(Microsoft PowerPoint - ACADEMIA_AULA_INFO_SEGURAN

Propaganda
ACADEMIA DO CONCURSO
SEGURANÇA DA INFORMAÇÃO
ACADEMIA DO CONCURSO
INFORMAÇÃO ⇒ é um recurso (ativo) que, como outros
importantes recursos de negócios, tem valor para uma
INFORMÁTICA
organização e, por conseguinte precisa ser protegido
SEGURANÇA DA
INFORMAÇÃO
adequadamente.
http://cartilha.cert.br/
http://cert.br/
SEGURANÇA DA INFORMAÇÃO
⇒
A Segurança
SEGURANÇA DA INFORMAÇÃO
da
Informação protege a informação de uma gama extensiva de
• CONFIDENCIALIDADE
AMEAÇAS para assegurar a continuidade dos negócios,
minimizar os danos empresariais e maximizar o retorno em
• INTEGRIDADE
investimentos e oportunidades. A Segurança da Informação é
• DISPONIBILIDADE
caracterizada pela preservação da CONFIDENCIALIDADE,
CONFIDENCIALIDADE ⇒ CRIPTOGRAFIA
INTEGRIDADE ⇒ HASH
DISPONIBILIDADE ⇒ QoS
INTEGRIDADE e DISPONIBILIDADE.
ABNT ISO/IEC 27002
PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO
01- (FCC-2012) Os atributos básicos da segurança da
informação são:
CONFIDENCIALIDADE (privacidade) ⇒ assegurar que a
informação só será acessada pelas pessoas que têm
autorização (CRIPTOGRAFIA).
INTEGRIDADE ⇒ assegurar que a informação não foi
alterada durante o processo de armazenamento ou de
transporte do emissor para o receptor (HASH).
DISPONIBILIDADE ⇒ assegurar que os usuários autorizados
tenham acesso a informações e a recursos associados
quando requeridos. Ou seja, assegurar que as informações
estarão disponíveis quando solicitadas pelos usuários
autorizados.(QoS ⇒ Quality of Service-Qualidade de Serviço)
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
(A) Confidencialidade, Integridade e Direcionamento
(B) Comunicabilidade, Integridade e Disponibilidade
(C) Confidencialidade, Integridade e Disponibilidade
(D) Confidencialidade, Interface e Disponibilidade
(E) Comunicabilidade, Interface e Disponibilidade
CONFIDENCIALIDADE ⇒ CRIPTOGRAFIA
INTEGRIDADE ⇒ HASH
DISPONIBILIDADE ⇒ QoS (Quality of Service)
1
MANUEL
ACADEMIA DO CONCURSO
02- (DPRS-FCC-2013) - Um computador ou sistema
computacional é dito seguro se este atender a três requisitos
básicos relacionados aos recursos que o compõem. Alguns
exemplos de violações a cada um desses requisitos são:
I. O seu provedor sofre uma grande sobrecarga de dados ou um
ataque de negação de serviço e por este motivo você fica
impossibilitado de enviar sua Declaração de Imposto de Renda à
Receita Federal.
II. Alguém obtém acesso não autorizado ao seu computador e lê
todas as informações contidas na sua Declaração de Imposto de
Renda.
III. Alguém obtém acesso não autorizado ao seu computador e
altera informações da sua Declaração de Imposto de Renda,
momentos antes de você enviá-la à Receita Federal.
A associação correta do requisito de segurança com os
exemplos de violação está expressa, respectivamente, em:
03-(ICMS/SP-2013-FCC) - Um dos recursos básicos utilizados
na segurança da informação é a criptografia que tem como
objetivo assegurar a
04- (TRE-TO-FCC-2011) Uma das formas de proteger o sigilo
da informação que trafega na Internet é
(A) privacidade.
(B) não responder e-mails que chegam "com cópia oculta"
(A)
(B)
(C)
(D)
(E)
I
II
III
privacidade
integridade
exclusividade
exclusividade
privacidade
acessibilidade
confidencialidade
exclusividade
disponibilidade
disponibilidade
confidencialidade
integridade
acessibilidade
exclusividade
privacidade
(A) não fazer os downloads em notebooks
PRIVACIDADE = CONFIDENCIALIDADE
(C) mandar e-mails somente a pessoas da lista pessoal
(B) legalidade.
(D) não usar a opção "com cópia para" do correio eletrônico
(C) consistência.
(E) a criptografia
(D) disponibilidade.
(E) integridade.
As lacunas I, II e III são correta e, respectivamente, preenchidas
por:
05-(SABESP-2014-FCC)-A segurança da informação visa garantir
a integridade, confidencialidade, autenticidade e disponibilidade
das informações processadas pela organização. Em relação a
estes critérios de segurança da informação, analise:
(A)
(B)
(C)
(D)
(E)
− Manter a I pressupõe garantir a prestação contínua do serviço,
sem interrupções no fornecimento de informações para quem é
de direito.
− Manter a II pressupõe assegurar que as pessoas não tomem
conhecimento de informações, de forma acidental ou proposital,
sem que possuam autorização para tal procedimento.
− A manutenção da III pressupõe a garantia de não violação dos
dados com intuito de alteração, gravação ou exclusão, seja ela
acidental ou proposital.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
2
I
disponibilidade
autenticidade
integridade
disponibilidade
autenticidade
II
integridade
integridade
autenticidade
confidencialidade
disponibilidade
III
autenticidade
disponibilidade
disponibilidade
integridade
confidencialidade
MANUEL
ACADEMIA DO CONCURSO
06- Tomar precauções contra intrusão, invasão e ataques
indesejados, provenientes da Internet, no computador pessoal.
Como medida preventiva citada acima, é seguro e correto
(A) a instalação de programas disponibilizados pelos hackers
para proteção contra vírus.
QUESTÕES CONCEITOS BÁSICOS
(B) a conexão apenas com a Intranet.
(C) o uso de firewall.
(D) a desinstalação da barra de ferramentas do navegador.
(E) a desinstalação da barra de status do navegador.
08- Para determinar a Área de Segurança, ou seja, o espaço
físico que precisa ser protegido contra as ameaças que podem
gerar um incidente de segurança da informação, é necessário
(A) armazenar o backup das informações de segurança no
mesmo prédio, para facilitar o acesso rápido a essas
informações.
(B) instalar equipamentos processadores de informações, tais
como computadores, impressoras, fax etc, em áreas com
acesso público, como expedição e carga de materiais.
(C) definir quais são as informações essenciais e onde elas
podem ser encontradas.
(D) definir as áreas onde são processadas todas as informações.
(E) delimitar uma área de fácil acesso ao público, com
identificações detalhadas de seu propósito.
07- Sobre o mecanismo de proteção firewall, considere:
I. Bloqueia a entrada e/ou saída de dados.
II. Pode ser hardware, software ou ambos.
III. Atua somente entre uma rede interna e outra externa.
Está correto o que consta em
(A) III, apenas
(B) II, apenas
(C) I, II e III
(D) I e II, apenas
(E) I, apenas
TIPOS DE BACKUP
BACKUP INCREMENTAL ⇒ copia somente os arquivos criados ou
alterados desde o último backup normal ou incremental. Os
arquivos que sofreram backup são marcados como tal, ou seja, o
atributo de arquivamento (A) é DESMARCADO. Se o usuário
utilizar uma combinação de backups normais ou incrementais para
restaurar os dados, será preciso ter o último backup normal e
todos os conjuntos de backups incrementais.
BACKUP NORMAL ⇒ copia todos os arquivos selecionados e
marca cada arquivo como tendo sofrido backup, ou seja, o
atributo de arquivamento (A) é desmarcado. Com backups
normais, o usuário só precisa da cópia mais recente do arquivo
(ou da fita) de backup para restaurar todos os arquivos.
Geralmente, o backup normal é executado quando se cria um
conjunto de backup pela primeira vez.
ACADEMIA.DOCX
A
ATRIBUTO DE
ARQUIVAMENTO
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
BACKUP DIFERENCIAL ⇒ copia arquivos criados ou alterados desde
o último backup normal ou incremental. Os arquivos que sofreram
backup não são marcados como tal, ou seja, o atributo de
arquivamento (A) NÃO É DESMARCADO. Se o usuário estiver
executando uma combinação de backups normal e diferencial, a
restauração de arquivos e pastas exigirá que o usuário tenha o último
backup normal e o último backup diferencial.
ACADEMIA.DOCX
ATRIBUTO DE
ARQUIVAMENTO
3
MANUEL
ACADEMIA DO CONCURSO
09- Em segurança da informação nos computadores, o uso de
arquivos backup serve principalmente para
10- Sobre backups, é correto afirmar:
(A) A prudência determina que o sistema operacional deve ter
(A) recuperar arquivos perdidos.
sua cópia de segurança realizada diariamente.
(B) recuperar o sistema operacional em casos de falha.
(B) Criar um ponto de restauração nada mais é do que o
(C) isolar em quarentena os vírus detectados.
sistema operacional efetuar backup de pontos críticos que
(D) recuperar arquivos perdidos e isolar em quarentena os
possam recuperar o sistema operacional após qualquer
vírus detectados.
sinistro.
(E) recuperar o sistema operacional em casos de falha e isolar
(C) A realização do backup em outra área do próprio HD é uma
em quarentena os vírus detectados.
forma
BACKUP = CÓPIA DE SEGURANÇA
que
proporciona
acentuada
rapidez
na
11- Em relação aos tipos de backup, é correto afirmar que o
Backup Incremental
(A) é uma cópia extraída diariamente, contendo todos os
incrementos que ocorreram no sistema operacional.
(B) é uma cópia de segurança que incrementa todas as
inclusões e alterações de programas e configurações.
(C) é a cópia de segurança na qual são copiados somente os
arquivos alterados depois do último backup.
(D) copia todos os arquivos do sistema operacional,
assinalando aqueles que foram alterados.
(E) é programado para ser executado sempre que houver
alteração nos dados armazenados.
(D) Uma cópia só pode ser considerada segura se for
realizada em fita magnética.
(E) A diferença entre os tipos de backup realizados numa rede
de computadores reside, principalmente, no tipo de mídia
utilizado.
12- Sobre segurança da informação é correto afirmar:
(D) Para criar senhas seguras é indicado utilizar informações
(A) Os usuários de sistemas informatizados, devem ter acesso total
aos recursos de informação da organização, sendo desnecessário
a utilização de login e senha.
(B) As organizações não podem monitorar o conteúdo dos e-mails
enviados e recebidos pelos seus colaboradores e nem utilizar
esses dados para fins de auditoria e/ou investigação.
