Segurança Da Informação Flashcards Preview

Informática para Concursos > Segurança Da Informação > Flashcards

Flashcards in Segurança Da Informação Deck (196)
Loading flashcards...
1
Q

Certo ou errado?

O gerenciamento de riscos diz respeito ao processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.

A

Certo!

2
Q

Certo ou errado?

No âmbito organizacional, a segurança da informação deve se vista como um processo responsável por tratar exclusivamente a informação pertencente a área de tecnologia.

A

Errado! Todas as áreas devem seguir isso.

3
Q

O sucesso de um programa de proteção da informação depende, em grande parte, do compromisso dos funcionários da empresa com o programa.
A política de mesa limpa e tela protegida, estipulada pela norma ISO 27002:2005, deve ser adotada para:

A

Prevenir acessos de usuários não autorizados e evitar o comprometimento e o roubo da informações e recursos.

4
Q

Certo ou errado?

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

A

Certo!

5
Q

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida:

A

A partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

6
Q

Certo ou errado?

A política de segurança da informação de uma organização deve ser elaborada de acordo com
os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações
relevantes.

A

Certo!

7
Q

Certo ou errado?

As características básicas da segurança da informação — confidencialidade, integridade e disponibilidade — não são atributos exclusivos dos sistemas computacionais.

A

Certo!

8
Q

Certo ou errado?

A segurança da informação pode ser entendida como uma atividade voltada à preservação de princípios básicos, como confidencialidade, integridade e disponibilidade da informação

A

Certo!

9
Q

Certo ou errado?

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

A

Certo!

10
Q

Segurança da Informação é um tema que se reveste atualmente de alta importância para os negócios. Um de seus aspectos mais relevantes está associado à capacidade do sistema de permitir que alguns usuários acessem determinadas informações e paralelamente impede que outros, não autorizados, a vejam. O aspecto abordado é denominado:

A

Confidencialidade

11
Q

Um auditor de segurança de um sistema de comunicações percebeu que o conteúdo de determinada mensagem fora alterado e, durante sua investigação, concluiu que a alteração se devia a uma falha no sincronismo do sistema de transmissão.

No contexto da segurança da informação, esse caso envolve o princípio da:

A

Integridade.

12
Q

Certo ou errado?

Uma política de segurança da informação deve fornecer orientação e apoio da direção para a
segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para
todos os funcionários e partes externas relevantes, não devendo ser alterado a partir de então.

A

Errado!

13
Q

Certo ou errado?

A definição de requerimentos e objetivos de segurança
na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

A

Errado! A 27002 trata de boas práticas.

14
Q

Certo ou errado?

A ISO 17799 define diretrizes para certificação de que
uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma
auditoria de terceira parte, nos moldes da ISO 19011.

A

Errado! Quem define isso é a 27001. (17799 é a 27002)

15
Q

Qual é o objetivo da Norma NBR ISO/IEC 27001?

A

Organizar os mecanismos para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um sistema para gerência da segurança da informação (ISMS–Information Security Management System), sendo a norma usada como base para a
certificação em segurança da informação.

16
Q

Certo ou errado?

ISO 27001 é uma especifcação para implementação de um
sistema de gestão de segurança da informação.

A

Certo!

17
Q

Certo ou errado?

ISO 27002 apresenta boas práticas para gestão da segurança
da informação.

A

Certo!

18
Q

Certo ou errado?

ISO 27003 é um guia para implementação de sistemas de
gestão de segurança da informação.

A

Certo!

19
Q

Certo ou errado?

A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de
acesso.

A

Errado! Ele fala sobre as responsabilidades da direção.

20
Q

Certo ou errado?

A norma ISO 27001:2005 utiliza o modelo PDCA de
melhoria para estruturar todos os processos do SGSI.

A

Certo!

21
Q

O modelo aplicado para estruturar os processos
do Sistema de Gestão de Segurança da
Informação (SGSI), segundo a Norma ABNT NBR
ISO/IEC 27001:2006, é o:

A

PDCA

22
Q

A direção de uma empresa liderou os estudos sobre diversas medidas para melhorar a gestão de segurança da informação em conformidade com a norma ISO 270002:2005. Dentre suas preocupações, ressaltou a vulnerabilidade dos softwares e das instalações de processamento de informações à introdução de software malicioso, tais como vírus de computador, network worms, cavalos de Troia e bombas lógicas. A direção, então, determinou que o supervisor da área de informática sugerisse medidas de proteção contra software malicioso que refletissem essa preocupação, incluindo a possibilidade de implementação de controles para detecção e prevenção contra softwares maliciosos e procedimentos apropriados de conscientização dos usuários.

De posse dessas informações, o supervisor deverá escudar-se na norma ISO 27002:2005, seção de:

A

Controle de Acessos

23
Q

A gerência de determinado laboratório resolveu limitar o acesso às suas dependências por meio de portas com dispositivo de liberação a partir de uma característica física do usuário. Havia quatro tipos de equipamentos com tecnologias de biometria no mercado, a saber: retina, impressão digital, assinatura e íris. A primeira providência do gerente foi ordenar os tipos por seus potenciais de precisão intrínsecos, do mais preciso para o menos preciso.

Considerando-se o potencial intrínseco de cada tipo de tecnologia, como essas quatro tecnologias seriam ordenadas, da mais precisa para a menos precisa?

A

Retina, íris, impressão digital e assinatura

24
Q

As assinaturas digitais realizadas antes da revogação de um certificado digital podem continuar válidas após a expiração desse certificado. Que recurso pode garantir essa facilidade?

A

Carimbos de tempo

25
Q

O tipo de código malicioso que utiliza a rede como forma de disseminação, normalmente explorando vulnerabilidades em sistemas remotos, é chamado de

A

worm

26
Q

Para comprovar a veracidade da assinatura digital de uma mensagem assinada pela entidade A com o algoritmo RSA, qual chave da entidade A a entidade B deve conhecer?

A

Pública

27
Q

Por questão de segurança, é fundamental validar os certificados digitais. Dentre as etapas de validação, é importante verificar se o certificado está revogado pela Autoridade Certificadora (AC) que o emitiu.

Para isso, é necessário consultar a lista de certificados revogados (LCR), publicada pela AC, e verificar se lá está listada(o) a(o) :

A

número de série do certificado

28
Q

O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. A Política de Segurança deve:

A

ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

29
Q

Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção.

A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado como confidencial deixará de existir.

Essa lei altera os aspectos de classificação relacionados a critérios de:

A

Confidencialidade

30
Q

A ISO 27002 estabelece que é conveniente que a tarefa de definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurando que ele está atualizado e no nível apropriado é de responsabilidade do:

A

proprietário do ativo

31
Q

Certificados Digitais podem ser utilizados em um processo de comunicação segura. Esses certificados são expedidos e assinados por um terceiro confiável, denominado Autoridade Certificadora (CA – Certification Authority), o qual confirma a identidade do usuário ou host.

