SóProvas

Prova CESPE - 2011 - MEC - Gerente de Segurança

ID
801214
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à suíte de protocolos TCP/IP, julgue os itens que se
seguem.

A recepção de três segmentos TCP com o mesmo número de ACK provoca retransmissão de dados, ainda que o temporizador correspondente não tenha expirado.

Alternativas
Comentários
  • O cabeçalho TCP possui um parâmetro que indicam o espaço livre do receptor (emissor quando envia a indicação): a janela (ou window). Assim, o emissor fica a saber que só poderá ter em trânsito aquela quantidade de informação até esperar pela confirmação (ACK) de um dos pacotes - que por sua vez trará, com certeza, uma atualização da janela.
  • O TCP é obrigado a gerar uma confirmação imediata (um ACK duplicado) quando um segmento fora de ordem é recebido. 
    A finalidade deste ACK duplicado é  indicar ao emissor que um segmento foi recebido fora de ordem e qual o número de seqüência esperado. 
    Partindo do fato que não se sabe se um ACK duplicado foi causado por um segmento perdido ou somente uma reordenação de segmentos, espera-se que um pequeno número de ACKs duplicados sejam recebidos antes que qualquer atitude seja tomada. 
    É assumido que, se for somente uma reordenação de segmentos, só serão recebidos um ou dois ACKS duplicados antes do segmento fora de ordem alcançar o destino e ser processado, o que implicará em um novo ACK. Se três ou mais ACKS duplicados forem recebidos em seguida, é um forte indício que um segmento foi perdido.
    O TCP realiza, então, a retransmissão imediata do que aparenta ser o segmento perdido, sem esperar que o cronômetro de retransmissão expire (timeout). 
  • Compartilhando a excelente iniciativa da Cecierj, que são aulas gratuitas de TI,  a aula que fala desta parte, que se encontra no item "retransmissão rápida". Recomendo assistir todo o conteúdo para se ter uma idéia completa de retransmissão em TCP, que começa nas aulas anteriores.

    http://videoaula.rnp.br/rioflashclient.php?xmlfile=/cederj/sistemas_comp/ead05020/Aula_012/Aula_012.xml

  • Gabarito Certo

    Informações Importantes

    ACK = Acknowledgement (Reconhecimento)
    SYN = Synchronize (Sincronizar)

    Mãos à obra!

    Estabelecimento de conexões

    1. O cliente envia um pacote com a flag SYN ativa;
    2. O servidor responde com um pacote com as flags SYN + ACK;
    3. O cliente reponde com um pacote ACK.

    Traduzindo

    1. Cliente: Servidor, estou enviando a mensagem 100 (Número de sequência do cliente). Dá pra sincronizar (SYN)?
    2. Servidor: Claro, sincroniza a mensagem 200 (Número de sequência do servidor) que estou enviando (SYN). Prossiga com a mensagem 101 (ACK).
    3. Cliente: Ok, estou enviando a mensagem 101. Prossiga com a mensagem 201 (ACK).

    O cliente e o servidor, possuem números de sequência distintos, por este motivo faz-se necessária a sincronização em ambos os sentidos.
    Feita a sincronização, começam a troca de pacotes com base em números de sequência, que tem o objetivo de enumerar as pacotes de cada um.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801217
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à suíte de protocolos TCP/IP, julgue os itens que se
seguem.

A configuração de endereço IP por meio do DHCP dispensa o ARP gratuito.

Alternativas
Comentários
  • Errado.
    O endereço MAC é convertido em endereço IP pelo ARP. O endereço IP é fixo (DHCP desativado), dinâmico (DHCP ativado) ou automático (range de IPs). E ele será convertido em URL pelo serviço DNS (serviço de nomes de domínio).
  • errado- Address Resolution Protocol ou ARP é usado para encontrar um endereço em data-link layer (MAC Address) do endereço da camada de rede (como endereço IP). O emissor envia broadcast um ARP packet com o endereço IP de outro host e espera uma resposta com um endereço MAC respectivo. Cada host tem uma tabela de resolução em cache para reduzir a latência na rede. O ARP permite que o endereço IP seja independente do endereço Ethernet, mas somente funciona se todos os hosts tiveram suporte a ARP.
  • Não querendo desmerecer os comentários dos colegas, mas, salvo engano, o que a banca quis saber é se o "Gratuitous ARP" pode ser dispensado se utilizarmos o DHCP.

    "Gratuitous ARP pode significar tanto uma requisição ARP gratuita ou uma resposta ARP gratuita. Gratuito nesse caso significa uma requisição/resposta que não é normalmente necessária de acordo com a especificação ARP (RFC 826), mas pode ser usada em alguns casos." (tradução pessoal do texto presente em http://wiki.wireshark.org/Gratuitous_ARP) Segundo a mesma fonte, Gratuitous ARP são úteis em algumas circunstâncias.

  • Exatamente, a questão aborda sobre o ARP gratuito. A principal função do ARP gratuito será a de atualização da tabela cache de ARP nos computadores. Cada computador costuma manter uma tabela cache associando um IP a um MAC. Ao trocar esse IP (DHCP dinâmico), as tabelas cache devem ser atualizadas. O protocolo DHCP não resolve esse tipo de conflito. Para isso, é preciso utilizar o ARP gratuito.
    Logo, a questão está ERRADA, pois o DHCP não dispensa o uso do ARP gratuito, pelo contrário, ele é preciso com o DHCP dinâmico.
  • Pessoal, segue o conceito de arp gratuito sua utiliza;áo com dhcp. 

    Conceito: 

    Gratuitous ARP, also called a courtesy ARP, is a mechanism used by TCP/IP computers to "announce" their IP address to the local network and, therefore, avoid duplicate IP addresses on the network.

    ARP E DHCP: 

    Any time a DHCP lease is obtained, Windows NT sends a single gratuitous ARP.

    If Windows NT receives a response to this gratuitous ARP, it sends a DHCP DECLINE message to the DHCP server, and then attempts to obtain another lease.

    Fonte: Site da Microsoft

  • Já que os gênios aí não definiram:

    O ARP gratuito é uma forma de um computador se anunciar na rede. Esse pacote não é uma resposta a nenhuma requisição ARP. O computador envia esse pacote na forma de broadcast de forma voluntária e gratuita.

    Fonte: https://blog.pantuza.com/artigos/o-protocolo-arp-address-resolution-protocol

ID
801220
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à suíte de protocolos TCP/IP, julgue os itens que se
seguem.

Um servidor SMTP pode receber e enviar mensagens de correio eletrônico, agindo tanto como cliente quanto como servidor.

Alternativas
Comentários
  • Errado.
    Ele será um servidor quando atender o cliente (que acessa através de um cliente de e-mail) e será um cliente quando se comunicar com outro servidor de e-mails para efetuar o envio das mensagens de um domínio para outro.
  • errado- Simple Mail Transfer Protocol (SMTP)
    Função: envio de e-mails em Internet.
    porta TCP: 25
    A resolução DNS: MX (Mail eXchange).

    SMTP é baseado em texto simples (plain text), no qual vários destinatários de uma mensagem são especificados e a mensagem é transferida depois. Pode-se testar um servidor SMTP usando o programa telnet.
  • então o gabarito está errado né? SMTP só envia e-mails...
  • Pessoal,
    A questão está certa sim. Vocês não estão levando em conta que os servidores que rodam o SMTP enviam as mensagens uns para os outros. Nesse caso eles estão usando o SMTP para enviar quando mandam uma mensagem ao outro servidor e usam esse mesmo SMTP para receber uma mensagem vinda de outro servidor. 

    Isso é muito comum, por exemplo, quando você usa o serviço de retransmissão de e-mail.

    Pesquisei aqui na internet algum site confiável que ratificasse o meu comentário acima e encontrei a seguinte afirmação na documentação do Microsoft Windows Server:

    "O SMTP controla como o email é transportado e entregue através da Internet ao servidor de destino. O serviço SMTP envia e recebe emails entre os servidores, ao passo que o serviço POP3 recupera o email do servidor de email para o computador do usuário. Para obter mais informações, consulte a documentação sobre o SMTP do serviço SMTP Microsoft."
    URL:     http://technet.microsoft.com/pt-br/library/cc759281(v=ws.10).aspx
  • A questão está Correta.

    SMTP= envia a mensagem do cliente para servidor.
    POP ou  IMAP = Recebe a mensagem do servidor
    SMTP = Servidor para Servidor , ele pode emviar e receber ao mesmo tempo

    Exemplo: vamos dizer que você tem um email GOOGLE e quer mandar um email para o HOTMAL o protocolo utilizado para a comunição desses servidores e o SMTP.
    Bons Estudos.
  • Segundo Kurose (2010, p.89), "[...] o SMTP tem dois lados: um lado cliente, que funciona no servidor de correio do remetente, e um lado servidor, que funciona no servidor de correio do destinatário. Ambos, o lado cliente e lado servidor do SMTP, funcionam em todos os servidores de correio."
    Segundo Kurose (2010, p.96), "O servidor de correio de Alice, contudo, ainda envia mensagens para outros servidores de correio e recebe mensagens de outros servidores de correio usando o SMTP."


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.

  • Marquei errada quando li "Um servidor SMTP" kkkk, SMTP é um protocolo porém a banca deu como certa a questão. Cespe sendo Cespe.

  • A arquitetura do serviço de e-mail funciona na forma de CLIENTE/SERVIDOR. Por isso ela é denominada assíncrona (o cliente envia a mensagem, e o servidor IG, yahoo, UOL...etc irá armazenar. Posteriormente o usuário destinatário irá acessar a mensagem através dos protocolos IMAP e POP.

    Quando o usuário CLIENTE utiliza o serviço de WEBMAIL, o contato com o servidor/domínio é feito pelo protocolo HTTP.

    Já, quando o usuário utiliza um Outlook ou Thunderbird, ele estabelece a comunicação com o servidor via SMTP (o Outlook faz este vínculo com o servidor alocado na rede como uma ferramenta de software).

    Para responder esta questão é preciso conhecer esta forma de interação.

    No caso, o Outlook (CLIENTE) enviará a mensagem via SMTP e o site (SERVIDOR) irá receber a mensagem do Outlook, também via SMTP. Após, enviará para o destinatário final também via SMTP. O outro servidor, diferente daquele vinculado com o Outlook (servidor do destinatário final), irá armazenar a mensagem de e-mail a qual recebeu através do SMTP.

    Assim, quando a mensagem do CLIENTE estiver armazenada no servidor do destinatário final, este por sua vez, poderá acessar e ler as mensagens usando os protocolos IMAP e POP (lendo e baixando respectivamente).

  • SMTP= envia a mensagem do cliente para servidor.

    POP ou IMAP = Recebe a mensagem do servidor

    SMTP = Servidor para Servidor , ele pode emviar e receber ao mesmo tempo

  • Como Cliente ? não entendi

  • Quem ficou só no mnemônico tomou uma lapada nessa. Excelente comentário do "HTTP Concurseiro"!

  • Servidor SMPT?

  • Gabarito: Certo.

    Exemplo disso ocorre, excepcionalmente, numa INTRANET, pois o SMTP atua no envio e recebimento.

    Bons estudos!

  • O SMTP pode ser usado para recebimento correios eletrônicos, no caso de comunicação entre servidores. (Forouzan)

  • gab certo.

    Comunicação: cliente para servidor, servidor para servidor, servidor para cliente final, cliente final baixa.

    cliente para servidor, servidor para servidor, servidor para cliente final,: SMTP

    cliente final baixa. imap OU pop

    webmail x ferramenta de email (outlook).

    Webmail: navegadores. O HTTP atuante como envio e recebimento entre servidores.

    Ferramenta de email (outlook): segue com o SMTP

  • CERTO

    Servidor SMTP: pode receber e enviar mensagens de correio eletrônico;

    Cliente SMTP: pode apensar enviar mensagens mensagens de correio eletrônico.

    Outras questões:

    O serviço SMTP (Simple Mail Transfer Protocol) permite o envio e o recebimento de mensagens de correio eletrônico em uma intranet, mesmo se ela não estiver conectada à Internet. (CERTO)

    O protocolo SMTP é um protocolo cliente-servidor, uma vez que os servidores de correio eletrônico funcionam ora como clientes, ao enviarem emails, ora como servidores, ao receberem emails. (CERTO)

    Bons estudos!

ID
801223
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à suíte de protocolos TCP/IP, julgue os itens que se
seguem.

Os serviços POP e IMAP alocam as mesmas portas para disponibilizar seus servidores.

Alternativas
Comentários
  • Errado.
    O SMTP usa a porta 25, o POP3 usa a porta 110 e o IMAP4 usa a porta 143. Outros detalhes em http://www.emailaddressmanager.com/tips/mail-servers.html
  • Questão errada o POP pode usar as portas: 109 para a versao 2 e 110 na versão 3. Já o IMAP pode usar as portas: 143 na versao 2, 220 na versão 3 e 993 Imap com SSL.  

  • Gabarito: E.

     

    Lembrando que o SMTP alterou da porta 25 para a 587 para combater o envio de spam.

  • POP3: 110

    IMAP: 143

  • Gabarito Errado

    POP2 = porta 110

    IMAP = porta 143

     

    Vamos na fé !

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • e-

    pop3 - recebe com download

    imap - so recebe

     

    servicos diferentes - portas diferentes

  • Negativo.

    São portas diferentes:

    POP3: 110

    IMAP (sem criptografia): 143

    IMAP (com criptografia): 993

ID
801226
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à suíte de protocolos TCP/IP, julgue os itens que se
seguem.

A fim de se obter adequada configuração de segurança em um firewall, deve-se configurar o serviço FTP para operar em modo passivo.

Alternativas
Comentários
  • Teoria

    Modo ativo:o cliente requisita o servidor usando uma porta aleatória, por exemplo, a porta 1026, endereçando o pacote à porta 21 do servidor. O servidor imediatamente contata o cliente de volta, usando a porta seguinte do cliente (1027) para enviar dados. A questão principal é que o modo ativo não funciona quando o cliente acessa através de uma conexão compartilhada. Ao tentar responder, o servidor cairia na porta 1027 do gateway da rede, sem conseguir chegar ao cliente.

    Modo passivo: o cliente abre a conexão contatando a porta 21 do servidor, entretanto, ao invés de iniciar a conexão imediatamente, o servidor responde avisando que o cliente pode contatá-lo numa segunda porta, escolhida aleatoriamente (a 2026, por exemplo). O cliente inicia, então, uma nova conexão na porta especificada e o servidor responde enviando os dados. Esta porta fica reservada ao cliente durante o tempo que durar a transferência. Em teoria, isto seria um limite ao número de clientes que poderiam se conectar simultaneamente, mas, na prática, seriam necessárias mais de 64.000 conexões simultâneas ao mesmo servidor FTP para esgotar as portas disponíveis.

    Justificativa

    Então para se evitar problemas de sobrecarga o modo passivo o administrador pode limitar a quantidade de conexões ativas, além do mais é o servidor que determina quais as portas que deverão ser acessadas sendo possivel a configuração no firewall deste range de portas que são visiveis de fora da rede restringindo algum ataque a portas especificas.

    Mais informações em: https://www.rnp.br/newsgen/0011/ftp-passivo.html
  • Modo Ativo: O cliente abre uma porta e escuta, e o servidor conecta ao cliente (Ativo).
    Modo Passivo: O servidor abre uma porta e escuta (passivo), e o cliente conexta ao servidor.

    Como em um firewall normalmente são bloqueadas a conexões iniciadas do lado de fora da rede o modo passívo é aconselhado.

    Se você estiver se conectando ao servidor FTP usando Modo activo de conexão, você deve definir o firewall para aceitar conexões à porta do seu cliente FTP será aberto.  No entanto, muitos provedores de serviço Internet bloquear conexões de entrada para todas as portas acima da 1024.  Servidores FTP ativos geralmente usam porta 20 como sua porta de dados.

