SóProvas

Prova CCV-UFC - 2013 - UFC - Analista de Tecnologia da Informação - Segurança da Informação

ID
2791663
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

O ciclo PDCA (Plan-Do-Check-Act), também conhecido como ciclo de Deming, é utilizado como base conceitual por um dos processos do ITIL v.3, abordado com maior ênfase na publicação:

Alternativas
Comentários

  • Letra E.

    A Melhoria Contínua do Serviço (MCS) está preocupada com a manutenção de valor para com os clientes através da avaliação contínua, da melhoria da qualidade de serviços e da maturidade global do ciclo de vida do Gerenciamento de Serviços de TI (GSTI) e processos subjacentes.

    GSTI combina princípios, práticas e métodos de gestão da qualidade, Gerenciamento de Mudança e melhoria da capacidade, trabalhando para melhorar cada fase do ciclo de vida do serviço, bem como os serviços atuais, processos, atividades relacionadas e tecnologia. Apresenta uma visão de ciclo de vida embasada no modelo .

    https://pt.wikipedia.org/wiki/ITILv3#Melhoria_Cont%C3%ADnua_do_Servi%C3%A7o

ID
2791666
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Durante atividades de manutenção, foi identificado um certo número de erros relativos ao módulo financeiro de um sistema empresarial. A área de TI da empresa executou a correção destes erros, gerando assim uma nova versão do sistema. Que função do ITIL, entre as listadas abaixo, é responsável pela atividade de testes da versão atualizada desse sistema:

Alternativas
Comentários
  • Heeeeeiiiiiinnnn? Mas nem fodendo
ID
2791669
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Durante uma inspeção de rotina, foi identificado que uma empresa não possui um plano de continuidade para um determinado serviço de TI. Escolha, entre as opções abaixo, qual seria um motivo válido para a inexistência do plano de continuidade para o serviço:

Alternativas
ID
2791672
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Os modelos de maturidade do COBIT permitem fazer comparações e identificar os necessários aprimoramentos de capacidades. O modelo de maturidade para o gerenciamento e controle dos processos de TI é baseado num método de avaliar a organização, permitindo que ela seja pontuada com um nível de maturidade por processo. No caso de uma empresa onde existe um refinamento de processos que seguem as melhores práticas, benchmarking com outras organizações e busca da melhoria contínua, com a utilização da TI como ferramenta para a melhoria de qualidade, produtividade e efetividade, automação do fluxo de trabalho, permitindo que a empresa se adapte rapidamente às mudanças necessárias, o nível de maturidade dessa situação seria:

Alternativas
ID
2791675
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Gerenciar a qualidade, segundo o COBIT, é um processo de TI pertencente ao domínio de:

Alternativas
ID
2791678
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Entre as afirmações sobre "métricas", apresentadas no COBIT 4.1, tem-se:

Alternativas
ID
2791684
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Engenharia de Software
Assuntos

Assinale a alternativa que contém um processo presente na Área de Conhecimento Gerenciamento de Integração conforme consta no Guia do Conhecimento em Gerenciamento de Projetos (PMBOK).

Alternativas
Comentários

  • Controlar custos. - Gerenciamento dos Custos do Projeto

    Encerrar aquisições - Gerenciamento de Aquisição

    Estimar os recursos da atividade - Gerenciamento de Tempo

    Identificar as partes interessadas - Gerenciamento de Comunicação

    Monitorar e controlar o trabalho do projeto - Gerenciamento de Integração

    Alternativa: E

ID
2791687
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Engenharia de Software
Assuntos

Segundo o PMBOK, a estrutura organizacional é um fator ambiental da empresa que pode afetar a disponibilidade dos recursos e influenciar a maneira como os projetos são conduzidos. As estruturas organizacionais variam de funcionais a projetizadas com diversas estruturas matriciais entre elas. Dentre as organizações matriciais, aquela que possui muitas das características da organização projetizada e pode ter gerentes de projetos em tempo integral com autoridade considerável e pessoal administrativo trabalhando para o projeto em tempo integral é a:

Alternativas
Comentários

  • Matricial Forte:

    :. O poder está no Gerente de Projetos;

    :. Os gerentes de projetos negociam os recursos entre si;

    :. Autoridade total;

    .: Tempo: integral

    .: Reporta a Gerentes dos gerentes de projetos.

    .

    .

    At.te

    Foco na missão 

ID
2791690
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança é a base para todas as questões relacionadas à proteção da informação, desempenhando um papel importante nas organizações. É correto afirmar que:

Alternativas
Comentários

  • Letra E

  • Questão que pode ter duas respostas.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • A LETRA B NÃO CONTÉM ERRO.

  • Letra E, mas acredito que a letra B também esteja certa.

  • A Letra B não seria vulnerabilidade no lugar de ameaça?

  • Em relação a letra B, argumentos para que ela esteja errada: trata-se de uma vulnerabilidade que a empresa acaba possuindo, com a sua falta.

    Vamos lá...

    “As vulnerabilidades podem advir de vários aspectos: instalações físicas desprotegida contra incêndios, inundações, e desastres naturais; material inadequado empregado nas construções; ausência de política de segurança para RH; funcionários sem treinamento e insatisfatório nos locais de trabalho; ausência de procedimento de controle de acesso e utilização de equipamentos por pessoal contratado; equipamento obsoletos, sem manutenção e sem restrições para sua utilização; software sem patch de atualização e sem licença de funcionamento, etc”. ( DANTAS, 2001, p.25-26)

ID
2791693
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Em relação às estratégias de contingência é correto afirmar que:

Alternativas
Comentários

  • Gabarito A

    Estratégia de Contingência Bureau de Serviços:

    – Possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado

    – Fora dos domínios da empresa

    – Requer um tempo de tolerância maior em função do tempo de reativação operacional da atividade

    – As informações são manuseadas por terceiros em um ambiente fora de seu controle



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • a) Correta

    b) Não necessariamente tercerizado

    c) Cold site não possui alta prioridade, o que possui é a Hot Site.

    d)Não mantém recursos mínimos, ela replica o site.

    e)Realocação não replica

ID
2791696
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade com o objetivo de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Em relação à auditoria, selecione a opção correta:

Alternativas
ID
2791699
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a ABNT NBR ISO/IEC 27001:2006, a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados é a definição de:

Alternativas
Comentários

  • Gabarito A

    Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • ativo

    qualquer coisa que tenha valor para a organização

    disponibilidade

    propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada

    confidencialidade

    propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não

    autorizados

    integridade

    propriedade de salvaguarda da exatidão e completeza de ativos

    Não repúdio

    (CERT.BR) : evitar que uma entidade possa negar que foi ela quem executou uma ação. (não tem definição na ISO 27001)

  • ISO/IEC 27001:2006:

     

    .: Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;

     

    .:  Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;

     

    .:  Ativo: qualquer coisa que tenha valor para a organização;

     

    .: Integridade: propriedade de salvaguarda da exatidão e completeza de ativos;

     

    Obs.: Não repúdio (irretratabilidade): garante que uma pessoa não possa negar a sua autoria; (Não está citada na norma).

    .

    .

    .

    At.te

    Foco na missão!

ID
2791702
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a ABNT NBR ISO/IEC 27001:2006, para estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), a organização deve definir uma política do SGSI nos termos das características do negócio, da organização, da sua localização, dos ativos e da tecnologia. Assinale o item que não se enquadra na política do SGSI:

Alternativas
Comentários

  • Gabarito A

    Essa estava bem na cara....



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Segue o trecho na qual a questão foi retirada:

      

    4.2 Estabelecendo e gerenciando o SGSI
    4.2.1 Estabelecer o SGSI
    b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:
    1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação;
    2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;
    3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer ;
    4) estabeleça critérios em relação aos quais os riscos serão avaliados (ver 4.2.1c)); e
    5) tenha sido aprovada pela direção

     

    Fonte: ABNT NBR ISO/IEC 27001:2006

ID
2791705
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT: NBR 27002, assinale a alternativa correta.