O esquema de Certificados Digitais:

A

fornece um conjunto de dados confiável que atesta a associação de uma chave pública a um usuário final.

32
Q

Os resultados da análise/avaliação de riscos ajudam a direcionar e determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento e para a implementação dos controles selecionados para a proteção contra esses riscos.

De acordo com a ISO/IEC 27002:

A

convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e que inclua relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

33
Q

Os sistemas criptográficos contemporâneos se valem do poder de processamento dos computadores para criar al- goritmos difíceis de quebrar. Essa mesma capacidade de processamento é uma das forças da criptoanálise. Nes-se contexto, um dos conceitos (princípio de Kerckhoffs) que prevalecem para certificar ou homologar algoritmos criptográficos é que eles devem ser tão bem construídos que sua resistência a ataques de criptoanálise não deve residir no sigilo do algoritmo, mas, unicamente, no segredo da(o):

A

chave

34
Q

Os mecanismos de segurança da informação proporcionam a implantação de diferentes tipos de controle. Honeypot é exemplo de um recurso que pode implantar segurança por meio de controle:

A

lógico

35
Q

Quais estão corretas?

Considere as seguintes afirmativas sobre vírus de macro:

I - Para que o vírus possa ser executado, o arquivo que o contém precisa ser necessariamente aberto.
II - Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, são os mais suscetíveis a esse tipo de vírus.
III - Arquivos nos formatos RTF, PDF e PostScript são menos suscetíveis, mas isso não signifi ca que não possam conter vírus.

A

I, II e III. Todas estão corretas.

36
Q

Certo ou errado?

O conceito de segurança da informação, além de
implicar a integridade e a disponibilidade da
informação, pode incluir, entre outras propriedades
desta, a autenticidade e a confiabilidade.

A

Certo!

37
Q

Certo ou errado?

Os critérios de confidencialidade, integridade e
disponibilidade tornam a informação compatível com
os requisitos de segurança.

A

Certo!

38
Q

De acordo com a NBR ISO/IEC 27001, integridade é:

A

a propriedade de salvaguarda da exatidão e completeza de

ativos.

39
Q

Para os efeitos da Política de Segurança de
Informações do Tribunal de Contas do Estado de
Goiás, o princípio de segurança que garante a
confiabilidade da informação, evitando que esta seja
adulterada ou destruída sem a permissão de seu
gestor denomina-se:

A

Integridade

40
Q

Certo ou errado?

Um evento de segurança de informação é uma ocorrência em
um sistema, serviço ou estado de rede que indica, entre
outras possibilidades, um possível desvio em relação aos
objetivos de segurança específicos da organização, e um
incidente de segurança de informação é um evento único ou
uma série de eventos indesejados de segurança da
informação que possuem um impacto mediano sobre os
negócios.

A

bhbhbhjb

41
Q

Certo ou errado?

Riscos residuais referem-se aos riscos para os quais
ainda não foram estabelecidos controles dentro do
tratamento de riscos.

A

Errado!

42
Q

Na NBR ISO/IEC 27001:2006, o processo de
comparar o risco estimado com critérios de risco
predefinidos para determinar a importância do risco
é o processo de:

A

Avaliar riscos.

43
Q

Um risco de segurança pode ser considerado uma

função da ameaça em relação a:

A

impacto e probabilidade de ocorrência.

44
Q

Na NBR ISO/IEC 27001:2006, o termo “declaração de
aplicabilidade” refere-se a uma declaração documentada que
descreve:

A

os objetivos de controle e controles que são pertinentes e aplicáveis ao
Sistema de Gestão de Segurança da Informação da organização.

45
Q

Certo ou errado?

A declaração de aplicabilidade é um documento que
deve detalhar os objetivos de controle e os controles
a serem implementados para a segurança da
informação. Os demais controles e objetivos de
controle, não inclusos na declaração de
aplicabilidade, devem fazer parte do documento de
análise de GAP.

A

Errado, pois todos os controles estão na Norma.

46
Q

Entre as atividades para se estabelecer um SGSI, conforme a norma
ABNT NBR ISO/IEC 27.001, inclui-se a:

A

definição de escopo e limites do SGSI.

47
Q

Segundo a norma ABNT 27001, os sistemas de gestão de
segurança da informação (SGSI) devem estabelecer programas de
conscientização e treinamento em segurança no processo de:

A

implementar e operar o SGSI.

48
Q

Estabelecer a política, objetivos, processos e procedimentos
do SGSI, relevantes para a gestão de riscos e a melhoria da
segurança da informação para produzir resultados de acordo
com as políticas e objetivos globais de uma organização. No
modelo PDCA aplicado aos processos do SGSI da NBR
ISO/IEC 27001, esta definição pertence a:

A

planejar

49
Q

Certo ou errado?

A organização deve fazer análises críticas com o
objetivo de identificar tentativas e violações de
segurança bem-sucedidas, sendo esta uma
atividade verificada na fase check (checar).

A

Certo!

50
Q

Certo ou errado?

O arcabouço de organização dos requisitos da
norma NBR ISO/IEC 27001 deriva da família de
normas ISO 9000, especialmente no que se refere à
gestão de documentação.

A

Certo!

51
Q

Certo ou errado?

Com relação às normas ABNT NBR ISO/IEC 27001
e 27002, julgue os itens a seguir.

Deve ser incluída na documentação do sistema de
gestão de segurança da informação a identificação dos
colaboradores da empresa.

A

Errado!

52
Q

Certo ou errado?

A documentação de um SGSI é um item de grande
importância no processo, pois contém informações
sobre todo o processo. Essa documentação é
composta, entre outras, pela declaração da política
e dos objetivos do SGSI, de seu escopo e dos
procedimentos e controles que apóiam o SGSI

A

Certo!

53
Q

Para a NBR ISO/IEC 27001:2006, tem-se que um
documento da política de segurança da informação
deve ser aprovado pela direção, publicado e
comunicado para todos os funcionários e partes
externas relevantes. Isto é um(uma):

A

Controle

54
Q

Na NBR ISO/IEC 27002:2005, afirma-se que convém
que o responsável por assegurar que as informações e
os ativos associados com os recursos de
processamento da informação estejam
adequadamente classificados seja o:

A

Proprietário do Ativo.

55
Q

O diretor de uma loja de departamentos contratou uma empresa para desenvolver um projeto de segurança para sua loja virtual. Uma das fases desse processo é determinar quem e quais as funções que irão representar dentro do projeto. Nesse contexto, conclui-se que a loja virtual representa, dentro do projeto, o:

A

usuário

56
Q

As Normas ISO são um conjunto de regras internacionais que auxiliam as empresas na gestão qualitativa de seus negócios. Para uma empresa se enquadrar dentro da Norma ISO 27002:2005, é preciso um amplo plano de segurança das informações. Um dos requisitos desta Norma é que as atividades essenciais de segurança assegurem, entre outras premissas para a obtenção da certificação ISO, a:

A

competitividade

57
Q

As políticas de segurança da informação devem ser definidas pela equipe de segurança e estar alinhadas com os demais departamentos da empresa. Antes de definir as regras e as políticas de segurança, é preciso determinar, em relação ao projeto de segurança a ser implementado, a(o):

A

escopo, as prioridades e os objetos alvo de proteção.