(C) É possível saber quais páginas foram acessadas por um
computador, identificar o perfil do usuário e instalar programas
espiões, entretanto, não é possível identificar esse computador na
Internet devido ao tamanho e complexidade da rede.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
segura
restauração do backup.
fáceis de lembrar, como nome, sobrenome, número de
documentos, números de telefone, times de futebol e datas.
(E) Um firewall/roteador ajuda a promover uma navegação
segura na web, pois permite filtrar os endereços e bloquear o
tráfego de sites perigosos.
4
MANUEL
ACADEMIA DO CONCURSO
13- Com respeito às
27002:2005, considere:
recomendações
da
norma
NBR
Está INCORRETO o que consta em
(A) I, apenas
(B) II, apenas
(C) III, apenas
(D) II e III, apenas
(E) I, II e III
I. São fatores críticos de sucesso da segurança da informação a
provisão de conscientização, treinamento e educação
adequados.
II. A segurança da informação é exclusivamente aplicável aos
negócios do setor público e serve para proteger as
infraestruturas críticas.
III. Se os funcionários, fornecedores e terceiros não forem
conscientizados das suas responsabilidades, eles podem causar
consideráveis danos para a organização.
ALGUNS CONCEITOS BÁSICOS EM SEGURANÇA DA INFORMAÇÃO
ALGUNS CONCEITOS BÁSICOS EM SEGURANÇA DA INFORMAÇÃO
AMEAÇA ⇒ é tudo aquilo que pode comprometer a segurança
de um sistema
AMEAÇA ⇒ é algo que possa provocar danos à segurança da
informação, prejudicar as ações da empresa e sua sustentação
VULNERABILIDADE ⇒ ponto pelo qual alguém pode ser
atacado, molestado ou ter suas informações corrompidas. É a
FRAGILIDADE de um ATIVO ou grupo de ativos que pode ser
explorada por uma ou mais AMEAÇAS.
no negócio, mediante a exploração de uma determinada
VULNERABILIDADE. As ameaças à segurança da informação
são relacionadas diretamente à PERDA de uma de suas TRÊS
CARACTERÍSTICAS
PRINCIPAIS:
RISCO ⇒ é a probabilidade de ameaças explorarem
vulnerabilidades, provocando perdas de confidencialidade,
integridade e disponibilidade, e causando, possivelmente,
impacto nos negócios da empresa.
confidencialidade,
integridade, disponibilidade.
15- Sobre segurança da informação, considere:
14- No contexto da segurança, pode ser definida como a
fraqueza ou deficiência que pode ser explorada. Trata-se de:
I. Ameaça: algo que possa provocar danos à segurança da
(A) Mutação
informação, prejudicar as ações da empresa e sua sustentação
(B) Ameaça
no negócio, mediante a exploração de uma determinada
(C) Vulnerabilidade
vulnerabilidade.
(D) Contingência
II. Vulnerabilidade: é medida pela probabilidade de uma
(E) Probabilidade
ameaça acontecer e pelo dano potencial à empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado
ou ter suas informações corrompidas.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
5
MANUEL
ACADEMIA DO CONCURSO
16- Segundo a norma ISO/IEC 17799, são ativos de
informação:
(A) software básico; ferramentas de desenvolvimento e
utilitários; roteadores e switches.
(B) software básico; banco de dados e arquivos de dados; mídia
magnética (fitas e discos).
(C) banco de dados e arquivos de dados; documentação de
sistemas; planos de continuidade.
(D)
procedimentos
operacionais;
computadores;
equipamentos de comunicação de dados.
(E) software aplicativo; computadores; roteadores e switches.
Está correto o que se afirma APENAS em
(A) II e III
(B) III
(C) I
(D) I e II
(E) I e III
CRIPTOGRAFIA SIMÉTRICA
PRINCIPAIS CARACTERÍSTICAS
Usa a MESMA chave para criptografar e decriptografar.
Rapidez na criptografia e decriptografia das informações, por
essa razão é a mais usada para cifrar grande quantidade de
dados.
A chave secreta deve ser transmitida ou comunicada para o
receptor, tornando-a mais vulnerável a roubo.
Não garante a autenticidade do remetente pois a chave pode
ter sido roubada.
CRIPTOGRAFIA SIMÉTRICA - 1 CHAVE
TEXTO
LEGÍVEL
CIFRAGEM
TEXTO
CIFRADO
DECIFRAGEM
TEXTO
LEGÍVEL
CHAVE
CHAVE
DESTINATÁRIO
REMETENTE
CIFRAGEM / DECIFRAGEM = PROGRAMA(SOFTWARE)
PRINCIPAIS ALGORITMOS - DES
Blowfish CAST, CAST-3, CAST-128
CRIPTOGRAFIA ⇒ CONFIDENCIALIDADE
SEGURANÇA DA INFORMAÇÃO
TEXTO
LEGÍVEL
DESTINATÁRIO
CIFRAGEM
TEXTO
CIFRADO
CHAVE PÚBLICA
DO DESTINATÁRIO
DECIFRAGEM
AES
IDEA
RC2
RC4
RC5
PRINCIPAIS CARACTERÍSTICAS
Usa chaves DIFERENTES para criptografar e descriptografar.
CRIPTOGRAFIA ASSIMÉTRICA - 2 CHAVES (pública/privada)
REMETENTE
3DES
É MAIS SEGURA que a criptografia simétrica, por não
precisar comunicar ao receptor a chave necessária para
TEXTO
LEGÍVEL
descriptografar a mensagem.
Apenas a chave de encriptação é compartilhada (pública). A
CHAVE PRIVADA
DO
DESTINATÁRIO
chave de decriptação (privada) é mantida em segredo com
seu titular.
TODOS CONHECEM
Cada usuário para se comunicar deverá possuir um par de
SÓ O DESTINATÁRIO
CONHECE
chaves (PÚBLICA/PRIVADA).
CRIPTOGRAFIA ⇒ CONFIDENCIALIDADE
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
6
MANUEL
ACADEMIA DO CONCURSO
PRINCIPAIS CARACTERÍSTICAS
CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA
Os processos são MAIS LENTOS, portanto é viável apenas
É possível combinar a criptografia simétrica com a
para pequena quantidade de dados.
É praticamente impossível determinar o valor da chave
assimétrica, somando a segurança com a rapidez.
privada a partir da chave pública.
Como ?
PRINCIPAL ALGORITMO ⇒ RSA
Veja o exemplo seguinte.
(Ron Rivest/Adi Shamir/Leonard Adleman).
Utiliza chaves de 256, 512, 1024 e até 2048 bits.
CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA
CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA
X envia a mensagem, que agora contem duas partes: a
mensagem criptografada (com a chave simétrica CS) e a
própria chave (CS) criptografada com um algoritmo
assimétrico.
Quando Y receber a mensagem, fará o seguinte: descriptar
a chave (CS) usando a sua chave privada (que só ele sabe),
e em seguida, usar a CS para descriptografa a própria
mensagem.
Obs. ⇒ A utilização de Chaves de Sessão-CS (Session Keys) é
muito comum em sistemas baseados em criptografia de chave
pública e que utilizam a criptografia simétrica para cifrar e
decifrar mensagens.
X deseja enviar uma e-mail (mensagem) com um arquivo
atachado para Y.
X cifra a mensagem utilizando um algoritmo simétrico e uma
chave simétrica utilizada apenas para aquela transação e
chamada de CHAVE DE SESSÃO (CS).
Mas como enviar a chave (CS) para Y descriptar a
mensagem ? E se alguém descobre ?
X criptografa a chave simétrica (CS) utilizando um algoritmo
ASSIMÉTRICO e a chave pública de Y.
CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA
REMETENTE
TEXTO
LEGÍVEL
CIFRAGEM
SIMÉTRICA
CHAVE DE
SESSÃO
CS
COMO FUNCIONA O HASH ?
Quando um usuário envia um e-mail, ele utiliza um algoritmo
para calcular o Hash da mensagem (resumo). Esse Hash
(gerado pelo algoritmo) nada mais é do que um conjunto de
caracteres (bytes-arquivo) de tamanho FIXO. Esse tamanho
DEPENDE APENAS do ALGORITMO utilizado. Assim, um
arquivo grande e um arquivo pequeno, se usarem o mesmo
algoritmo terão um Hash do MESMO TAMANHO, embora
sejam DIFERENTES.
DESTINATÁRIO
TEXTO
CIFRADO
CS
CIFRADA
CIFRAGEM
ASSIMÉTRICA
CHAVE PÚBLICA
DO DESTINATÁRIO
TODOS
CONHECEM
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
TEXTO
CIFRADO
CS
CIFRADA
DECIFRAGEM
SIMÉTRICA
TEXTO
LEGÍVEL
CHAVE DE
SESSÃO
CS
DECIFRAGEM
ASSIMÉTRICA
⇒ Os algoritmos de Hash mais usados são: MD2, MD4,
MD5 e o SHA-1.
CHAVE PRIVADA
DO DESTINATÁRIO
HASH ⇒ INTEGRIDADE
SÓ O DESTINATÁRIO
CONHECE
7
MANUEL
ACADEMIA DO CONCURSO
17- Sobre a criptografia simétrica, é correto afirmar:
COMO FUNCIONA O HASH ?
DESTINATÁRIO
REMETENTE
TEXTO
LEGÍVEL
TEXTO
LEGÍVEL
ALGORITMO
HASH
(A) A criptografia por chave pública é simétrica no sentido de
que emprega duas chaves inversamente relacionadas: uma
chave pública e uma chave privada.
(B) A chave privada é mantida em segredo pelo seu proprietário
e a chave pública é distribuída livremente.
(C) Para transmitir uma mensagem com segurança, o emissor
usa a chave pública do receptor para criptografar a mensagem.
Então, o receptor decifra a mensagem utilizando sua chave
privada exclusiva.
HASH DO
TEXTO
ALGORITMO
HASH
HASH DO
TEXTO
HASH DO
TEXTO
SÃO IGUAIS ?
Observações:
HASH ⇒ GARANTE INTEGRIDADE !
HASH ⇒ NÃO GARANTE CONFIDENCIALIDADE !
18- Na criptografia assimétrica
(D) Se o sistema ficar comprometido devido ao fato de a chave
privada cair nas mãos de terceiros, o usuário deverá trocar
todo o algoritmo criptográfico ou de decriptação e não
somente a chave.
(E) Usa a mesma chave secreta para criptografar e decriptar.