Alternativas
Comentários

  • a) Implementa 114 controles para a segurança da informação;


    b) GABARITO


    c) Norma estrutura em 14 seções de controle, divididas em 35 objetivos de controles e 114 controles;


    d) Como menciona diretrizes gerais acredito que faça referencia a norma ISO 27001, se fosse diretrizes para implementação seria a norma ISO 27003;


    e) ISO 27005 gestão dos riscos da segurança da informação;

ID
2791708
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto da Criptografia Assimétrica para prover confidencialidade, é correto afirmar que:

Alternativas
Comentários

  • Criptografia Assimétrica

    1 - Utiliza duas chaves: uma pública e a outra privada

    2 - Normalmente a chave pública é usada para a encriptação, e a privada para a decriptação. 

     

  • Chave PRIVADA = de conhecimento apenas do DONO

    Chave PÚBLICA = de conhecimento GERAL


    SE mensagem criptografada com a chave PÚBLICA somente o dono (pq só ele deveria conhecer a ch privada) poderá descriptografar. Aqui garante-se CONFIDENCIALIDADE/ SIGILO


    Se mensagem criptografada com a chave PRIVADA todos podem descriptografar, pois esta é de conhecimento público Aqui se garante a AUTENTICIDADE/ORIGEM

  • Gabarito C

    Normalmente a chave pública é usada para a encriptação, e a privada para a decriptação.


    Vamos na fé,



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Para garantir confidencialidade = cifra com a chave pública para ser decifrada com a chave privada

    Para garantir autenticidade = cifra com a chave privada para ser decifrada com a chave pública

ID
2791711
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

É um exemplo de algoritmo criptográfico assimétrico:

Alternativas
Comentários

  • ECC = Criptografía de Curvas Elípticas


    Criptografía de Curvas Elípticas, é uma aproximação para a criptografia de chave pública com base na estrutura algébrica de curvas elípticas sobre campos finitos. Curvas Elípticas são também utilizadas em várias fatorações de algoritmos inteiros.

  • Cuidado para não confundir ECC de curvas elipticas com Error Correcting Code do RAID 2, pois ambos tem a mesma sigla

  • Gabarito C

    Criptografía de Curvas Elípticas, é uma aproximação para a criptografia de chave pública com base na estrutura algébrica de curvas elípticas sobre corpos finitos . A utilização de curvas elípticas em criptografia foi sugerida por Neal Koblitz e Victor S.Miller em 1985. Curvas Elípticas são também utilizadas em várias fatorações de algoritmos inteiros, que têm aplicações em criptografia.

    Criptografia de chave pública é baseada na criação de enigmas matemáticos que são difíceis de resolver sem determinado conhecimento sobre como foram criados. O criador guarda aquele conhecimento secreto (a chave confidencial) e publicam o enigma (a chave pública). O enigma pode então ser usado para confundir uma mensagem de um jeito que somente o criador possa desconfundi-la. Antes, os sistemas de chaves públicas, tais como os algoritmos de RSA, usavam produtos de dois números primos como enigma: o usuário escolhe dois número primos como sua chave confidencial, e publica seu produto como sua chave pública. A dificuldade de fatoração assegura que ninguém mais possa desvendar a chave confidencial (isto é, os dois número primos) da chave pública. Entretanto, devido ao progresso recente em fatorar, chaves públicas de RSA devem agora ter milhares de bits comprimento para fornecer a segurança adequada.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
2791717
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre Esteganografia é correto afirmar que:

Alternativas
Comentários

  • Diferente da criptografia, a esteganografia não pode ser detectada. Arquivos de imagem e de som, por exemplo, possuem áreas de dados que não são usadas ou não são significativas. A esteganografia se aproveita dessa particularidade, trocando essas áreas por informação útil.
     
    Fonte: Informação, codificação e segurança de redes - Marcelo Alencar

  • Esteganografia → trata-se de uma técnica utilizada para esconder informações. Seu objetivo é que as informações sejam transmitidas de forma invisível, sem que possam ser capturadas ou monitoradas.

    Como é possível esconder uma mensagem em uma imagem?

    Basicamente uma imagem é um conjunto de pixels codificados em milhões e milhões de bits (Ex: 01101010000101110101011101101000). Se eu modificar apenas alguns desses bits para guardar uma mensagem secreta, não vai fazer muita diferença para você porque a mudança será imperceptível para o olho humano. 