58
Q

Ao contratar uma empresa de tecnologia para criar novo software visando à otimização de seus negócios, a organização contratante exigiu que o software fosse desenvolvido de acordo com as regras definidas para a segurança da informação, porque uma boa política de segurança, entre outras normas, estabelece:

A

os princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais.

59
Q

Uma forma de se evitar fraudes através de ataques conhecidos
por man-in-the-middle é certificar-se que, quando acessar um site
seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

A

apresente o cadeado fechado (obtenção da aprovação da

certificadora digital).

60
Q

Certo ou errado?

A técnica de spoofing é normalmente utilizada na fase de invasão
a redes de computadores.

A

Errada!

61
Q

Certo ou errado?

Utilizado para a captura ilegal de informações de uma máquina
em rede, o spoofing analisa o tráfego da rede e coleta dados
sigilosos como senhas e endereços IPs.

A

Errado, esse é o Sniffing

62
Q

Em um ataque efetuado a roteadores de filtragem de pacotes, o
intruso transmite pacotes vindos de fora com um campo de
endereço IP de origem contendo o endereço de um host interno.
O atacante espera que o uso desse campo de endereço permita
a penetração de sistemas que empregam segurança simples do
endereço de origem, em que os pacotes de hosts internos
confiáveis específicos são aceitos.
O ataque descrito é conhecido como:

A

IP spoofing

63
Q

Esse ataque caracteriza o de força bruta?

A repetição automática de tentativas de acesso a um recurso
protegido, com senhas criadas a partir de combinações
aleatórias ou extraídas de listas prédefinidas.

A

Sim!

64
Q

Certo ou errado?

Um ataque de negação de serviço (DoS) não é uma invasão
do sistema e objetiva tornar os recursos de um sistema
indisponíveis para seus utilizadores. O ataque tenta
indisponibilizar páginas hospedadas em servidores web e
produz como efeito uma invalidação por sobrecarga.

A

Certo!

65
Q

Um conjunto de computadores está sendo utilizado para tirar
de operação um serviço de determinado órgão público. Essa
situação configura o ataque do tipo:

A

DDoS

66
Q

Ataques desse tipo buscam explorar a falta de tratamento dos
dados de uma entrada do sistema. Desta maneira tenta-se injetar
strings maiores que as permitidas com o objetivo de invadir
certas áreas da memória. Este ataque permite inclusive injetar
aplicações na máquina invadida, como backdoors, trojans e
sistemas de controle remoto, como o VNC.
O texto fala do ataque de:

A

Buffer Overflow.

67
Q

Certo ou errado?

Vírus é um programa de computador malicioso capaz de se
propagar automaticamente por meio de redes, mas necessita ser
explicitamente executado para se propagar.

A

Certo

68
Q

Certo ou errado?

Um worm pode realizar diversas funções maliciosas, como a
instalação de keyloggers ou screenloggers, o furto de senhas e
outras informações sensíveis, como números de cartões de
crédito, a inclusão de backdoors, para permitir que um atacante
tenha total controle sobre o computador, e a alteração ou
destruição de arquivos.

A

Errado.

69
Q

Qual a principal diferença entre Worm e Vírus?

A

O Worm se alastra sozinho, enquanto o Vírus anexa-se ao
arquivo e necessita que o usuário ou sistema realize algum
tipo de transporte deste arquivo para disseminá-lo.

70
Q

Certo ou errado?

Worms são programas que se espalham em uma rede, criam
cópias funcionais de si mesmo e infectam outros computadores.

A

Certo!

71
Q

Certo ou errado?

A “oportunidade de atacar sistemas em tempo real e de utilizar a
capacidade ociosa de máquinas contaminadas” para ataques,
conforme referido no texto, pode ser explorada utilizando-se
botnets, que são aplicativos de controle de computadores
utilizados por criminosos virtuais.

A

Certo!

72
Q

No dia 06 de agosto de 2009, o site Twitter ficou algumas horas fora do ar, após ser atingido por
uma série de ataques de hackers, caracterizados por tentativas de derrubar o tráfego de rede, em
que servidores são inundados por solicitações até saírem do ar, por esgotamento da capacidade
de processamento. Um especialista em segurança da empresa Sophos creditou o ataque a
algum hacker adolescente em seu quarto com acesso a uma enorme botnet.
Cabe esclarecer que botnets são redes de computadores “zumbis”, infectadas por códigos
maliciosos, utilizados por hackers no tipo de ataque acima mencionado.
As máquinas funcionam normalmente até o hacker enviar um comando remoto ordenando que
todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.
Esse tipo de ataque é conhecido pelo termo técnico:

A

Negação de Serviço

73
Q

É um programa capaz de se propagar automaticamente, explorando vulnerabilidades
existentes ou falhas na configuração de softwares instalados em um computador. Dispõe de
mecanismos de comunicação com o invasor, permitindo ser controlado remotamente. Tais
são as caracterísitcas do:

A

bot

74
Q

Certo ou errado?

No phishing, diversas máquinas zumbis comandadas por um mestre fazem requisições ao
mesmo tempo, gerando sobrecarga do recurso atacado, o que pode levar a máquina
servidora a reiniciar ou a travar.

A

Errado, isso é DoS.

75
Q

De tempos em tempos, observa-se na imprensa que sites ficam inoperantes. Os ataques
conseguem derrubar o tráfego de rede, inundados por solicitações até saírem do ar, por
esgotamento da capacidade de processamento.
Os especialistas em segurança de redes e na internet creditam os ataques a algum hacker que
utiliza as chamadas botnets, definidas como redes de computadores infectadas por códigos
maliciosos.
Nesses casos, as máquinas funcionam normalmente até que o hacker envie um comando remoto
ordenando que todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.
Esse tipo de ataque é conhecido pelo termo técnico:

A

Negação de Serviço.

76
Q

Um usuário instalou, em determinada livraria que oferece acesso público
à Internet por meio de computadores Windows, um keylogger em um
dos computadores. Isso significa que:

A

estarão comprometidas as senhas digitadas por usuários nesse

computador.

77
Q

Certo ou errado?

Programas maliciosos do tipo RootKits são os mais perigosos,
principalmente para usuários de Internet Banking, pois esses programas
têm a função de capturar as teclas digitadas no computador.

A

Errado, isso é conceito de Keylogger.