(A) usa-se uma única chave para encriptar e decriptar
mensagens
(B) apenas a chave de encriptação é compartilhada
(C) encriptação e decriptação são processos simples que
exigem pouco processamento.
(D) há suscetibilidade a quebras de segredo por meio da
autenticação do algoritmo 3DES.
(E) a chave de encriptação é gerada pelo seu titular, por meio
da função HASH MD5, exclusivamente.
SIMÉTRICA
⇒ 1 CHAVE (secreta/privada/simétrica/sessão)
ASSIMÉTRICA ⇒ 2 CHAVES ⇒ PÚBLICA / PRIVADA
• PÚBLICA ⇒ criptografar (encriptar) ⇒ todos conhecem !
• PRIVADA ⇒ descriptografar (decriptar) ⇒ só o dono conhece!
PRINCÍPIO DE KERCKHOFF ⇒
EXCLUSIVAMENTE NA CHAVE !
O
SEGREDO
DEVE
RESIDIR
19- São, respectivamente, um algoritmo de criptografia
assimétrica (chave pública) e um de simétrica (convencional):
(A) SSL e SSM
(B) RSA e AES
(C) KDC e ECC
(D) DES e 3DES
(E) 3DES e RSA
SIMÉTRICOS
DES
3DES
AES
IDEA
RC2
RC4
RC5
BLOWFISH
CAST
CAST-3
CAST-128
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
SSL/TLS (SECURE SOCKET LAYER) ⇒ criptografia e
autenticação.
KDC (Key Distribution Center) ⇒ servidor centralizado
também responsável pela autenticação dos usuários
ECC (Eliptic Curve Cryptography) ⇒ criptografia assimétrica
SMS ⇒ SHORT MESSAGE SERVICE (até 160 caracteres)
MMS ⇒ MULTIMEDIA MESSAGING SERVICE ⇒ permite
enviar e receber mensagens com mais de 160 caracteres, bem
como enriquecê-las com recursos audiovisuais, como imagens,
sons e gráficos. O MMS foi criado para tirar proveito das
tecnologias 3G, 4G, etc.
ASSIMÉTRICO
RSA
8
MANUEL
ACADEMIA DO CONCURSO
20- Em relação aos princípios da segurança, a criptografia, por
si só, garante
(A) a integridade dos dados
⇒ HASH
(B) a confidencialidade
⇒ CRIPTOGRAFIA
21- Com a criptografia simétrica, um requisito fundamental para
que duas partes se comuniquem com segurança é
(A) que haja um cabeamento adequado que evite invasões.
(B) estabelecer comunicação apenas na camada host/rede.
(C) a existência de um monitoramento de rede eficaz e online.
(C) a identidade do remetente ⇒ ASSINATURA DIGITAL
(D) elas compartilharem duas chaves públicas, porém cada
(D) o não repúdio
⇒ ASSINATURA DIGITAL
uma em um período diferente do dia.
(E) a autenticidade
⇒ ASSINATURA DIGITAL
(E) elas compartilharem uma chave secreta.
22- Para que a criptografia simétrica funcione, os dois lados de
uma troca necessitam
23- (TRE-TO-FCC-2011) Uma das formas de proteger o sigilo
da informação que trafega na Internet é
(A) que após a transmissão da mensagem, imediatamente seja
trocada a chave pública.
(B) ter a mesma chave e esta deve estar protegida contra o
acesso de terceiros.
(C) ter chaves diferentes, com uma delas não necessariamente
protegida contra o acesso de terceiros.
(D) usar duas chaves públicas em cada mensagem trocada.
(E) usar duas chaves privativas diferentes em cada mensagem
trocada
(A) não fazer os downloads em notebooks
(B) não responder e-mails que chegam "com cópia oculta"
(C) mandar e-mails somente a pessoas da lista pessoal
(D) não usar a opção "com cópia para" do correio eletrônico
(E) a criptografia
CS ⇒ CHAVE DE SESSÃO
24-LIQUIGÁS-TI-BDADOS-2012-CESGRANRIOOs
sistemas
criptográficos contemporâneos se valem do poder de processamento
dos computadores para criar algoritmos difíceis de quebrar. Essa
mesma capacidade de processamento é uma das forças da
criptoanálise. Nesse contexto, um dos conceitos (princípio de
Kerckhoffs) que prevalecem para certificar ou homologar algoritmos
criptográficos é que eles devem ser tão bem construídos que sua
resistência a ataques de criptoanálise não deve residir no sigilo do
algoritmo, mas, unicamente, no segredo da(o)
25-IBGE-ANALISTA REDE-2013 - CESGRANRIO - Um remetente pode
proteger o sigilo de uma mensagem em texto plano, criptografando-a com
uma chave simétrica e um algoritmo de criptografia simétrica. Para enviar a
chave simétrica com segurança para o destinatário, o remetente deve
criptografar essa chave com um algoritmo de criptografia assimétrica e a
(A) sua chave privada
(B) sua chave pública
(C) chave privada do destinatário
(A) chave
(B) identidade do remetente
(C) assinatura do remetente
(D) identidade do destinatário
(E) canal de transmissão
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
CRIPTOGRAFIA SIMÉTRICA + ASSIMÉTRICA
(D) chave pública do destinatário
(E) própria chave simétrica
9
MANUEL
ACADEMIA DO CONCURSO
26 - BNDES - ANALISTA DE SISTEMAS-2010 - CESGRANRIO
Um usuário mal-intencionado obteve, além do tipo de algoritmo utilizado na
criptografia, a chave pública de João, quando este iniciou uma comunicação
criptografada (algoritmo assimétrico) com Marcela. De posse dessa chave
pública e do algoritmo, o usuário mal-intencionado
27- PETROBRÁS-ANALISTA-INFRA-2012-CESGRANRIO
Para garantir o sigilo em uma comunicação, um emissor pode enviar uma
mensagem criptografada com um algoritmo de criptografia simétrica. Para
que o receptor possa decifrar essa mensagem, é necessário obter a chave
(A) privada do emissor que foi utilizada pelo algoritmo
mensagem.
(B) privada e a chave secreta do emissor que foram utilizadas
para cifrar a mensagem.
(C) secreta do emissor que foi utilizada pelo algoritmo
mensagem.
(D) pública do emissor que foi utilizada pelo algoritmo
mensagem.
(E) pública e a chave secreta do emissor que foram utilizadas
para cifrar a mensagem.
(A) pode ler o conteúdo das mensagens enviadas de João a Marcela,
mas não o inverso.
(B) pode ler o conteúdo das mensagens enviadas de Marcela a João,
mas não o inverso.
(C) não tem acesso ao conteúdo das mensagens de posse desses
itens.
(D) consegue obter a chave privada a partir de ataques de dicionário.
(E) consegue obter a chave privada utilizando ataques de SQL
Injection.
para cifrar a
pelo algoritmo
para cifrar a
para cifrar a
pelo algoritmo
31-ANTAQ-2014-CESPE-UNB Na criptografia simétrica, a mesma chave
compartilhada entre emissor e receptor é utilizada tanto para cifrar quanto
para decifrar um documento. Na criptografia assimétrica, utiliza-se um par de
chaves distintas, sendo a chave pública do receptor utilizada pelo emissor
para cifrar o documento a ser enviado; posteriormente, o receptor utiliza sua
chave privada para decifrar o documento.
28-ANATEL-2014-CESPE-UNB - As funções HASH são
utilizadas para autenticar mensagens, não possuem chave de
encriptação e são irreversíveis.
29-ANATEL-2014-CESPE-UNB - Nos métodos mais seguros de
criptografia, a função e a chave utilizadas na encriptação
devem ser de conhecimento exclusivo do remetente da
mensagem.
32-ANTAQ-2014-CESPE-UNB- A utilização adequada dos mecanismos de
criptografia permite que se descubra qualquer alteração em um documento
por partes não autorizadas, o que garante a confidencialidade do documento.
33-ANTAQ-2014-CESPE-UNB- Para a utilização de criptografia assimétrica,
a distribuição das chaves públicas é comumente realizada por meio de
certificado digital, que contém o nome do usuário e a sua chave pública,
sendo a autenticidade dessas informações garantida por assinatura digital de
uma terceira parte confiável, denominada AC.
30-ANTAQ-2014-CESPE-UNBAES,
SHA-3
e
RSA
correspondem, respectivamente, a um algoritmo de criptografia
simétrica, a uma função de hash criptográfico e a um algoritmo
de criptografia assimétrica.
34-FGV-2014-Dois estagiários de TI discutiram o uso de
criptografia simétrica, levantando vários argumentos, e
analisando as características desse tipo de criptografia. A única
afirmativa verdadeira nessa discussão foi que os algoritmos de
criptografia simétrica:
35- Uma assinatura digital é um recurso de segurança cujo
objetivo é
(A) são mais lentos que os de criptografia assimétrica;
(B) precisam de um mecanismo de distribuição de chaves
públicas;
(C) exigem o uso de chave secreta compartilhada;
(D) usam chaves com tamanho superior a 768 bits;
(E) são usados como base da certificação digital.
um token.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
(A) identificar um usuário apenas por meio de uma senha.
(B) identificar um usuário por meio de uma senha, associada a
(C) garantir a autenticidade de um documento.
(D) criptografar um documento assinado eletronicamente.
(E) ser a versão eletrônica de uma cédula de identidade.
10
MANUEL
ACADEMIA DO CONCURSO
COMO FUNCIONA A ASSINATURA DIGITAL
ASSINATURA DIGITAL GARANTE
• AUTENTICIDADE
DESTINATÁRIO
REMETENTE
• INTEGRIDADE
TEXTO
LEGÍVEL
• NÃO-REPÚDIO
(IRRETRATABILIDADE/IRREFUTABILIDADE)
ALGORITMO
HASH
OBS1. ASSINATURA DIGITAL ⇒ o remetente assina o HASH
(resumo) do documento com sua chave PRIVADA que será
TEXTO
LEGÍVEL
HASH DO
TEXTO
OBS2. ASSINATURA DIGITAL ⇒
ASSINA COM
CHAVE PRIVADA
DO REMETENTE
NÃO GARANTE CONFIDENCIALIDADE
HASH DO
TEXTO
ASSINADO
HASH DO
TEXTO
ASSINADO
ALGORITMO
DSA
reconhecida no destino por sua chave PÚBLICA.
ALGORITMO
HASH
SÓ O REMETENTE
CONHECE
HASH DO
TEXTO
HASH DO
TEXTO
SÃO IGUAIS ?