    Matéria da UOL sobre traficante que usava esteganografia para comandar crimes: https://www1.folha.uol.com.br/fsp/cotidian/ff1003200801.htm

    Gabarito: Letra C

ID
2791720
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Sistema biométrico e VLANs são, respectivamente, exemplos de quais processos de segurança em redes:

Alternativas
Comentários

  • Biometria = Autenticar usuarios


    VLAN = Isola usuarios numa pequena rede virtual dentro de uma rede completa, ou seja, não autoriza seu acesso a outras maquinas da mesma rede fora da vlan

ID
2791723
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Considere a seguinte ameaça e assinale a alternativa em que são listados os ataques utilizados pelo atacante.


“Um atacante escuta o tráfego da rede com o software Wireshark e captura as senhas que são enviadas ao servidor de autenticação. O objetivo do atacante é utilizar as senhas em outro ataque, para obter acesso a recursos de rede de terceiros.”

Alternativas
Comentários

  • Sniffer

    Ação de capturar informações destinadas a uma outra máquina

     

     

    Replay attack.

    Um ataque de repetição (também conhecido como ataque de reprodução ) é uma forma de ataque de rede na qual uma transmissão de dados válida é repetida ou atrasada de forma maliciosa ou fraudulenta. Isso é realizado pelo originador ou por um adversário que intercepta os dados e os retransmite, possivelmente como parte de um ataque de mascaramento pela substituição de pacotes IP . Esta é uma das versões de nível mais baixo de um " ataque man-in-the-middle ".

    Outra maneira de descrever tal ataque é: "um ataque a um protocolo de segurança usando a reprodução de mensagens de um contexto diferente no contexto pretendido (ou original e esperado), enganando o (s) participante (s) honesto (s) para que concluam com êxito o execução de protocolo.

  • Sniffing e Replay attack.

  • replay attack - reaproveitar dados para se passar por um usuario legitimo

ID
2791729
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema IDS, sistema de encriptação e portões/guaritas são considerados, respectivamente, quais métodos de controle de acesso?

Alternativas
Comentários

  • [A]- Técnico, Técnico, Físico.

  • Alguém explica ai, acerei no chute.

  • foi por eliminação, ja que portões e guaritas são fisicos

ID
2791732
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o firewall iptables, assinale a alternativa que apresenta o comando para bloquear conexões que chegam à porta SSH padrão do servidor:

Alternativas
Comentários

  • Detalhe, apesar de a questão trazer no enunciado "firewall iptables" IPTABLES NÃO É FIREWALL!!!!

    Diversas questões cobra esse conceito e a grande maioria erra por fazer essa confusão.

    Iptables é uma interface que configura o netfilter( esse sim é o firewall do linux).

    Agora vamos a questão em si, para resolve-lá é essencial saber os seguintes conceitos:

    SSH usa a porta 22

    SSH usa protocolo TCP

    -t especifica a tabela iptables que será adicionada a regra, no caso a tabela filter

    -A especifica a opção selecionada, no caso append que irá adicionar a regra no fim da tabela filter

    -p especifica o protocolo, no caso TCP ( Caso fosse UDP: -p UDP)

    --dports especifica a porta, no caso 22

    -j especifica a ação a ser tomada com esse pacote, no caso rejeitá-lo.

    Traduzindo a reposta E(correta) em linhas gerais: Rejeite todos os pacotes TCP que estão chegando e que tenham destino à porta 22(SSH)

ID
2791735
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre VPNs e o protocolo IPsec, assinale a alternativa correta:

Alternativas
Comentários

  • O AH protege os dados contra modificação, porém continua a vulnerabilidade dos dados em relação a confidencialidade, ou seja, os dados não estão criptografados, continuam a trafegar em modo plain text na rede.

    O ESP fornece então os serviços de confidencialidade e, opcionalmente, autenticação e anti-replay para as camadas superiores ao IP. Seu número de protocolo no TCP/IP é 50.


    https://www.gta.ufrj.br/grad/03_1/ip-security/paginas/esp.html

  • A) O IPsec possui três formas diferentes de pacotes: um para o modo túnel, outro para o modo transporte e outro para o modo autenticação.