78
Q

Conforme as normas e melhores práticas de Segurança
da Informação, uma ou mais pessoas podem ter responsabilidades
definidas pela Segurança da Informação e
elas podem delegar a outros usuários as tarefas dessa
segurança.
Em relação a essa situação, as normas e melhores práticas
de Segurança da Informação recomendam que:

A

os responsáveis originais permanecem com a responsabilidade
sobre as tarefas e devem verificar a execução
delas.

79
Q

A rede de telecomunicação segura que utiliza a Internet como
sua principal estrutura (backbone), mas se baseia em seus
próprios dispositivos de proteção (firewalls) e de segurança de
suas conexões de Internet e de intranet e nos dispositivos de
proteção das organizações participantes, é conhecida como:

A

Virtual Private Network - VPN.

80
Q

Certo ou errado?

A respeito do uso da tecnologia MPLS em situações nas quais se
requer engenharia de tráfego, bem como o uso de VPN, julgue os
itens a seguir.

Na tabela de informações de VPN de camada 3, conhecida
como virtual routing and forwarding (VRF), registram-se dados
de prefixo IP. Em geral, as VRF são tabelas de roteamento
dedicadas.

A

Certo!

81
Q

Certo ou errado?

Algumas técnicas de construção de túneis, nas quais se adota o
conceito de redes privadas, utilizam MPLS. Acerca dessas
técnicas, julgue os itens a seguir.

Considera-se VPN MPLS uma tecnologia orientada a conexão,
de acordo com os modelos comuns de VPN.

A

Errado, não é orientado a conexão!

82
Q

Certo ou errado?

Uma VPN é uma conexão estabelecida sobre uma infraestrutura
pública ou compartilhada, usando tecnologias de tunelamento e
criptografia para manter seguros os dados trafegados.

A

Certo!

83
Q

Certo ou errado?

O recurso VPN (virtual private network), utilizado para interligar
de forma segura dois pontos através de um meio público como a
Internet, pode fazer uso de IPSEC, que recorre ao ESP
(encapsulating security payload) para manter a confidencialidade
dos dados e à AH (authentication header) para garantir a
integridade dos dados.

A

Certo!

84
Q

Certo ou errado?

O IPSEC é muito utilizado para o estabelecimento de VPN (virtual
private network), pois consegue agregar recursos de
confidencialidade ao IP (Internet protocol), utilizando o ESP
(encapsulation security payload). Para o provimento de
integridade dos dados, utiliza o IKE (Internet key exchange).

A

Errado!

85
Q

Certo ou errado?

Uma rede privada virtual: envia dados através da Internet, mas criptografa
transmissões entre sites para garantir privacidade.

A

Certo!

86
Q

O Backup de dados e das informações de um computador deve ser realizado considerando as
particularidades do uso dos arquivos. Considerando que já foi realizado um Backup normal de uma pasta no
início de um dia, a forma mais eficiente e rápida para realizar o Backup dos arquivos modificados daquela
pasta, no mesmo dia, é por meio do Backup:

A

diferencial.

87
Q

A restauração de dados pode utilizar diferentes tipos de
backup, tais como diferencial, incremental e completo.
A esse respeito, considere as afirmações a seguir.

I - O backup incremental exige que antes seja realizado
pelo menos um backup diferencial.

II - Os backups completo e diferencial, em uso combinado,
exigem apenas os conjuntos de backups diferenciais
realizados desde o último backup completo.

III - Os backups completo e incremental, em uso combinado,
exigem o último backup completo e todos os
conjuntos de backups incrementais realizados desde
o último backup completo.
Está correto APENAS o que se afirma em:

A

Somente III.

88
Q

Sobre criptografia, considere:

I. A criptografia simétrica é um tipo de criptografia que usa um par de chaves criptográficas distintas
(privada e pública) e matematicamente relacionadas.

II. A criptografia assimétrica é um tipo de criptografia que usa uma chave única para cifrar e decifrar
dados.

III. A chave pública está disponível para todos que queiram cifrar informações para o dono da chave
privada ou para verificação de uma assinatura digital criada com a chave privada correspondente; a chave
privada é mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.

Está correto o que se afirma em:

A

III somente

89
Q

Para garantir o sigilo em uma comunicação, um emissor pode enviar uma mensagem
criptografada com um algoritmo de criptografia simétrica.
Para que o receptor possa decifrar essa mensagem, é necessário obter a chave:

A

secreta do emissor que foi utilizada pelo algoritmo para cifrar a mensagem.

90
Q

Na NBR ISO/IEC 27002:2005, afirma-se que convém que o responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados seja o:

A

Proprietário do ativo

91
Q

Certo ou errado?

O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.

A

Errado, isso é o controle e não o objetivo do controle. Além disso, o controle descrito é o de perímetro.

92
Q

A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. De acordo com a Norma, convém que seja levada em consideração, para a manutenção dos equipamentos, a seguinte diretriz:

A

Sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas.

93
Q

Certo ou errado?

A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002.

A

Errado, está na norma!

94
Q

Certo ou errado?

Para reaproveitar as mídias de armazenamento que contenham dados sensíveis, é suficiente formatá-las usando a função padrão de formatar.

A

Errado!

95
Q

Segundo a Norma 27002, o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido, dentre outros, pelo controle:

A

Segregação de funções

96
Q

Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a:

A

Integridade do software e da informação.

97
Q

Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser
exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de
segurança da informação. Com base nessa informação, analise os itens a seguir.

I. Computadores são vulneráveis por serem construídos para troca e armazenamento de
dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.

II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques
aos ativos de informação.

III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.

IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de
armazenamento.
Representam vulnerabilidades dos ativos de informação o que consta em:

A

I, III e IV.

98
Q

Certo ou errado?

Um funcionário desonesto é uma vulnerabilidade.

A

Errado, o funcionário desonesto é uma ameaça.

99
Q

O ataque de negação de serviço (DoS) é uma
tentativa de impedir que usuários legítimos de um
serviço possam utilizá-lo.
Uma forma clássica desse tipo de ataque é a(o):

A

inundação do alvo

100
Q

A auditoria da segurança da informação avalia a política de
segurança e os controles relacionados adotados em cada
organização. Nesse contexto, muitas vezes, as organizações não
se preocupam, ou até negligenciam, um aspecto básico da
segurança que é a localização dos equipamentos que podem
facilitar a intrusão. Na auditoria de segurança da informação, esse
aspecto é avaliado no Controle de:

A

acesso físico.

101
Q

Por política de segurança entende-se:

A

política elaborada, implantada e em contínuo processo de revisão, válida para toda a
organização, com regras o mais claro e simples possível, e estrutura gerencial e material de
suporte a essa política, claramente sustentada pela alta hierarquia.

102
Q

As políticas, normas e procedimentos de segurança da informação:

A

devem estar alinhadas com as estratégias de negócio da empresa,
padrões e procedimentos já existentes.