ALGORITMO
DSA
ABRE COM
CHAVE PÚBLICA
DO REMETENTE
TODOS CONHECEM
36- Com relação ao conteúdo dos dados de um certificado
digital, nele NÃO consta
INFRA-ESTRUTURA DE CHAVE PÚBLICA - ICP
COMPONENTES DE UMA PKI
(A) a chave privada do titular do certificado
AC-RAIZ
(B) o nome completo do titular do certificado
AC
INTERMEDIÁRIA
AC
INTERMEDIÁRIA
AC
INTERMEDIÁRIA
AC
REGISTRO
AC
REGISTRO
AC
REGISTRO
USUÁRIO
USUÁRIO
USUÁRIO
(C) o endereço de e-mail do titular do certificado
(D) o nome da autoridade certificadora
(E) a assinatura da autoridade certificadora
37- Em relação à assinatura digital, é INCORRETO afirmar:
(D) A assinatura é uma função do documento e não pode ser
(A) Quando um usuário usa a chave pública do emitente para
transferida
decifrar uma mensagem, ele confirma que foi aquele emitente e
reutilizável.
somente aquele emitente quem enviou a mensagem, portanto, a
(E) O usuário destinatário não precisa de nenhuma ajuda do
assinatura é autêntica.
usuário emitente para reconhecer sua assinatura e o emitente
(B) O documento assinado não pode ser alterado: se houver
não pode negar ter assinado o documento, portanto, a
qualquer alteração no texto criptografado este só poderá ser
assinatura não pode ser repudiada.
para
outro
documento,
portanto, ela
não é
restaurado com o uso da chave pública do emitente.
(C) A assinatura não pode ser forjada, pois somente o emitente
conhece sua chave secreta.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
11
MANUEL
ACADEMIA DO CONCURSO
39- Sobre Certificação Digital, analise:
38- Ao gerar o par de chaves criptográficas para o certificado
digital, a Autoridade de Registro
I. As transações feitas com a identidade digital têm validade
jurídica garantida pela Medida Provisória 2.200-2.
II. A validade do certificado digital pode variar de 1 a 3 anos.
Após o vencimento, é necessário fazer a renovação novamente
com a Autoridade de Registros.
III. Smart card, token ou computador pessoal são algumas das
opções de armazenamento do certificado digital.
IV. O certificado digital Tipo A1 oferece maior segurança e
praticidade, pois, é gerado e armazenado em um hardware,
ou seja, em um smart card ou token.
(A) armazena a chave pública.
(B) armazena a chave privada.
(C) armazena as chaves pública e privada.
(D) armazena a chave privada e a senha de acesso à chave.
(E) armazena as chaves pública e privada e a senha de acesso
à chave privada.
A1 é gerado e armazenado no computador pessoal do usuário !
TIPOS DE CERTIFICADOS DIGITAIS
Está correto o que consta em
(A) I, II, III e IV.
(B) I, II e III, apenas.
(C) I e II, apenas.
(D) II, III e IV, apenas.
(E) I e IV, apenas.
A1 ⇒ validade de 1 ano
A3 ⇒ validade de 3 anos
A funcionalidade e o padrão dos certificados digitais tipos A1 ou A3
são idênticos, a principal diferença é a mídia de armazenamento.
TIPOS DE CERTIFICADOS DIGITAIS
40- Na estrutura I, a II , é composta por entidades vinculadas
operacionalmente a uma determinada III. Sua função é
identificar e cadastrar os usuários, em postos de atendimento a
que os mesmos possam comparecer e, a partir daí, encaminhar
as solicitações de certificados digitais para uma IV.
As lacunas I, II, III e IV são completadas correta e
respectivamente por
(A) da Casa Civil da Presidência da República, Autoridade de
Registro,
Autoridade
Certificadora
Raiz,
Autoridade
Certificadora.
(B) ICP Brasil, Autoridade de Registro, Autoridade Certificadora,
Autoridade Certificadora.
(C) ICP Brasil, Autoridade Certificadora, Autoridade de Registro,
Autoridade de Registro.
TIPO A1 ⇒ a chave privada é armazenada no DISCO RÍGIDO do
computador, que também é utilizado para realizar a assinatura
digital. Tem melhor desempenho por utilizar o computador para
realizar a assinatura digital, que é um fator a ser considerado
para empresas que emitem uma grande quantidade de NF-e
(notas fiscais eletrônicas) diariamente.
TIPO A3 ⇒ a chave privada é armazenada em dispositivo
PORTÁTIL inviolável do tipo smart card ou token, que possuem
um chip com capacidade de realizar a assinatura digital. Este tipo
de dispositivo é bastante seguro, pois toda operação é realizado
pelo chip existente no dispositivo, sem qualquer acesso externo à
chave privada do certificado digital. Oferece maior segurança.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
12
MANUEL
ACADEMIA DO CONCURSO
41- Considere:
40- Na estrutura I, a II , é composta por entidades vinculadas
operacionalmente a uma determinada III. Sua função é
identificar e cadastrar os usuários, em postos de atendimento a
que os mesmos possam comparecer e, a partir daí, encaminhar
as solicitações de certificados digitais para uma IV.
As lacunas I, II, III e IV são completadas correta e
respectivamente por
(D) da Casa Civil da Presidência da República, Autoridade
Certificadora Raiz, Autoridade Certificadora, Autoridade de
Registro.
(E) de criptografia, Autoridade de Registro, Autoridade
Certificadora Raiz, Autoridade Certificadora.
I. A Infraestrutura de Chaves Públicas (ICP) pode ser formada
por órgão, ou iniciativa pública ou privada, com competência
para definir os padrões técnicos e práticos para suportar um
sistema criptográfico com base em certificados digitais.
II. A AC Raiz da ICP-Brasil, representada pelo ITI, é a
responsável por fazer o credenciamento e auditoria de toda a
cadeia
hierárquica
de
confiança
e
delega
às
ACs
a
responsabilidade pela fiscalização e supervisão das ARs.
III. Nos níveis de hierarquia que formam a cadeia de confiança
de uma ICP, apenas o segundo nível, sempre representado por
uma AC, está habilitado para gerar um certificado digital.
IV. A obtenção de um certificado digital pode ser feita por
qualquer pessoa jurídica ou física, bastando apresentar
fisicamente a documentação necessária a uma AR, que passará
esses dados para a AC à qual é subordinada.
FERRAMENTAS DE SEGURANÇA
FIREWALL ⇒ É o principal instrumento de defesa de
uma rede corporativa já que centraliza a administração e a
configuração de segurança, dispensando a instalação de
É correto o que consta APENAS em
(A) I e II
(B) I e IV
(C) II e III
(D) II, III e IV
(E) III e IV
softwares adicionais em cada host (máquina) da rede.
Regra Básica de um Firewall é: o que não for
expressamente permitido é proibido.
FERRAMENTAS DE SEGURANÇA
42- Uma rede de computadores privada construída sobre uma
rede de acesso público, como a Internet, utilizando
comunicação criptografada por meio da rede pública é
denominada
VPN (Virtual Private Network) ⇒ rede particular que utiliza
a infra-estrutura de uma rede pública de telecomunicações,
(A) VPN
como a Internet, por exemplo, para a transmissão de
(B) RENPAC
informações confidenciais. Os dados transmitidos são
(C) X.25
encriptados. Sua implementação se dá por meio de
(D) LAN
firewalls instalados entre as redes particulares e a
(E) WAN
Internet, formando túneis virtuais pelos quais trafegam as
informações, protegendo-as do acesso de usuários não
autorizados.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
13
MANUEL
ACADEMIA DO CONCURSO
FERRAMENTAS DE SEGURANÇA
VPN (VIRTUAL PRIVATE NETWORK)
Este tipo de rede é mais empregado no âmbito
corporativo,
conectando
a
matriz
à
suas
INTERNET
REDE PÚBLICA
filiais
VPN
REDE PRIVADA
espalhadas em diferentes cidades ou países. Alguns
protocolos utilizados no túnel virtual, são:
CRIPTOGRAFIA
DECRIPTOGRAFIA
PPTP (Point-to-Point Tunneling Protocol) e o IPSec
(Internet Protocol Security).
PPTP ⇒ cria o túnel virtual
IPSEC ⇒ criptografia
FILIAL
SP
43- O Point-to-Point Tunneling Protocol (PPTP) é um protocolo
utilizado para
(A) conexões seguras através de discagem por telefone.
(B) construir redes privadas virtuais.
(C) transmissão segura de pacotes de dados IP através de
conexões telefônicas.
(D) troca de mensagens através do correio eletrônico.
(E) transferência de arquivos em operações de EDI
CRIPTOGRAFIA
DECRIPTOGRAFIA
44- Sobre as Virtual Private Networks (VPNs), é correto afirmar:
(A) Não implementam autenticação de dados.
(B) Utilizam a infraestrutura existente da Internet e são muito
mais econômicas do que as redes de longa distância (WANs).
(C) Não são seguras, por não implementar criptografia de
dados.
(D) Para habilitar conexões seguras, utiliza sempre o protocolo
Secure Sockets Layer (SSL) em vez do protocolo Internet
Protocol Security (IPsec).
(E) As VPNs estão cada vez mais populares nas empresas, por
serem fáceis de gerenciar.
EDI (ELECTRONIC DATA INTERCHANGE-TROCA ELETRÔNICA DE
DADOS) ⇒ transmissão automática de dados comerciais partindo de um
sistema de computadores para outro.