    Incorreta, IPSec possui dois modos diferentes de operação: modo túnel e modo transporte;

    B) Correta, GABARITO DA QUESTÃO, visto que o cabeçalho AH não provê sigilo( confidencialidade)

    C) VPN é bastante utilizada por instituições para proteger seu tráfego, e elas devem ser criadas em uma rede física independente para garantir o sigilo dos dados.

    Incorreta, na verdade, alternativa bem sem sentido VPN devem ser criadas em redes fisicas? Independente de garantir sigilo? Sem nexo algum;

    D) OpenVPN é um software de código aberto que permite a criação de VPNs. Ele utiliza protocolos criptográficos como SSL e TLS, mas não suporta transporte de pacotes UDP.

    Incorreta, embora SSL e TLS sejam independentes do protocolo da camada de transporte, não há sentido uma ferramente não oferecer suporte ao UDP

    E) Os principais protocolos do IPsec são AH e ESP. O protocolo ESP provê autenticação da fonte e integridade dos dados, mas não provê sigilo, enquanto o protocolo AH provê autenticação, integridade e sigilo

    Incorreta, conceitos foram trocado:

    AH = autenticação, integridade, (sem sigilo);

    ESP = autenticação, integridade, com sigilo

  • IPSEC

    • Camada de REDE
    • Possui DOIS modos: TUNEL E TRANSPORTE

    AH

    • INTEGRIDADE
    • AUTENTICIDADE

    ESP (CIA) [Associe ESP (CIA) aos ESPIÕES DA CIA]

    • CONFIDENCIALIDADE (SIGILO)
    • INTEGRIDADE
    • AUTENTICIDADE

    Relembrando a DICA

    DISPONIBILIDADE

    • INFO DISPONÍVEL sempre que PRECISAR

    INTEGRIDADE

    • INFO. NÃO ALTERADA (ou seja, ÍNTEGRA)

    CONFIDENCIALIDADE

    • INFO. SOMENTE p/ PESSOAS AUTORIZADAS

    AUTENTICIDADE

    • INFO. DA FONTE ANUNCIADA

    Perceba que nos princípios básicos eu coloquei só palavras chaves outrora cobradas pela banca CESPE/CEBRASPE.

ID
2791738
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Assinale a alternativa correta sobre os protocolos de segurança para redes Wi-Fi.

Alternativas
Comentários

  • Protocolo CCMP. O CCMP é o protocolo usado pelo WPA2 para encriptação das mensagens transmitidas. Ele é totalmente independente do funcionamento do WEP, diferentemente do WPA, pelo fato de não usar o algoritmo RC4. Ao invés disto, a mensagem é codificada antes de ser transmitida com o uso do AES.

     

    https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/wpa.html

  • Para quem possa ter ficado na dúvida sobre "CCMP é um protocolo baseado no AES"

      

    CCMP is the strongest confidentiality, integrity, and replay protection protocol suite available for WLAN security. It is based on AES and is the core of the 802.11i RSN and the WPAv2 specification. CCMP is thus the preferred solution if all the WLAN devices in the system can support it.

     

    Fonte: Controller-Based Wireless LAN Fundamentals: An end-to-end reference guide to design, deploy, manage, and secure 802.11 wireless networks - Jeff Smith, Jake Woodhams, Robert Marg

  • WPA2:

    protocolo de encriptação - CCMP

    algoritmo para cálculo do Message Integrit Code (MIC) - CBC-MAC

    bits para chave de encriptação - 128, 192, 256

  • WPA2:

    protocolo de encriptação - CCMP

    algoritmo para cálculo do Message Integrit Code (MIC) - CBC-MAC

    bits para chave de encriptação - 128, 192, 256

ID
2791741
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Qual nome do servidor que é comumente utilizado no processo de autenticação do padrão 802.1X?

Alternativas
Comentários

  • Um nó wireless precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante, o autenticador e o servidor de autenticação. O requisitante é comumente o software em um dispositivo cliente, como um laptop, o autenticador é um Switch Ethernetou Access Point sem fio, e a autenticação geralmente uma base de dados RADIUS

    Fonte: https://pt.wikipedia.org/wiki/IEEE_802.1X

  • diagonal kkkkkk

  • Os dois padrões de servidores de acesso backend mais comuns previstos no RFC do EAP são o RADIUS e o Diameter.

