Questões sobre Vulnerabilidade

A figura acima apresenta um diagrama que propõe um relacionamento entre conceitos da área de segurança da informação. Julgue os itens a seguir, a respeito das informações apresentadas, dos conceitos de segurança e sistemas de informação.

Durante a implantação de gerenciamento de riscos em organizações, a descoberta das ameaças à segurança de um sistema é decorrência das vulnerabilidades presentes nesse sistema.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta um cenário para análise das vulnerabilidades em ambiente de tecnologia da informação, julgue os próximos itens.

Uma falha no elemento hardware da figura acima pode ser conseqüência bem como causa de um ataque.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta um cenário para análise das vulnerabilidades em ambiente de tecnologia da informação, julgue os próximos itens.

A exposição das linhas de comunicação às radiações é um exemplo de vulnerabilidade do sistema.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta um cenário para análise das vulnerabilidades em ambiente de tecnologia da informação, julgue os próximos itens.

A implantação de grampos nas linhas de comunicação entre a central de comutação e os consoles remotos é um exemplo de contra-medida.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta um cenário para análise das vulnerabilidades em ambiente de tecnologia da informação, julgue os próximos itens.

A ausência de procedimentos de investigação sobre a conduta e o histórico prévio dos responsáveis pela manutenção e operação de sistemas como o acima é mais adequadamente chamada de ameaça que de vulnerabilidade.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta um cenário para análise das vulnerabilidades em ambiente de tecnologia da informação, julgue os próximos itens.

A rede de telecomunicações mostrada na figura apresenta uma topologia lógica em barra e não, em estrela.

• C. Certo
• E. Errado

Em relação aos scanners de vulnerabilidade, das características apresentadas aquela que NÃO é uma deficiência fundamental dessas ferramentas:

• A.

  inteireza;

• B.

  atualização oportuna;

• C.

  exatidão;

• D.

  falsos-positivos;

• E.

  desempenho.

As vulnerabilidades de segurança da família de protocolos TCP/IP têm sido ativamente exploradas nos últimos anos, visando à realização de ataques a sistemas computacionais interconectados à Internet. Em contrapartida a esses ataques, vários mecanismos e sistemas de proteção, defesa e contra-ataque têm sido criados, como firewalls, IPSs (intrusion prevention systems) e IDSs (intrusion detection systems). Com relação a vulnerabilidades e ataques às redes de computadores, julgue os itens seguintes.

I Entre os métodos de ataque relacionados a DoS (denial of service), está o ataque de smurf, concentrado na camada IP, embasado no protocolo ICMP, no spoof de endereços fonte em pacotes e com amplificação por meio de repasse de pacotes dirigidos a endereço de broadcast.

II O ataque ping da morte (ping of death), ainda comum nos sistemas Windows sem a proteção de firewalls, gera DoS devido à fragmentação entre as camadas de rede e de enlace, bem como devido à geração de buffer overflow.

III A tentativa de ataque embasada no spoof de endereços IP do tipo non-blind spoofing tem maior sucesso quando o alvo atacado estiver na mesma sub-rede do atacante.

IV Quando um spoofing IP tem por objetivo principal a negação de serviço e, não, a captura de sessão, há menor necessidade de um atacante manipular os números de sequência e acknowledgement presentes no cabeçalho de pacotes TCP.

V Ataques do tipo SYN flooding em geral são bem sucedidos quando esgotam a capacidade de recebimento de datagramas UDP por parte dos hosts alvos.

Estão certos apenas os itens

• A. I, II e III.
• B. I, II e V.
• C. I, III e IV.
• D. II, IV e V.
• E. III, IV e V.

Assinale a opção correta acerca das vulnerabilidades no modelo de proteção das informações de interesse nacional.

• A. Mesmo utilizando sistemas tecnológicos de segurança de fornecedores e tecnologias estrangeiras, é possível manter um nível adequado de segurança nacional, com algum nível de vazamento permitido.
• B. O sistema de regulamentação atual das telecomunicações no Brasil proporciona algumas possibilidades de exploração de vulnerabilidades, mas é suficiente para garantir o controle das comunicações no país.
• C. A aprovação do marco civil da Internet brasileira deverá elevar o nível de segurança para o cidadão e para o governo brasileiro e deverá impedir que ocorram novos vazamentos de informação.
• D. A proteção de informações estratégicas de uma nação deve ser feita por tecnologias desenvolvidas no país, sem backdoor, auditáveis, com uso de criptografia de estado, por empresas e recursos humanos credenciados, pela normatização e implantação de eficientes sistemas de gestão da informação nas organizações.
• E. Os atributos de confidencialidade, disponibilidade e integridade de proteção das informações de interesse nacional estão sendo atingidos, sendo os vazamentos algo comum e tolerado dentro de uma certa margem.

Considerando a gestão da segurança da informação, a fragilidade de um ativo ou grupo de ativos, que pode ser explorada para comprometer a segurança de sistemas e informações, é uma definição de

• A. vulnerabilidade.
• B. ameaça.
• C. risco.
• D. impacto.
• E. ataque.