Questões de Ciência da Computação do ano 2006

A Disponibilidade do sistema, a Integridade dos dados e a Confidencialidade dos dados são objetivos de segurança dos sistemas, respectivamente, sujeitos às ameaças de

• A.

  Adulteração dos dados, Recusa de serviço e Exposição aos dados.

• B.

  Recusa de serviço, Exposição aos dados e Adulteração dos dados.

• C.

  Exposição aos dados, Recusa de serviço e Adulteração dos dados.

• D.

  Recusa de serviço, Adulteração dos dados e Exposição aos dados.

• E.

  Exposição aos dados, Adulteração dos dados e Recusa de serviço.

A figura acima apresenta um conjunto de elementos da arquitetura da plataforma J2EE. Julgue os itens seguintes, acerca da infra-estrutura para a implementação de soluções de TI e banco de dados.

Considere que os contêineres Application Client Conteiner, Web Container e EJB Container possam se comunicar diretamente com o SGBD (database). Nessa situação, as duas últimas opções devem ser evitadas para aumentar a segurança do sistema.

• C. Certo
• E. Errado

Julgue os itens a seguir, no que se refere ao tema e aos padrões relacionados com segurança da informação, considerando a figura acima, que apresenta um cenário pictórico no âmbito da segurança da informação.

A figura pode representar um processo denominado análise forense.

• C. Certo
• E. Errado

Julgue os itens a seguir, no que se refere ao tema e aos padrões relacionados com segurança da informação, considerando a figura acima, que apresenta um cenário pictórico no âmbito da segurança da informação.

Supondo que a situação apresentada na figura tenha ocorrido devido à ação de um hacker (ciberpirata), é correto tomar como contra-medida a negação de serviço (denial of service).

• C. Certo
• E. Errado

Segurança compreende a proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não-autorizada, reduzindo assim, a probabilidade e o impacto de incidentes de segurança. Em termos de Segurança da Informação, é correto afirmar que:

• A.

  são classificadas como informações confi denciais aquelas cujo acesso interno ou externo de pessoas não autorizadas é crítico para a empresa, sendo imprescindível um número restrito de pessoas autorizadas e o controle total sobre o uso das informações.

• B.

  a segurança de acesso físico tem por objetivo proteger informações contra usuários não autorizados, protegendo o acesso aos recursos, de modo explícito ou implícito (áreas de acesso restrito), englobando ainda, a prevenção de dados provocados por desastres naturais.

• C.

  os elementos fundamentais do controle de acesso lógico podem ser visualizados sob dois aspectos distintos: a partir do recurso computacional que se pretende proteger e a partir do usuário a quem se pretende dar certos privilégios e acessos aos recursos. Tais elementos, em essência, podem ser considerados como a identificação e a autenticação de usuários.

• D.

  A envia uma mensagem encriptada com sua chave privada para B (e que B já possui uma cópia da chave pública de A). Ao receber o criptograma, B usa uma cópia da chave pública de A para decriptar a mensagem. Sendo assim, a mensagem encriptadada servirá como assinatura digital, garantindo autenticidade em termos da origem e integridade da mensagem.

• E.

  considerando que A deseja se comunicar com B, uma possibilidade para resolver a distribuição de chaves convencionais a garantir a autenticidade das partes envolvidas é A gerar um par de chaves públicas e transmitir uma cópia de sua chave pública para B que, por sua vez, gera uma chave secreta e a transmite para A, encriptada com a chave pública de A.

A respeito da detecção de intrusão é incorreto afirmar que

• A.

  a detecção de intrusos baseia-se na suposição de que o comportamento de intrusos difere do comportamento de usuários legítimos.

• B.

  a detecção baseada em regras compreende a definição de um conjunto de regras usadas para decidir a respeito de um dado comportamento.

• C.

  SDIs (Sistemas de Detecção de Intrusos) de rede utilizam fontes de informação tais como auditoria do sistema operacional e logs do sistema.

• D.

  ataques de DoS (Denial of Service) consistem em sobrecarregar um servidor com uma quantidade excessiva de solicitação e são considerados possíveis de detectar por parte de SDIs.