103
Q

Muitas empresas desenvolvem seus próprios códigos de ética, que podem ser considerados como um conjunto de princípios destinados a orientar a tomada de decisão na organização. A disseminação do uso da TI e de suas aplicações, incluindo os sistemas de informação, criou diversos aspectos que devem ser considerados nesse contexto. Alguns autores estabelecem quatro categorias nas quais esses aspectos éticos podem ser classificados. Dentre essas categorias, encontram-se a privacidade e a acessibilidade.

Exemplos de aspectos a elas relacionados são, respectivamente:

A

vigilância eletrônica dos empregados e política de acesso à informação

104
Q

O que é risco?

A

Probabilidade de uma ameaça explorar uma
vulnerabilidade com potencial impacto no
negócio.

105
Q

O keylogger é um software que pode armazenar as informações digitadas por um usuário num computador por ele infectado. Para aumentar a proteção dos seus clientes, alguns bancos que prestam serviços via Internet utilizam a tecnologia do teclado virtual, com recursos que reduzem a probabilidade de sucesso desses softwares.

Nesse contexto, o software que armazena a posição do ponteiro do mouse no momento em que esse é acionado (clique) é, genericamente, conhecido como:

A

screenlogger

106
Q

Os requisitos de segurança da informação são identificados por meio de uma
análise/avaliação sistemática dos riscos estimados. Os gastos com os controles
precisam ser balanceados de acordo com os danos causados aos negócios gerados
pelas potenciais falhas na segurança da informação. É INCORRETO dizer que
convém que a análise/avaliação de riscos:

A

defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos não podem
ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não
é economicamente viável para a organização.

107
Q

Um profissional de TI, diante da divulgação de inúmeras brechas de segurança da informação que existem, resolve buscar as melhores práticas de governança para o seu ambiente.

Dessa forma, para garantir a segurança da informação, ele deve buscar atender principalmente aos seguintes aspectos:

A

confidencialidade, integridade e disponibilidade

108
Q

Segundo a norma ISO 27002:2005, definir, alcançar, manter e melhorar são ações essenciais a serem tomadas na empresa pela:

A

gestão de segurança

109
Q

Considere as afirmativas a seguir sobre segurança da informação.

I Os softwares de segurança como firewalls e antivírus são o principal patrimônio de uma empresa, e os investimentos devem ser predominantes nesses produtos.

II O plano de segurança da informação tem que contemplar os aspectos legais da informação, tais como propriedade intelectual e política de privacidade, entre outros.

III O plano de segurança da informação é um processo que depende da visão estratégica do negócio e visa a proteger a rede interna de invasões indesejadas.

É correto APENAS o que se afirma em:

A

II e III.

110
Q

Para assegurar que o texto de sua mensagem não seja modificado antes de chegar ao destino, o responsável pela mensagem deve:

A

utilizar o recurso da assinatura digital.

111
Q

Considerados pragas digitais, os rootkits são malwares que, ao se instalarem no computador alvo:

A

camuflam a sua existência e fornecem acesso privilegiado ao computador infectado.

112
Q

Paulo autorizou uma despesa em seu cartão de crédito mediante a utilização de senha pessoal. Ao receber a cobrança, procurou a administradora do cartão e negou a despesa. A administradora manteve a cobrança, provando a irretratabilidade da ação realizada. Esse procedimento só foi possível porque, no contexto da segurança da informação e, em relação à transação, a administradora provou pelo menos sua:

A

autenticidade e integridade

113
Q

Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é:

A

prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

114
Q

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida.

                                                          PORQUE

A interconexão de redes públicas e privadas e a tendência da computação distribuída aumentam a eficácia de um controle de acesso centralizado.

Analisando-se as afirmações acima, conclui-se que:

A

a primeira afirmação é verdadeira, e a segunda é falsa.

115
Q

Sobre segurança da informação, considere:

I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar
as ações da empresa e sua sustentação no negócio, mediante a exploração de
uma determinada vulnerabilidade.

II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o
dano potencial à empresa.

III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas
informações corrompidas.

Está correto o que se afirma APENAS em:

A

I apenas

116
Q

O processo de autenticação de usuários é um método eficaz para proteger o acesso indevido de pessoas a computadores, sistemas operacionais, softwares, redes e ambientes físicos. Um sistema que utiliza um processo de forte autenticação deve verificar algo que o usuário sabe, algo que ele possui e algo que ele é.

Para acessar o sistema, nessa ordem de verificação, um usuário legítimo deve fornecer os seguintes itens pessoais:

A

senha pessoal, token com a chave privada e digital

117
Q

Uma forma de monitorar os programas que são executados em uma estação de trabalho, com respeito à alocação não autorizada das portas de rede, é configurar adequadamente um guardião idealizado para essa tarefa conhecido como:

A

firewall pessoal

118
Q

Os worms (vermes) são códigos maliciosos que utilizam a rede como principal meio para replicação.

O tipo de worm que se mantém como uma cópia única de si mesmo em qualquer ponto no tempo enquanto se transfere para hosts vizinhos na rede é conhecido como:

A

Rabbit

119
Q

Certo ou errado?

A Norma NBR ISO/IEC 27001 estabelece o código de
prática para a gestão da segurança da informação e a
Norma NBR ISO/IEC 27002 trata dos requisitos dos
sistemas de gestão de segurança da informação.

A

Errado, os conceitos estão invertidos.

120
Q

Certo ou errado?

A definição de requerimentos e objetivos de segurança
na ISO 27001 cita que é necessário utilizar a norma ISO
27002, que trata de processos de negócios.

A

Errado, a 27002 trata das boas práticas de segurança da informação.

121
Q

A atividade de segurança da informação visa a proteger os valiosos recursos de informação de uma empresa através da seleção e aplicação de salvaguardas apropriadas, ajudando a atingir o objetivo do negócio ou sua missão.

Nesse sentido, um programa de proteção da informação efetivo deve:

A

ir além da área de TI e da área de protocolo de documentos da empresa.

122
Q

O processo de gerenciamento de risco se resume em identificar os riscos, avaliar a probabilidade dos riscos acontecerem e determinar os controles para:

A

reduzir os riscos identificados a um nível aceitável.

123
Q

Maria envia, por e-mail, um arquivo criptografado com determinado algoritmo simétrico para João. Em outro e-mail, Maria envia, para João, a chave utilizada pelo algoritmo simétrico. Um usuário malicioso obtém acesso de leitura aos dois e-mails enviados e, com isso:

A

pode decriptar o arquivo original a partir da chave capturada.

124
Q

Para interagir seguramente com determinados órgãos públicos federais, Maria adquiriu um certificado digital ICP-Brasil de pessoa física. Nesse certificado, NÃO consta a(o):

A

chave privada.

125
Q

A norma ISO 27001:2005 utiliza o modelo _______ de

melhoria para estruturar todos os processos do _______.

A

PDCA e SGSI.