    Modo Ativo:



    Modo Passivo:



    Fonte: http://www.deskshare.com/lang/po/help/afm/ActiveandPassiveConnectionMode.aspx
  • Acredito que um grande problema da questão é não informar onde que está o firewall. O que pode ser confuso é porque o firewall pode estar tanto do lado do servidor quanto do lado do cliente.
    Para a questão, o examinador pensou claramente em um firewall no cliente. Nesse caso, se o FTP fosse ativo, seria iniciado uma conexão de fora para dentro, o que geralmente será bloqueado. Por isso, o firewall deve estar no modo passivo, em que o cliente realizará a conexão (de dentro para fora), que normalmente é menos crítica e considerada legítima.
  • Como se trata de um servidor FTP, muito provavelmente ele estará posicionado numa DMZ, junto com outros servidores. Uma política comum a máquinas servidoras, é liberar o acesso de máquinas externas a serviços específicos e bloquear qualquer tentativo do servidor em estabelecer conexão com o mundo externo ( o propósito do servidor não é o de acessar serviços na internet). 

    No modo ativo do FTP, o servidor teria que se conetar no cliente, quebrando a regra acima. Além disso, é muito provável que o cliente esteja em uma rede privada usando NAT para acessar a internet. Por isso, o modo passivo é o mais recomendado.

  • Passivo é mais seguro para o cliente, pois ele não precisará ter uma porta em LISTEN, passível a ataques, como se fosse um servidor.

  • Operação de FTP passiva:

    Este modo de operação é mais seguro porque todas as conexões estão sendo iniciadas do cliente, assim há menor chance de comprometer a conexão. A razão de ser chamado de passivo é que o servidor executa um " passive open".

    Fonte: https://www.pop-rs.rnp.br/~berthold/etcom/redes2-2000/trabalhos/FTP_EltonMarques.htm

ID
801229
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia, julgue os itens seguintes.

Em um sistema assimétrico, garante-se a autenticidade da mensagem quando uma mensagem é cifrada duas vezes: primeiro, com a chave pública do autor e, depois, com a chave pública do destinatário.

Alternativas
Comentários
  • Em um sistema assimétrico, garante-se a autenticidade da mensagem quando uma mensagem é cifrada duas vezes: primeiro, com a chave pública do autor e, depois, com a chave pública do destinatário.

    ERRADO.

    Lembrar:  aSSimetrica = 2 chaves, uma pública e uma privada.

    A Chave Pública é distribuída livremente pra todos os correspondentes.
    A Chave Privada deve ser conhecida apenas pelo seu dono. Em um algoritmo de criptografia assiétrica, uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente. Do mesmo modo, uma mensagem cifrada com a chave privada pode somente ser decifrada pela sua chave pública correspondente. 
  • RESPOSTA: ERRADA.

    DICA:     CHAVE ASSIMÉTRICA: CODIFICAÇÃO (PÚBLICA) E DECODIFICAÇÃO (PRIVADA).
  • A autenticidade acontece a partir do momento em que o emissor cifra com sua chave privada, e o destinatário decifra com a chave pública.
  • Discodo do amigo acima, quando diz:

    "Em um sistema assimétrico, garante-se a autenticidade da mensagem quando uma mensagem é cifrada duas vezes: primeiro, com a chave pública do autor e, depois, com a chave pública do destinatário.

    ERRADO."

    O erro da questão está na seguinte afirmação:

    "Em um sistema assimétrico, garante-se a autenticidade da mensagem quando uma mensagem é cifrada duas vezes: primeiro, com a chave pública do autor e, depois, com a chave pública do destinatário", o correto seria chave privada, pois se o autor da mensagem cifrar com sua chave pública, somente ele será capaz de decifrar a mensagem.




  • O correto é: Em um sistema assimétrico, garante-se a autenticidade da mensagem quando uma mensagem é cifrada duas vezes: primeiro, com a chave privada do autor e, depois, com a chave pública do destinatário
  • Resposta desta questão em uma outra questão da mesma prova. Por isso é importante ler as outras questões:
    "Se, em um sistema assimétrico, uma mensagem for cifrada duas vezes, primeiro com a chave privada do autor e, depois, com a chave pública do destinatário, garante-se que somente o destinatário conseguirá abrir a mensagem e que só o fará se dispuser da chave pública do autor."
  • Complementando a Veronica

    O correto é: Em um sistema assimétrico, garante-se a autenticidade e o sigilo da mensagem quando uma mensagem é cifrada duas vezes: primeiro, com a chave privada do autor e, depois, com a chave pública do destinatário.

    chave privada do autor: PARA ASSINAR A MENSAGEM
    chave pública do destinatário: PARA GARANTIR O SIGILO DA MENSAGEM ASSINADA

    Segundo Forouzan(2008), "A assinatura digital pode fornecer autenticação,integridade e não-rejeição para uma mensagem."

    Segundo Forouzan(2008), "A assinatura digital não fornece privacidade. Se houver necessidade de privacidade, outra camada de encriptação/decifração deve ser aplicada."

    Segundo Kurose(2010),  para assinar um documento, utiliza-se a chave criptográfica privada do emissor, e, para criptografar (sigilo), adota-se a chave pública do receptor.

    CONCLUSÃO:  É NECESSÁRIO DUAS CAMADAS DE CRIPTOGRAFIA, UMA PARA GARANTIR O SERVIÇO DE AUTENTICAÇÃO E A OUTRA CAMADA DE CRIPTOGRAFIA PARA GARANTIR O SIGILO.



    Bibliografia consultada:
    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
    FOROUZAN, B. A.; FEGAN, S. C. Protocolo TCP/IP. 3. ed. São Paulo: McGraw-Hill, 2008

  • Na verdade a autenticidade em um sistema assimétrico é garantida a partir da assinatura da mensagem pelo emissor com a própria chave privada. Portanto não há que se falar em uso da chave pública do emissor para garantir apenas autenticidade.


    Outra coisa, duas cifragens são usadas quando se quer garantir, além da autenticidade, o sigilo/confidencialidade da mensagem. Para isso é usado a chave pública do receptor para a cifragem.


    Bons estudos!
ID
801232
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia, julgue os itens seguintes.

Nos sistemas simétricos, as partes compartilham uma chave secreta, utilizada tanto na cifração quanto na decifração.

Alternativas
Comentários
  • CERTO 

    A criptografia simétrica, implica no uso de uma chave secreta, chave utilizada tanto para codificar quanto para decodificar informações, a origem da palavrá simétrica vem do conceito matématico de simetria, onde as chaves são números opostos utilizados para codificar e decodificar.

    OBS; A criptografia simétrica é muito utilizada em transações da internet, por ser mais veloz que a criptografia aSSimetrica.

  • CERTO

    Os algoritmos de chave simétrica (também chamados de Sistemas de Chave Simétricacriptografia de chave única, ou criptografia de chave secreta) são uma classe de algoritmospara a criptografia, que usam chaves criptográficas relacionadas para as operações de cifragem e decifragem. A operação de chave simétrica é mais simples, pois pode existir uma única chave entre as operações. A chave, na prática, representa um segredo, partilhado entre duas ou mais partes, que podem ser usadas para manter um canal confidencial de informação. Usa-se uma única chave, partilhada por ambos os interlocutores, na premissa de que esta é conhecida apenas por eles.[1]

     

    http://pt.wikipedia.org/wiki/Algoritmo_de_chave_sim%C3%A9trica
  • Correto.

    SIMÉTRICO = 1 S significa uma chave (criptografar e descriptografar a mensagem)
    ASSIMÉTRICO = 2 SS significa duas chaves uma (Pública) outra (Privada)

  • Criptografia simétrica

    A criptografia simétrica é a técnica mais antiga e mais conhecida. Uma chave secreta, que pode ser um número, uma palavra ou apenas uma seqüência de letras aleatórias, é aplicada ao texto de uma mensagem para alterar o conteúdo de uma determinada maneira. Isso pode ser tão simples quanto deslocar cada letra por um número de casas no alfabeto. Desde que o remetente e o destinatário saibam a chave secreta, eles podem criptografar e descriptografar todas as mensagens que usam essa chave.

    Criptografia assimétrica

    O problema com as chaves secretas está em troca-las pela Internet ou uma rede grande prevenindo que caiam em mãos erradas. Qualquer pessoa que saiba a chave secreta pode descriptografar a mensagem. Uma resposta é a criptografia assimétrica, em que existem duas chaves relacionadas - um par de chaves. Uma chave pública é disponibilizada livremente para qualquer pessoa que pode querer enviar uma mensagem. Uma segunda chave privada é mantida em segredo, para que somente você saiba. 

    Qualquer mensagem (texto, arquivos binários ou documentos), que seja criptografada pelo o uso da chave pública, só pode ser descriptografada aplicando o mesmo algoritmo, mas usando a chave particular correspondente. Qualquer mensagem que seja criptografada pelo o uso da chave privada só pode ser descriptografada usando a chave pública correspondente. 

    Isso significa que você não precisa se preocupar em passar as chaves públicas na Internet (as chaves devem ser públicas). Um problema com a criptografia assimétrica, no entanto, é que é mais lento que a criptografia simétrica. Ele requer muito mais poder de processamento para criptografar e descriptografar o conteúdo da mensagem.

    Fonte:     http://support.microsoft.com/kb/246071
  • Segundo Stallings (2008,p.469), "A criptografia simétrica é uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando-se a mesma chave. Também conhecida como criptografia convencional."


    Bibliografia :

    Criptografia e Segurança de Redes - Princípios e Práticas

    Autor: William Stallings
ID
801235
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia, julgue os itens seguintes.

Uma assinatura digital consiste na cifração de um arquivo digital e do seu resumo criptográfico com uma chave privada.

Alternativas
Comentários

  • ERRADO


    ASSINATURA DIGITAL –      é obtida por intermédio de um certificado digital válido no ICP – brasil, consiste num código gerado na mensasagem que irá garantir: 
    ·         Autencidade
    ·         Integridade
    ·         Não repúdio (ou irrefutabilidade)
    Este código consiste no HASH da mensagem critpogradado com a chave privada do úsuario, que só poder ser conferido pelo destinatário com a chave pública do emissor (garantindo a identidade ) e desde que a mensagem não tenha sito alterada (garantido a integridade).
    Uma mensagem que tem a garantia de identidade e integridade é autêntica e não pode ter sua autoria negada (não repúdio).

    e o mais importante:  assinatura digitalsó pode ser obtida com o uso da infraestrutura de chaves públicas, ou seja, criptografia assimetrica
  • Na assinatura Digital o que se garante é integridade e autenticidade da informação, para isso geralmente o que se criptografa é a mensagem HASH e nao o arquivo e o hash como a questao afirma, a integridade do arquivo é verificado através do seu hash após este ser decriptografado no destinatário
  • Pessoal,
    Concordo com o colega acima. O emissor gera um hash da mensagem.



    Fonte: http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2008_2/hugo/AssinaturaDigital.html

  • A questão está errada porque não "consiste na cifração da mensagem", se não fosse isso estaria certa.

  • é o hash da mensagem e não do arquivo.

  • Para ficar certa seria assim: Uma assinatura digital consiste na cifração do resumo criptográfico do arquivo, com uma chave privada.

  • Criptografar a mensagem inteira ficaria muito caro e, em alguns casos, até inviável.

  • O erro da questão está em dizer que se assina o arquivo "e" o hash. Assinaturas digitais podem ser a cifração do arquivo/mensagem (mais custoso) OU do hash que é o mais comum.

  • Outro detalhe não mencionado nos demais comentários é que a cifragem do resumo criptográfico não é "com uma chave privada", mas com a chave privada do emitente. Não é uma chave privada qualquer, precisa ser a chave do emitente.

  • O Hash do arquivo equivale ao próprio arquivo (INTEGRIDADE). Logo, não precisa criptografar os dois com a chave privada, basta somente um, que no caso, o Hash (mais ágil).

  • O erro da questão é afirmar que a assinatura digital consiste na cifração de um arquivo.

    A assinatura garante a INTEGRIDADE justamente por criptografar o RESUMO (hash)

    Cespe: Uma assinatura digital consiste na cifração do resumo criptográfico de uma mensagem ou arquivo, com o uso da chave privada de quem assina. (CERTO)

     Uma assinatura digital consiste na cifração do resumo criptográfico de uma mensagem ou (do resumo criptográfico de um) arquivo, com o uso da chave privada de quem assina.

  • A ORDEM SERIA A SEGUINTE:

    TEXTO ORIGINAL -> ALGORITMO CRIPTOGRÁFICO (*chave pública*) -> TEXTO CIFRADO -> ALGORITMO CRIPTOGRÁFICO (*chave privada*) -> TEXTO ORIGINAL.

    Algoritmo Hash:

    Algoritmo criptográfico - processo matemático definido para cifrar e decifrar mensagens e informações. Essa garantia digital é uma maneira de verificar se o emissor de um documento ou serviço é realmente quem ele diz ser.

    É a função HASH a responsável por garantir a INTEGRIDADE dos dados do processo!

    ASSINATURA DIGITAL: Utiliza duas chaves relacionadas. Chave Privada assina. Chave Pública prova.

  • ERRADO. Assinatura Digital não garante confidencialidade!

  • apenas o último (resumo) é cifrado. 

  • < > GABARITO: ERRADO

    • PARA AJUDAR A FIXAR

    <l> REMETENTE: DOC. ORIGINAL ---> FUNÇÃO HASH ---> CÓDIGO HASH ----> ALGORITMO + CHAVE PRIVADA ----> HASH CIFRADO ----> DOC.ORIGINAL + HASH CIFRADO ------------------------------------------------------------------------------------------------------------------------------------------------------------> <l> DESTINO HASH CIFRADO + DOC ORIGINAL----> ALGORITMO + CHAVE PÚBLICA (DO REMETENTE---> DOC.RECEBIDO---> FUNÇÃO HASH ---> CÓDIGO HASH (COMPARAR) se for diferente descarta os dois

    INTEGRIDADE

    AUTENTICIDADE

    NÃO REPÚDIO

    segue esse "desenho" ai

ID
801238
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia, julgue os itens seguintes.

Um certificado digital consiste na cifração do resumo criptográfico de uma chave privada com a chave pública de uma autoridade certificadora.

Alternativas
Comentários

  • "... o certificado é um documento eletrônico que por meio de procedimentos lógicos e matemáticos assegura a integridade das informações e a autoria das transações. Este documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora que, seguindo regras emitidas pelo Comitê Gestor da ICP-Brasil e auditada pelo ITI, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas"

    Fonte:     http://www.iti.gov.br/index.php/certificacao-digital/certificado-digital

  • A questão tenta confundir o modo como se dá a geração do certificado digital.
    Em linhas gerais, um certificado digital é obtido através da Criptografia da chave pública da instituição a ser certificada com a chave privada da Unidade certificadora. Desta forma, você tem certeza de que a instituição é quem diz ser ao descriptografar o certificado com a chave pública da certificadora e encontrar nele a chave pública a instituição certificada.
  • O correto seria:
      Um certificado digital consiste na cifração da 'Assinatura Digital' de um chave PÚBLICA transitória do emissor, com a chave PRIVADA transitória de uma autoridade certificadora (CA).

  • 2014

    Um certificado digital consiste na cifração do resumo criptográfico de uma chave pública, usando-se a chave privada de uma autoridade certificadora raiz.

    certa

  • Gabarito: ERRADO

    Um certificado digital pode ter a chave pública de uma entidade cifrada com a chave privada da Autoridade Certificadora. Assim, ao decifrar a chave pública da entidade usando a chave pública da AC, existe a confiança na procedência da chave.




    Fonte: ESTRATÉGIA CONCURSOS

  • Um certificado digital consiste emissão de um documento eletrônico por uma AC contendo a chave pública do titular e a assinatura da autoridade certificadora que garante autenticidade. 

  • AHHHH eu sempre erro isso! kkkkk

  • cert dig -> autencidade

    assinatura dig -> integridade

ID
801241
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de criptografia, julgue os itens seguintes.

Se, em um sistema assimétrico, uma mensagem for cifrada duas vezes, primeiro com a chave privada do autor e, depois, com a chave pública do destinatário, garante-se que somente o destinatário conseguirá abrir a mensagem e que só o fará se dispuser da chave pública do autor.

Alternativas
Comentários
  • Correto. Afirmação bem bolada para confundir o candidato.
    1. Texto claro <-- cifra com privada do autor (só poderá ser decifrada com a pública do autor - texto do fim da frase "que só o fará se dispuser da chave pública do autor." Verdade).
    2. Se cifrar o resultado do passo 1 <-- cifrar com a pública do destinatário (só será decifrada com a privada do destinatário : "garante-se que somente o destinatário conseguirá abrir a mensagem" Verdade

  • Devemos lembrar que:
    "A chave privada decifra o que foi cifrado pela chave pública"
    "A chave pública decifra o que foi cifrado pela chave privada"

    Por exemplo, digamos que A+ seja a chave pública do autor e A- sua chave privada. Dá mesma forma para o destinatário, D+ (chave pública) e D- (chave privada). E que m é a mensagem a ser transmitida. Assim, teremos os seguintes passos:

    AUTOR                                              DESTINATÁRIO
    -----------------------------------------------------------------------------------------------------
    m
    -----------------------------------------------------------------------------------------------------
    A-(m)
    -----------------------------------------------------------------------------------------------------
    D+(A-(m))
    -----------------------------------------------------------------------------------------------------
                            ---------------------->          D+(A-(m))
    -----------------------------------------------------------------------------------------------------
                                                                    D-(D+(A-(m)))
    -----------------------------------------------------------------------------------------------------
                                                                    A-(m)
    -----------------------------------------------------------------------------------------------------
                                                                    A+(A-(m))
    -----------------------------------------------------------------------------------------------------
                                                                    m
    -----------------------------------------------------------------------------------------------------

    Obs: No lado do autor está cifrando e no do destinatário está decifrando....
  • bem bolada.

    Destinatário obviamente precisa da sua chave privada, e com a chave publica do autor, se ele conseguir decriptografar, ele garante a autencidade!
    Famosa, assinatura digital
  • Marquei CORRETO, porém com um pé atrás, por causa da expressão:
    ", garante-se que somente o destinatário conseguirá abrir a mensagem..."

    Em um cenário onde esteja ocorrendo o ataque MAN-IN-THE-MIDDLE, por exemplo,
    já não há essa garantia.

    Mas tentei imaginar o que se passava pela cabeça do examinador e, por isso, acertei a questão.
  • Questão capiciosa, errei a questão, mas analisando posteriormente vamos as definições.

    Mensagem A cifrada com a chave pivada do autor -----> Decifra com a publica do autor, garante a irretratabilidade, não repudio
    Mensagem A cifrada com a chave publica do destinatario ------> Somente o destinatário com sua chave privada conseguira decifrar a mensagem.

    Gabarito CERTO

  • Sacanagem do enunciado, porque "chave pública do destinatário" pode levar a crer que seria a chave publica que o emissor concede ao destinatário, referente à chave privada do emissor!

ID
801244
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Firewalls e IDS são dispositivos eficazes para detectar e evitar ataques de buffer overflow.

Alternativas
Comentários
  •  O buffer overflow :
     O comprometimento depende da linguagem utilizada na implementação do programa específico que tem seu buffer sobrecarregado.
                
    não Pode-se evitar o buffer overflow utilizando-se firewalls na proteção das máquinas

    Os buffer overflows exploram deficiências de programas que utilizam linguagens de programação fracamente tipificadas

    A forma de um IDS detectar genericamente ataques de buffer overflow seria por meio de uma assinatura contendo seqüências de bytes correspondentes ao código de NO-OP da arquitetura que se deseja proteger






  • O IDS pode detectar ataques de buffer overflow como o colega acima disse. E o proxy, como um tipo de firewall, pode realizar filtragem de dados de camada de aplicação, portanto os dois são eficazes, de foma que o gabarito está, provavelmente, errado.
  • questao parecida

    Prova: CESPE - 2008 - STJ - Analista Judiciário - Tecnologia da Informação

    Disciplina: Segurança da Informação | Assuntos: Ataques e ameaças

     

     

     

     

     Ver texto associado à questão

    Em geral, firewalls com inspeção de estado evitam ataques do tipo buffer overflow.

     

                     Certo       Errado

               

                   ERRADA

    Não há como um firewall barrar um ataque de buffer overflow.

  • Complementando os colegas
    Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


    Bibliografia:

    Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    Editora: Novatec

  • Estou meio sem tempo para achar a fonte, mas já vi questões aqui que dizem que IDS só detecta, ao contrário do IPS que detecta e bloqueia. Lembrando que a questão fala sobre "detectar e evitar".

  • Gabarito: Errado.

    Firewall não consegue lidar com o buffer overflow.

    Um buffer overflow (ou transbordamento de dados) acontece quando um programa informático excede o uso de memória assignado a ele pelo sistema operacional, passando então a escrever no setor de memória contíguo. Essas falhas são utilizadas por cibercriminosos para executar códigos arbitrários em um computador, o que possibilita muitas vezes aos atacantes controlar o PC.

    Bons estudos!

  • Corroborando:

    Os firewalls não são eficientes, em regra, contra o ataque de buffer overflow justamente por conta do nível em que o ataque acontece.

  • IDS -- Sistema de detecção de intruso

    *Age passivamente

    *monitora o tráfego da rede

    *não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça

    *não interfere no fluxo de tráfego da rede

    IPS -- Sistema de prevenção de intruso

    *age ativamente

    *complemento do IDS

    *identifica um intruso, analisa a relevância do evento/risco

    *bloqueia determinados eventos

    *O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio do Firewall

    *age em diversos pontos de uma arquitetura de rede

  • gaba ERRADO

    IDS ------> vai DDDDDDDDDDDDDDDETECTAR

    IPS ------> vai PPPPPPPPPPPPPPPPARAR

    obs: Nesses comentários tem um José ricardo. Estamos juntos há um ano quase já. Ele não me assume. Gostaria de pedir para vocês me ajudarem e colocar no comentário dele #assumeZé. Obrigado <3

    pertencelemos!

  • Galera, me perdoem, mas só achei algo em inglês nesse link:

    https://www.imperva.com/blog/buffer-overflow-tutorial-a-brief-overview-of-an-all-too-common-vulnerability/

    Dá pra traduzir, mas vai ficar ao pé da letra.

    Why isn’t a firewall enough?

    A buffer overflow attack can be prevented or mitigated with proper coding practices or boundary checking on input received from users.

    If an input exceeds the allocated number of characters then the buffer size should be truncated or blocked. Unfortunately, dynamically increasing the size of the number of allocated bytes is not an option as a user can force the program to allocate an abnormally large amount of memory, which may lead to other vulnerabilities such as program crashes.

    Firewalls themselves, while essential security measures, cannot detect the length of these buffers and therefore cannot determine whether or not the user entered a valid size. Most intrusion detection and prevention systems likewise cannot enforce mitigation tactics against buffer overflow attacks.

  • GABARITO ERRADO!

    .

    .

    FIREWALL STATEFULL E PROXY NÃO EVITAM BUFFER OVERFLOW; JÁ O IDS EVITA.

  • Entenda o que é Buffer Overflow

    https://youtu.be/zeX2ZLzgPOA

  • #assumeZé

    A pedido do Patlick ApLovado <3

ID
801247
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Em decorrência da disponibilização de serviços e aplicações sediados em máquinas virtuais (MVs), que proporciona contenção e rápida recuperação em caso de ataques, uma mesma vulnerabilidade pode estar presente em várias instâncias de um mesmo snapshot de uma MV que originalmente apresente tal vulnerabilidade.

Alternativas
Comentários
  • Correta!

    De fato, ao criar multiplos snapshots de uma mesma máquina virtual que já possui uma vulnerabilidade, todos os snapshots apresentarão o problema, não adiantando fazer um roll back em um snapshot anterior.

  • Não acho que esteja correto: "máquinas virtuais (MVs), que proporciona contenção e rápida recuperação em caso de ataques"

    De fato a recuperação é um pouco mais rápida, mas acredito que não haja essa diferença toda.

  • O snapshots permite que a VM volta para o msm estado. Qq instância criada com o snapshot terá o msm estado, inclusive a vulnerabilidade (fonte: www.meubizu.com.br)

  • Na verdade acho que essa questão fala mais sobre MV do que segurança da informação, ataques etc

  • GABARITO: CERTO.

ID
801250
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

O ataque conhecido como VLAN hopping permite estabelecer tráfego bidirecional entre duas VLANs sem passar por roteamento.

Alternativas
Comentários
  • O erro está em "tráfego bidirecional"
    O atacante é capaz de forjar os frames para alcançar uma outra VLAN, porém esse tráfego não é capaz de voltar.
  • ERRADO
  • VLAN hopping é um um método de atacar recursos de rede em uma VLAN. O conceito básico é atacar uma VLAN para ter acesso ao tráfego em outras VLANs que normalmente não seriam acessíveis. Existem dois métodos principais: spoofing interruptor e double tagging. Ambos os vetores de ataque podem ser facilmente mitigados com a configuração adequada do switchport.

    fonte: http://en.wikipedia.org/wiki/VLAN_hopping

  • VLAN hopping enables traffic from one VLAN to be seen by another VLAN. Switch spoofing is a type of VLAN hopping attack that works by taking advantage of an incorrectly configured trunk port. By default, trunk ports have access to all VLANs and pass traffic for multiple VLANs across the same physical link, generally between switches.

    This type of attack is unidirectional and works only when the attacker is connected to a port residing in the same VLAN as the native VLAN of the trunk port. Thwarting this type of attack is not as easy as stopping basic VLAN hopping attacks.

    The best approach to mitigating double-tagging attacks is to ensure that the native VLAN of the trunk ports is different from the VLAN of any user ports. In fact, it is considered a security best practice to use a fixed VLAN that is distinct from all user VLANs in the switched network as the native VLAN for all 802.1Q trunks

    FONTE: https://goo.gl/hirHbj

  • Gabarito Errado

    VLAN hopping é um ataque à rede em que o intruso envia pacotes destinados a um host em uma VLAN diferente, que normalmente não podem ser alcançados pelo intruso. Este tráfego é marcado com um ID de VLAN diferente da que o intruso pertence. Ou então, o intruso pode estar tentando se comportar como um switch e negociar entroncamento para que ele possa enviar e receber tráfego entre outras VLANs diferente da dele.

     

    Switch-Spoofing - Em um ataque de VLAN Hopping, o intruso da rede configura um sistema para se passar por um switch, isso exige que o intruso seja capaz de emular o protocolo ISL ou 802.1q juntamente com o DTP (Dynamic Trunk Protocol). Sendo assim capaz de simular uma porta trunking e negociar através do DTP com outro switch e caso obtenha sucesso, o intruso será membro de todas as outras vlans.

     

    Como prevenir/mitigar: Desabilite o DTP em todas as portas e habilite manualmente apenas nas portas.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A VLAN Nativa, assumindo que você está utilizando o protocolo 801.1Q em seus trunks, é enviada sem marcação de quadros por padrão. Essa mesma VLAN acaba tendo também a função de VLAN de Gerenciamento nos switches L2.

    Saiba que por padrão um switch gerenciável que suporta VLANs traz suas portas na VLAN 1, pelo menos maioria deles.

    Mas qual o risco de usar portas na VLAN 1?Na prática é possível gerar tráfego de uma determinada VLAN e direcioná-lo para outra VLAN diferente.

    Normalmente esse tráfego é unidirecional, ou seja, não vai dar possibilidade de retorno a quem está fazendo o envio malicioso.

    Normalmente esse tipo de ataque é chamado de VLAN Hopping e pode ser realizado de duas maneiras, através do Switch Spoofing e do Double Tagging.

    Fonte:

    [1] https://www.dltec.com.br/curso/redes/switches-ethernet-parte-1?src=blogpost_8740

ID
801253
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Ocorrendo ataque de negação de serviço dirigido a um servidor HTTP, com acesso a uma URL válida, certamente o endereço IP de origem das requisições será forjado (spoofed).

Alternativas
Comentários
  • Vale lembrar que no ataque DDoS os endereços de origem são as das máquinas-zumbis da rede, talvez por isto a resposta seja "errado"
  • O erro está no "certamente".

    Não é necessário (e nem faz tanto sentido, dado que o ataque é normalmente feito através zumbis, conforme o colega acima citou) que um ataque de DDoS seja feito com spoofing de IP origem, apesar de ser teoricamente possível.
  • O erro está em dizer "certamente". É bom ressaltar que na questão está sendo dito ataque de "negação de serviço" (DoS) e não "negação de serviço distribuída" (DDoS). O ataque pode ser de uma máquina legítima, por exemplo, se ela tiver uma banda maior do que a do servidor e fizer mais requisições do que o servidor possa atender. O spoofing em geral é utilizado para evitar que um firewall reconheça o ataque e bloqueie os acessos ou para evitar a identificação do computador.

  • Sempre desconfie do termo "certamente".

    Gabarito: E

  • GABARITO: ERRADO.

  • O endereço IP de origem de uma requisição que esteja ocasionando DoS pode ser forjado ou não. Um exemplo em que o IP não é forjado é o caso de um atacante que infecta uma máquina de um usuário legítimo e envia requisições para o servidor a partir dela. Nesse caso o IP não é forjado e o atacante consegue disfarçar qual é a origem real do ataque.

ID
801256
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Um ataque de SQL injection explora vulnerabilidades presentes em aplicações web, podendo ser evitado com inspeção criteriosa dos dados de entrada.

Alternativas
Comentários
  • CERTO

    é o que da a entender seu conceito: 
     SQL Injection: é uma técnica frequentemente utilizada para atacar um site. Isto é feito através da inclusão de porções de instruções SQL em uma teia,  forma campo de entrada em uma tentativa de obter o site para passar um recém-formado desonestos comando SQL para o banco de dados (por exemplo, despejar o conteúdo do banco de dados para o atacante). Injeção de SQL é uma injeção de código que explora uma técnica de vulnerabilidade de segurança no software de um site.
  • Um exemplo prático:

    Digamos que você crie uma página web (digamos, em ASP) para listar os dados de um usuário, a hospedando no seu servidor web no seguinte endereço:
    http://www.meuservidor.com/minhapagina.asp
    , e essa sua página receba como parâmetro o código do usuário, de forma que ela seja acionada da seguinte forma:
    http://www.meuservidor.com/minhapagina.asp?UserID=21

    O mais simples seria montar no código do lado do servidor uma query SQL, mais ou menos assim:
    "SELECT * FROM USUARIOS WHERE USERID =" + Request("UserID");

    Se o hacker quiser saber mais do que os dados do seu usuário, poderia chamar sua página com MAIS do que simplesmente o código:
    http://www.meuservidor.com/minhapagina.asp?UserID=21%20OR%20UserID<>21

    Dessa forma, TODAS as linhas de sua tabela seriam retornadas na página, pois o conteúdo que vem depois do código 21 seria concatenado à query sem o menor critério. Bem perigoso, não??

    Para evitar ataques de SQL Injection, existe mais de um método, e se recomenda usar o máximo possível.
    Uma boa medida é evitar sempre que possível a exposição de parâmetros na chamada ao endereço da página. No exemplo acima, evitando que o "?Userid=21" apareça no endereço do navegador. Para isto, deve-se evitar colocar valores nos links externos que apontem para a página, além de mudar o método de envio de seus formulários HTML, de GET para POST. Outra medida, que sempre que possível deve ser usada em conjunto com a anterior, é criticar todos os seus parâmetros de página, interrompendo sua execução se algo estiver errado. Se por exemplo o valor de "Request("UserID")" não for numérico, deve-se retornar um erro; Por fim, a forma (na minha humilde opinião) mais segura de se evitar o SQL Injection é transpor suas consultas para programas armazenados no servidor de Banco de Dados (em Functions ou Stored Procedures), pois nesse caso os parâmetros já terão tipos definidos e o próprio SGBD já retornará um erro em caso de tipos incorretos. Além disso, deve-se evitar também montar consultas SQL em strings grandes dentro da procedure, para garantir a correta execução da mesma logo na compilação de seu código SQL.
    Abraços e bons estudos a todos!
  • Wallace, francamente . não entendi seu comentário... você traduziu via sw?

  • CERTO.


    Segundo Navathe(2011,p.577),"São técnicas de proteção contra Injeção de SQL:

    -Variáveis de ligação(usando comandos parametrizados);

    -Filtragem da entrada(validação da entrada);

    -Segurança da função."


    SISTEMAS DE BANCO DE DADOS-6 EDIÇÃO 2011-NAVATHE.

  • Na minha opinião a questão é confusa pois não tenho como fazer uma inspeção criteriosa dos dados de entrada (considerando que não tenho controle sobre o que o atacante vai escrever), mas posso evitar que um código externo seja inserido. 

    A visão CESPE tbm passou pela minha cabeça, fiquei em dúvida.

  • Gabarito Certo

    SQL Injection é o nome dado a uma falha na codificação de uma aplicação qualquer (seja web ou local) que possibilita, por meio de um input qualquer, a manipulação de uma consulta SQL. Essa manipulação é chamada Injeção, então, o termo Injeção SQL.

    São técnicas de proteção contra Injeção de SQL:

    -Variáveis de ligação(usando comandos parametrizados);

    -Filtragem da entrada(validação da entrada);

    -Segurança da função.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801259
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

Alternativas
Comentários
  • ERRADO,

    Nossa, não conhecia essa informação sobre ambiente bancário.
  • Item CORRETO. Analisando o ambiente, temos o seguinte:
    I) INTEGRIDADE: as operações devem ser íntegras, ou seja, sem erros.  Em uma transação bancária, se um valor X for retirado de uma conta, o mesmo valor deve ser acrescido em outra conta. Caso contrário, dinheiro sumiu ou foi criado.  Exemplo, duas contas com R$100,00, se feita uma transferência de R$25,00 ... o resultado final deve ser uma com R$ 75,00 e outra com R$125,00.
    II) AUDITABILIDADE: as operações devem ser rastreáveis, ou seja, é possivel saber onde e quem realizou as operações. Em caso de erros, é de suma importância reconhecer onde foi o ponto de falha para possíveis restituições e similares.
    Essas duas propriedades devem ter prioridade sobre a confidencialidade. Em caso de fraudes, por um exemplo, é mais importante que seja rastreável onde ela ocorreu do que o sigilo dos agentes.
  • Discordo completamente do gabarito,  esta afirmação não tem nenhum sentido do ponto de vista da segurança da informação. Confidencialidade não tem nada a ver com sigilo dos agentes (como o colega acima citou...).
      A Confidencialidade diz que a informação deve ser protegida e acessada somente por quem de direito.

    Ora, imagine as senhas do cliente trafegendo sem criptografia na rede, qualquer sniffer pegaria estas senhas, ou pior, se não existe confidencialidade, qualquer funcionário do banco poderia, por exemplo, acessar o cadastro de clientes e visualizar as senhas. Além do mais, na ISO 27001 (segurança informação) nem é citado auditabilidade como principio básico da informação. Os princiios basicos da segurança da informação são: Confidencialidade Integridade Disponibilidade autenticidade Legalidade
  • Também não concordo com esse gabarito, pois não vejo hierarquia dentre esses atributos.
    Cada um tem sua necessidade sem ser melhor ou pior.

    Marquei ERRADO.

  • Também marquei errado, não concordo pois todos esses princípios são para mim prioridade em um ambiente que implemente a Segurança da Informação, talvez se fosse modificado prioridade por mais importância poderia ate aceitar visto em um ambiente bancário mas neste caso discordo e afirmo que ta errado. Alguem consegue justificar porque esta certo? 

  • E além do mais, de onde foi que o examinador tirou isso? Da ISO 27K é que não foi...

  • Concordo com o Yuri. O item está CORRETO.

    É claro que na carência de fontes para justificar a resposta fica claro que o CESPE inventou moda, mas se esquecermos disso por um instante e tentarmos matar a questão pela lógica poderemos chegar à conclusão de que a alternativa está correta.


    Digo isso pois mesmo que todas as senhas dos clientes sejam obtidas por terceiros, se for possível garantir a integridade e a auditabilidade das informações, saldos e movimentações das contas dos clientes, será possível corrigir isso no futuro. O impacto será grande, mas após a eliminação da causa do problema, nenhum usuário será lesado.


    Caso se garanta a confidencialidade das informações dos clientes, sem garantir a integridade e a auditabilidade, qualquer problema ocorrido com informações, saldos e movimentações dos clientes, mesmo protegidos, jamais poderão ser corrigidos, gerando uma situação insustentável para qualquer banco.

  • Gostaria de saber a bibliografia para este tipo de questão...

  • Ano: 2011

    Banca: CESPE

    Órgão: MEC

    Prova: Gerente de Segurança

    texto associado [img src="https://www.qconcursos.com/assets/internas/seta-laranja-cima.png" width="9" height="9" alt="Texto associado">

    Acerca de segurança da informação, julgue os itens que se seguem.

    Em um ambiente universitário, a integridade e disponibilidade são os requisitos de segurança prioritários.

    certa

  • Galera,

    Questão retirada da apresentação: http://forumdainternet.cgi.br/files/ApresentacaoEdmundoMatarazzo.pdf: Slide 4

  • Se um funcionário do setor de limpeza do BB tiver acesso às informações de saques dos clientes, houve a quebra da confidencialidade, uma vez que a informação ali contida não era autorizada para o funcionário, porém se o funcionário do setor de limpeza do BB após o acesso, alterar os dados bancários e tentar apagar seu histórico de atividade ilícita para que não seja pego, ele não só infrigiu a integridade das informações como a auditabilidade ao tentar esconder a situação. Pergunta: é pior o acesso não autorizado ou a alteração de dados confidenciais e sua ocultação? Logo, há princípios que são mais aplicáveis em determinados setores do que em outros em decorrência de suas atividades. 

  • Integridade e auditabilidade tem prioridade sobre a confidencialidade.

    Então, os meus dados podem ser divulgados a todos que para um ambiente bancário é menos importante que auditar ou não alterar os dados!

    Vou decorar!

     

    Se o banco não mantém as informações confidenciais, ele terá grandes problemas!

    Se o banco não mantém a integridade, ele terá grandes problemas!

    Se o banco não consegue fazer a auditabilidade ele, terá grandes problemas!

    Cada uma com seus respectivos impactos.

     

    Qual seria pior? Não auditar ou ter todas as informações dos seus clientes reveladas?

     

    Vida que segue!

  • Fonte: vozes da cabeça do examinador

ID
801262
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

Em um ambiente universitário, a integridade e disponibilidade são os requisitos de segurança prioritários.

Alternativas
Comentários
  • CERTO

    Considerando que o sistema tem que ser integro e estar sempre disponível, por conta das necessidades de utilização.
  • na visão de muitos modelos de governância e gestão, a importância desses critérios são dadas através da necessidade do negócio. acredito que não podemos tirar essa conclusão somente pq é uma universidade ou um banco.
  • Com as informações da questão é difícil afirmar quais os requisitos são prioritários, mas no papel de responsável pelo negócio, priorizaria a integridade e confidencialidade. Seria preferível ter o sistema indisponível a ter as informações de notas e pagamentos de alunos acessadas indevidamente!
  • Mais uma vez não concordo.
    Não há como generalizar e afirmar que um atributo seja prioritário sobre o outro.
    Haveria que colocar um estudo de caso mais concreto e com base nele afirmar algo da prioridade.

    Bons estudos.

  • Discordo novamente como na questão Q267084, ai no caso deveria ser retirado prioritários e adicionado importantes ficando assim:

    Em um ambiente universitário, a integridade e disponibilidade são importantes requisitos de segurança.

    Assim acho que ficaria correto.

  • Galera,

    Questão retirada da apresentação: http://forumdainternet.cgi.br/files/ApresentacaoEdmundoMatarazzo.pdf: Slide 4

  • QUESTÃO SUBJETIVA.

  • tá de zueira comigo, outra questão caso de polícia desses anos 2012 pra baixo

  • E a revisão criminal?

ID
801265
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

Uma política de segurança da informação deve atender às necessidades de proteção da informação em uma organização, sendo elaborada por decisão daqueles que vão implantá-la e operá-la.

Alternativas
Comentários
  • ERRADO
    A elaboração e implantação da politica deve ser feita por pessoal capacitado para isso, podendo reconhecer as falhas e corrigilas ou mitigalas
  • Item ERRADO. Olhando a NBR ISO/IEC 27001 (Requisitos para implantar um Sistema de Gestão de Segurança da Informação), vemos que a responsabilidade do estabelecimento e elaboração da política de segurança da informação é da DIREÇÃO da organização.  A PSI deve estar alinhada ao negócio e sempre parte da alta direção para baixo.
    Apenas para lembrar, basta ver em qualquer empresa, quem decide quais os sites que são acessados (ou seja, quem acessa o facebook), o diretor da empresa ou o técnico de infra? Heheh
ID
801268
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

Uma política de segurança da informação eficaz está centrada no controle de acesso à informação, independentemente de formato, mídia ou tecnologia que a suporte.

Alternativas
Comentários
  • De acordo com a NBR ISO/IEC 27002, a política de segurança da informação é um documento abrangente, de responsabilidade da alta administração e que deve ser informado a todos na organização. A política deve conter uma definição para a segurança da informação, suas metas globais, escopo e importância da segurança da informação para a organização. Ela define ainda uma estrutura para estabelecer objetivos de controle e controles, bem como a definição das responsabilidades gerais e especificas na gestão da segurança da informação.
    A política pode definir os mais diversos objetivos de controle, abrangendo desde a gestão de ativos, bom uso de equipamentos, áreas seguras e conformidade a normas e regulamentações e não apenas controle de acesso a informação.
ID
801271
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

A conformidade pode levar à garantia de atendimento aos requisitos de segurança da informação.

Alternativas
Comentários
  • Pelo amor de Deus, salvem a nossa língua portuguesa...Esta oração não tem sentido!
    Conformidade=Compliance => conformidade com as normas definidas, qual a relação que pode existir entre 
    GARANTIA DE Atendimento   |  Requisitos de segurança ?
    quem poderia imaginar que garantia de atendimento tenha algo a ver com Segurança, tem relação com Continuidade do negócio, mas nada de segurança.
    garantia de atendimento, se traduz em Serviço Disponível, se não for seguro, melhor que não esteja disponível.

    Como conseguiram colocar 2 objetos indiretos numa oração, um verdadeiro crime... e no concurso do MEC ( deve ser ministério dos escandalos cavalares )!
    Será que só eu entendi assim? vixe tô ficando preocupado...
  • A questão está correta. Por exemplo, a conformidade com uma lei que fala que uma transação bancária deve ser confidencial faz com que o requisito confidencialidade da segurança da informação seja atendido.

  • Garantia??? eu, hein

ID
801274
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a sistema de gestão de segurança
da informação (SGSI).

No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica, a qual deve estar alinhada às metas de negócio.

Alternativas
Comentários
  • De acordo com a norma NBR ISO/IEC 27001, seção 4, a organização deve:
    a) Defnir o escopo e os limites do SGSI nos termos e caracterísitcas do negócio, a organização, sua localizçaão, ativos e tecnologia;
    b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia;
    c) Definir a abordagem de análise/avaliação de riscos da organização;
    d) Identificar riscos;
    ...
    Creio que o erro da afirmação esteja em "junto com uma política específica", porém não tenho certeza.
  • O erro talvez esteja no escopo e seus limites, já que se numa organização é definido o escopo, automaticamente se define seus limites.
  • O erro esta justamente na falta dos seguintes parâmetros:

    c) Definir a abordagem de análise/avaliação de riscos da organização;
    d) Identificar riscos;

    Além dos mencionados na questão.
  • No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica, a qual deve estar alinhada às metas de negócio.

    Galera,
    A questão é chata, pois a banca gosta de detalhes, esmerilhando a questão chegamos ao P-D-C-A, onde:

    1 - P - Plan - Planejar

    Estabelecer -> Políticas / Objetivos / Processos / Procedimentos -> Do SGSI -> Gestão de Riscos e Melhorias da Seg. Info. -> Para produzir resultados de acordo com -> Políticas / Objetivos Gerais

    Então : a questão está errada por dizer que é em conjunto com uma política específica

    Valeu!
  • Acho que o erro foi falar alinhado às metas , objetivo e meta são diferentes entre si. Objetivo é a descrição daquilo que se pretende alcançar. Meta é a definição em termos quantitativos, e com um prazo determinado.
  • O CESPE exige verdadeiros contorcionismos mentais para identificar um erro da questão.

    A Política de Segurança de Informação (elaborada no âmbito do SGSI) é específica dentro de uma empresa, certo? Trata de um aspecto bem defindo.

    Ela deve estar alinhada com os negócio da da empresa (latu sensu, os objetivos e metas)...ou seja, ao elaborar a PSI, você não leva em conta apenas os requisitos de TI, estritamente. Até aí, correto?

    Por fim, deve-se definir outros parâmetros ao estabelecer o SGSI, mas a regra do CESPE é que, na falta de uma definição completa, a definição apresentada é correta caso não haja itens errados (ex: Ao citar a "lei seca" de um artigo do CPP, este será considerado correto, mesmo que a citação não inclua qualificadoras, agravantes e etc.

  • O erro da questão está no gabarito oficial que deu a resposta como errada. Qualquer outra coisa é forçar algo que não existe.

  • deve-se definir seu escopo e seus limites; OK 4.2.1a

    junto com uma política específica; OK 4.2.1b, pois se a definição de política do SGSI leva em consideração as características do negócio, então ela é uma política específica.

    a qual deve estar alinhada às metas de negócio; ERRADO 4.2.1b.3, não é isso que diz o item referido. Ele diz "alinhada com o contexto estratégico de gestão de riscos da organização"

  • Ah! Gente, fala sério! O erro tá no gabarito. Questão formulada por estagiário do CESPE. Na minha opinião não há absolutamente nada que torne a questão errada. É muita forçação de barra, né?

  • NÃO HÁ ERRO NA QUESTÃO!!! PURA FORÇAÇÃO DE BARRA PROCURAR ERRO NESTA QUESTÃO. Por favor...

  • Cespe...sempre aprontando.

  • Analisando a questão: 

    No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica... OK pois segundo a norma para estabelecer o SGSI deve ser feito o seguinte:
    - Definir escopo e limites do SGSI   
    - Definir a política do SGSI
    - Definir a abordagem de análise e verificação de riscos da organização
    - Identificar os riscos
    - Analisar e avaliar os riscos
    - Identificar e avaliar as opções para tratamento dos riscos
    - Selecionar objetivos de controle e controles para tratamento dos riscos
    - Obter aprovação da direção dos riscos residuais propostos
    - Obter autorização da direção para implementar e operar o SGSI
    - Preparar uma declaração de aplicabilidade

    ...a qual deve estar alinhada às metas de negócio. Nesse trecho a banca quer saber se a política tem que estar alinhada as metas do negocio, analisando a norma o que ela fala sobre a política do SGSI?

    A política do SGSI deve ser definida nos termos e características do negócio, organização, localização, ativos e tecnologia 
     

    Acredito que a banca considerou a literalidade do texto da norma por isso o erro. Possivelmente foi considerado que "estar alinhada com as metas de negócio" é diferente de "ser definida nos termos e características do negócio etc." 
     

    Questão chatinha mas segue em frente!


     

  • o erro está no fcking gabarito e a galera fica tentando justificar, vai entender

ID
801277
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a sistema de gestão de segurança
da informação (SGSI).

A formulação de um plano de tratamento de riscos é uma das atividades que ocorre após a implementação e operação de um SGSI.