• E.

  um falso negativo ocorre quando uma ação maléfica é classificada como normal, aumentando as vulnerabilidades.

É crescente o número de incidentes de segurança causados por vírus de computador e suas variações. Com isso, as organizações estão enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, é correto afirmar que

• A.

  cavalos de tróia são variações de vírus que se propagam e possuem um mecanismo de ativação (evento ou data) e uma missão.

• B.

  vírus polimórficos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execução da atividade não-autorizada, utilizando, muitas vezes, criptografia para não serem detectados por anti-vírus.

• C.

  os vírus de macro utilizam arquivos executáveis como hospedeiros, inserindo macros com as mesmas funções de um vírus em tais arquivos.

• D.

  softwares anti-vírus controlam a integridade dos sistemas e compreendem três etapas: prevenção, detecção e reação, nesta ordem.

• E.

  vírus geram cópias de si mesmo a fim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memória ou espaço em disco, eventualmente.

Em termos das questões relacionadas à política de segurança e auditoria é correto afirmar que

• A.

  o âmbito da auditoria compreende aspectos tais como o objeto a ser fiscalizado, período e natureza da auditoria, por exemplo, operacional e financeira.

• B.

  a norma NBR ISO IEC 17799 não define regras para a gestão da continuidade do negócio, com a finalidade de evitar interrupções e proteger processos críticos nas organizações.

• C.

  o Decreto n. 3.505, de 13.06.2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, tem como um de seus pressupostos garantir ao Estado o direito de acesso a qualquer informação que for de seu interesse.

• D.

  a política de segurança deve ser flexível e viável a longo prazo. Todavia, não pode ser definida de modo independente de software e hardware específicos.

• E.

  a auditoria da Segurança da Informação faz parte da auditoria da Tecnologia da Informação e engloba a avaliação da política de segurança, de controles de aspectos de segurança institucional globais (lógico, físico e ambiental) e de planos de contingência e continuidade dos serviços.

Em relação à segurança no comércio eletrônico é correto afirmar que

• A.

  ameaças à Web, em termos de integridade, confidencialidade, negação de serviço e autenticação, são exemplos de problemas de segurança que afetam sistemas de comércio eletrônico. Por outro lado, há soluções tais como fi rewalls, sistemas de detecção de intrusos e critptografia que são aplicáveis diretamente a tal contexto de problemas.

• B.

  o SSL (Secure Socket Layer) foi projetado para usar UDP (User Datagram Protocol), de modo a prover um serviço fim-a-fim confiável e seguro na camada de transporte.

• C.

  o protocolo de registro SSL (Record Protocol) é utilizado para negociar e confi gurar os parâmetros tais como chaves de sessão e algoritmos de criptografia para o estabelecimento da comunicação entre as partes.

• D.

  sendo a segurança na Web crucial para o comércio eletrônico, IPSec (Internet Protocol Security) é uma solução complementar para tal, provendo ainda transparência aos usuários finais e aplicações.

• E.

  a obtenção da informação a respeito da configuração da rede é um exemplo de ameaça à integridade na Web, e pode ser solucionada pelo uso de soluções baseadas em criptografia.

Em relação às questões que envolvem a segurança na Internet é incorreto afirmar que

• A.

  confidencialidade ou privacidade corresponde a um dos serviços de segurança cujo objetivo é a proteção dos dados transmitidos contra ataques passivos, assim como a proteção do tráfego contra análise.

• B.

  em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o campo de endereço IP origem contendo um endereço de um host interno.

• C.

  o ataque DDoS (Distributed Denial of Service) é uma variação de ataques DoS. Ambos resultam em perdas ou redução de disponibilidade e são amenizados, em alguns casos, com a utilização de autenticação e criptografia.

• D.

  o software VPN (Virtual Private Network) atua como um filtro porque permite que os dados trafeguem apenas entre dispositivos para os quais o software VPN foi confi gurado, garantindo conexões seguras usando uma infra-estrutura pública de comunicação.

• E.

  na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas.