, Manutenção do acesso, Camuflagem das evidências. 
c) Obtenção do acesso, Levantamento das informações, Exploração das informações 
(scanning), Manutenção do acesso, Camuflagem das evidências. 
d) Obtenção do acesso, Levantamento das informações, Manutenção do acesso, 
Exploração das informações (scanning), Camuflagem das evidências. 
e) Obtenção do acesso, Levantamento das informações, Manutenção do acesso, 
Camuflagem das evidências, Exploração das informações (scanning). 
 
R: a) A sequência é: Levantamento das informações, Exploração das informações 
(scanning), Obtenção do acesso, Manutenção do acesso, Camuflagem das 
evidências. 
 
 
11) Tornar uma mensagem em um texto ininteligível é o objetivo do/da: 
 
a) DNZ d) Assinatura Digital 
b) IDS e) VPN 
c) Criptografia 
 
R: c) Criptografia é o ato da transformação da informação em uma forma 
aparentemente ilegível, com a finalidade de garantir a privacidade, ocultando 
informação de pessoas não autorizadas. 
 
12) Qual a função de um firewall? 
 
a) Isolar a rede interna da organização da área pública da internet, permitindo que 
alguns pacotes passem e outros não. 
b) Reconhecer um comportamento ou uma ação intrusiva, por meio da análise das 
informações disponíveis em um sistema de computação ou rede. 
c) Proteger equipamentos e informações contra usuários não autorizados, prevenindo o 
acesso a esses recursos. 
d) Escrever mensagens em forma cifrada ou em código. 
e) Interligar várias Intranets através da internet. 
 
R: a) Firewall é um sistema que adota uma política de controle de acesso entre duas 
redes, tendo as seguintes propriedades: 
- Todo tráfego de dentro para fora de uma rede, e vice-versa, deve passar pelo 
firewall. 
- Apenas tráfego autorizado, como definido pela política de segurança local, terá 
permissão de passar. 
- O próprio firewall deve ser imune a penetrações. 
 
 
13) Um ataque que afeta diretamente a segurança na área de pessoal é: 
 
a) DDOS d) Phishing scan 
b) DOS e) Varredura (scan) 
c) Engenharia social 
 
R: c) Engenhariasocial: É a ciência que estuda como o conhecimento do 
comportamento humano pode ser utilizado para induzir uma pessoa a atuar 
segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de 
Engenharia Social são amplamente utilizadas por detetives (para obter informação) 
e magistrados (para comprovar se um declarante fala a verdade). 
 
 
14) A utilização de biometria é um exemplo de medida de segurança para: 
 
a) Controle de acesso físico d) Combate a incêndio. 
b) Garantia de funcionamento dos serviços. e) Vigilância. 
c) Cópia de segurança dos dados. 
 
R: a) Biometria é o estudo estatístico das características físicas ou 
comportamentais dos seres vivos. Recentemente este termo também foi associado 
à medida de características físicas ou comportamentais das pessoas como forma 
de identificá-las unicamente. Hoje a biometria é usada na identificação criminal, 
controle de acesso etc. Os sistemas chamados biométricos podem basear seu 
funcionamento em características de diversas partes do corpo humano, por 
exemplo: os olhos, a palma da mão, as digitais do dedo, a retina ou íris dos olhos. A 
premissa em que se fundamentam é a de que cada indivíduo é único e possui 
características físicas e de comportamento (a voz, a maneira de andar etc.) 
distintas, traços que são característicos de cada ser humano. 
 
 
 
15) A barreira dos riscos que atendemos ao instalar uma câmera de segurança é: 
 
a) Dificultar d) Discriminar 
b) Desencorajar e) Deter 
c) Detectar 
 
R: b) Desencorajar. As ameaças podem ser desmotivadas ou podem perder o 
interesse e o estímulo pela tentativa de quebra de segurança por efeito de 
mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmera 
de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nessa 
fase. 
 
 
16) A fase da gestão do risco que se caracteriza por utilizar métodos quantitativos ou/e 
qualitativos é a: 
 
a) Aceitação do risco d) Análise e Avaliação dos riscos 
b) Comunicação do risco e) Monitoração dos riscos 
c) Tratamento dos riscos 
 
R: d) Análise de riscos e avaliação dos riscos pode ser tanto quantitativa (baseada 
em estatísticas, em uma análise histórica dos registros de incidentes de segurança) 
quanto qualitativa (baseada em know-how, geralmente realizada por especialistas, 
que têm profundos conhecimentos sobre o assunto).