Alternativas
Comentários
  • ERRADA
    A formulação de um plano de tratamento de riscos é uma das atividades que ocorre quando se elabora o projeto de implantação de um SGSI

  • A formulação de um plano de tratamento de riscos é uma das atividades que ocorre após a implementação e operação de um SGSI.
    A formulação do plano de tratamento de riscos ocorre durante a fase DO do PDCA (implementação e operação)
    "4.2.2 Implementar e operar o SGSI
    A organização deve:
    a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5)." ISO 27001

  • Quanto à formulação e não implementação do plano de tratamento de risco

    1) define-se a abordagem de análise/avalição através de uma metodologia e critérios para aceitação e identificação de níveis aceitáveis de risco

    2) identificar os riscos

    3) analisar e avaliar os riscos

    4) identificar e avaliar as opções para o tratamento de riscos, podendo aplicar os controles adequados; aceitando-os desde que satisfaçam os critérios de aceitação definidos pela direção; evitá-los e transferí-los a outras partes

    Toda essa evolução é contemplada no item 4.2.1 c até 4.2.1 f, na fase de estabelecimento(plan) do SGSI

ID
801280
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a sistema de gestão de segurança
da informação (SGSI).

O controle dos registros referentes ao SGSI restringe-se aos aspectos referentes aos eventos de natureza técnica.

Alternativas
Comentários
  • ERRADA

    Um SGSI gerencia todas as informações.
  • 4.3.3 Controle de registros
     
    Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da
    operação eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideração
    quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem
    permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação,
    armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e
    implementados.
     
    Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de
    incidentes de segurança da informação significativos relacionados ao SGSI.
     
    EXEMPLO
    Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso
    preenchidos.

    Texto retirado da norma.
  • Sem contar que essas normas ISO são mais focadas na governança do que nos aspectos técnicos.
ID
801283
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a sistema de gestão de segurança
da informação (SGSI).

A rastreabilidade de decisões, remetendo a políticas e decisões da direção superior, é um dos requisitos de um SGSI.

Alternativas
Comentários
  • CERTO

    Pois assim pode-se saber quem tomou qual decisão, um SGSI gerencia isso tbm,
  • 4.3  Requisitos de documentação   
    4.3.1 Geral
    A documentação deve incluir registros de  decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os  resultados registrados sejam reproduzíveis.
    É importante que se possa demonstrar a relação dos  controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI.
    Fonte: NBR ISO 27001
ID
801286
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a sistema de gestão de segurança
da informação (SGSI).

O SGSI adota o modelo PDCA (plan-do-check-act), que estrutura todos os processos, visando proporcionar melhoria contínua.

Alternativas
Comentários
  • CERTO

    O PDCA é incorporado em tudo referente a informática que vise melhoria continua e um bom gerenciamento.
  • Em geral, as normas ISO que tratam de sistemas para gestão de algo utilizam PDCA como forma de proporcionar melhoria contínua.
    http://www.profissionaisti.com.br/2010/10/conhecendo-a-abnt-nbr-isoiec-27001-parte-1/
  • Se precisasse da nota eu entraria com recurso para colocá-la como ERRADA, pois visto a generalização em falar que TODOS os processos utiliza o PDCA. Não creio que TODOS utiliza PDCA.
  • CERTO 
    COMPLEMENTO
    Segundo a ISO 27001,p.3 "Esta Norma adota o modelo de processo "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI."
ID
801289
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

Os usuários devem ser conscientizados e educados no que diz respeito à segurança da informação, uma vez que recai sobre eles a responsabilização pelos eventos em que venham a se envolver, como quebras de segurança e erros de operação.

Alternativas
Comentários
  • ERRADO

    Os usuários não podem ser responsabilizados por quebras de segurança e erros de operação, isso é responsabilidade das equipes de suporte e desenvolvimento
  • Primeiro erro é que quebras de segurança e erros de operação não são eventos. segundo a ISO 27002:
    Eventos de segurança da informação - ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para segurança da informação.
    Então estaria mais para incidente e não para evento. Outro fato é que o simples envolvimento não resposabiliza o usuário. O controle 8.2.3 Processo disciplinar da 27002 diz que deve haver a investigação para apontar os culpados garantindo um tratamento justo.
  • Corrigindo o colega acima: Todo incidente é um evento. Mas nem todo evento é um incidente.
  • Complementando,
    Um evento indica uma possível violação da segurança da informação. Enquanto que um incidente é um simples ou uma serie de eventos que tenham uma grande probabilidade de comprometer as operaçõs do negócio e ameaçar a segurança da informação
  • Se um usuário permite o acesso de uma pessoa não autorizada à uma área segregada, de quem é a responsabilidade? Isso não é um erro de operação?

    Se eu mando um arquivo confidencial para uma lista de pessoas alheias à Organização, de quem é a responsabilidade?

    Se eu jogo um impresso no lixo, sem triturá-lo, estou me envolvendo em uma "quebra de segurança" ? 


    As questões do CESPE não se baseiam no que acontece no mundo real,, então tem que basear numa decoreba absurda para responder.
  • Segundo o item 5.2.2 da Norma, "A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas no SGSI seja competente para desempenhar as tarefas requeridas ..."
  • No ERRO de OPERAÇÃO, a culpa é das máquinas!

  • Respondi essa questão por um ângulo completamente diferente.

    A assertiva diz que o motivo para que os usuários sejam informados é unicamente porque eles são responsáveis pelas consequências de eventos.

    Ocorre que, antes de tudo, é preciso entender que não existe uma regra de responsabilidade universal para todas as organizações e situações. A responsabilidade por eventos adversos às vezes vai ser do usuário, e outras vezes não (podendo recair sobre o setor de suporte, a chefia do setor de negócio, consultores externos, vendedores de software de segurança, ou apenas sobre a pessoa jurídica sem imputação a nenhum indivíduo específico), a depender das políticas internas da organização e até mesmo da legislação aplicável à relação dos usuários com essa organização - se são empregados, prestadores de serviço, clientes etc.

    Em vista disso, o motivo para que os usuários sejam conscientizados a respeito da segurança da informação não pode ser simplesmente porque eles serão responsabilizados, até porque isso não necessariamente é verdade, mas sim porque ter usuários conscientes, por si só, já ajuda a evitar falhas de segurança! Ou seja, a educação sobre segurança da informação é uma estratégia para evitar brechas, e não (ao menos priomordialmente) para proteger o usuário de eventual responsabilidade.

  • Gabarito Errado

    Questão estranha... cabe recurso.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ERRADO

    Antes de se responsabilizar alguém por um evento deve se fazer uma verificação prévia e uma confirmação da violação, para aí sim a organização iniciar o seu processo disciplinar.

    Não se deve responsabilizar um usuário por um evento sem uma confirmação prévia e sem o uso de um Processo Disciplinar.

  • A questão não afirma que o usuário é responsabilizado imediatamente

  • POLÊMICA POLÊMICA POLÊMICA

ID
801292
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

O código fonte de programas é um bem informacional que requer proteção adequada, podendo até conter segredos de negócio; assim, seu acesso deve ser restrito e sujeito a controles de acesso.

Alternativas
Comentários
  • A norma ISO/IEC 27002 prescreve na Seção 12.4.3 o Controle de acesso ao código-fonte de programa:
    Controle: "Convém que o acesso ao código-fonte de programa seja restrito"

  • O CESPE me decepcionou com essa questão. Não é necessário qualquer conhecimento de norma técnica para marcar assertiva correta. É apenas uma questão de bom senso. Conceito que se aprende nos primeiros períodos de qualquer curso  da área de informática (com disciplinas de programação, óbvio). É só ler a questão com calma e usar a lógica.

    Bons estudos.
  • A Norma fala que "convém" e a questão diz DEVE.
    Isso não seria um erro?
  • Tarantino, errei a questão exatamente pela palavra DEVE :/
  • Somente adicionando o ponto da Norma 27.002 que diz os tipo de ativos de uma organização. O código fonte pode ser considerado no item base de dados e arquivos:
    "Existem vários tipos de ativos, incluindo:

    a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

    b) ativos de software : aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

    c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

    d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

    e) pessoas e suas qualificações, habilidades e experiências;

    f) intangíveis, tais como a reputação e a imagem da organização."


    Conforme o colega disse, existe um controle específico para o controle de acesso ao código fonte de programas, dentro da seção 12. Aquisição, Desenvolvimento Manutenção de sistemas da informação. Segue:

    " 12.4.3 Controle de acesso ao código-fonte de programa

    ControleConvém que o acesso ao código-fonte de programa seja restrito.

    Diretrizes para implementaçãoConvém que o acesso ao código-fonte de programa e de itens associados (como desenhos, especificações, planos de verificação e de validação) seja estritamente controlado, com a finalidade de prevenir a introdução de funcionalidade não autorizada e para evitar mudanças não intencionais. Para os códigos-fonte de programas, este controle pode ser obtido com a guarda centralizada do código, de preferência utilizando bibliotecas de programa-fonte."

    A questão do termo DEVE poderia tornara questão errada pois a norma é um guia de boas práticas que CONVÉM ser seguidas. Mas, o examinador não chegou nesse nível de detalhes. Vai do candidato avaliar o objetivo principal do examinador. Sabendo do que expus acima, colocaria a questão como CORRETA!

  • É inacreditável!
    Afinal é DEVE ou CONVÉM.

    A banca cespeana sempre "quer pegar" o canditato nessas sutilezas!

    Está claro,evidente e explítico na norma ISO/IEC 27002 Seção 12.4.3 CONVÉM..., vem a questão da Cespe com o maldito DEVE...

    Ou seja, deveria estar ERRADA!

    Assim eu fico maluco...

  • CERTO.  CONFORME A VERSÃO DE 2013.

    Segundo a ISO 27002:2013,"9.4.5 Controle de acesso ao código-fonte de programas
    Controle
    Convém que o acesso ao código-fonte de programa seja restrito.
    Diretrizes para implementação
    Convém que o acesso ao código-fonte de programas e de itens associados (como desenhos, especificações, planos de verificação e de validação) sejam estritamente controlados, com a finalidade de prevenir a introdução de funcionalidade não autorizada e para evitar mudanças não intencionais, bem como para manter a confidencialidade de propriedade intelectual valiosa."

ID
801295
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

Acordos de não divulgação que reflitam as necessidades da organização para proteção da informação devem ser revisados sempre que houver vazamento de informação.

Alternativas
Comentários
  • De acordo com a Norma 27.002, não existe a palavra "devem" e sim "convém":
    6.1.5 Acordos de confidencialidade
    Convém que os requisitos para os acordos de confidencialidade e de não divulgação sejam analisados criticamente de forma periódica e quando mudanças ocorrerem que influenciem estes requisitos.
    Portanto, questão incorreta.
  • Devo discordar do colega acima. O fato da questão estar errada não tem haver com a utilização do verbo e sim com a afirmação final: "devem ser revisados sempre que houver vazamento de informação". Ora, de acordo com a afirmação, somente quando houver vazamento de informação é que iremos revisar os acordos de não divulgação.

    De acordo com a norma, esses acordos devem ser revistos de forma regular.

    O verbo dever é usado na descrição do controle no anexo A da norma 27001: "A.6.1.5 - Acordos de confidencialidade: Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular. "
  • @Thiago

    Discordo. A questão, da forma como está redigida, não fica claro que: SOMENTE quando houver vazamento de informação os acordos de não divulgação devem ser revisados.

    A Cespe pode até ter tido a intenção de cobrar isso, porém, da maneira como está escrito, dá margem para mais de uma interpretação.

    Um exemplo exagerado. Se eu digo: Quando acontece um roubo, a polícia deve fazer seu trabalho.

    Isso significa que a polícia SOMENTE deve fazer seu trabalho quando houver um roubo? Lógico que não. Mas, isso faz  afirmação ser errada? 

    Faça a mesma analogia na questão e verá que ela pode ser considerada Certa.

    Resumindo, se a intenção do CESPE foi cobrar isso, faltou um SOMENTE, ou algo que deixasse claro que essa seria uma situação que excluísse outras possibilidades.

  • Questão mal elaborada, dando margem a mais de uma interpretação! Acho que não fizeram recurso, mas dava pra ser anulada!
  • Desculpe pessoal, mas acho que vcs estão procurando chife em cabeça de cavalo.
    A questão esta dizendo que quando ouver vazamento de informação, ou seja UMA FALHA NA SEGURANÇA, deve-se  revisar os acordos de proteção da informação. Ou seja, ao invés de consertar/revisar a falha ocorrida, altera-se o acordo para que ele nÃo contemple esta falha.. 
    Afirmação sem sentido.
  • Acordos de não divulgação que reflitam as necessidades da organização para proteção da informação devem ser revisados sempre que houver vazamento de informação.

    De acordo com a norma ISO 27002, na seção 6.1.5 (Acordos de confidencialidade), tem-se:

    " Diretrizes para Implementação
       ..... Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que sejam considerados os seguintes elementos:

       j) ações esperadas a serem tomadas no caso de uma violação deste acordo"

    Dessa forma, o erro está em afirmar algo que não consta na norma.
    ps.: sobre o "convém" e "deve", não acredito ser este o erro. Há várias questões do CESPE com "deve" e ainda sim a questão ser considerada verdadeira
  • O erro da questão está em relacionar "vazamento de informações" com "Acordos de não divulgação".

    O trecho da norma que trata sobre vazamento de informações, está na seção 12 da referida norma e fala sobre os chamados "covert channel":

    "12.5.4 Vazamento de informações
    Controle
    Convém que oportunidades para vazamento de informações sejam prevenidas.
    Diretrizes para implementação
    Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por
    exemplo através do uso e exploração de covert channels: ..."

    Já o trecho que fala sobre "Acordos de não divulgação" está na seção 6 da norma:

    "6.1.5
    Acordos de confidencialidade
    Controle
    Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades
    da organização para a proteção da informação sejam identificados e analisados criticamente, de forma regular."


  • esqueçam esse negócio de "deve" ou "convém". O cespe não tá nem aí pra isso, mistura tudo a qualquer hora

  • Galera, percebo que o CESPE deixou de cobrar os verbos CONVÉM para 27002 e DEVE para 27001a partir de final de 2012 pra cá. Logo como a questão é de 2011 eu acredito que o único erro dela seja o verbo DEVE, pois se trata de uma questão da ISO 27002.

  • Pessoal, não achem que vão "matar" um conteúdo complexo desses com macetes de "DEVE" ou "CONVÉM". Seria muita inocência da banca, basear suas questões apenas nesses termos. Isso não existe, pessoal.

  • Gabarito Errado

    Devem ser revisados periódicamente.

     

    Vamos na fé !

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801298
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

Os controles relativos a movimentação de equipamentos, informações ou software são similares aos controles patrimoniais relativos a outros bens; assim, esses itens só devem ser removidos com autorização prévia e devido registro.

Alternativas
Comentários

  • CERTO com base no controle abaixo da ISO 27002 e também da ISO 27001.

    9.2.7 Remoção de propriedade

    Controle

    Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia.

    Diretrizes para implementação

    Convém que sejam levadas em consideração as seguintes diretrizes:

    a) os equipamentos, informações ou software não sejam retirados do local sem autorização prévia;  

    b) os funcionários, fornecedores e terceiros que tenham autoridade para permitir a remoção de ativos para fora do local sejam claramente identificados;

    c) sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devolução seja controlada;

    d) sempre que necessário ou apropriado, seja feito um registro da retirada e da devolução de equipamentos, quando do seu retorno.


  • Devem ou convém?

  • Caro colega, não se preocupe mais com o DEVE ou o CONVÉM, da ISO 27001 e ISO 27002, respectivamente. Eles já não são mais usados pra indicar se uma questão está certa ou errada. 

    --------------------------------------------------------------

     

    Segundo a ISO 27002:2013,"11.2.5 Remoção de ativos
    Controle
    Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia.
    Diretrizes para implementação
    Convém que sejam levadas em consideração as seguintes diretrizes:
    a)convém que sejam claramente identificados os funcionários, fornecedores e partes externas que tenham autoridade para permitir a remoção de ativos para fora do local;
    b)convém que sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devolução seja controlada;
    c)Sempre que necessário ou apropriado, é recomendado que seja feito um registro da retirada e da devolução de ativos, quando do seu retorno;
    d)convém que a identidade, atribuição e função de qualquer pessoa que manuseia ou utiliza os ativos estejam documentados, e que esta documentação seja devolvida com o equipamento, a informação ou software."

