Questões de Ciência da Computação do ano 2011

Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários. Dentre as alternativas abaixo, assinale sobre violações do requisito de confidencialidade:

• A.

  O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.

• B.

  Alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviála à Receita Federal.

• C.

  Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda.

• D.

  Propagação de vírus em computadores pessoais.

• E.

  Disseminação de mensagens alarmantes e falsas.

Patrícia é usuária consciente da necessidade de proteger sua máquina dos diversos tipos de ataque utilizados na Internet. Qual das seguintes “recomendações” sobre Segurança da Informação, encontradas em diversos sítios da rede, ela deve adotar?

• A.

  Os sistemas operacionais e os programas antivírus devem ser atualizados frequentemente.

• B.

  Os programas recebidos como anexos de e-mails podem ser executados com segurança, se houver um programa de firewall instalado no computador.

• C.

  As senhas fortes são construídas com algarismos e devem conter, pelo menos, quatro símbolos.

• D.

  O recurso de o navegador guardar senhas para uso posterior deve ser sempre ativado.

• E.

  O uso de senhas com datas e nomes relacionados a parentes é interessante porque facilita a memorização.

A experiência tem mostrado que há fatores críticos para o sucesso da implementação da segurança da informação dentro de uma organização; dentre eles, a norma ISO 27002 destaca:

• A.

  utilização de assinaturas digitais nos documentos gerenciais e estabelecimento de um processo restrito de gestão de incidentes de segurança da informação.

• B.

  distribuição de chaves e restrição da divulgação da política de segurança ao nível gerencial.

• C.

  provisão de conscientização e aquisição e instalação de um sistema de detecção de intrusão eficiente.

• D.

  política de segurança da informação, objetivos e atividades que reflitam os objetivos do negócio e provisão de recursos financeiros para as atividades da gestão de segurança da informação.

• E.

  abordagem e estrutura para implementação, manutenção, monitoramento e melhoria da segurança da informação independente da cultura organizacional e apoio de todos os níveis gerenciais.

Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é

• A.

  estabelecer uma estrutura para implantar controles e sistemas de gerenciamento de risco de comprometimento da informação relevante para o negócio.

• B.

  designar um gerente gestor com responsabilidade pelo desenvolvimento e pela análise crítica da política de segurança da informação.

• C.

  implantar um sistema de segurança e distribuição de chaves para acesso aos sistemas considerados críticos para a competitividade do negócio.

• D.

  prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

• E.

  tornar públicos o comprometimento da direção com os propósitos da segurança da informação e o enfoque adotado no processo de gerenciamento da segurança da informação.

De acordo com a NBR/ISO 27002, um sistema de gerenciamento de chaves deve basear-se em um conjunto estabelecido de normas, procedimentos e métodos de segurança para

• A.

  gerar chaves para diferentes sistemas criptográficos e diferentes aplicações.

• B.

  evitar quebra de segurança, coibindo a manutenção de registros das atividades relacionadas com o gerenciamento de chaves.

• C.

  evitar o uso de sistemas simétricos, por utilizarem apenas uma chave.

• D.

  destruir chaves perdidas ou corrompidas, como parte da gestão da continuidade do negócio, para evitar a recuperação de informações cifradas.

• E.

  manter registros das chaves públicas geradas pelos usuários e estabelecer a política de geração dessas chaves.

Sejam os parâmetros de um sistema de chave pública RSA.

• Dois primos selecionados inicialmente p = 5 e q = 11

• Chave pública: k1 = 3

Qual é o valor da chave secreta?

• A.

  3 (mod 40)

• B.

  17 (mod 40)

• C.

  23 (mod 40)

• D.

  27 (mod 40)

• E.

  53 (mod 40)

A Autoridade Certificadora (AC) é um componente da maioria das Infraestruturas de Chave Pública.

PORQUE

A chave privada é gerada pelo próprio signatário, garantindo seu sigilo em relação aos outros usuários do sistema quando utilizar algoritmos simétricos.

Analisando as afirmações acima, conclui-se que

• A.

  as duas afirmações são verdadeiras, e a segunda justifica a primeira.

• B.

  as duas afirmações são verdadeiras, e a segunda não justifica a primeira.

• C.

  a primeira afirmação é verdadeira, e a segunda é falsa.

• D.

  a primeira afirmação é falsa, e a segunda é verdadeira.

• E.

  as duas afirmações são falsas.

Há várias formas de ataques aos sistemas de informação. Os ataques DoS (Negação de Serviço) consistem em tentativas de impedir que usuários legítimos utilizem determinados serviços de computadores. Nesse contexto, são classificados como ataques DoS:

• A.

  buffer overflow; phishing; syn flooding

• B.

  buffer overflow; smurf; syn flooding

• C.

  buffer overflow; phishing; spoofing

• D.

  smurf; sniffing; syn flooding

• E.

  smurf; syn flooding; phishing

Paulo autorizou uma despesa em seu cartão de crédito mediante a utilização de senha pessoal. Ao receber a cobrança, procurou a administradora do cartão e negou a despesa. A administradora manteve a cobrança, provando a irretratabilidade da ação realizada. Esse procedimento só foi possível porque, no contexto da segurança da informação e, em relação à transação, a administradora provou pelo menos sua

• A.

  disponibilidade e confiabilidade

• B.

  disponibilidade e integridade

• C.

  portabilidade e autenticidade

• D.

  autenticidade e integridade

• E.

  privacidade e confiabilidade

A política de segurança da informação, segundo a Norma ISO 27002/2005, tem por objetivo prover uma orientação e apoio à direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

PORQUE

As diretrizes para implementação da política de segurança da informação devem conter declaração dos gerentes de nível intermediário, apoiando as metas e os princípios da segurança da informação, alinhada com os objetivos e estratégias da tecnologia da informação.

Analisando as afirmações acima, conclui-se que

• A.

  as duas afirmações são verdadeiras, e a segunda justifica a primeira.

• B.

  as duas afirmações são verdadeiras, e a segunda não justifica a primeira.

• C.

  a primeira afirmação é verdadeira, e a segunda é falsa.

• D.

  a primeira afirmação é falsa, e a segunda é verdadeira.

• E.

  as duas afirmações são falsas.