ID
2791744
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com norma ABNT: NBR 27002, não constitui uma das seções de controle de segurança da informação:

Alternativas
Comentários

  • a) Análise/Avaliação e tratamento de riscos. 

    Assunto relacionado à Norma ISO 27005

  • Seção 5 – Política de Segurança da Informação

    Deve ser criado um documento sobre a política de segurança da informação da empresa, que deve conter os conceitos de segurança da informação, uma estrutura para estabelecer os objetivos e as formas de controle, o comprometimento da direção com a política, entre tantos outros fatores.


    Seção 7 – Gestão de ativos

    Ativo, segundo a norma, é qualquer coisa que tenha valor para a organização e que precisa ser protegido. Mas para isso, os ativos devem ser identificados e classificados, de tal forma que um inventário possa ser estruturado e posteriormente mantido. Além disso, eles devem seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.


    Seção 11 – Controle de acesso

    O acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e na segurança da informação. Deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação, a fim de evitar danos a documentos e recursos de processamento da informação que estejam ao alcance de qualquer um.


    Seção 15 – Conformidade

    É importante evitar a violação de qualquer lei criminal ou civil, garantindo estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Caso necessário, a empresa pode contratar uma consultoria especializada, para que verifique sua conformidade e aderência a requisitos legais e regulamentares.


    Fonte: https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi

  • São 14 seções de controle :


    1 - Política de segurança da informação

    2 - Orientação da direção para segurança da informação

    3 - Segurança em recursos humanos

    4 - Gestão de ativos

    5 - Controle de acesso

    6 - Criptografia

    7 - Segurança física e do ambiente

    8 - Segurança nas operações

    9 - Segurança nas comunicações

    10 - Aquisição, Desenvolvimento, e manutenção de sistemas

    11 - Relacionamento na cadeia de suprimento

    12 - Gestão de incidentes de segurança da informação

    13 - Aspectos na segurança da informação na gestão da continuidade do negócio

    14 - Conformidade

ID
2791747
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Uma das ferramentas mais utilizadas para realizar scans em servidores é o Nmap. Qual a opção que aborda uma faixa específica de portas e a identificação do Sistema Operacional do servidor scaneado?

Alternativas
ID
2791750
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os tipos de regras do firewall do Windows 7 e Windows 2008 R2, assinale a alternativa correta.

Alternativas
Comentários

  • Gabarito E

    Bem na cara a letra E, sem sombra de dúvidas.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Regras de firewall

    O firewall é um sistema de segurança que utiliza regras para bloquear ou permitir conexões e transmissão de dados entre o seu computador e a Internet. As regras de firewall controlam o modo como o Firewall inteligente protege o seu computador contra programas maliciosos e acesso não autorizado. O Norton Firewall automaticamente verifica todo o tráfego de entrada e de saída do computador com base nessas regras.

    O Firewall inteligente usa dois tipos de regras de firewall:

    Regras de programas: Controlam o acesso à rede dos programas em seu computador.

    Regras de tráfego: Controlam todo o tráfego de entrada e saída da rede.


    https://support.norton.com/sp/pt/br/home/current/solutions/v1028028_ns_retail_pt_br

ID
2791753
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Os servidores de DNS, configurados como “open resolver”, possibilitam respostas a consultas de qualquer host na Internet. Sendo assim, em muitos casos, utilizados para ataques de negação de serviço distribuído. Uma forma de evitar o “open resolver” seria:

Alternativas
Comentários

  • Acertei, mas confesso que rodei um pouco para estudar e entender melhor essa ACLs. Segue link para referência http://www.zytrax.com/books/dns/ch7/queries.html#allow-recursion

ID
2791756
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que descreve os mecanismos de configuração de um servidor de SSH (sshd_config) permitindo que o mesmo melhore a segurança.