45- Uma sub-rede, que contém todos os serviços com acesso
externo, localizada entre rede externa não confiável (Internet) e
uma rede local confiável é
FERRAMENTAS DE SEGURANÇA - DMZ
(A) um firewall baseado em filtros
REDE
INTERNA
(B) um sistema de detecção de intrusos
(C) um sistema de certificação digital
(D) uma zona desmilitarizada
(E) uma ferramenta de hardening
F
I
R
E
W
A
L
L
INTERNET
DMZ
DMZ ⇒ ZONA DESMILITARIZADA ⇒ REDE DE PERÍMETRO
BASTION
HOST
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
FILIAL
RJ
14
SERVIDORES
PROXY
MANUEL
ACADEMIA DO CONCURSO
47- Em relação à segurança em redes de computadores
existem ataques de negação de serviços, onde o acesso a um
sistema é interrompido ou impedido, deixando de estar
disponível; ou uma aplicação, cujo tempo de execução é crítico,
é atrasada ou abortada. Trata-se de um ataque que
compromete o aspecto da
46- É uma pequena rede situada entre uma rede confiável e
uma não confiável, ou seja, mantém a rede local separada de
todos os serviços que possuem acesso externo:
(A) VPN (Virtual Private Network)
(B) DMZ (DeMilitarized Zone)
(A) autenticidade
(B) confidencialidade
(C) disponibilidade
(D) integridade
(E) interoperabilidade
(C) VNC (Virtual Network Computing)
(D) CSG (Citrix Secure Gateway)
(E) SWG (Secure Web Gateway)
FORMAS DE ATAQUE
DoS (Denied of Service-Negação de Serviço) ⇒ método
utilizado por crackers para tirar um site da Internet do ar
através de um ataque generalizado. Aproveita-se de uma
deficiência do TCP, que para estabelecer a conexão entre dois
computadores, requer o envio de três mensagens: a solicitação
da conexão (SYN); sua confirmação (SYN+ACK) e a tréplica
(ACK), em que é pedido o início da transmissão. Como a
solicitação de comunicação é enviada para um endereço de
resposta falso, o servidor envia a confirmação de recebimento do
pedido de conexão para esse endereço e fica paralisado
aguardando a resposta. Como milhares de pedidos idênticos são
feitos simultaneamente, a máquina tem esgotado sua capacidade
de atendimento e para de funcionar.
FORMAS DE ATAQUE
DoS (DENIED OF SERVICE)
HACKER
SYN+ACK
SYN+ACK
YAHOO
PÁGINA NÃO PODE
SER ABERTA !
48- Um ataque do gênero Denial of Service (DoS) tem como
principal objetivo sobrecarregar o computador alvo até ele parar
de responder ou, até mesmo, desligar. Enquadram-se nesse
gênero os ataques
I. Buffer Overflow.
II. PING of Death.
III. SYN Flooding.
IV. Smurf.
HACKER
M3
SITE-01
SYN
SYN
SYN+ACK
DDoS (Distributed Denied of Service)
M2
SYN
SYN+ACK
FORMAS DE ATAQUE
M1
SYN
SYN
SYN+ACK
USUÁRIO
M999
Está correto o que se afirma em
(A) I, II e III, apenas.
(B) I, III e IV, apenas.
(C) II, III e IV, apenas.
(D) III e IV, apenas.
(E) I, II, III e IV.
M1000
SITE-02
BOTNET ⇒ REDE DE ZUMBIS !
São usados vários computadores (zumbis de uma botnet) vários
sites podem ser atacados simultaneamente !
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
15
MANUEL
ACADEMIA DO CONCURSO
49- Considere:
I. Tipo de ataque onde é enviada uma enorme quantidade de
pedidos a um determinado serviço a fim de sobrecarregá-lo e
deixá-lo inoperante.
II. Sistema instalado na rede que analisa todos os pacotes e
tenta detectar os ataques definidos em (I).
I e II são, respectivamente,
50- São programas maliciosos que exploram vulnerabilidades
existentes ou falhas na configuração de softwares instalados em
um computador e que dispõem de mecanismos de comunicação
com o invasor, para permitir que o programa seja controlado
remotamente e o invasor, com presença assegurada, possa
desferir os ataques ao computador comprometido e/ou a outros
computadores. Trata-se de
(A) NIDS e QoS
(B) IDS e DoS
(C) PIDS e HIDS
(D) DoS e NIDS
(E) QoS e IDS
(A) Vírus e Worm
(B) BOT e ROOTKIT
(C) Trojan e Spyware
(D) Spyware e Adware
(E) Worm e Exploits
TIPOS DE IDS
HOST BASED (HBIDS)
NETWORK BASED (NIDS)
HIDS (HYBRID IDS)
51- Por questões de segurança, não é permitido o acesso às
configurações do programa de antivírus instalado nos
computadores. Essa restrição previne o ataque de vírus, tal
como aquele que traz em seu bojo um código a parte, que
permite a um estranho acessar o micro infectado ou coletar
dados e enviá-los pela Internet para um desconhecido, sem que
o usuário saiba. Esse vírus é conhecido por:
EXPLOIT ⇒ é qualquer programa,
comando ou sequência de dados que
se aproveite da vulnerabilidade de um
sistema para invadi-lo.
52- É o ataque a computadores que se caracteriza pelo envio
de mensagens não solicitadas para um grande número de
pessoas:
(A) SPYWARES
(B) TROJAN
(C) WORMS
(A) VÍRUS DE BOOT
(D) SPAM
(B) SPYWARE OU PROGRAMA ESPIÃO
(E) VÍRUS
(C) SPAM
(D) WORM OU VERME
(E) TROJAN OU CAVALO DE TRÓIA
53- Ativado quando o disco rígido é ligado e o sistema
operacional é carregado; é um dos primeiros tipos de vírus
conhecido e que infecta a partição de inicialização do sistema
operacional. Trata-se de
54 - Infectam arquivos de programas Word, Excel, Power Point
e Access, também aparecendo em outros arquivos. São os
vírus:
(A) de mutação
(A) vírus de boot
(B) polimórficos
(B) cavalo de Troia
(C) verme
(C) de split
VERME = WORM
(D) de boot
(D) vírus de macro
(E) de macro
(E) spam
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
16
VBA ⇒ VISUAL BASIC FOR APPLICATIONS
MANUEL
ACADEMIA DO CONCURSO
55- Programa capaz de capturar e armazenar as teclas
digitadas pelo usuário no teclado de um computador. Trata-se
de
56- Considere os seguintes motivos que levaram diversas
instituições financeiras a utilizar teclados virtuais nas
páginas da Internet:
(A) SCAM
(B) KEYLOGGERS
I. facilitar a inserção dos dados das senhas apenas com o uso
SCREENLOGGER ⇒ captura a tela
do mouse.
(C) WORM
II. a existência de programas capazes de capturar e armazenar
(D) TROJAN
as teclas digitadas pelo usuário no teclado de um computador.
(E) SPAM
III. possibilitar a ampliação dos dados do teclado para o uso
de deficientes visuais.
57- É uma forma de fraude eletrônica, caracterizada por
tentativas de roubo de identidade. Ocorre de várias maneiras,
principalmente por e-mail, mensagem instantânea, SMS, dentre
outros, e, geralmente, começa com uma mensagem de e-mail
semelhante a um aviso oficial de uma fonte confiável, como um
banco, uma empresa de cartão de crédito ou um site de
comércio eletrônico. Trata-se de
(A) Hijackers
(B) Phishing
(C) Trojans
(D) Wabbit
(E) Exploits
Está correto o que se afirma em
(A) I, apenas
(B) II, apenas
(C) III, apenas
(D) II e III, apenas
(E) I, II e III
EXPLOITS ⇒ ferramentas específicas para se explorar vulnerabilidades.
58- No caso de phishing, no qual o atacante comprometeu o
servidor de nomes do provedor (DNS), de modo que todos os
acessos a determinados sites passaram a ser redirecionados
para páginas falsificadas, a ação que, preventivamente, se
apresenta mais adequada é
(A) verificar a autenticidade do certificado digital.
(B) digitar novamente o endereço diretamente no browser e
compará-lo com a página anterior.
(C) observar o endereço apresentado na barra de status do
browser e verificar se ele corresponde ao do site pretendido.
(D) verificar o endereço IP do provedor de Internet visitado.
(E) utilizar comandos, tais como ping e telnet, para verificar a
confiabilidade do site.
PHARMING
HIJACKERS ⇒ programas ou scripts que "sequestram"
navegadores de Internet. O hijacker altera a página inicial do
browser e impede o usuário de mudá-la, exibe propagandas
em popups ou janelas novas, instala barras de ferramentas no
navegador e podem impedir acesso a determinados sites.
WABBIT⇒ programa que se auto-replica. Não usam programas
ou arquivos hospedeiros e não utilizam redes (não se propagam
pela Internet) para distribuir suas cópias. O Wabbit se auto
replica (como um WORM) repetitivamente no computador,
causando dano pelo consumo de recursos.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
17
MANUEL
ACADEMIA DO CONCURSO
59- O software que infecta um computador, cujo objetivo é
criptografar arquivos nele armazenados e, na sequência, cobrar
um resgate do usuário para fornecer uma senha que possibilite
decriptar os dados, é um malware do tipo
60- Em redes de computadores, é o tipo de ataque em que o
espião intercepta a comunicação entre dois usuários, de forma
que o usuário A comunique-se com ele mesmo pensando ser o
usuário B, e o usuário B também o faz, pensando ser o usuário
A. Trata-se de
(A) trojan, denominado ransomware
(A) SYN Flooding
(B) backdoor, denominado ransomware
(B) Pharming
(C) worm, denominado ransomware
(C) Man-in-The-Middle
(D) trojan, denominado spyware
(D) DoS
(E) backdoor, denominado spyware
(E) Spoofing
61- O usuário do computador recebe uma mensagem não
solicitada, geralmente de conteúdo alarmista, a fim de assustá-lo
e convencê-lo a continuar a corrente interminável de e-mails
para gerar congestionamento na rede. Trata-se de um ataque
denominado
(A) Hoax
MAN IN THE MIDDLE
SWITCH
SNIFFING
Resposta ARP
IP de B tem
O MAC de C
HOST A
(B) Worms
(C) Trojans
Resposta ARP
IP de A tem
O MAC de C
HOST C
(D) Spam
(E) Backdoors
HOST B
MAN IN THE MIDDLE
62- (MPE-AP-2012) É um tipo específico de phishing que
envolve o redirecionamento da navegação do usuário para sites
falsos, por meio de alterações no serviço de DNS (Domain
Name System). Neste caso, quando o usuário tenta acessar um
site legítimo, o navegador Web é redirecionado, de forma
transparente, para uma página falsa. O tipo de phishing citado
no texto é conhecido como
(A) advance fee fraud. Fraude de taxa antecipada
(B) hoax.
Mensagem alarmante - boato !
(C) pharming.
Modificam a página de um site
(D) defacement.
(E) source spoofing.
Spoofing - enganar - IP SPOOFING
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
63- Item-III: Sempre atualize e execute a proteção contra vírus,
sempre configure para o antivírus fazer um “scan” nos
downloads e nunca confie em qualquer anexo de mensagens
enviadas, mesmo que sejam de pessoas que você conheça. A
autopropagação de virus começa a partir das pessoas que
mantém o seu endereço de e-mail nos livros de endereço
(address book) dos programas de correio eletrônico.
18
MANUEL
ACADEMIA DO CONCURSO
No contexto do item III,
(A) scan é um recurso não nativo em qualquer programa de
antivírus. Ele precisa ser baixado da Internet, através de
download, necessitando, nesse caso, passar pelo processo de
escaneamento.
