Questões sobre Segurança da Informação

A navegação em sites na internet é realizada por meio de browsers, sendo o Google Chrome um dos mais utilizados. Um indicativo de que um site está sendo acessado em modo seguro, é visualizado na barra de endereços, exemplificado na seguinte alternativa:

• A.
• B.
• C.
• D.
• E.

No contexto de segurança da informação na Internet, a técnica de phishing é

• A. um tipo de ataque em que um usuário malicioso procura se passar por um certo usuário ou empresa para enganar outros usuários ou obter acesso a Web sites seguros.
• B. uma técnica utilizada para pescar informações relevantes ou de interesse em meio à vasta quantidade de dados disponíveis na Internet.
• C. um tipo de fraude em que um golpista tenta obter dados pessoais e financeiros de um usuário por meio do uso combinado de meios técnicos e engenharia social.
• D. uma espécie de ataque que consiste em inspecionar o tráfego de dados em uma rede em busca de informações valiosas, como senhas e números de cartões de crédito.

Normalmente, não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial, por isso golpistas vêm concentrando esforços na exploração de fragilidades dos usuários. Dentre estes golpes está

• A. o sniffing, no qual um golpista procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício. Por exemplo, alguém recebe um e-mail contendo uma oferta de empréstimo ou financiamento com taxas de juros muito inferiores às praticadas no mercado. Após o crédito ser supostamente aprovado a pessoa é informada que necessita efetuar um depósito bancário para o ressarcimento das despesas.
• B. o e-mail spoofing, por meio do qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. Um exemplo é um e-mail no qual informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição do usuário em serviços de proteção de crédito e o cancelamento de uma conta bancária ou de um cartão de crédito.
• C. o pharming, que envolve a redireção da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando a pessoa tenta acessar um site legítimo, o seu navegador web é redirecionado, de forma transparente, para uma página falsa.
• D. o advance fee fraud, por meio do qual um comprador ou vendedor age de má-fé e não cumpre com as obrigações acordadas ou utiliza os dados pessoais e financeiros envolvidos na transação comercial para outros fins. Por exemplo, o comprador tenta receber a mercadoria sem realizar o pagamento ou o realiza por meio de transferência efetuada de uma conta bancária ilegítima ou furtada.
• E. o defacement, com o objetivo específico de enganar os possíveis clientes que, após efetuarem os pagamentos, não recebem as mercadorias. Para aumentar as chances de sucesso, o golpista costuma utilizar artifícios como enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertar produtos com preços abaixo dos praticados pelo mercado.

Acerca de worms, julgue o item abaixo. A ação de worms pode afetar o desempenho de uma rede de computadores.

• C. Certo
• E. Errado

Diversos mecanismos de segurança foram desenvolvidos para prover e garantir proteção da informação que, quando corretamente configurados e utilizados, podem auxiliar os usuários a se protegerem dos riscos envolvendo o uso da Internet. Os serviços disponibilizados e as comunicações realizadas pela internet devem garantir os requisitos básicos de segurança e proteção da informação, como: Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.

I. Verificar se a entidade é realmente quem ela diz ser.

II. Determinar as ações que a entidade pode executar.

III. Proteger a informação contra alteração não autorizada.

IV. Proteger a informação contra acesso não autorizado.

V. Evitar que uma entidade possa negar que foi ela que executou uma ação.

Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

As definições numeradas de I a V correspondem, respectivamente, a:

• A. Integridade; Autenticação; Autorização; Acessabilidade; Não repúdio.
• B. Identificação; Raio de Ação; Autorização; Acessabilidade; Negação.
• C. Autenticação; Autorização; Integridade; Confidencialidade; Não repúdio.
• D. Autenticação; Raio de Ação; Integridade; Confidencialidade; Identificação.
• E. Integridade; Confidencialidade; Autenticação; Autorização; Negação.

Considere:

− Funciona como uma impressão digital de uma mensagem, gerando, a partir de uma entrada de tamanho variável, um valor fixo pequeno.

 − Este valor está para o conteúdo da mensagem assim como o dígito verificador de uma conta-corrente está para o número da conta ou o check sum está para os valores que valida.

− É utilizado para garantir a integridade do conteúdo da mensagem que representa.

− Ao ser utilizado, qualquer modificação no conteúdo da mensagem será detectada, pois um novo cálculo do seu valor sobre o conteúdo modificado resultará em um valor bastante distinto.

