Questões de Ciência da Computação

Carlos trabalha como Analista de Infraestrutura de TI no TRF da 3a Região e está diante de 3 situações, relativas às redes do Tribunal, em que deve indicar o meio de transmissão adequado:

Rede 1: uma LAN Ethernet 10Base5 (ou Ethernet de cabo grosso) com alcance de 5000 m, para transmitir a uma velocidade nominal de 10 Mbps.

Rede 2: uma rede backbone, para interligar diversas LANs, que exige alta largura de banda e velocidade nominal de até 1600 Gbps, usando WDM (multiplexação por divisão de comprimento de onda).

Rede 3: uma WLAN padrão IEEE 802.11 que opera na faixa de 10 a 300 GHz.

Carlos indicou corretamente os seguintes meios de transmissão para as redes 1, 2 e 3:

• A.
• B.
• C.
• D.
• E.

Kerberos é um protocolo de autenticação e uma suíte de softwares que implementa esse protocolo. É correto afirmar que

• A. é utilizado pelos servidores Windows como mecanismo primário de autenticação, porém, não é suportado pelo Active Directory.
• B. usa criptografia assimétrica para autenticar clientes para serviços e vice-versa.
• C. durante a fase de autenticação em serviços que usam autenticação Kerberos, um cliente recebe apenas o tíquete de serviço.
• D. o centro de distribuição de chaves do Kerberos é composto por um servidor de autenticação e um servidor de concessão de tíquete.
• E. foi projetado para ser modular, de modo que pode ser usado com diversos protocolos de encriptação, sendo o RSA o criptossistema default.

Considere que Bob escolheu os números primos p=7 e q=11 e selecionou um número primo e=5. Alice quer enviar para Bob um texto claro M=4. Usando a chave pública de Bob e, Alice encripta a mensagem utilizando o RSA. O valor do texto cifrado será

• A. 15.
• B. 12.
• C. 23.
• D. 25.
• E. 26.

• A. técnicas de tunelamento - PPPoE - TCP
• B. técnicas de tunelamento e encapsulamento - L2TP - UDP
• C. assinatura digital - PPPoE - TCP
• D. técnicas de encapsulamento - L2TP - TCP
• E. fibra ótica e empacotamento - L2TP - UDP

Existem duas abordagens fundamentais para criar políticas de firewall para minimizar definitivamente a vulnerabilidade em relação ao mundo externo mantendo confiável a funcionalidade desejada das máquinas na rede interna.

Com relação a estas abordagens, considere as asserções a seguir.

A implementação de uma abordagem de lista branca é mais segura que a implementação de uma abordagem de lista negra para definir um conjunto de regras para o firewall

PORQUE

na abordagem de lista branca todos os pacotes podem passar, exceto aqueles que se enquadram nas regras definidas especificamente na lista.

Acerca dessas asserções, é correto afirmar:

• A. A primeira asserção é uma proposição verdadeira e a segunda é uma proposição falsa.
• B. As duas asserções são proposições verdadeiras e a segunda é a justificativa correta da primeira.
• C. A primeira asserção é uma proposição falsa e a segunda uma proposição verdadeira.
• D. As duas asserções são proposições verdadeiras, mas a segunda não é a justificativa correta da primeira.
• E. Tanto a primeira quanto a segunda asserções são proposições falsas.

Qualquer ataque planejado para fazer uma máquina ou software ficar indisponível e incapaz de executar sua funcionalidade básica é conhecido como ataque de negação de serviço (Denial of Service − DOS). Há diversos tipos de ataque DOS sendo que, um deles, tira vantagem de redes mal configuradas que possuem um endereço de difusão (broadcast) pelo qual o usuário pode enviar um pacote que é recebido por todos os endereços IP da rede. Este tipo de ataque explora esta propriedade enviando pacotes ICMP com um endereço fonte configurado para o alvo e com um endereço destino configurado para o endereço de difusão da rede.

O tipo de ataque descrito acima é conhecido como

• A. sniffing.
• B. inundação por SYN.
• C. ACK TCP.
• D. smurf.
• E. falsificação de IP.

O TRF da 3a Região necessita que seus sistemas sejam monitorados e eventos de segurança da informação sejam registrados. Com relação a esses registros, é correto afirmar que

• A. todos os administradores de sistemas devem ter permissão de exclusão ou desativação dos registros (log) de suas próprias atividades.
• B. registros (log) de auditoria devem incluir registros das tentativas de acesso a outros recursos e dados aceitos, mas não a dados rejeitados.
• C. o estabelecimento correto dos relógios dos computadores é importante para assegurar a exatidão dos registros (log) de auditoria.
• D. registros (log) de auditoria são úteis para a coleta e retenção de evidência, mas não podem ser guardados como parte da política de retenção de registros.
• E. os registros (log) de auditoria devem ser produzidos e mantidos por um prazo máximo de um mês.

Com relação à segurança do cabeamento de rede de dados, é correto afirmar que

• A. as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação devem ficar acima do piso, em lugar de fácil acesso e visualização para facilitar a manutenção.
• B. para sistemas sensíveis ou críticos, a melhor opção é utilizar cabeamento coaxial ou de par trançado.
• C. se deve passar o cabeamento de redes por áreas públicas e amplamente ventiladas e/ou refrigeradas, para preservar a conservação dos cabos.
• D. se devem passar os cabos de comunicações nos mesmos conduítes dos cabos de energia, para potencializar o campo de força e, consequentemente, melhorar a transmissão.
• E. para sistemas sensíveis ou críticos, é aconselhável instalar conduítes blindados e salas ou caixas trancadas em pontos de inspeção e pontos terminais.

Uma aplicação de reservas de passagens aéreas suporta reescrita de URL. Nesta aplicação, um usuário autenticado do site envia um e-mail do link a seguir para que seus amigos saibam que ele efetuou a compra.

http://abc.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSKHCJUN2JV?dest=Tokio

Isso favorece principalmente um ataque de

• A. Quebra de Autenticação e Gerenciamento de Sessão.
• B. Injeção de código.
• C. Cross-Site Scripting (XSS).
• D. Referência Insegura e Direta a Objetos.
• E. Cross-Site Request Forgery (CSRF).

Os responsáveis pela Segurança da Informação do TRF da 3a Região foram encarregados de produzir dois documentos:

1. Documenta procedimentos de gerenciamento, desenhados para manter ou recuperar operações de negócio, incluindo operações de computadores, no caso de eventuais emergências, desastres ou falhas de sistemas. É elaborado para situações em que exista perda de recursos, porém, esses recursos podem ser recuperados de uma forma menos traumática.

2. Documenta uma série de instruções ou procedimentos pré-determinados que descrevam como as funções de negócios da organização serão sustentadas durante e após uma interrupção significante. É elaborado para possibilitar que a organização funcione em um nível aceitável para sua sobrevivência e absorva possíveis impactos financeiros, operacionais e de imagem.

Os documentos 1 e 2 são, respectivamente,

• A. Plano de Emergência e Política de Segurança da Informação.
• B. Plano de Contingência e Plano de Continuidade de Negócios.
• C. Plano de Administração de Crises e Plano de Auditoria.
• D. Política de Recuperação de Desastres e Política de Segurança da Informação.
• E. Plano de Continuidade Operacional e Plano de Negócios.