(B) o correio eletrônico é a forma mais comum e conhecida de
spamming, ou seja, o spammer utiliza programas que
automatizam a obtenção de endereços e o envio a um grande
número de destinatários.
(C) sites confiáveis asseguram a obtenção de downloads, sem
risco de contaminação.
(D) Worms são vírus que necessitam de anexos para se
hospedarem e depois se replicarem.
(E) uma forma segura de proteger-se contra o ataque de virus
ao computador é a eliminação do livro de endereços do
correio eletrônico.
64- Evitar a propagação de HOAXES.
A precaução mencionada acima tem por motivo a ciência de
que frequentemente
65- Os itens de segurança, citados no trecho de texto “... Toda a
segurança física e lógica das informações que garanta
autenticidade, sigilo, facilidade de recuperação e proteção
contra invasões e pragas eletrônicas”, aqui em negrito, estão
respectivamente ordenados em relação aos conceitos de
(A) ocorre a execução de programas antivírus não certificados.
(B) são executados arquivos anexados em sites maliciosos.
(A) autenticação, assinatura digital, backup e antivírus.
(B) assinatura digital, autenticação, backup e antivírus.
(C) criptografia, assinatura digital, antivírus e backup.
(D) assinatura digital, criptografia, backup e antivírus.
(E) criptografia, autenticação, backup e antivírus.
(C) existe falta de controle sobre arquivos lidos nos sites.
(D) ocorrem boatos espalhados para fins maliciosos ou para
desinformação via e-mail.
(E) não são instalados programas antivírus.
66- (AL-RN-2013) - Uma conexão segura deve ser utilizada
quando dados sensíveis são transmitidos em operações
realizadas em sites de Internet Banking e de comércio
eletrônico. Neste tipo de conexão, há uma troca criptografada
de informações entre um site e o navegador. Para ajudar a
garantir que uma transação seja segura deve-se verificar se o
endereço Web começa com o prefixo HTTPS. Nessa conexão, o
protocolo de criptografia utilizado é o:
(A) SSL.
(B) SOAP.
(C) RSA.
(D) SHA.
(E) SAP.
67- (AL-RN-2013) - Analise as ações a seguir:
I. Acessar sites de comércio eletrônico clicando em um link de
uma mensagem de e-mail.
II. Pesquisar na Internet referências sobre o site, antes de
efetuar uma compra.
III. Realizar compras ou pagamentos por meio de computadores
de terceiros.
IV. Não fornecer dados de cartão de crédito em sites sem
conexão segura ou em e-mails não criptografados.
SOAP (Simple Object Access Protocol) - protocolo para
troca de informações estruturadas em uma plataforma
descentralizada e distribuída.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
São cuidados que se deve ter ao efetuar transações comerciais e
acessar sites de comércio eletrônico o que se afirma APENAS
Em:
19
MANUEL
ACADEMIA DO CONCURSO
68- (PGJ-CE-2013) Ataques costumam ocorrer na Internet com
diversos objetivos, visando diferentes alvos e usando variadas
técnicas. Analise os exemplos e descrições abaixo.
(A) I e III.
1. Pode ser realizado por diversos meios, como pela geração de
grande tráfego de dados para uma rede, ocupando toda a banda
disponível e tornando indisponível qualquer acesso a computadores
ou serviços desta rede.
2. Uma pessoa recebe um e-mail, em nome de um site de comércio
eletrônico ou de uma instituição financeira, que tenta induzi-la a
clicar em um link. Ao fazer isto, é direcionada para uma página web
falsa, semelhante ao site que realmente deseja acessar, no qual
são solicitados os dados pessoais e financeiros da pessoa.
(B) III e IV.
(C) II e IV.
(D) IV.
(E) I e II.
3. Consiste em alterar campos do cabeçalho de um e-mail, de
forma a aparentar que ele foi enviado de uma determinada
origem quando, na verdade, foi enviado de outra. Esta técnica é
possível devido a características do protocolo SMTP que
permitem que campos do cabeçalho sejam falsificados.
69-(Infraero-2011) As duas técnicas criptográficas mais comuns
de autenticação de mensagem são um código de autenticação
de mensagens (MAC - Message Authentication Code) e uma
função de hash segura. Sobre hash, é correto afirmar que
(A) mapeia uma mensagem de tamanho fixo em um valor de
hash de tamanho variável, ou um resumo de mensagem
(message digest).
(B) se trata de um algoritmo que requer o uso de uma chave
secreta. Apanha uma mensagem de comprimento fixo e uma
chave secreta como entrada e produz um código de
autenticação.
A associação entre a descrição e o tipo de ataque é expressa
correta, e respectivamente, em
(A) 1-flood 2-rootkit 3-spyware
(B) 1-DoS 2-phishing 3-spoofing
(C) 1-DoS 2-adware 3-rootkit
(D) 1-adware 2-DoS 3-spyware
(E) 1-spyware 2-rootkit 3-DoS
70-(ISS-SP-2012) Sobre vírus, considere:
I. Um vírus de celular pode propagar-se de telefone para telefone
através da tecnologia bluetooth ou da tecnologia MMS (Multimedia
Message Service).
II. Para proteger o computador da infecção por vírus é
recomendável desabilitar, no programa leitor de e-mails, a
autoexecução de arquivos anexados às mensagens.
III. Para proteger o telefone celular da infecção por vírus é
recomendável aplicar todas as correções de segurança (patches)
que forem disponibilizadas pelo fabricante do aparelho.
IV. Todos os vírus são programas independentes que não
necessitam de um programa hospedeiro para funcionar e são
carregados na memória RAM automaticamente quando o
computador é ligado.
(C) precisa ser combinada de alguma forma com uma chave
pública, mas nunca com uma chave secreta, para a
autenticação da mensagem.
(D) um código de hash, diferentemente de um MAC, usa apenas
uma chave que se refere à função da mensagem de entrada e
saída.
(E) o código de hash é uma função de todos os bits da
mensagem e oferece uma capacidade de detecção de erros:
uma mudança em qualquer bit ou bits na mensagem resulta em
uma mudança no código de hash.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
20
MANUEL
ACADEMIA DO CONCURSO
71-(ISS-SP-2012) Considere a frase a seguir.
Na criptografia I , um emissor codifica seu documento com a
chave II da pessoa que receberá a mensagem. O texto
codificado apenas poderá ser decodificado pelo III, pois,
somente ele tem a chave IV relacionada à chave V que originou
o texto cifrado.
As lacunas I, II, III, IV e V devem ser preenchidas, correta e
respectivamente, por
(A) de chaves públicas, privada, destinatário, pública e privada.
(B) assimétrica, privada, emissor, pública e privada.
(C) simétrica, pública, emissor, privada e pública.
(D) assimétrica, pública, destinatário, privada e pública.
(E) simétrica, privada, destinatário, pública e privada.
Está correto o que se afirma em
(A) I e III, apenas.
(B) I, II, III e IV.
(C) I, II e III, apenas.
(D) II e III, apenas.
(E) II, apenas.
72-(ISS-SP-2012) No texto a seguir:
A assinatura digital é o resultado da aplicação de uma função
matemática que gera uma espécie de impressão digital de uma
mensagem. O primeiro passo no processo de assinatura digital
de um documento eletrônico é a aplicação dessa função, que
fornece uma sequência única para cada documento conhecida
como "resumo". A função matemática citada é mais conhecida
como função
(A) quântica.
(B) de Hash.
(C) quadrática.
(D) de Euler.
(E) binária.
73-(ISS-SP-2012) Sobre o backup de informações em uma
organização, é correto afirmar:
74-(MPE-AP-2012) Sobre spyware é correto afirmar:
(A) Trojans são programas spyware que parecem ser apenas
cartões virtuais animados, álbuns de fotos, jogos ou protetores
de tela e que são instalados automaticamente no computador
do usuário com o objetivo de obter informações digitadas por
meio do teclado físico ou virtual.
(C) São softwares exclusivamente de uso malicioso projetados para
monitorar as atividades de um sistema e enviar as informações
coletadas para terceiros. Executam ações que podem comprometer
a privacidade do usuário e a segurança do computador.
(A) Os testes de restauração (restore) devem ser periódicos com
o objetivo de garantir a qualidade dos backups.
(B) Para a implementação do backup, deve-se levar em
consideração apenas a importância da informação e o nível de
classificação utilizado.
(C) É recomendável fazer backup com frequência apenas dos
dados e arquivos executáveis de um sistema computacional.
(D) Os backups devem ser mantidos no mesmo local físico da
localidade de armazenamento dos dados originais.
(E) A frequência para a realização dos backups nada tem a ver
com a periodicidade em que os dados são alterados.
(D) Keylogger é um programa spyware capaz de capturar e
armazenar as teclas digitadas pelo usuário. Sua ativação não pode
ser condicionada a uma ação prévia do usuário, como o acesso
a um site de Internet Banking.
(B) Adware é um programa spyware projetado especificamente
para apresentar propagandas. É usado apenas para fins
legítimos, incorporado a programas e serviços, como forma de
patrocínio ou retorno financeiro para quem desenvolve
programas livres ou presta serviços gratuitos.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
(E) Screenlogger é um tipo de spyware capaz de armazenar a
posição do cursor e a tela apresentada no monitor nos momentos
em que o mouse é clicado, ou a região que circunda a posição onde
o mouse é clicado. É bastante utilizado por atacantes para capturar
as teclas digitadas pelos usuários em teclados virtuais.
21
MANUEL
ACADEMIA DO CONCURSO
75- (MPE-AP-2012) De acordo com o tipo de chave usada, os
métodos criptográficos podem ser subdivididos em duas grandes
categorias:
76- (DPRS-2013) - O MoReq-Jus estabelece processos e
requisitos mínimos para um Sistema Informatizado de Gestão
de Processos e Documentos (GestãoDoc), independentemente
da plataforma tecnológica em que for desenvolvido e
implantado. Um GestãoDoc deve ser capaz de gerenciar
simultaneamente os documentos e processos digitais, nãodigitais e híbridos. Num GestãoDoc, o armazenamento e a
recuperação de informações sigilosas (aí incluídos backups e
restores) utilizará a ..I.. Já na comunicação, identificação de
usuários e em sessões Web, será utilizada a ..II.. , em
consonância com a III .(Fonte: MoReq-Jus)
Preenche, correta e respectivamente, as lacunas I, II e III:
(A) Autoridade Certificadora (AC) e Autoridade de Registro (AR).