Os itens acima descrevem

• A. um Hash criptográfico.
• B. um Certificado digital.
• C. uma Assinatura digital.
• D. um Algoritmo de chave pública.
• E. um Algoritmo de chave secreta.

Os spammers utilizam diversas técnicas para coletar endereços de e-mail, desde a compra de bancos de dados até a produção de suas próprias listas. Após efetuarem a coleta, os spammers procuram confirmar a existência dos endereços de e-mail e, para isto, costumam se utilizar de artifícios. Sobre este tema assinale a afirmativa INCORRETA:

• A.

  A técnica conhecida como harvesting consiste em coletar endereços de e-mail por meio de varreduras em páginas web e arquivos de listas de discussão, entre outros.

• B.

  Muitos códigos maliciosos são projetados para varrer o computador infectado em busca de endereços de e-mail que, posteriormente, são repassados para os spammers. Estes programas, no entanto, nunca conseguem burlar os testes Captcha.

• C.

  A confirmação pode ser feita através do envio de mensagens para os endereços coletados e, com base nas respostas recebidas dos servidores de e-mail, identificar quais endereços são válidos e quais não são.

• D.

  É comum incluir no spam um suposto mecanismo para a remoção da lista de e-mails, como um link ou um endereço de e-mail. Quando o usuário solicita a remoção, na verdade está confirmando para o spammer que aquele endereço de e-mail é válido e realmente utilizado.

• E.

  Pode-se incluir no spam uma imagem do tipo web bug, projetada para monitorar o acesso a uma página web ou e-mail. Quando o usuário abre o spam, o web bug é acessado e o spammer recebe a confirmação que aquele endereço de e-mail é válido.

O usuário deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cópias de segurança:

− Que informações realmente importantes precisam estar armazenadas em minhas cópias de segurança?

− Quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem destruídas ou danificadas?

− O que aconteceria se minhas cópias de segurança fossem furtadas?

Baseado nas respostas para as perguntas anteriores, assinale a alternativa que apresenta um cuidado a ser observado por um usuário comprometido com a segurança dos dados.

• A.

  Cópias de segurança devem conter apenas arquivos confiáveis do usuário, ou seja, que não contenham vírus e nem algum outro tipo de malware. Arquivos do sistema operacional e que façam parte da instalação dos softwares utilitários devem fazer parte das cópias de segurança, pois evitaria que os mesmos precisassem ser reinstalados das mídias fornecidas pelos fabricantes.

• B.

  A escolha da mídia para a realização da cópia de segurança é muito importante e depende da importância e da vida útil que a cópia deve ter. A utilização de alguns disquetes para armazenar um pequeno volume de dados é perfeitamente viável. Mas um grande volume de dados, de maior importância, que deve perdurar por longos períodos, como os dados de um servidor, devem ser armazenados em mídias mais confiáveis, como os pen drives.

• C.

  Cópias de segurança devem ser guardadas em um local restrito e com ar condicionado bastante frio, de modo que apenas pessoas autorizadas tenham acesso a este local e a temperatura seja sempre bem baixa.

• D.

  Cópias de segurança podem ser guardadas em locais diferentes. Um exemplo seria manter uma cópia em empresas especializadas em manter áreas de armazenamento com cópias de segurança de seus clientes. Nestes casos é muito importante considerar a segurança física de suas cópias.

• E.

  Os dados armazenados em uma cópia de segurança não podem conter informações sigilosas. Neste caso, os dados que contenham informações sigilosas devem ser mantidos no computador do usuário.

Analise as afirmações sobre os recursos que o Windows oferece.

1- Se o seu computador é compartilhado por outras pessoas através de senhas, cada usuário pode personalizar sua área de trabalho.

2- A área de transferência é um recurso que armazena a última informação copiada ou recortada.

3- Para melhorar o desempenho do computador deve-se regularmente fazer a limpeza do disco rígido usando as ferramentas ScanDisk e o desfragmentador de disco.

São corretas as afirmações:

• A. 1 e 2, apenas.
• B. 1 e 3, apenas.
• C. 2 e 3, apenas.
• D. 1, 2 e 3.

Julgue os itens subsequentes, relativos a conceitos de segurança da informação.

Phishing é a técnica de criar páginas falsas, idênticas às oficiais, para capturar informações de usuários dessas páginas.

• C. Certo
• E. Errado