ID
801301
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.

As responsabilidades pela segurança da informação devem estar claramente definidas, oferecendo-se, como contrapartida, aos responsáveis os poderes necessários para implementação e operação dos controles, de forma a viabilizar o atendimento aos requisitos de segurança específicos.

Alternativas
Comentários
  • Não entendi porque esta questão está correta.

    Segundo a norma:
    8.1.1 Papéis e Responsabilidades - "Convém que papéis e responsabilidades pela segurança da informação..."

    Na questão é usado o verbo DEVER. "As responsabilidades pela segurança da informação devem estar claramente definidas"
  • Realmente...

    De acordo com a Norma 27002, o controle "Papéis e Responsabilidades" está assim descrito: Convém que papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros sejam definidos e documentados de acordo com a política de segurança da informação da organização.

    Porém, a Norma 27001, em seu anexo A, assim descreve o mesmo controle: Os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros devem ser definidos e documentados de acordo com a política de segurança da informação da organização.

    Para que a banca tenha considerada a assertiva correta, creio que se baseou na norma 27001.
  • O comando da questão é "Com relação aos controles a serem implementados em um SGSI" e a norma ISO 27001 é a nomra a ser considerada para a implementação do SGSI. A questão está correta. À luz da ISO 27001, no controle A.6.1.3 - Todas as responsabilidades pela segurança da informação devem estar claramente definidas.

  • Segundo a ISO 27002:2013,"6.1.1 Responsabilidades e papéis pela segurança da informação
    Controle
    Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas.    "

ID
801304
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

A política de GCN define os processos relativos às atividades de preparação para estabelecer a capacidade de continuidade de negócios e o gerenciamento contínuo dessa capacidade.

Alternativas
Comentários
  • "Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações. "

    Fonte: ISO 27002, item 14
  • Cópia da Norma 15999-1/2007, pg 9:
    4. A política de gestão da continuidade de negócios
    4.1 Visão Geral
    4.1.1 A política de GCN define os seguintes processos: 
    - as atividades de preparação para estabelecer a capacidade de continuidade de negócios;
    - e o gerenciamento contínuo dessa capacidade.
ID
801307
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

Admite-se que o tempo planejado para a recuperação da normalidade de funcionamento do negócio seja maior que o tempo máximo de interrupção desse funcionamento.

Alternativas
Comentários
  • Se o tempo para recuperar a normalidade do funcionamento for maior que o tempo máximo de interrupção, o serviço ficará indisponível.

    R.: ERRADA
  • isso se vc não levar em conta o plano de contigência... 

  • ERRADO. Senhores acredito que esta questão esteja se referindo aos itens 2.23 e 2.32 da norma ISO/IEC 15999-1. Olhem só. Caso eu esteja errado me corrijam. Estamos aqui para aprender.

    Segundo a ISO 15999-1,"2 Termos e Definições

    2.23 período máximo de interrupção tolerável: duração a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de produtos e serviços não possa ser reiniciada.

    2.32 tempo objetivado de recuperação(RTO-recovery time objective) tempo alvo para:

    -retomada da entrega de produtos ou serviços após um incidente;ou

    -recuperação do desempenho de uma atividade após um incidente;ou

    -recuperação de um sistema ou aplicação de TI após um incidente.

    NOTA         O tempo objetivado de recuperação deve ser menor que o período máximo de interrupção tolerável."



  • Na minha opinião o tempo de interrupção é diferente de tempo de interrupção tolerável.

ID
801310
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

Na documentação relativa à GCN, devem estar incluídos, entre outros, documentos relativos à política de GCN, à análise de impacto nos negócios e à avaliação de riscos e ameaças.

Alternativas
Comentários
  • A organização deve ter documentação cobrindo os seguintes aspectos do SGCN:
    1. O escopo e o objetivo do SGCN e procedimentos
    2. A política da GCN
    3. A provisão de recursos
    4. A competencia do pessoal de GCN e registro de treinamento associado
    5. A análise de impacto dos negócios
    6. A análise de risco
    7. A estratégia de continuidade de negócio
    8. A estrutura de resposta a incidente
    9. Os planos de continuidade de negócio e os planos de gestão de incidente
    10. Teste de Gestão de continuidade de negócio
    11. Manutenção e análise critica dos acordos de GCN
    12. Auditoria interna
    13. Análise crítica do SGCN
    14. Ações preventivas e corretivas
    15. Melhorias continuas 
  • A questão deveria ser considerada ERRADA. A avaliação de riscos e AMEAÇAS não faz parte do gestão de continuidade de negócio.

  • CERTO.

    Segundo a ISO 15999-1,"5.5 Documentação de GCN

    Convém que os indivíduos responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos:

    a) Política de GCN:

    -declaração do escopo de GCN

    -termos de referência de GCN;

    b)análise de impacto nos negócios(BIA);

    c)avaliação de riscos e ameaças;

    d)estratégias de GCN;

    e)programa de conscientização;

    f)programa de treinamento;

    g)planos de gerenciamento de incidentes;

    h)planos de continuidade de negócios;

    i)planos de recuperação de negócios;

    j)agenda de testes e relatórios;

    k)contratos e acordos de nível de serviço.

    "

ID
801313
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).

A GCN não tem relação com o gerenciamento de riscos.

Alternativas
Comentários
  • Item 5 da norma 15999-1:
    Documentação de GCN
    •política de GCN;
    •análise de impacto nos negócios (BIA);
    •avaliação de riscos e ameaças;
    •estratégias de GCN;
    •programa de conscientização;
    •programa de treinamento;
  • Questão ERRADA.

    Tanto tem relação com o gerenciamento de riscos que ela é uma norma complementar ao gerênciamento de riscos. Não existe continuidade de negócio em uma empresa que não faça um gerencimento, mesmo que mínimo, dos riscos associados ao negócio da sua empresa.

    Na 15999-1 em seu item 3. que trata da Visão Geral da GCN diz:

    "A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas consequências."

  • Dá para matar também com a ISO 27002 para quem nunca leu/estudou a ISO 15999-1.

    Segundo o ISO 27002,14.1.2 Continuidade de negócios e análise/avaliação de riscos,"

    Em função dos resultados da análise/avaliação de riscos, convém que um plano estratégico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negócios.

    **A análise/avaliação de riscos faz parte da gestão de riscos, e a continuidade dos negócios é o objetivo da GCN."

  • Se ela não tiver pode ter a certeza de que a empresa entrará num caos em caso de algum sinistro

ID
801316
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de um sistema com Windows Server 2003 e seus services
packs e patchs de segurança instalados, julgue os itens
subsecutivos.

Para se configurar permissão em arquivos ou diretórios, como ponto de partida, uma opção é utilizar o aplicativo Windows Explorer para se configurar direitos de escrita ou leitura.

Alternativas
Comentários
  • Alguém pode explicar esta questão? Obrigada!
  • Pelo Windows Explorer você acessa pastas e arquivos, correto? Então esse é o ponto de partida para atribuir permissões. Para isso, basta escolher a pasta ou arquivo que você quer atribuir as permissões, clicar com o botão direito do mouse em cima do arquivo ou pasta e escolher propriedades. 



ID
801319
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de um sistema com Windows Server 2003 e seus services
packs e patchs de segurança instalados, julgue os itens
subsecutivos.

Uma tarefa administrativa de segurança nesse sistema envolve a definição de que tipo de direito os usuários do sistema podem ter. Com base nesse princípio, os usuários que necessitam de direitos administrativos restritivos deverão ser adicionados ao grupo Domain Admins.

Alternativas
Comentários
  • "Uma tarefa administrativa de segurança nesse sistema envolve a definição de que tipo de direito os usuários do sistema podem ter. Com base nesse princípio, os usuários que necessitam de direitos administrativos restritivos deverão ser adicionados ao grupo Domain Admins."

    Errado. O grupo Domain Admins (Administradores de Domínio) é para usuários que possuem direitos administrativos irrestritos (Ora, se é administrador, pode fazer "tudo").
    Uma alternativa para corrigir essa assertiva é substituir Domain Admins pelo grupo Domain Users (Usuários de Domínio).
  • Questão errada. Domain admins é acesso irrestrito, porque esse grupo pertence aos administradores do domínio. O amigo acima também está errado. Se forem colocados no grupo domain users, eles serão usuários comuns e não terão acesso administrativo. 
ID
801322
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de um sistema com Windows Server 2003 e seus services
packs e patchs de segurança instalados, julgue os itens
subsecutivos.

Membros do grupo de administradores têm permissão para controlar totalmente o servidor, podendo, inclusive, gerenciar as permissões dos usuários e as permissões de controle de acesso, se for necessário.

Alternativas
Comentários
  • Certo. Assim como nas versões Professional (para desktop), o usuário que está inserido no grupo Administradores pode controlar o servidor, de funções básicas até o desligamento, passando pela gerência de permissões e controles de acesso (via NTFS ou Active Directory).
  • Administradores = céu é o limite. 
ID
801325
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de um sistema com Windows Server 2003 e seus services
packs e patchs de segurança instalados, julgue os itens
subsecutivos.

No Windows 2003 Server, por padrão, a conta de convidado é habilitada.

Alternativas
Comentários
  • Errado. Ao contrário da versão Windows 2000 Server, no Windows Server 2003, a conta Convidado está desabilitada por padrão.
  • Primando pela lógica, em um sistema operacional modo servidor a conta de convidado NÃO pode ser habilitada por padrão. Seria uma falha grosseira  e infantil de segurança.

    Boms estudos.
  • Desabiltado desde os primordios do Windows NT. 

  • Gabarito Errado

    A conta de convidado é desabilitada como padrão no Windows.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801340
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considerando que, em um ambiente de rede, exista um servidor de
impressão em Windows Server 2003 e outro servidor de impressão
em Linux que utilize o sistema CUPS, julgue os itens subsequentes.

O CUPS anuncia seu serviço de impressão por meio de broadcast e usa por padrão a porta UDP 300. Nesse caso, a configuração padrão do CUPS pode ser alterada para uso apenas de multicast.

Alternativas
Comentários
  • A porta a qual o CUPS usa para anunciar seu serviço de impressão em broadcast é a porta UDP 631. Isso faz o primeiro período da questão se tornar incorreto.
    Quanto ao segundo período, acredito também estar errado, pois de acordo com a documentação do CUPS transcrita abaixo, o anúncio em multicast só irá ser implementado em versões futuras do CUPS.

    CUPS supports most network printers using one of three TCP/IP-based protocols. Printer discovery is currently accomplished using the SNMP protocol, however future versions of CUPS will also include support for multicast DNS service discovery as well.

    Fonte: http://www.cups.org/documentation.php/doc-1.4/spec-browsing.html

  • Eu nao sei o motivo, mas as portas na faixa 288-307 estao com o status, Unassigned, ou nao atribuidas, no site da IANA[1].

    Porem, consultando essa outra fonte[2] (odeio wikis, mas foi o q achei), a porta 300 esta atribuida para ThinLinc Web Access, porem, nao oficial. Se alguem puder esclarecer isso, seria de utilidade.

    Ainda no site oficial[1], a porta 631 e' atribuida para: IPP(Internet Printing Protocol) e IPPS(IPP over HTTPS), tanto para TCP, quanto UDP.

    Dei uma rapida bizoiada na RFC8011, que diz o seguinte sobre os protocolos IPP/IPPS:

    [1] "The Internet Printing Protocol (IPP) is an application-level protocol for distributed printing using Internet tools and technologies. (...) IPP semantics allow End Users and Operators to query Printer capabilities; submit Print Jobs; inquire about the status of Print Jobs and Printers; and cancel, hold, and release Print Jobs. IPP semantics also allow Operators to pause and resume Jobs and Printers".

    O CUPS usa esse protocolo, o IPP, para impressao, conforme afirma este outro autor[4].

    Quanto ao uso de multicast em CUPS, nada achei!

    Fonte:

    [1] www.iana.org

    [2 https://pt.qwe.wiki/wiki/List_of_TCP_and_UDP_port_numbers]

    [3] RFC8011

    [4] Linux Bible, Christopher Negus

ID
801343
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considerando que, em um ambiente de rede, exista um servidor de
impressão em Windows Server 2003 e outro servidor de impressão
em Linux que utilize o sistema CUPS, julgue os itens subsequentes.

Fazer o controle do acesso físico e lógico às impressoras em uma rede é uma medida de segurança recomendada.

Alternativas
Comentários
  • De acordo com a obra dos autores Abílio Bueno Neto e Davi Solonca - Auditoria de Sistemas Informatizados -, podemos encontrar a resposta para esta questão:

    [...] O acesso lógico nada mais é do que um processo em que um sujeito ativo deseja acessar um objeto passivo. O sujeito normalmente é um usuário ou um processo e o objeto pode ser um arquivo ou outro recurso como memória ou impressora. Os controles de acesso lógico são, então, um conjunto de medidas e procedimentos adotados pela organização ou intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não-autorizadas feitas por usuários ou outros programas.[...] (Página 97)

    Mais adiante:

    [...] Os recursos a serem protegidos diretamente pelo controle de acesso físico são: os equipamentos - servidores, estações de trabalho, CPUS, placas, vídeos, mouses, teclados, unidades de disco, impressoras, scanners, modem, linhas de comunicação, roteadores, cabos elétricos, etc; [...] (Página 100)

    Item correto.
    Fonte: http://www.profallan.com/profallan.com/asi.pdf, acessado em 24/01/2013 às 19h20min.

  • ah tá! vou colocar um segurança 24 horas na frente da impressora. "SERTINHO"

ID
801346
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considerando que, em um ambiente de rede, exista um servidor de
impressão em Windows Server 2003 e outro servidor de impressão
em Linux que utilize o sistema CUPS, julgue os itens subsequentes.

No caso do CUPS, recomenda-se utilizar o endereço de loopback do servidor para tarefas de administração, a fim de evitar a transmissão da senha de root em texto claro com o protocolo HTTP.

Alternativas
Comentários
  • Correto, o CUPS eh um servidor de impressao, q pode ser acessado em interface web, via http q, como todos sabem, eh um protocolo não seguro. Ao inves de se usar o root, cria-se um usuario local, usando a senha deste todas vez q for preciso acesso administrativo.
    Ou entao, implemeta-se o CUPS sobre o https, cujos dados passasm criptografados.
    • Listen: Por padrão, no Ubuntu, a instalação de um servidor CUPS escuta apenas na interface de loopback no endereço IP127.0.0.1. Para fazer com que o servidor CUPS escute em um endereço IP de um adaptador de rede, você deve especificar o hostname, o endereço IP, ou opcionalmente, um par endereço/porta através da adição da diretiva Listen. Por exemplo, se o seu servidor CUPS reside em uma rede local no endereço IP 192.168.10.250 e você gostaria de torná-lo acessível para outros sistemas nessa subrede, você deve editar o arquivo /etc/cups/cupsd.conf e adicionar uma diretiva Lista, como:
      		Listen 127.0.0.1:631 # Loopback existenteListen /var/run/cups/cups.sock
      No exemplo acima, você deve comentar ou remover a referência ao endereço Loopback (127.0.0.1) se você não desejar que o cupsd escute naquela interface, mas sim preferir que ele escute somente na interface Ethernet da sua Rede Local (LAN). Para habilitar a escuta para todas as interfaces de rede em que um hostname esteja ligado, incluindo a loopback, você pode criar uma entrada de Listen para o hostname socrates como:
      		Listen socrates:631 # Escute em todas as interfaces pelo hostname 'socrates'
      ou omitindo a diretriz Listen e usando Port invés, como:
      		Port 631 # Escute na porta 631 em todas as interfaces
ID
801349
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considerando que, em um ambiente de rede, exista um servidor de
impressão em Windows Server 2003 e outro servidor de impressão
em Linux que utilize o sistema CUPS, julgue os itens subsequentes.