(B) criptografia de chave pública e criptografia de chave privada.
(C) certificação digital e certificação analógica.
(D) assinatura digital e certificado digital.
(E) criptografia de chave simétrica e criptografia de chaves
assimétricas.
(A) I-Criptografia simétrica; II-Criptografia assimétrica;III-ICP-Brasil.
77-(ICMS/SP-2013) - A auditoria da segurança da informação
avalia a política de segurança e os controles relacionados
adotados em cada organização. Nesse contexto, muitas vezes,
as organizações não se preocupam, ou até negligenciam, um
aspecto básico da segurança que é a localização dos
equipamentos que podem facilitar a intrusão. Na auditoria de
segurança da informação, esse aspecto é avaliado no Controle
de
(B) I-Criptografia assimétrica; II-Criptografia simétrica; III-Conarq.
(C) I-Chave pública; II-Chave privada; III-e-Arq Brasil.
(D) I-Chave privada; II-Chave pública; III-ICP-Brasil.
(E) I-Criptografia simétrica; II-Chave pública; III-Conarq.
CONARQ (Conselho Nacional de Arquivos) - é um órgão colegiado, vinculado
ao Arquivo Nacional, que tem por finalidade definir a política nacional de
arquivos públicos e privados, como órgão central do Sistema Nacional de
Arquivos - SINAR, bem como exercer orientação normativa visando à gestão
documental e à proteção especial aos documentos de arquivo.
(A) conteúdo.
(B) entrada e saída de dados.
(C) acesso lógico.
(D) acesso físico.
(E) programas.
78- (MPE-MA-2013) Considere:
I. Utiliza uma mesma chave tanto para codificar como para
decodificar informações, sendo usada principalmente para
garantir a confidencialidade dos dados.
II. Utiliza duas chaves distintas: uma pública, que pode ser
livremente divulgada, e uma privada. Quando uma informação é
codificada com uma das chaves, somente a outra chave do par
pode decodificá-la.
(A) assinatura digital e função de resumo.
(B) método de espalhamento e PKI.
(C) função de resumo e assinatura digital.
(D) criptografia de chave simétrica e de chave assimétrica.
(E) criptografia de chave pública e método de espalhamento.
Os itens acima descrevem, respectivamente,
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
22
MANUEL
ACADEMIA DO CONCURSO
79- (MPE-MA-2013) A assinatura digital permite comprovar a
...... e a integridade de uma informação, ou seja, que ela foi
realmente gerada por quem diz e que ela não foi alterada. A
assinatura digital baseia-se no fato de que apenas o dono
conhece a chave privada, garantindo deste modo que apenas
ele possa ter efetuado a operação.
A lacuna é preenchida corretamente por
80- (MPE-MA-2013) Um certificado digital pode ser comparado
a um documento de identidade, por exemplo, ao passaporte, no
qual constam dados pessoais e a identificação de quem o
emitiu. No caso do passaporte, a entidade responsável pela
emissão e pela veracidade dos dados é a Polícia Federal. No
caso do certificado digital esta entidade é a:
(A) Autoridade Certificadora.
(B) Unidade de Registro de Domínios.
(C) Autoridade de Registro.
(D) Comissão Regional de Registros.
(E) Federação de Segurança.
(A) confidencialidade.
(B) velocidade.
(C) robustez.
(D) autenticidade.
(E) criptografia.
82- (MPE-MA-2013) - A Infraestrutura de Chaves Públicas
Brasileira (ICP-Brasil) é uma cadeia hierárquica e de confiança
que viabiliza a emissão de certificados digitais para identificação
virtual do cidadão. O ITI, além de desempenhar o papel de
certificação, também tem o papel de credenciar e descredenciar
os demais participantes da cadeia, supervisionar e fazer
auditoria dos processos. Desse modo, observa-se que o modelo
adotado pelo Brasil foi o de certificação
81- (MPE-MA-2013) De forma geral, os dados básicos que
compõem um certificado digital são:
− versão e número de série do certificado.
− dados que identificam quem emitiu o certificado.
− dados que identificam o dono do certificado.
É INCORRETO dizer que dentre estes dados também se inclua:
(A) validade do certificado.
(B) chave privada do dono do certificado.
(C) chave pública do dono do certificado.
(D) algoritmo de assinatura.
(E) requerente.
SOA - Service-Oriented Architecture
(A) presencial e remota.
Funcionalidades como Serviços !
(B) que utiliza RSA e SaaS.
(C) que utiliza Diffie-Hellman e SOA.
(D) por amostragem.
(E) com raiz única.
84- (PGJ-CE-2013) A Medida Provisória no 2200-2, de 24 de
agosto de 2001, instituiu a Infraestrutura de Chaves Públicas
Brasileira (ICP-Brasil) para garantir a autenticidade, a integridade
e a validade jurídica de documentos em forma eletrônica. A ICPBrasil é composta por uma autoridade gestora de políticas e pela
cadeia de autoridades certificadoras composta:
83- (MPE-MA-2013) O recebimento, validação, encaminhamento
de solicitações de emissão ou revogação de certificados digitais
e a identificação de forma presencial de seus solicitantes é de
responsabilidade da:
(A) Unidade de Registro de Domínios.
(B) Autoridade Certificadora.
(C) Autoridade de Registro.
(D) Comissão Regional de Registros.
(E) Federação de Segurança.
(A) pelo Comitê de Segurança (CS), pela Autoridade
Certificadora Raiz (AC-Raiz), pelas Autoridades de Registro
(AR) e pelas Autoridades de Liberação (AL).
(B) pelo Ministério da Justiça, pelo Ministério da Fazenda e
pelo Ministério da Ciência e Tecnologia.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
23
MANUEL
ACADEMIA DO CONCURSO
(C) pela Autoridade Certificadora Raiz (AC-Raiz), pelas
85- (PGJ-CE-2013) Há diferentes tipos de vírus. Alguns
Autoridades Certificadoras (AC) e pelas Autoridades de
procuram permanecer ocultos, infectando arquivos do disco e
Registro (AR).
executando uma série de atividades sem o conhecimento do
(D) pela Casa Civil da Presidência da República, pelo
usuário. Há outros que permanecem inativos durante certos
Ministério da Justiça e pelo Ministério da Fazenda.
períodos, entrando em atividade apenas em datas específicas.
(E) pela Autoridade Certificadora Raiz (AC-Raiz), pelas
Alguns dos tipos de vírus mais comuns são apresentados nas
Autoridades de Registro (AR) e pelas Autoridades de
afirmativas abaixo. Assinale o que NÃO se trata de um vírus.
Segurança (AS).
(A) Propaga-se de celular para celular por meio de bluetooth ou
de mensagens MMS. A infecção ocorre quando um usuário
permite o recebimento de um arquivo infectado e o executa. Após
infectar o celular, pode destruir ou sobrescrever arquivos,
remover ou transmitir contatos da agenda, efetuar ligações
telefônicas e drenar a carga da bateria.
(B) Recebido como um arquivo anexo a um e-mail, que tenta
induzir o usuário a clicar sobre este arquivo para que seja
executado. Quando entra em ação, infecta arquivos e programas
e envia cópias de si mesmo para os e-mails encontrados nas
listas de contatos gravadas no computador.
(C) Escrito em linguagem de script, recebido ao acessar uma
página web ou por e-mail, como um arquivo anexo ou parte do
próprio e-mail escrito em HTML. Pode ser automaticamente
executado, dependendo da configuração do browser e do leitor
de e-mails do usuário.
(D) Escrito em linguagem de macro e tenta infectar arquivos
manipulados por aplicativos que utilizam esta linguagem como,
por exemplo, os que compõem o Microsoft Office.
(E) Após infectar um computador, tenta se propagar e continuar
o processo de infecção. Para isso, necessita identificar os
computadores alvos para os quais tentará se copiar, o que pode
ser feito efetuando uma varredura na rede e identificando os
computadores ativos.
86- (PGJ-CE-2013) Sobre criptografia, analise:
Sobre estas afirmativas é correto afirmar que:
(A) I trata da criptografia assimétrica e II da criptografia
simétrica. A primeira utiliza uma mesma chave tanto para
codificar, como para decodificar informações.
(B) I trata da criptografia assimétrica e II da criptografia
simétrica. A segunda é a mais indicada para garantir a
confidencialidade de pequenos volumes de dados.
(C) I trata da criptografia simétrica e II da criptografia
assimétrica. A segunda é a mais indicada para garantir a
confidencialidade de grandes volumes de dados, pois usa
chave única tanto para codificar como para decodificar
informações.
I. Quando usada para o compartilhamento de informações, se
torna complexa e pouco escalável, em virtude da necessidade
de um canal de comunicação seguro para promover o
compartilhamento da chave secreta entre as partes e da
dificuldade de gerenciamento de grandes quantidades de
chaves.
II. Apesar de possuir um processamento mais lento, resolve
estes problemas visto que facilita o gerenciamento (pois não
requer que se mantenha uma chave secreta com cada um que
desejar se comunicar) e dispensa a necessidade de um canal de
comunicação seguro para o compartilhamento de chaves.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
24
MANUEL
ACADEMIA DO CONCURSO
Sobre estas afirmativas é correto afirmar que:
(D) I trata da criptografia simétrica e a II da criptografia
assimétrica. A primeira é a mais indicada para garantir a
confidencialidade de grandes volumes de dados, pois seu
processamento é mais rápido.
(E) I trata da criptografia simétrica e II da criptografia
assimétrica. A primeira utiliza duas chaves distintas: uma
pública e uma privada, que deve ser mantida em segredo por
seu dono.
87-(TRT-12R-2013) Luiza trabalha em uma empresa com 500
funcionários. A empresa tem centenas de computadores com
placas de rede conectando-os. A empresa também tem uma ou
mais conexões de alta velocidade com a internet. Luiza foi
contratada para evitar que um hacker possa sondar esses
computadores, tentar estabelecer conexões FTP com eles, fazer
conexões telnet e assim por diante. Ainda, se um funcionário
cometer um erro e deixar uma vulnerabilidade na segurança,
Luiza deve evitar que os hackers possam chegar nessa máquina
e explorar essa fraqueza. Para evitar esta situação de risco,
Luiza deve instalar na rede um:
88- (SABESP-2014) Em uma comunicação pela internet sem
garantia de segurança, um intruso (Maurício) pode convencer
os profissionais (Angela e Angelo) que chaves públicas falsas
pertencem a eles. Assim, estabelecendo um processo de
confiança entre os dois, Maurício pode fazer-se passar por
ambos. Neste cenário, quando Angela enviar uma mensagem
para Angelo solicitando sua chave pública, o intruso Maurício
poderá interceptá-la e devolver-lhe uma chave pública forjada
por ele. Ele também pode fazer o mesmo com Angelo, fazendo
com que cada lado pense que está se comunicando com o outro,
quando na verdade estão sendo interceptados pelo intruso.
