Questões sobre Tipos de Ataque

Julgue os itens a seguir, relativos aos ataques em redes e aplicações corporativas. Um ataque de SQL injection tenta explorar as características da linguagem SQL, principalmente do interpretador de comandos SQL, podendo danificar as informações armazenadas em um servidor, sem, entretanto, conseguir quebrar a confidencialidade desse conteúdo.

• C. Certo
• E. Errado

Julgue os itens a seguir, relativos aos ataques em redes e aplicações corporativas. O ataque cross-site scripting, executado quando um servidor web inclui, nos dados de uma página web enviada para um usuário legítimo, um conjunto de dados que tenham sido previamente recebidos de um usuário malicioso, permite que se roube de um usuário legítimo senhas, identificadores de sessões e cookies.

• C. Certo
• E. Errado

Julgue os itens a seguir, relativos aos ataques em redes e aplicações corporativas. Em um ataque de DDoS, que objetiva deixar inacessível o recurso computacional para os usuários legítimos, um computador mestre controla milhares de computadores zumbis que acessam um sistema ao mesmo tempo (um servidor web, por exemplo), com o objetivo de esgotar seus recursos.

• C. Certo
• E. Errado

A Sniffing consiste na captura de pacotes que trafegam no mesmo segmento de rede em que o software funciona. Diante desta afirmação, analise as assertivas: I. A Sniffing é uma técnica utilizada pelos hackers. II. O processo de Sniffing consiste em usar um programa, o sniffer, em um computador da rede para que este programa possa desviar pedaços de informação que trafegam no mesmo segmento de rede local. III. O processo de Sniffing consiste em usar um programa, o sniffer, em um computador da rede para que este programa possa capturar todos os pedaços de informação que trafegam no mesmo segmento de rede local. IV. A Sniffing é uma técnica padrão somente do sistema operacional Linux. A sequência correta é:

• A. Apenas as assertivas II e IV são corretas.
• B. Apenas as assertivas I e IV são corretas.
• C. Apenas as assertivas I e III são corretas.
• D. Apenas as assertivas I, II, III e IV são corretas.
• E. a

A respeito da segurança de redes de computadores, julgue os itens de 86 a 90.

Os ataques a computadores na Internet acontecem de diversas formas. Uma delas é a negação de serviço, na qual o computador atacado recebe diversas tentativas de acesso a determinado serviço até que usuário e senha sejam finalmente descobertos. Tal ataque é conhecido como DdoS (distributed denial of service).

• C. Certo
• E. Errado

Em relação à Segurança na Internet, assinale a afirmativa correta.

• A.

  Envio de SPAM não é considerado incidente de segurança pelo Cert.br

• B.

  Para preservar a privacidade dos atacados, CSIRTs não disponibilizam estatísticas dos incidentes tratados.

• C.

  Ataques de phishing não podem ser detectados via honeypots.

• D.

  Se as senhas forem mudadas frequentemente pelo usuário, o tamanho delas passa a ser irrelevante em termos de segurança.

• E.

  Os incidentes de segurança nas redes brasileiras devem ser reportados ao Cert.br, que é mantido pelo NIC.br.

É um tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social, ocorre por meio do envio de mensagens eletrônicas que

− tentam se passar pela comunicação oficial de uma instituição conhecida, tal como banco, empresa ou site popular;

− procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;

− informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;

− tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas web.

Este meio de ataque é conhecido como

• A.

  trojan.

• B.

  phishing.

• C.

  malware.

• D.

  sniffing.

• E.

  spoofing.

Para a resolução das questões desta prova, considere os seguintes detalhes: (1) o mouse está configurado para uma pessoa que o utiliza com a mão direita (destro) e usa, com maior frequência, o botão esquerdo, que possui as funcionalidades de seleção ou de arrastar normal, entre outras. O botão da direita serve para ativar o menu de contexto ou de arrastar especial; (2) os botões do mouse estão devidamente configurados com a velocidade de duplo clique; (3) os programas utilizados nesta prova foram instalados com todas as suas configurações padrão, entretanto, caso tenham sido realizadas alterações que impactem a resolução da questão, elas serão alertadas no texto da questão ou mostradas visualmente, se necessário; (4) no enunciado e nas respostas de algumas questões existe(m) letra(s), abreviatura(s), acrônimo(s), fórmula(s), comando(s), instrução(ões), palavra(s) ou texto(s) que foram digitados entre aspas, apenas para destacá-los. Neste caso, para resolver as questões, desconsidere tais aspas e atente somente para a(s) letra(s), abreviatura(s), acrônimo(s), fórmula(s), comando(s), instrução(ões), palavra(s) ou o(s) texto(s) propriamente ditos; e (5) para resolver as questões desta prova considere, apenas, os recursos disponibilizados para os candidatos, tais como essas orientações, os textos introdutórios das questões, normalmente disponibilizados antes das Figuras, os enunciados propriamente ditos e os dados e informações disponíveis nas Figuras das questões, se houver.

Há uma ação enganosa e/ou fraudulenta, na Internet, que consiste em realizar modificações no sistema de DNS de modo que o internauta, ao digitar, em um navegador, o endereço do site que deseja acessar (URL), o servidor DNS converte o endereço em um número IP falso, fazendo com que seja redirecionado a outro endereço eletrônico, sob o controle de pessoas mal intencionadas. Dessa forma, o usuário, sem saber, visualiza uma ou mais páginas eletrônicas iguais ou muito semelhantes as do site original, que são, entretanto, de um website falso, desenvolvido especialmente com o objetivo de capturar dados sigilosos do usuário, tais como nome do usuário, número da conta bancária e senha, dentre outros. Esse tipo de ação enganosa é conhecido como:

• A.

  Phishing scam.

• B.

  Pharming scam.

• C.

  Engenharia Social.

• D.

  Spyware.

• E.

  Adware.

Assinale a opção em que é apresentado um tipo de ataque provido por vários computadores e direcionado a um servidor de páginas web, em que são enviadas requisições de acesso acima do suportado pelo servidor, o que causa sua indisponibilidade.

• A.

  desfiguração de página

• B.

  varredura de redes

• C.

  falsificação ARP

• D.

  força bruta

• E.

  negação de serviço distribuído

É um tipo específico de phishing que envolve o redirecionamento da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando você tenta acessar um site legítimo, o seu navegador Web é redirecionado, de forma transparente, para uma página falsa. Este redirecionamento pode ocorrer:

− por meio do comprometimento do servidor de DNS do provedor que você utiliza;

− pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS do seu computador;

− pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de DNS do seu computador ou modem de banda larga.

Este tipo de fraude é chamado de

• A.

  Pharming.

• B.

  Hoax.

• C.

  Advanced Phishing.

• D.

  Furto de Identidade.

• E.

  Fraude de antecipação de recursos.