No caso do serviço de impressão com Windows Server 2003, as portas 139 e 445 com protocolo TCP e as portas 137 e 138 com UDP têm de estar fechadas.

Alternativas
Comentários

  • Spooler de impressão

    O serviço do sistema Spooler de impressão gerencia todas as filas de impressão locais e da rede e controla todos os trabalhos de impressão. O Spooler de impressão é o centro do subsistema de impressão do Windows. Ele gerencia as filas de impressão no sistema e se comunica com drivers de impressão e componentes de saída/entrada (I/O), por exemplo, a porta USB e o conjunto do protocolos TCP/IP.

    Nome de serviço do sistema: Spooler
    Recolher esta tabelaExpandir esta tabela
     
    Protocolo de aplicativo Protocolo Portas
    Serviço de datagrama NetBIOS UDP 138
    Resolução de nome NetBIOS UDP 137
    Serviço de sessão NetBIOS TCP 139
    SMB TCP 445
    Observação O serviço Spooler usa RCP sobre pipes nomeados. Esse serviço possui os mesmos requerimentos de firewall do recurso "Compartilhamento de arquivos e impressoras".

    Portanto, a questão está errada porque as portas 137 e 138 não necessitam ser fechadas.
  • Ora, se essas portas são usadas pelo serviço de impressão em uma LAN, elas não podem estar fechadas!
    O correto seria:

    "No caso do serviço de impressão com Windows Server 2003, as portas 139 e 445 com protocolo TCP e as portas 137 e 138 com UDP têm de estar abertas."
ID
801355
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os próximos itens, a respeito de configuração de proxy
Squid, serviços de email com Sendmail e servidores web Apache.

O Sendmail é um MTA (mail transfer agent) que suporta relay, cuja configuração necessita, entre outros procedimentos, que a diretiva DS (função de smart relay) seja configurada para apontar o nome do servidor para o qual se deseja fazer o relay.

Alternativas
Comentários

  • Correto. A configuração está no arquivo /etc/mail/sendmail.cf ou /etc/sendmail.cf, dependendo do sistema operacional.

    O campo para fazer a configuração necessária que a questão sugere é a seguinte:

    # “Smart” relay host (may be null)

    DS<hostname.domain>

ID
801358
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os próximos itens, a respeito de configuração de proxy
Squid, serviços de email com Sendmail e servidores web Apache.

No caso do Apache, quando se necessita configurar um servidor virtual HTTP para que vários nomes diferentes respondam em um mesmo endereço IP, as diretivas de  VirtualHost, DocumentRoot  e  ServerName  devem ser utilizadas e configuradas.

Alternativas
Comentários

  • NameVirtualHost 200.200.200.10:80

    <VirtualHost _default_:80 200.200.200.10:80>

    ServerName www.site.com.br

    ServerAdmin admin@site.com.br

    DocumentRoot /var/www

    TransferLog /var/log/apache/access.log

    ErrorLog /var/log/apache/error.log

    </VirtualHost>

    <VirtualHost 200.200.200.10>

    ServerName www.site1.com.br

    ServerAdmin admin1@site1.com.br

    DocumentRoot /var/www/www_site1_com_br

    TransferLog /var/log/apache/site1/access.log

    ErrorLog /var/log/apache/site1/error.log

    </VirtualHost>

    <VirtualHost 200.200.200.10>


ID
801361
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os próximos itens, a respeito de configuração de proxy
Squid, serviços de email com Sendmail e servidores web Apache.

No Apache, como o suporte ao SSL é nativo nas versões 1.3.x, o uso do  mod_sal  se restringe às versões 2.2.x e posteriores. Além disso, a configuração para gestão de certificados autoassinados requer geração randômica de números primos, o que, no caso do Apache, em sistemas Unix, é feito por meio do  /dev/random.

Alternativas
Comentários
  • Por padrão, processo de geração de chaves é feito pela openssl.

    Fontes:
    http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
    http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-secureserver-generatingkey.html

  • Questao ERRADA.

    Nao existe mod_sal.

  • Correto seria mod_ssl

ID
801364
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens que se seguem, relativos a Active Directory e
terminal services.

Para funcionar adequadamente, o Active Directory precisa de um serviço DNS configurado.

Alternativas
Comentários
  • Para funcionar corretamente, o AD precisa de um DNS configurado. 

    Fonte: http://msdn.microsoft.com/en-us/library/ms954396.aspx
  • O DNS (Domain Name System) é o localizador do Active Directory no Windows 2000. Os clientes e as ferramentas de cliente do Active Directory usam o DNS para localizar controladores de domínio para administração e logon.. Você deve ter um servidor DNS instalado e configurado para Active Directory e o software cliente associado para funcionar corretamente. Este artigo o guia pela configuração de DNS solicitada.
  • Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um pré-requisito para a instalação do AD. O AD utiliza o DNS para a nomeação de servidores e recursos, e também para resolução de nomes. Caso o serviço DNS não esteja disponível na rede durante a instalação do AD, poderemos instalá-lo durante a instalação do AD.
    Alternativa: Certa

  • c-

    Active Directory Domain Services (AD DS) uses DNS as its domain controller location mechanism. When any of the principal Active Directory operations is performed, such as authentication, updating, or searching, computers use DNS to locate Active Directory domain controllers. In addition, domain controllers use DNS to locate each other.

    https://docs.microsoft.com/en-us/windows-server/networking/dns/dns-top

ID
801367
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens que se seguem, relativos a Active Directory e
terminal services.

O Remote Desktop Connection é o servidor padrão para o terminal services no Windows 2003.

Alternativas
Comentários
  • O Remote Desktop Connection é o CLIENTE de terminal services padrão, e não o servidor, como afirma incorretamente a questão.

    Para executar o cliente RDP, basta digitar no executar: MSTSC.exe (Microsoft Terminal Services Client).

  • Gabarito Errado

    O RDP é um cliente não um servidor.

     

    Vamos na fé !

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801370
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens que se seguem, relativos a Active Directory e
terminal services.

No caso do terminal services, a conexão remota é feita por meio do protocolo VNC sobre o protocolo TCP.

Alternativas
Comentários
  • VNC é um aplicativo e não um protocolo.
    O protocolo utilizado para acesso ao terminal services é o RDP. Ele é um protocolo multicanais que permite que canais virtuais separados carreguem dados de apresentação, comunicação para mecanismos seriais, informações de licenciamento, dados altamente criptografados (teclado, mouse), e assim por diante.
  • Discordo Ubiraja. Vnc é protocolo sim.  O erro está na afirmação que ele é usado para acesso via terminal services, que como vc bem falou é usado o RDP.
  • VNC não é um protocolo, mas um sistema de comunicação que funciona com o protocolo RFB (http://www.realvnc.com/docs/rfbproto.pdf), com diversos clientes à disposição.


    Fontes:
    http://ipinfo.info/html/vnc_remote_control.php
    http://www.cl.cam.ac.uk/research/dtg/attarchive/pub/docs/att/tr.98.1.pdf

  • Ratificando, VNC não é um protocolo. Informação direto da fonte. :)

    The Remote Framebuffer Protocol

    Abstract

       RFB ("remote framebuffer") is a simple protocol for remote access to

       graphical user interfaces that allows a client to view and control a

       window system on another computer.  Because it works at the

       framebuffer level, RFB is applicable to all windowing systems and

       applications.  This document describes the protocol used to

       communicate between an RFB client and RFB server.  RFB is the

       protocol used in VNC.


    fonte:https://tools.ietf.org/rfc/rfc6143.txt

ID
801373
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens que se seguem, relativos a Active Directory e
terminal services.

Para o funcionamento do Active Directory, é necessário que, no ambiente Windows em que ele esteja instalado, exista um firewall de contexto, configurado e ativado.

Alternativas
Comentários
  • Requisitos básicos para instalação  e funcionamento do Active Directory:

    http://technet.microsoft.com/pt-br/library/cc668535.aspx
  • O link do colega acima lista os seguintes requisitos (e recomendações) para a instalação do AD:

    1) Uma partição NTFS com espaço livre suficiente
    2) Nome e Senha para o Administrador
    3) Uma placa de rede
    4) Configurações corretas de TCP/IP (endereço IP, máscara de subrede e gateway)
    5) Conexão de rede ativa (para um switch ou outro computador através de cabo crossover)
    6) Um servidor DNS operacional (que pode ser instalado no controlador de domínio)
    7) Nome de domínio que você quer usar
    8) Acesso à mídia de instalação (ou ao diretório i386)
    9) Não usar ICS (Recomendado)

    Não há referência a qualquer firewall de contexto. Nessa visão, a questão está errada.

  • aproveitando as contribuições dos colegas:

    hardware: placa de rede; Conexão crossover; mídia de instalação (ou ao diretório i386)

    config: partição NTFS; Configurações corretas de TCP/IP (IP, subnetmask e gateway); servidor DNS;

    conceitos: Nome e Senha Admin; Nome de domínio; Não usar ICS.

ID
801376
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens subsecutivos, a respeito da tecnologia SFU (Services
for Unix) da Microsoft, que permite a integração, até certo ponto,
entre ambientes Unix e Microsoft Windows Server.

O Linux, por padrão, tem o sistema SAMBA integrado com a tecnologia SFU da Microsoft.

Alternativas
Comentários
ID
801379
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens subsecutivos, a respeito da tecnologia SFU (Services
for Unix) da Microsoft, que permite a integração, até certo ponto,
entre ambientes Unix e Microsoft Windows Server.

O serviço de compartilhamento de arquivos via NFS (Network File System) é uma tecnologia padrão da Microsoft. No caso de redes Unix, o cliente NFS se conecta nativamente a um compartilhamento de rede Microsoft e apresenta suas credenciais de acesso.

Alternativas
Comentários
  • Apesar de ser disponível para redes Microsoft, o NFS é padrão Unix.

    fonte: http://en.wikipedia.org/wiki/Network_File_System

    b    ons estudos.

  • NFS – Network File System

    Características

    •Tornar o acesso remoto transparente para o usuário do computador;

    •Um exemplo da utilização do NFS é a disponibilização das áreas de trabalho dos usuários em toda a rede e, quando este efetua o login, seu diretório de trabalho pode ser acessado via NFS;

    •Para que os clientes tenham acesso aos arquivos, é feita uma requisição ao servidor que, dependendo das permissões do cliente, responde confirmando a requisição;

    •Pode ser executado numa rede de longa distância;

    •Ponto de montagem é local aos clientes, servidor não toma partido;

    •Usa mecanismos de proteção padrão do Unix – RWX;

    •Todos os sabores de Unix possuem implementação desse protocolo;

    Majoritariamente implementado em sistemas operacionais da família Unix.

  • Gabarito Errado

    O NFS é padrão unix. O SMB/CIFS é padrão Microsoft.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801382
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens subsecutivos, a respeito da tecnologia SFU (Services
for Unix) da Microsoft, que permite a integração, até certo ponto,
entre ambientes Unix e Microsoft Windows Server.

Um sistema com o SFU em funcionamento suporta as funcionalidades de pipes e links simbólicos.

Alternativas
ID
801385
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens subsecutivos, a respeito da tecnologia SFU (Services
for Unix) da Microsoft, que permite a integração, até certo ponto,
entre ambientes Unix e Microsoft Windows Server.

A tecnologia SFU usa o subsistema Interix, que, entre outras características, suporta o Shell Korn e o Shell C.

Alternativas
Comentários
  • Correto:

    Features of Services for UNIX

    SFU provides a single, comprehensive package to meet the interoperability requirements described above. SFU implements the following features:

    • File sharing between UNIX and Windows using NFS. SFU provides:

      • Client for NFS

      • Server for NFS

      • Gateway for NFS

    • Remote command-line access between Windows and UNIX. SFU provides:

      • Telnet client

      • Telnet server

    • Comprehensive cross-platform scripting abilities. SFU provides a consistent implementation of:

      • Korn Shell

      • C Shell

      • More than 350 commonly used UNIX commands and utilities.

      • Symbolic and hard links on NTFS and NFS file systems.

      • Single rooted file system.

    • Common network administration by providing NIS server functionality using the Windows Active Directory® service.

    • Password synchronization between Windows and UNIX. Includes precompiled binaries for Solaris 7 and 8, HP-UX 11i, Redhat Linux 8.0, and IBM AIX 5L 5.2, and source code to support compilation on other platforms.

    • Installation using Microsoft Windows Installer.

    • Administration of SFU components and services using Microsoft Management Console (MMC) or a fully scriptable command line

    • Management of SFU components using Windows Management Instrumentation (WMI).

    • Installation on computers running Windows 2000, Windows XP Professional, and Windows Server 2003.1

    • Compatibility with a variety of UNIX–based computers, but specifically tested against Solaris 7 and 8, HP-UX 11i, Redhat Linux 8.0, and IBM AIX 5L 5.2.
       

    fonte: http://technet.microsoft.com/library/bb463212

  • http://technet.microsoft.com/en-us/library/bb463212.aspx

ID
801388
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação a sistema de storage embasado em SAN e às técnicas
que podem ser utilizadas para aumentar a segurança desse sistema,
julgue os itens de 59 a 62.

A criação de zonas (zoning) em uma SAN permite isolar determinados dispositivos e sistemas em uma rede com fibre channel. Por exemplo, para sistemas Unix, por meio de configurações de zoning, é possível isolar o acesso a dados em sistemas Windows em um storage.

Alternativas
Comentários
  • A explicação abaixo mata a questão:

    SAN zoning is a method of arranging Fibre Channel devices into logical groups over the physical configuration of the fabric.

    SAN zoning may be utilized to implement compartmentalization of data for security purposes.

    Each device in a SAN may be placed into multiple zones.

    Fonte: http://www.sansecurity.com/faq/san-zoning.shtml

  • Há algumas formas de se implementar uma SAN. Atualmente, a topologia mais utilizada é em malha, e, com isto, a técnica do zoneamento (zonning) tornou-se bastante popular. Esta técnica consiste em definir grupos de dispositivos que se enxergam, o que chamamos de zona. Isto permite alocar o storage adequadamente para cada hosts, pois as necessidades de espaço em disco, e mesmo de redundâncias, são diferentes entre os membros de uma SAN. Entre as diversas formas de se definir uma zona, a mais comum é utilizando-se os WWNs dos hosts.

    O zoneamento é feito no switch. Atualmente, a maioria dos switches possui algum utilitário gráfico que auxilie a fazer os zoneamentos e outras tarefas próprias de cada um, mas pode-se fazer também se conectando no switch via telnet e utilizando o sistema próprio dele
  • O zoneamento (Fabric zoning) permite a separação de dispositivos baseados: na função, separação de departamentos, ou potenciais conflitos entre sistemas operacionais. De forma simplicada, o zoneamento restringe o acesso a certos nós/recursos.

    O zoneamento pode ser configurado de duas maneiras:

    Estaticamente, configuração por portas. Dinamicamente, configuração baseada em World-Wide Name (WWN)Zoneamento por porta é mais seguro que zoneamento baseado em WWN, pois o intruso não consegue enganar a porta manipulando as informações do quadro Fibre Channel.
    No zoneamento baseado em WWN, a zona é designada ao dispositivo. Isso facilita o translado dos dispositivos mas é mais vulnerável a intrusões.

  • CERTO

    Segundo Manoel Veras(2009,p.180),"O zoning é uma função desempenhada pelos switches SAN que possibilita que os nós dentro do fabric sejam controlados e segregados. Em resumo, o zoning permite fazer o controle de acesso à topologia SAN. Zonas compreendem um conjunto de membros que têm acesso uns aos outros. Uma porta ou um nó pode ser membro de mais de uma zona. Somente uma zona pode estar ativa em certo momento em um fabric."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS

ID
801391
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação a sistema de storage embasado em SAN e às técnicas
que podem ser utilizadas para aumentar a segurança desse sistema,
julgue os itens de 59 a 62.