Maurício então pode decifrar todas as mensagens, cifrá-las
novamente ou, se preferir, pode até substituí-las por outras
mensagens.
(A) sistema de criptografia assimétrica.
(B) firewall em cada conexão com a internet.
(C) filtro de conteúdo de e-mails.
(D) poderoso antivírus.
(E) sistema de criptografia simétrica.
Através de um ataque deste tipo, um intruso pode causar tantos
danos ou até mais do que causaria se conseguisse quebrar o
algoritmo de criptografia empregado pelos profissionais.
A garantia para evitar este ataque é representada ......, que
consistem em chaves públicas assinadas por uma terceira parte
de confiança, que evitam tentativas de substituição de uma
chave pública por outra. De posse de um destes, Angelo teria,
além da sua chave pública, mais informações como seu
nome, endereço e outros dados pessoais, e a assinatura de
alguém em quem Angela deposita sua confiança: uma
autoridade de certificação ou CA (Certification Authority).
(A) pelos certificados digitais.
(B) pelas assinaturas eletrônicas.
(C) pelos algoritmos de criptografia simétrica.
(D) por documentos gerados por hashing.
(E) pela infraestrutura brasileira de criptografia.
A lacuna do texto é corretamente preenchida por:
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
25
MANUEL
ACADEMIA DO CONCURSO
89- (SABESP-2014) É uma solução para a identificação efetiva
do dono das chaves públicas distribuídas entre um grupo de
pessoas. Trata-se de um documento eletrônico com diversos
dados sobre o emissor e o seu titular, assinado por uma
Autoridade Certificadora, com a função de ligar uma pessoa ou
entidade a uma chave pública. Possui um tempo de vida (uma
data de validade) devido à evolução dos dispositivos de
processamento. Este prazo pode variar de 1 a 3 anos para o
usuário final e de 3 a 20 anos nas unidades certificadoras. Após
a expiração do prazo é recomendada a geração de um novo par
de chaves. Algumas informações que geralmente constam neste
documento são: chave pública do titular, endereço de e-mail,
validade, identificação da Autoridade Certificadora, número de
série do documento, dentre outras.
Considerando as informações do texto acima, pode-se afirmar
que trata-se de I e utiliza criptografia II :
As lacunas I e II são correta e, respectivamente preenchidas
com
(A) assinatura digital - assimétrica
(B) filtro de conteúdo - simétrica
(C) certificado digital - assimétrica
(D) certificado digital - simétrica
(E) filtro de conteúdo - assimétrica
90- (ICMS/RJ-2014) O site Convergência Digital divulgou a seguinte notícia:
O Brasil segue como o no 1 na América Latina em atividades maliciosas e
figura na 4a posição mundial, ficando atrás apenas dos EUA, China e Índia,
de acordo a Symantec. Os ataques por malwares cresceram 81%. ... Um
desses malwares segue sendo o grande vilão nas corporações, sendo
responsável por mais de 220 milhões de máquinas contaminadas no mundo.
É um programa capaz de se propagar automaticamente pelas redes, enviando
cópias de si mesmo de computador para computador.
(Adaptado de:
http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=
34673&sid=18#.UlqcCNKsiSo)
Considerando que o malware citado como vilão não se propaga por meio da
inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim
pela execução direta de suas cópias ou pela exploração automática de
vulnerabilidades existentes em programas instalados em computadores, tratase de um
(A) backdoor .
(B) vírus de macro.
(C) botnet.
(D) worm.
(E) spyware.
Essa é a definição de WORM.
91- (ICMS/RJ-2014) Considere:
− Funciona como uma impressão digital de uma mensagem,
gerando, a partir de uma entrada de tamanho variável, um
valor fixo pequeno.
− Este valor está para o conteúdo da mensagem assim como o
dígito verificador de uma conta-corrente está para o número da
conta ou o check sum está para os valores que valida.
− É utilizado para garantir a integridade do conteúdo da
mensagem que representa.
− Ao ser utilizado, qualquer modificação no conteúdo da
mensagem será detectada, pois um novo cálculo do seu valor
sobre o conteúdo modificado resultará em um valor bastante
distinto.
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
Os itens acima descrevem
( A) um Hash criptográfico.
( B) um Certificado digital.
( C) uma Assinatura digital.
( D) um Algoritmo de chave pública.
(E) um Algoritmo de chave secreta.
Essa é a definição de HASH.
26
MANUEL
ACADEMIA DO CONCURSO
92-(ICMS/PE-2014) O método criptográfico normalmente
utilizado para gerar assinaturas digitais que, quando aplicado
sobre uma informação, independentemente do tamanho que ela
tenha, gera um resultado único e de tamanho fixo é chamado de
93-(ICMS/PI-2015) Na Secretaria da Fazenda do Estado do
Piauí a assinatura digital permite comprovar que uma
informação foi realmente gerada por quem diz tê-la gerado e que
ela não foi alterada. Isto equivale a afirmar, respectivamente,
que é possível comprovar que uma informação
(A) patch.
(B) hoax.
(C) compact brief.
(D) abstract key.
(E) hash.
(A) é autêntica e confidencial.
(B) é autêntica e está íntegra.
(C) não pode ser repudiada e é autêntica.
(D) não pode ser repudiada e é confidencial.
(E) é privada e está sempre disponível.
94- (ICMS/PI-2015) Em determinada instituição, João envia uma mensagem
criptografada para Antônio, utilizando criptografia assimétrica. Para codificar o
texto da mensagem, João usa
(D) a chave privada de Antônio. Para Antônio decodificar a mensagem
que recebeu de João, ele terá que usar a chave pública, relacionada
(A) a chave privada de Antônio. Para Antônio decodificar a mensagem
que recebeu de João, ele terá que usar sua chave privada. Cada um
conhece apenas sua própria chave privada.
(B) a chave pública de Antônio. Para Antônio decodificar a mensagem
que recebeu de João, ele terá que usar a chave privada, relacionada à
chave pública usada no processo por João. Somente Antônio conhece
a chave privada.
(C) a chave pública de Antônio. Para Antônio decodificar a mensagem
que recebeu de João, ele terá que usar a chave privada, relacionada à
chave pública usada no processo por João. Ambos conhecem a
chave privada.
à chave privada usada no processo por João. Ambos conhecem a
chave privada.
(E) sua chave privada. Para Antônio decodificar a mensagem que
recebeu de João, ele terá que usar sua chave pública. Somente João
conhece a chave privada.
95- (ICMS/PI-2015) Em um dos documentos presentes no site da Secretaria
da Fazenda do Estado do Piauí consta o seguinte texto:
Um padrão específico de certificado digital usado na ICP Brasil
(ICP/BR) é citado em ambos os textos e especifica, entre várias
outras coisas, o formato dos certificados digitais, de tal maneira
que se possa amarrar firmemente um nome a uma chave
pública, permitindo autenticação forte. Trata-se do padrão
Além dos arquivos digitais no padrão definido em norma e do aplicativo GeraTEDeNF,
a empresa deverá possuir um certificado digital, em um padrão específico, emitido por
Autoridade Certificadora credenciada à ICP/BR que contenha o CNPJ da empresa. O
uso de certificado digital de pessoa física emitido por Autoridade Certificadora
credenciada à ICP/BR, que contenha o CPF do titular será permitido desde que a
SEFAZ-PI seja comunicada previamente através da apresentação do Termo de
Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada pelo
representante legal da empresa.
(http://sefaz.pi.gov.br/phocadownload/userupload/4f3e3e7dd5/orientacao_envio_conve
nio_115_pela_internet.pdf
(A) X509.v6.
(B) SET.
(C) PGP.
(D) X509.v3.
(E) SPDK/SDSI.
No site http://nf-eletronica.com consta o seguinte texto adaptado:
O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um
padrão específico, emitido por Autoridade Certificadora credenciada à ICP/BR.
(http://nf-eletronica.com/blog/?page_id=59)
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
27
MANUEL
ACADEMIA DO CONCURSO
DPF-2014-AGENTE-CESPE-UNB- Julgue os próximos itens, acerca
de vírus, worms, pragas virtuais e aplicativos para segurança.
99-DEPEN-2015 - Um sistema de detecção de intrusão de rede
que se baseia em assinatura necessita que sejam carregados
os padrões de assinatura de ataques, como, por exemplo, o
padrão de comunicação de um determinado vírus de
computador.
96- Os hijackers são exemplos de códigos maliciosos que, sem que os
usuários percebam, invadem computadores e, por exemplo, modificam
o registro do Windows.
97- Embora os firewalls sejam equipamentos ou softwares utilizados no
controle das conexões de uma rede, eles não protegem computadores contra
ataques internos.
100-DEPEN-2015 - Um certificado digital contém, entre outros
aspectos, a chave privada do emissor do certificado para que
seja possível a verificação da chave pública.
98- Computadores infectados por botnets podem ser controlados
remotamente bem como podem atacar outros computadores sem que os
usuários percebam.
GABARITO
01
C
21
E
41
B
61
A
81
02
D
22
B
42
A
62
C
82
E
03
A
23
E
43
B
63
B
83
C
04
E
24
A
44
B
64
D
84
C
05
D
25
D
45
D
65
D
85
E
06
C
26
C
46
B
66
A
86
D
07
D
27
C
47
C
67
C
87
B
08
C
28
C
48
E
68
B
88
A
D
69
E
89
C
B
09
A
29
E
49
10
B
30
C
50
B
70
C
90
D
11
C
31
C
51
E
71
D
91
A
D
72
B
92
E
12
E
32
E
52
13
B
33
C
53
A
73
A
93
B
14
C
34
C
54
E
74
E
94
B
B
75
E
15
C
35
C
55
95
D
16
C
36
A
56
B
76
A
96
C
17
E
37
B
57
B
77
D
97
C
18
B
38
A
58
A
78
D
98
C
19
B
39
B
59
A
79
D
99
C
20
B
40
B
60
C
80
A
100
E
INFORMÁTICA - EXERCÍCIOS
SEGURANÇA DA INFORMAÇÃO
You can get it if you really want,
But you must try,
Try and try,
You'll succeed at last !
Jimmy Cliff
28
MANUEL
Download