126
Q

A norma ISO/IEC 27001:2006 trata:

A

do modelo conhecido como Plan-Do-Check-Act (PDCA), que é
adotado para estruturar todos os processos do sistema de
gerenciamento da segurança da informação.

127
Q

Implementar e operar a política, os controles, os
processos e os procedimentos do Sistema de
Gestão de Segurança da Informação, segundo a
norma ABNT 27001, são atividades associadas no
modelo PDCA à fase:

A

Do

128
Q

O escopo e os limites do Sistema de Gestão de Segurança da
Informação (SGSI) nos termos das características do negócio,
a organização, a sua localização, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer exclusões do
escopo, segundo a Norma 27001, devem ser definidos nas
fases:

A

Estabelecer e gerenciar o SGSI.

129
Q

Corresponde a qual fase do PDCA?

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para
a gestão de riscos e a melhoria da segurança da informação, para produzir resultados de acordo
com as políticas e objetivos globais de uma organização.

A

Plan

130
Q

Corresponde a qual fase do PDCA?

Implementar e operar a política, controles, processos e procedimentos do SGSI.

A

Do

131
Q

Corresponde a qual fase do PDCA?

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política,
objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela
direção.

A

Check

132
Q

Corresponde a qual fase do PDCA?

Executar as ações corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a
melhoria contínua do SGSI.

A

Act

133
Q

A norma ABNT NBR ISO/IEC 27001:2006 cobre

organizações do tipo:

A

comerciais, governamentais e sem fins

lucrativos.

134
Q

Certo ou errado?

O termo de confidencialidade, de acordo com norma
NBR ISO/IEC, representa a propriedade de
salvaguarda da exatidão e completude de ativos.

A

Errado, isso é a integridade!

135
Q

O certificado digital emitido por uma Autoridade Certificadora (AC) visa a atestar a associação entre uma chave pública e uma entidade
ou pessoa. Dentre as etapas do processo de validação de um certificado
digital, deve-se verificar se a assinatura digital do certificado:

A

foi realmente gerada pela AC.

136
Q

Em uma empresa, instalou-se um sistema de certificado digital baseado em uma infraestrutura de
chave pública. Ao configurar uma autoridade certificadora (AC) de uma hierarquia de certificação,
houve um problema de relacionamento entre uma entidade e a sua chave pública, embutida no
certificado, pois a mesma apresentou incorreções, visto que, no caso, houve uma mudança do
nome do emissor.
Uma forma válida de se resolver essa situação seria fazer esse certificado ser:

A

revogado

137
Q

No que se refere às responsabilidades da direção descritas na norma ISO/IEC 27001:2006, analise:

I. A direção deve fornecer evidência do seu comprometimento com o estabelecimento,
implementação, operação, monitoramento, análise crítica, manutenção e melhoria do Sistema de
Gestão da Segurança da Informação mediante a definição de critérios para aceitação de riscos e
dos níveis de riscos aceitáveis.

II. A organização deve determinar e prover os recursos necessários para assegurar que os
procedimentos de segurança da informação apoiem os requisitos de negócio.

III. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas
no Sistema de Gestão da Segurança da Informação seja competente para desempenhar as tarefas
requeridas, avaliando a eficácia das ações executadas.

IV. A organização deve determinar e prover os recursos necessários para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da
Informação.

Está correto o que consta em:

A

Todas estão corretas!

138
Q

A direção deve analisar criticamente o Sistema de Gestão da
Segurança da Informação (SGSI) da organização a intervalos
planejados para assegurar a sua contínua pertinência, adequação e
eficácia. Uma das saídas desta análise crítica, segundo a Norma
ABNT NBR ISO/IEC 27001:2006, deve incluir quaisquer decisões e
ações relacionadas à modificação de procedimentos e controles que
afetem a segurança da informação, quando necessário, para
responder a eventos internos ou externos que possam impactar no
SGSI.

Esta saída NÃO inclui mudanças de:

A

recursos humanos.

139
Q

Certo ou errado?

A análise crítica e periódica da política de segurança
da informação de uma organização, conforme
preconizada pelas normas NBR ISO/IEC 27001 e
NBR ISO/IEC 17799, deve ser uma ação de
responsabilidade dos gestores de segurança dessa
organização.

A

Errado, é feito pela Direção e não pelos gestores de segurança.

140
Q

Certo ou errado?

No que se refere a políticas de segurança da
informação, julgue o item a seguir.

A elaboração, manutenção e análise crítica da política de
segurança da informação competem exclusivamente ao
security officer da área de tecnologia da informação da
organização.

A

Errado, isso é papel da Direção!

141
Q

Certo ou errado?

A melhoria contínua do SGSI, assim como a análise
crítica de sua implementação, faz parte da etapa DO
(fazer) do PDCA aplicado ao processo.

A

Errado, a melhoria contínua faz parte da etapa Act e a análise critica faz parte da etapa check.

142
Q

Certo ou errado?

No do (fazer) do modelo PDCA aplicado aos
processos do SGSI (sistema de gestão de
segurança da informação), para se alcançar a
melhoria contínua, é necessário executar as ações
corretivas e preventivas, com base nos resultados
da auditoria interna, da análise crítica realizada pela
direção ou de outra informação pertinente.

A

Errado, a fase é a Act.

143
Q

No âmbito do Sistema de Gestão de Segurança da Informação - SGSI, o
procedimento: Monitorar e analisar criticamente o SGSI, recomenda:

I. Realizar análises críticas regulares da eficácia do SGSI
independente dos resultados de auditorias de segurança da
informação.

II. Medir a eficácia dos controles para verificar que os requisitos de
segurança da informação foram atendidos.

III. Conduzir auditorias internas do SGSI a intervalos planejados.

Está INCORRETO o que consta APENAS em:

A

Item I.

144
Q

Certo ou errado?

Requisitos de segurança da informação podem ser
obtidos a partir da análise/avaliação dos riscos da
organização com base nos seus objetivos estratégicos; a
partir da legislação vigente; e, finalmente, a partir dos
requisitos do negócio para o processamento da
informação que a organização desenvolve para realizar
suas operações.

A

Certo!

145
Q

Certo ou errado?

Para a garantia de um nível de segurança mínimo, que evite a
concretização de ameaças em uma organização, é obrigatória
a implantação de todos os controles contidos na norma 27002,
conforme recomendação feita na ISO, independentemente do
tamanho e tipo de organização.

A

Errado, não é obrigatório a implantação de todos os controles!

146
Q

A Norma ISO/IEC 27002:2005 estabelece diretrizes e princípios
gerais para iniciar, implementar, manter e melhorar a gestão de
segurança da informação em uma organização.A Norma apresenta
alguns termos e definições, como os descritos abaixo:

I. forma de gerenciar o risco, incluindo políticas, procedimentos,
diretrizes, práticas ou estruturas organizacionais, que podem ser de
natureza administrativa, técnica, de gestão ou legal.