Alternativas
Comentários

  • Hardening de SSH:

    1) Desativar o login do root: PermitRootLogin no

    2) Permitir somente usuários específicos: AllowUsers username

    3) Utilizar a versão SSH Protocol 2: Protocol 2

    4) Modificar a porta do SSH, que por padrão é a 22, por uma porta com o valor mais alto

    Fonte: https://e-tinet.com/linux/servidor-linux-dicas-seguranca/

ID
2791759
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Uma das maneiras, no Sistema Operacional Linux, de consultar informações para encontrar os responsáveis por uma rede é através do cliente:

Alternativas
Comentários

  • Gabarito C

    Whois é um comando que procura o " que é" banco de dados para obter informações sobre o proprietário de um nome de domínio particular. As informações fornecidas podem incluir o nome do contato , endereço, endereço de email e número de telefone. O comando whois também retornará os servidores de nome e algumas informações de status. Whois começou com as primeiras redes , foi padronizado em Arpanet e , em seguida, tornou-se parte da Internet , quando foi lançado . Whois podem ser utilizados em um servidor Linux ou Windows. Há também um software que pode ser instalado em um computador desktop do Windows para permitir whois para ser executado em um PC. Instruções.




    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • a) dig - Consulta servidores de DNS para resolver nomes de recursos;

    b) nmap - Scanner de portas de rede;

    c) whois: consulta informações sobre um domínio de Internet; (GABARITO)

    d) nessus: scanner de redes;

    e) nslookup: obtém informações sobre os registros de DNS.

    At.te

    Foco na missão!!

ID
2791762
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

“A Anatel pode exigir que equipamentos de redes não tragam as funcionalidades de acesso remoto aos dados, no momento de homologação. A providência visa aumentar a segurança das infraestruturas de telecomunicações no país. O Senado Federal aprovou a criação de uma CPI (Comissão Parlamentar de Inquérito) para apurar as denúncias da espionagem eletrônica dos Estados Unidos. Nesta quinta-feira (11), o ministro das Comunicações, Paulo Bernardo, disse na audiência pública do Senado que debateu as denúncias de espionagem eletrônica pelos Estados Unidos, que os fabricantes desses hardwares estrangeiros, para atender exigência dos americanos, adotam essas funcionalidades e, como produzem em série, podem estar sendo vendidos aqui no Brasil e em outros países.” fonte http://www.telesintese.com.br/index.php/plantao/23483-anatel-pode-exigir-equipamentos-de-rede-sem-para-homologacao.


O texto faz referência ao uso de código malicioso que permite acesso remoto de dados. Qual especificamente?

Alternativas
Comentários

  • Backdoor. 

    Permite o retorno de um invasor a um computador comprometido,por meio da inclusão de serviços criados ou modificados

  • Gabarito D

    Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim.

    Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo.

    Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado.

    A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados como backdoors.

    Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o computador.


    By cartilha CERT.br



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
2791765
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa correta a respeito dos tipos testes de invasão.

Alternativas
Comentários

  • Gabarito C

    Caixa-cinza

    A técnica de teste de caixa-cinza é uma mescla do uso das técnicas de caixa-preta e de caixa-branca. Isso envolve ter acesso a estruturas de dados e algoritmos do componente a fim de desenvolver os casos de teste, que são executados como na técnica da caixa-preta. Manipular entradas de dados e formatar a saída não é considerado caixa-cinza pois a entrada e a saída estão claramente fora da caixa-preta. A caixa-cinza pode incluir também o uso de engenharia reversa para determinar por exemplo os limites superiores e inferiores das classes, além de mensagens de erro.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Os testes de invasão podem ser classificados em tipos, conforme a quantidade de informações apresentadas ao profissional de segurança;

    Blind: Simula todas as condições de um atacante real, onde o mesmo possui acesso apenas às informações públicas do alvo, o cliente sabe que será testado e o que será feito durante o teste.

    Double Blind: Possui as mesmas características do Blind, porém a equipe de TI do alvo não é avisada sobre a execução do teste.

    Gray Box: As informações fornecidas sobre o alvo são parciais de forma a antecipar a execução do teste.

    Double Gray Box: Possui as mesmas características do Gray Box, porém a equipe de TI do alvo não sabe quais testes serão executados.

