Questões sobre Segurança da Informação

São aspectos de proteção da Segurança da Informação:

• A.

  interação de comandos; disponibilidade de instruções; privacidade ou confidencialidade.

• B.

  autorização; designação; impedimento de restore.

• C.

  integridade de hardware; autorização de recall; privacidade ou compromisso.

• D.

  autocodificação; autenticação; autorização de replay.

• E.

  autorização; autenticação; impedimento de replay.

No que se refere à segurança em redes de computadores, julgue os itens a seguir.

São dispositivos constitucionais relacionados com a segurança dos sistemas de informação em organizações públicas brasileiras: o direito à privacidade, que define a aplicação do sigilo das informações relacionadas à intimidade ou vida privada de alguém; o direito à informação e ao acesso aos registros públicos; o dever do estado de proteger documentos e obras; e o dever do estado de promover a gestão documental.

• C. Certo
• E. Errado

No que se refere à segurança em redes de computadores, julgue os itens a seguir.

Envenenamento ARP (ARP poisoning), SYN flooding attack e roubo de sessão TCP (TCP session hijacking) são tipos de ataque que estações pertencentes a uma rede IPv4 podem sofrer. Esses três tipos podem ser usados para produzir negação de serviço, com a diferença de que, para realizar o primeiro, o host atacante deve estar fisicamente localizado no mesmo segmento do host atacado, enquanto os dois últimos podem ser efetuados por meio da Internet.

• C. Certo
• E. Errado

• A. V.
• B. W.
• C. X.
• D. Y.
• E. Z.

Os algoritmos de criptografia assimétricos utilizam

• A.

  2 chaves privadas diferentes, sendo uma para cifrar e outra para decifrar.

• B.

  2 chaves públicas diferentes, sendo uma para cifrar e outra para decifrar.

• C.

  2 chaves, sendo uma privada para cifrar e outra pública para decifrar.

• D.

  2 chaves, sendo uma pública para cifrar e outra privada para decifrar.

Considere que Alice e Bob são duas entidades que se comunicam utilizando um canal inseguro. Para dar segurança à comunicação, eles resolveram realizar os seguintes passos:

1 – Bob criou um sistema criptográfico de chave pública e enviou sua chave pública para Alice através do canal;

2 – Alice, então, gerou uma chave de 64 bits para um esquema de chaves simétricas;

3 – Alice criptografou a chave simétrica, utilizando a chave pública de Bob, e enviou, através do canal, o resultado para Bob;

4 – Bob decriptou a informação recebida utilizando a sua chave privada, recuperando a chave simétrica gerada por Alice;

5 – Alice e Bob passam a se comunicar através de um sistema criptográfico simétrico.

Com base nessas afirmações, conclui-se que

• A.

  se após o passo 5 um hacker conseguir a senha privada de Bob, a comunicação passará a ser insegura.

• B.

  se um hacker possuir a chave pública de Bob e se fizer passar por ele enviando a chave pública para Alice ele poderá obter a chave simétrica gerada por Alice.

• C.

  o tipo de sistema criptográfico adotado a partir do passo 5 apresenta um desempenho melhor do que o utilizado até o passo 4, apesar de ser menos seguro.

• D.

  uma vez que Alice utilizou a chave pública de Bob, Bob tem como verificar a autenticidade da chave simétrica.

• E.

  devido à criptografia simétrica, as mensagens originadas por Alice terão sempre o mesmo tamanho, independente do tamanho original antes da criptografia.

Um IPS (Intrusion Prevention System), de forma geral, é um equipamento auxiliar no gerenciamento e segurança da rede, instalado em determinado ponto de passagem de tráfego de uma rede de computadores. Assinale a alternativa que apresenta apenas funções que podem ser realizadas por um IPS.

• A.

  Autenticação de usuários e acesso a serviço de mensagens eletrônicas (e-mail).

• B.

  Cadastro de usuários da rede e controle de acesso a recursos locais.

• C.

  Detecção de ataque DDoS e controle de uso de banda por aplicação.

• D.

  Armazenamento de backups e controle de acesso a banco de dados.

• E.

  Filtro de pacotes, por aplicação, e hospedagem de sites Web.

O Plano de Continuidade de Negócios é uma importante ferramenta da área de segurança da informação. Assinale a alternativa que define os objetivos dessa ferramenta.

• A. Determinar ações para garantir a continuidade dos negócios de uma organização, em momentos de crise política ou econômica, quando houver risco de falência.
• B. Criar normas para o uso dos recursos computacionais da organização, em especial os que envolvem comunicação externa, como, por exemplo, o acesso à Internet.
• C. Monitorar o uso da rede de computadores da organização, realizando ações preventivas e corretivas que visem evitar incidentes de segurança e perda da informação.
• D. Garantir o funcionamento dos negócios de uma organização, em nível aceitável, nas situações de contingência em que há indisponibilidade dos recursos de informação.
• E. Traçar metas para evitar os incidentes que podem levar a situações de indisponibilidade da informação nos sistemas críticos da organização.

Os sistemas de prevenção de intrusão (IPS – Intrusion Prevention Systems) são dispositivos que monitoram o funcionamento de sistemas, em busca de comportamentos maliciosos ou não desejados. Em uma rede de computadores, o IPS monitora o fluxo de dados que passa por ela, verificando a ocorrência de tentativas de ataque contra os sistemas presentes nessa rede. Os sistemas de prevenção à intrusão podem ser considerados como a extensão dos sistemas de detecção de intrusão (IDS – Intrusion Detection Systems). Assinale a alternativa que define a diferença básica entre o conceito de IPS e IDS, usados em uma rede de computadores.

• A. O IPS, além de monitorar a rede, pode tomar ações em tempo real para evitar ataques.
• B. O IDS é utilizado em hosts (servidores) para análise de protocolos da camada de aplicação.
• C. O IPS toma ações preventivas, enquanto o IDS toma ações corretivas no combate a incidentes.
• D. O IDS age nos pontos de conexão da rede, e o IPS reside nos hosts (servidores) da rede.
• E. Não há diferença conceitual entre os dois sistemas, mas apenas evolução de nomenclatura.

Em relação à segurança da informação, a prática utilizada na Internet em que o hacker monta sites falsos ou envia mensagens de e-mail fazendo-se passar por representantes de empresas legítimas, solicitando aos usuários seus dados pessoais confidenciais, é conhecida como:

• A.

  DoS;

• B.

  rede virtual;

• C.

  spanning;

• D.

  phishing;

• E.

  DDoS.