II. preservação da confidencialidade, da integridade e da
disponibilidade da informação; adicionalmente, outras propriedades,
tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas.

III. é indicado por um simples evento ou por uma série de eventos de
segurança da informação indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as operações do negócio
e ameaçar a segurança da informação.

Os termos referenciados em I, II e III são,
respectivamente:

A

controle; segurança da informação; incidente de

segurança da informação.

147
Q

Na norma 27002, qual a definição de Política?

A

intenções e diretrizes globais formalmente expressas pela

direção

148
Q

Na norma 27002, qual a definição de Risco?

A

combinação da probabilidade de um evento e de suas

conseqüências

149
Q

Na norma 27002, qual a definição de gestão de riscos?

A

atividades coordenadas para direcionar e controlar uma

organização no que se refere a riscos

150
Q

Na norma 27002, qual a definição de ameaça?

A

causa potencial de um incidente indesejado, que pode

resultar em dano para um sistema ou organização

151
Q

Sobre a estrutura, objetivos e conceitos gerais da Norma NBR ISO/IEC 27002, é
correto afirmar:

A

Define política como sendo as intenções e diretrizes globais formalmente
expressas pela direção e define risco como sendo a combinação da probabilidade de
um evento e de suas consequências.

152
Q

De acordo com a NBR ISO/IEC 27002:

A

Convém que a análise/avaliação de riscos inclua um enfoque sistemático de
estimar a magnitude do risco (análise de riscos) e o processo de comparar
os riscos estimados contra os critérios de risco para determinar a
significância do risco (avaliação do risco).

153
Q

A empresa Consultores Financeiros, em conformidade com o
prescrito na NBR/ISO 27002, realiza, periodicamente, a análise
crítica da Política de Segurança da Informação da empresa. A Norma
sugere que as entradas para a análise crítica pela direção incluam
diversas informações, entre elas:

A

tendências relacionadas com as ameaças e vulnerabilidades.

154
Q

Na NBR ISO/IEC 27002:2005, com relação ao tempo de duração de
um Acordo de Confidencialidade, tem-se que:

A

pode durar indefinidamente.

155
Q

A Norma ISO 27002, ao tratar de comércio eletrônico, estabelece o objetivo garantir a segurança de serviços de comércio eletrônico e sua utilização segura. Estabelece, ainda, a conveniência de que as considerações de segurança da informação para comércio eletrônico incluam, entre outros, o seguinte item:

A

nível de confiança que cada parte requer na suposta identidade de outros, como, por exemplo, por meio de mecanismos de autenticação.

156
Q

Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a:

A

Negação de serviço

157
Q

O que é ameaça?

A

É quando uma potencial violação de segurança, que existe quando há uma circunstância, ação ou evento que poderia violar a segurança e causar impacto.

158
Q

O que é um threat?

A

Uma threat é um possível ameaça que pode explorar uma vulnerabilidade.

159
Q

O que é um Ataque?

A

Violação da segurança a partir de uma ameaça inteligente, isto é, uma ação inteligente que é uma tentativa deliberada para burlar os mecanismos de segurança e violar a política de segurança.

160
Q

Uma forma de se evitar fraudes através de ataques conhecidos por man-in-the-middle é certificar-se que, quando acessar um site seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

A

apresente o cadeado fechado (obtenção da aprovação da certificadora digital).

161
Q

Certo ou errado?

A técnica de spoofing é normalmente utilizada na fase de invasão a redes de computadores.

A

Errada! É difícil usar essa técnica para invasão pela dificuldade em continuar com a conexão estabelecida.

162
Q

Certo ou errado?

Utilizado para a captura ilegal de informações de uma máquina em rede, o spoofing analisa o tráfego da rede e coleta dados sigilosos como senhas e endereços IPs.

A

Errado, esse é o sniffer.

163
Q

Em um ataque efetuado a roteadores de filtragem de pacotes, o intruso transmite pacotes vindos de fora com um campo de endereço IP de origem contendo o endereço de um host interno. O atacante espera que o uso desse campo de endereço permita a penetração de sistemas que empregam segurança simples do endereço de origem, em que os pacotes de hosts internos confiáveis específicos são aceitos.

O ataque descrito é conhecido como:

A

IP Spoofing

164
Q

Das alternativas a seguir, assinale a única que contém eventos que caracterizam uma tentativa de ataque do tipo força bruta.

A

A repetição automática de tentativas de acesso a um recurso protegido, com senhas criadas a partir de combinações aleatórias ou extraídas de listas prédefinidas.

165
Q

Qual a diferença entre DoS e DDoS?

A

DoS: o ataque parte de uma única fonte.
DDoS: ataque de maneira coordenada.

166
Q

A rede de telecomunicação segura que utiliza a Internet como sua principal estrutura (backbone), mas se baseia em seus próprios dispositivos de proteção (firewalls) e de segurança de suas conexões de Internet e de intranet e nos dispositivos de proteção das organizações participantes, é conhecida como:

A

VPN

167
Q

Certo ou errado?

A respeito do uso da tecnologia MPLS em situações nas quais se requer engenharia de tráfego, bem como o uso de VPN, julgue os itens a seguir.

Na tabela de informações de VPN de camada 3, conhecida como virtual routing and forwarding (VRF), registram-se dados de prefixo IP. Em geral, as VRF são tabelas de roteamento dedicadas.

A

Certo!

168
Q

Certo ou errado?

Um ataque de negação de serviço (DoS) não é uma invasão
do sistema e objetiva tornar os recursos de um sistema
indisponíveis para seus utilizadores. O ataque tenta
indisponibilizar páginas hospedadas em servidores web e
produz como efeito uma invalidação por sobrecarga.

A

Certo!

169
Q

Um conjunto de computadores está sendo utilizado para tirar
de operação um serviço de determinado órgão público. Essa
situação configura o ataque do tipo:

A

DDoS

170
Q

Ataques desse tipo buscam explorar a falta de tratamento dos
dados de uma entrada do sistema. Desta maneira tenta-se injetar
strings maiores que as permitidas com o objetivo de invadir
certas áreas da memória. Este ataque permite inclusive injetar
aplicações na máquina invadida, como backdoors, trojans e
sistemas de controle remoto, como o VNC.

O texto fala do ataque de:

A

Buffer Overflow.

171
Q

Certo ou errado?

Um ataque de SQL injection explora vulnerabilidades presentes
em aplicações web, podendo ser evitado com inspeção criteriosa
dos dados de entrada.

A

Certo!

172
Q

A ameaça de segurança em que o atacante consegue inserir uma
série de instruções SQL dentro de uma consulta (query) através da
manipulação da entrada de dados de uma aplicação é conhecida
como:

A

SQL Injection

173
Q

Certo ou errado?