    Tandem: Todas as informações sobre o alvo são passadas para o atacante e o alvo sabe exatamente o que será testado.

    Reversal: Simula um atacante que tem conhecimento total sobre o alvo, porém o alvo não sabe que será atacado, muito menos que testes serão realizados.

    Caixa Preta: Não se possuem qualquer tipo de informação sobre a infraestrutura de sistemas e de rede da empresa que será atacada.

    Caixa Branca:Conhece-se previamente toda a infraestrura que será analisada, incluindo o mapeamento de rede, o range de IPs, os firewalls e roteadores existentes, etc.

    Fonte:

ID
2791768
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Sobre o processo de análise e extração de dados em memória RAM, assinale a alternativa correta.

Alternativas
Comentários

  • Alguém poderia comentar essa questão com a explicação das alternativas?

  • Gabarito D

    Erro da E: As perícias em memória volátil não se subordinam aos aspectos da cadeia de custódia, e cuidados essenciais devem ser observados nos procedimentos de coleta, processamento e produção de resultados devido ao fato do funcionamento dinâmico da RAM.

    Em investigação forense cadeia de custódia, no contexto legal, refere-se à documentação cronológica ou histórico que registra a sequencia de custódia, controle, transferência, análise e disposição de evidências físicas ou eletrônicas.

    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
2791771
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Validação dos dados inseridos em formulários e uso de visões (views) em Banco de Dados são que tipos de controles de segurança, respectivamente:

Alternativas
Comentários

  • A validação dos dados inseridos em formulários, ou seja, dados que servirão de entrada para comandos SQL, é um meio de prevenção contra ataques SQL injection. Da mesma maneira, a utilização de views é um modo de controle de acesso discricionário, que visa prevenir que usuários tenham acesso a recursos que não deveriam ter.

    Gabarito: C

ID
2791774
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Existem diferentes modelos e metodologias para desenvolvimento de software, mas a maioria tem fases semelhantes durante o ciclo de vida de desenvolvimento do software. É importante que a segurança seja integrada em cada fase, não importando o modelo usado. Nesse contexto, assinale a alternativa que apresenta em que fase do ciclo de vida de desenvolvimento do software deve ser realizado o processo de Certificação de Segurança do Software.

Alternativas
Comentários

  • Gabarito C

    A Certificação de Segurança do Software deve ser realizada durante a implementação do software.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
2791777
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Ataque em que uma vulnerabilidade encontrada em um Web site permite a injeção de código malicioso em uma aplicação web. Quando os visitantes acessam a página infectada, o código malicioso é executado no browser da vítima e pode possibilitar o roubo de cookies, execução de malware e a exploração de vulnerabilidades do browser.

Alternativas
Comentários

  • Gabarito D

    Cross-site Scripting (XSS) é um tipo de ataque de injeção de código malicioso em aplicações web, classificado entre as principais vulnerabilidades no OWASP Top 10 2017. Por exemplo, um atacante aproveita uma dada vulnerabilidade em um website considerado confiável pelos seus visitantes para instalar um script que irá executar ações maliciosas como copiar cookies, tokens ou roubar dados de acesso registrados no navegador web do usuário.

    Em geral, o ataque acontece em função de falha na validação dos dados de entrada do usuário e a resposta do servidor Web. Dificilmente um usuário será capaz de identificar a falha na comunicação entre a entrada de dados no navegador e a resposta do servidor de destino.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
2791780
Banca
CCV-UFC
Órgão
UFC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que NÃO apresenta ameaça ou vulnerabilidade típica de sistemas Web:

Alternativas
Comentários

  • Eu marcaria A, mas o gabarito está em

    [E] - Utilizar técnicas de cracking para desabilitar recursos não desejados.

    identificação de ameaças; (Ameaça=incendio, tipo=dano_fisico, origem=acidental, fonte=curto-circuito)

     “é uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização” (ISO/IEC, 2004).

    identificação de vulnerabilidades; controles ruins são vulnerabilidade; vulnerabilidades não são intrinsecamente ruins, pois é preciso uma ameaça estar presente para explorá-las

    Uma vulnerabilidade “é uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças” (ISO/IEC, 2004).