A injeção de SQL (SQL injection, relacionada à structured query
language - linguagem de consulta estruturada) é uma técnica de
injeção de código que explora a vulnerabilidade de segurança da
camada de banco de dados de uma aplicação. Quando se
consegue inserir uma ou mais instruções SQL dentro de uma
consulta, ocorre o fenômeno.

A

Certo!

174
Q

Em um ataque em que o Cracker injeta códigos JavaScript em
um campo texto de uma página Web já existente e este
JavaScript é apresentado para outros usuários, este JavaScript
poderia, por exemplo, simular a página de login do site, capturar
os valores digitados e enviá-los a um site que os armazene. Este
ataque é denominado:

A

XSS - Cross Site Scripting

175
Q

Certo ou errado?

Vírus é um programa de computador malicioso capaz de se
propagar automaticamente por meio de redes, mas necessita ser
explicitamente executado para se propagar.

A

Certo!

176
Q

Certo ou errado?

Um worm pode realizar diversas funções maliciosas, como a
instalação de keyloggers ou screenloggers, o furto de senhas e
outras informações sensíveis, como números de cartões de
crédito, a inclusão de backdoors, para permitir que um atacante
tenha total controle sobre o computador, e a alteração ou
destruição de arquivos.

A

Errado

177
Q

Qual a principal diferença entre Vírus e Worm?

A

O Worm se alastra sozinho, enquanto o Vírus anexa-se ao
arquivo e necessita que o usuário ou sistema realize algum
tipo de transporte deste arquivo para disseminá-lo.

178
Q

Certo ou errado?

Worms são programas que se espalham em uma rede, criam
cópias funcionais de si mesmo e infectam outros computadores.

A

Certo!

179
Q

Certo ou errado?

A “oportunidade de atacar sistemas em tempo real e de utilizar a
capacidade ociosa de máquinas contaminadas” para ataques,
conforme referido no texto, pode ser explorada utilizando-se
botnets, que são aplicativos de controle de computadores
utilizados por criminosos virtuais.

A

Certo!

180
Q

No dia 06 de agosto de 2009, o site Twitter ficou algumas horas fora do ar, após ser atingido por
uma série de ataques de hackers, caracterizados por tentativas de derrubar o tráfego de rede, em
que servidores são inundados por solicitações até saírem do ar, por esgotamento da capacidade
de processamento. Um especialista em segurança da empresa Sophos creditou o ataque a
algum hacker adolescente em seu quarto com acesso a uma enorme botnet.

Cabe esclarecer que botnets são redes de computadores “zumbis”, infectadas por códigos
maliciosos, utilizados por hackers no tipo de ataque acima mencionado.

As máquinas funcionam normalmente até o hacker enviar um comando remoto ordenando que
todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.

Esse tipo de ataque é conhecido pelo termo técnico:

A

Negação de Serviço

181
Q

De tempos em tempos, observa-se na imprensa que sites ficam inoperantes. Os ataques
conseguem derrubar o tráfego de rede, inundados por solicitações até saírem do ar, por
esgotamento da capacidade de processamento.
Os especialistas em segurança de redes e na internet creditam os ataques a algum hacker que
utiliza as chamadas botnets, definidas como redes de computadores infectadas por códigos
maliciosos.
Nesses casos, as máquinas funcionam normalmente até que o hacker envie um comando remoto
ordenando que todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego.
Esse tipo de ataque é conhecido pelo termo técnico:

A

Negação de Serviço.

182
Q

Certo ou errado?

No phishing, diversas máquinas zumbis comandadas por um mestre fazem requisições ao
mesmo tempo, gerando sobrecarga do recurso atacado, o que pode levar a máquina
servidora a reiniciar ou a travar.

A

Errado!

183
Q

É um programa capaz de se propagar automaticamente, explorando vulnerabilidades
existentes ou falhas na configuração de softwares instalados em um computador. Dispõe de
mecanismos de comunicação com o invasor, permitindo ser controlado remotamente. Tais
são as caracterísitcas do:

A

Bot

184
Q

Sobre spyware é correto afirmar:

A

Screenlogger é um tipo de spyware capaz de armazenar a posição do cursor e a tela
apresentada no monitor nos momentos em que o mouse é clicado, ou a região que
circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para
capturar as teclas digitadas pelos usuários em teclados virtuais.

185
Q

Certo ou errado?

Embora sejam considerados programas espiões, os spywares também
são desenvolvidos por empresas com o objetivo de coletar legalmente
informações acessíveis de usuários.

A

Certo!

186
Q

Os programas keyloggers e screenloggers são considerados programas
do tipo:

A

Spyware

187
Q

Um usuário instalou, em determinada livraria que oferece acesso público
à Internet por meio de computadores Windows, um keylogger em um
dos computadores. Isso significa que:

A

estarão comprometidas as senhas digitadas por usuários nesse

computador.

188
Q

Certo ou errado?

Programas maliciosos do tipo RootKits são os mais perigosos,
principalmente para usuários de Internet Banking, pois esses programas
têm a função de capturar as teclas digitadas no computador.

A

Errado, é o keylogger.

189
Q

Programas do tipo malware que buscam se esconder dos
programas de segurança e assegurar a sua presença em um
computador comprometido são os:

A

rootkits

190
Q

Considerados pragas digitais, os rootkits são malwares que, ao
se instalarem no computador alvo:

A

camuflam a sua existência e fornecem acesso privilegiado ao

computador infectado.

191
Q

Foi um termo originalmente criado para descrever o tipo de fraude que
se dá através do envio, pela Internet, de mensagem não solicitada,
que se passa por comunicação de uma instituição conhecida, como
um banco, empresa ou site popular, e que procura induzir o acesso a
páginas fraudulentas (falsificadas), projetadas para furtar dados
pessoais e financeiros de usuários.

O termo citado acima é conhecido como:

A

phishing/scam.

192
Q

O site Convergência Digital divulgou a seguinte notícia: O Brasil segue como o nº 1 na
América Latina em atividades maliciosas e figura na 4ª posição mundial, ficando atrás
apenas dos EUA, China e Índia, de acordo a Symantec. Os ataques por malwares
cresceram 81%. … Um desses malwares segue sendo o grande vilão nas corporações,
sendo responsável por mais de 220 milhões de máquinas contaminadas no mundo. É
um programa capaz de se propagar automaticamente pelas redes, enviando cópias de
si mesmo de computador para computador.

Considerando que o malware citado como vilão não se propaga por meio da inclusão
de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução
direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em
programas instalados em computadores, trata-se de um:

A

worm.

193
Q

O que é adware?

A

programa que apresenta propaganda à revelia do usuário.

194
Q

O que é cavalo de tróia?

A

programa que se faz passar por outro programa com a finalidade de
enganar o usuário.

195
Q

O que é Keylogger?

A

programa que armazena os dados digitados pelo usuário para

posteriormente enviá-los a um terceiro.

196
Q

O que é Spyware?

A

programa que monitora as ações do usuário para posteriormente
enviá-las a um terceiro.