Por meio da tecnologia VSAN (virtual SAN), é possível criar, em um mesmo switch fibre channel, vários switches lógicos, fazendo a segmentação entre os mesmos, o que permite o isolamento de tráfego.

Alternativas
Comentários
  • O texto da questão é quase uma cópia do wikipedia:

    VSAN
    From Wikipedia, the free encyclopedia

    In computer networking, a virtual storage area network (VSAN) is a collection of ports from a set of connected Fibre Channel switches, that form a virtual fabric. Ports within a single switch can be partitioned into multiple VSANs, despite sharing hardware resources. Conversely, multiple switches can join a number of ports to form a single VSAN.
    VSANs were designed by Cisco, modelled after the virtual local area network (VLAN) concept in Ethernet networking. In October 2004, the Technical Committee T11 approved VSAN technology into the American National Standards Institute (ANSI) as the standard.
    A VSAN, like each FC fabric, can offer different high-level protocols such as FCPFCIPFICONiSCSI. Each VSAN is a separate self-contained fabric using distinctive security policies, zones, events, memberships, and name services. Traffic is also separate.
    Unlike a typical fabric that is resized switch-by-switch, a VSAN can be resized port-by-port.
    The use of VSANs allows traffic to be isolated within specific portions of the network. If a problem occurs in one VSAN, that problem can be handled with a minimum of disruption to the rest of the network. VSANs can also be configured separately and independently.

  • CERTO.

    Segundo Somasundaram(2011,p.231),"A tecnologia VSAN permite aos usuários criar uma ou mais SANs virtuais em um única topologia física que contém switches e ISLs. Esta tecnologia melhora a capacidade de expansão,disponibilidade e segurança da rede de área armazenamento(SAN). Estes benefícios são derivados da separação de serviços de Fibre Channel em cada VSAN e do isolamento do tráfego entre VSANs."

    Bibliografia:

    LIVRO ARMAZENAMENTO E GERENCIAMENTO DE INFORMAÇÕES-EMC EDUCATION SERVICES-2011-SOMASUNDARAM.

ID
801394
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação a sistema de storage embasado em SAN e às técnicas
que podem ser utilizadas para aumentar a segurança desse sistema,
julgue os itens de 59 a 62.

IPSEC é o principal protocolo que garante a segurança em camada de rede em fibre channel com suporte a IP.

Alternativas
Comentários
  • Segundo a RFC 6071, IPsec é uma suíte de protocolos que provê segurança no nível da camada IP para comunicações pela Internet.[1] Opera sob a camada de rede (ou camada 3) do modelo OSI. portanto a questão esta correta.

    http://pt.wikipedia.org/wiki/IPsec
  • O protocolo usado para garantir a segurança é o FCIP (Fibre Chanel over IP), que cria um tunelamento de FC entre SANs remotas. 
  • De acordo a seção 9 da RFC 3821 que descreve FCIP, é dito explicitamente que o FCIP utiliza IPSEC.9.  Security   FCIP utilizes the IPsec protocol suite to provide data   confidentiality and authentication services, and IKE as the key   management protocol.  This section describes the requirements for   various components of these protocols as used by FCIP, based on FCIP   operating environments.  Additional consideration for use of IPsec   and IKE with the FCIP protocol can be found in [21].  In the event   that requirements in [21] conflict with requirements stated in this   document, the requirements in this document SHALL prevail.
    http://www.ietf.org/rfc/rfc3821.txt
    Diante dessa informação diria que a questão está CERTA.
    Tentando forçar um erro para questão, cheguei a seguinte possibilidade: FCIP roda sobre TCP/IP e não apenas sobre IP como diz o comando da questão.

    O que vocês acham?
  • Minha teoria é que o SAN não opera diretamente sobre o IP, talvez por isso não faça sentido relacioná-lo com o IPSEC.



  • Segundo Somasundaram(2011,p.370),"Padrões FC-SP(Fibre Channel Security Protocol)(padrões T11), publicados em 2006, alinham mecanismos e algoritmos de segurança entre interconexões IP e FC."


    Bibliografia:

    ARMAZENAMENTO E GERENCIAMENTO DE INFORMAÇÕES-EMC EDUCATION SERVICES-2011

  • 8 anos depois e nenhuma justificativa pra esse lixo de questão
ID
801397
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação a sistema de storage embasado em SAN e às técnicas
que podem ser utilizadas para aumentar a segurança desse sistema,
julgue os itens de 59 a 62.

O zoning pode ser implementado em hardware ou em software. Na implementação em software, acontece o mascaramento do LUN (logical unit number), o que a torna mais segura e eficiente que o zoning implementado em hardware.

Alternativas
Comentários
  • Questão incorreta por inverter os conceitos.

    O Hard zoning é recomendado quando o quesito Segurança é rigidamente necessário, ou seja, o zoning entre Initiator e Target são dependentes de portas específicas, e o switch fiber-channel garante por hardware que não haverá transferência de dados entre portas não autorizadas.
    Por outro lado, quando o quesito necessário é a flexibilidade, recomenda-se o Soft zoning (o mais utilizado). Nele o mapeamento entre Initiator e Targets é feito por meio de WWN (World Wide Name) e WWPN (World Wide Port Name), que são basicamente o endereço físico da placa de fibra (HBA) e o endereço físico da porta específica na placa de fibra. Assim é possível trocar determinadas fibras de uma porta para outra sem ter que alterar o zoning. No entanto, não há garantia fornecida pelo switch de que não ocorram transferências entre membros não autorizados no zoning.

    Fonte: http://goo.gl/ZsKqC

  • Zoneamento por porta (hardware) é mais seguro que zoneamento baseado em WWN (software), pois o intruso não consegue enganar a porta manipulando as informações do quadro Fibre Channel. Entretanto, a zona permanece com a porta e não com o dispositivo. Se houver uma mudança de um servidor de uma porta para outra, o servidor não mais pertencerá a zona que era designado. No zoneamento baseado em WWN, a zona é designada ao dispositivo. Isso facilita o translado dos dispositivos mas é mais vulnerável a intrusões.

ID
801400
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Em um processo de gestão de riscos de TI, é importante avaliar os riscos e estimar os seus impactos nos negócios da organização.

Alternativas
Comentários
  • Risk management is the identification, assessment, and prioritization of risks (defined in ISO 31000 as the effect of uncertainty on objectives, whether positive or negative) followed by coordinated and economical application of resources to minimize, monitor, and control the probability and/or impact of unfortunate events[1] or to maximize the realization of opportunities.

    http://en.wikipedia.org/wiki/Risk_management

    Não tem como gerir riscos de TI sem avaliá-los e estimar seus impactos nos negócios da organização...
  • Complementando:

    O item 8 da ISO 27005 - de técnicas de gestão de riscos de seguraná da informação - que trata de Análise/Avaliação de Riscos de Segurança da Informação contempla:
    "8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação
     8.2 Análise de riscos
     8.2.1 Identificação de riscos
     8.2.2 Estimativa de riscos
     8.3 Avaliação de riscos"
ID
801403
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

Alternativas
Comentários
  • Um IDS é um sistema que funciona com o objetivo de detectar tentativas de invasao ou codigos maliciosos. Para tal tarefa, ele verifica nos pacotes da rede em que esta instalado se entre os dados trafegados algum possui padrão de alguma ameaça previamente cadastrada. Caso esta ameça ainda não tenha sido catalogada e definida como um padrão de reconhecimento, mesmo que o IDS intercepte este pacote para verificação, não irá acusar nada, e deixará que a mesmoa continue na rede. Por isto, é sempre importante manter atualizado o IDS.

    A questao está correta!

  • CERTO

    Segundo Kurose(2013,p.544),"Sistemas IDS são classificados de modo geral tanto como sistemas baseados em assinatura, ou sistemas baseados em anomalia."


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 6. ed. São Paulo: Pearson, 2013.

  • Gabarito Certo

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.

    Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

    Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801406
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Um firewall do tipo stateful não depende do three-way handshake do protocolo TCP.

Alternativas
Comentários

  • The stateful firewall depends on the three-way handshake sometimes described as "SYN,SYN-ACK,ACK" (showing the order of SYNchronization bit and ACKnowledge bit use) of the TCP protocol when the protocol being used is TCP; when the protocol is UDP, the stateful firewall does not depend on anything related to TCP. When a client initiates a new connection, it sends a packet with the SYN bit set in the packet header. All packets with the SYN bit set are considered by the firewall as NEW connections. If the service which the client has requested is available on the server, the service will reply to the SYN packet with a packet in which both the SYN and the ACK bit are set. The client will then respond with a packet in which only the ACK bit is set, and the connection will enter the ESTABLISHED state. Such a firewall will pass all outgoing packets through but will only allow incoming packets if they are part of an ESTABLISHED connection, ensuring that hackers cannot start unsolicited connections with the protected machine.

    http://en.wikipedia.org/wiki/Stateful_firewall

  • Teoria

    O filtro de pacotes pode ser dividido em dois tipos:
    Stateless (sem estado): As regras são estáticas. Existe uma tabela interna de filtragem com várias regras e então cada pct passa por cada regra para validação. Todos os pcts, sem exceção, serão tratados de forma igual, ou seja, cada pacote é tratado de forma isolada: não guarda o estado da conexão e não sabe se o pacote faz parte de uma conexão feita anteriormente;
    Statefull (com estado): Existe uma tabela de estado com várias regras e então os pcts que estão relacionados, apenas o 1º pct passará pelas regras e os demais serão aceitos ou rejeitados de acordo com o resultado da avaliação do 1º pct e isso acontecerá até que a conexão se encerre ou ao atingir um limite de tempo. A inspeção por estado nos dá uma forma adicional de filtragem. Além de filtrar origem, destino e portas, podemos descer a um nível mais detalhado e específico: estado das conexões.
     
    A diferença principal entre os filtros de pacotes stateless e statefull é a tabela de estados.

    three-way handshake: É o processo pelo qual duas máquinas afirmam uma a outra que a reconheceu e está pronta para iniciar a comunicação. O handshake é utilizado em protocolos de comunicação, tais como: FTPTCPHTTPSMBSMTPPOP3 etc.

    Estabelecimento de conexões

    1. O cliente envia um pacote com a flag SYN ativa;
    2. O servidor responde com um pacote com as flags SYN + ACK;
    3. O cliente reponde com um pacote ACK.


    Justificativa

    Se o statefull utiliza uma tabela com estado para aceitar ou rejeitar os pcts relacionados, então necessariamente ele utiliza o three-way handshake, até pq ele deverá ter uma conexão ativa.

    Alternativa: Errada

  • Errei a questão justamente porque respondi pensando no UDP, já que a questão falou do firewall statefull sem especificar protocolo usado, ou seja, falou genericamente.

    Como o primeiro comentário colocou... Quando o protocolo é UDP, não há dependência do handshake, então, o firewall NÃO DEPENDE DISSO. Até onde eu sei, mesmo nos casos de UDP, esse tipo de firewall consegue guardar estado.

    The stateful firewall depends on the three-way handshake sometimes described as "SYN,SYN-ACK,ACK" (showing the order of SYNchronization bit and ACKnowledge bit use) of the TCP protocol when the protocol being used is TCP; when the protocol is UDP, the stateful firewall does not depend on anything related to TCP.


  • Complementando...

    Para o protocolo TCP, ele se basea no 3WH sim.
    Agora, pensando no UDP,  não há dependência do handshake visto que não há estados nesse protocolo.
    Logo, como o UDP não possui números de sequência ou flags, os únicos itens que podem servir como base são os pares de endereço IP e a porta de serviço dos dois pontos envolvidos na comunicação.

  • GABARITO ERRADO!

    .

    .

    SÓ PRA ACRESCENTAR, GUERREIROS. JÁ VI CAIR EM PROVA:

    TCP: 3WH; SCTP: 4WH.

  • Por uma razão simples:

    Enquanto o filtro de pacotes se restringe à analise dos pacotes na camada de rede, o firewall do tipo sateful faz uma análise também na camada de transporte. Como o protocolo TCP faz uso do three-way handshake, então o firewall também o avalia.

  • Com a tabela de estados, todo início de conexão é devidamente registrado (um novo estado é criado). Quando o pacote retorna, antes de iniciar o processo de avaliação das regras de acesso, o firewall stateful verifica a tabela de estados, valida se há alguma conexão associada e, caso afirmativo, aceita a conexão, sem processar as regras. Do contrário, descarta o pacote.

ID
801409
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Redes de Computadores
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Em uma VPN do tipo site-to-site, a criptografia assimétrica envolve uma chave única para o processo de cifrar e decifrar os dados da conexão.

Alternativas
Comentários
  • Utilizando IPSec para criar uma VPN, pode-se criar um encapsulamento ou tunelamento para a conexão. Independente da forma, as técnicas utilizadas são de chaves simétricas e de algoritmos de hash.
  • Erro: "criptografia assimétrica envolve uma chave única". Se fosse utilizado criptografia assimétrica, devem ser utilizadas duas chaves! (uma pública e outra privada)
    De resto, está correto. A criptografia assimétrica é utilizada para os dados DA CONEXÃO. Ou seja, para ser estabelecida a conexão, no momento da autenticação das partes e da troca das chaves temporárias que serão utilizadas para determinar a chave utilizadas posteriormente para a TRANSMISSÃO dos dados. No momento da transmissão, é utilizada a criptografia simétrica por ser menos custosa.

  • GAB E

    Simétrica - 1 chave

    assimétrica - 2 chaves.

  • AssIMÉTRICA = 2 CHAVES

  • 02 chaves

    Simétrica - 1 chave

    assimétrica - 2 chaves

  • Símetrica: 1 chave

    Assimetrica 2 Chaves (PUBLICA p/ cifrar e PRIVADA p/ decrifrar)

  • Criptografia Simétrica: Mesma chave codifica e descodifica;

    Criptografia Assimétrica: Chave Pública para codificar e chave privada para descodificar.

  • "...a criptografia assimétrica envolve uma chave única para o processo de cifrar e decifrar os dados da conexão."

    ASSIMÉTRICA: 2 CHAVES

    SIMÉTRICA : 1 CHAVE

ID
801412
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, acerca de máquinas virtuais, intrusão
em sistemas e técnicas de invasão de sistemas.

O ataque mediante a utilização da técnica de cross-site script consiste em explorar falhas de aplicações web para inserir nessas aplicações determinados tipos de códigos que serão executados no lado cliente.

Alternativas
Comentários
  • "Cross-site scripting (XSS) attacks occur when an attacker uses a web application to send malicious code, generally in the form of a browser side script, to a different end user."

    https://www.owasp.org/index.php/Cross-site_scripting

  • XSS também conhecido como CSS (Cross Site Scripting, facilmente confundido com Cascading Style Sheets) é uma vulnerabilidade muito comum encontrada em aplicativos web. XSS permite ao atacante inserir códigos maliciosos nessas páginas, para que sejam executados no momento em que tais páginas forem acessadas.

    O ataque permite que conteúdos (scripts) em uma zona sem privilégio seja executado com permissão de uma zona privilegiada – i.e. escalação de privilégios no cliente (web browser) executando o script.

    A vulnerabilidade poderia ser:

    • Um bug do browser que sob determinadas condições permite conteúdos (scripts) de determinado nível ser executado com permissões de níveis mais altos.
    • Um erro na configuração do browser; sites não-seguros listados em zonas privilegiadas.
    • Vulnerabilidade de cross-site scripting em uma zona privilegiada.
    •  
    http://imasters.com.br/artigo/9879/seguranca/xss-cross-site-scripting/

  • XSS tira proveito da confiança que o usuário tem no site
    CSRF tira proveito da confiança que o site tem no usuário

  • Gabarito Certo

    O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.

    Tecnicamente, este problema ocorre quando um parâmetro de entrada do usuário é apresentado integralmente pelo navegador, como no caso de um código javascript que passa a ser interpretado como parte da aplicação legítima e com acesso a todas as entidades do documento (DOM). Na prática, o responsável pelo ataque executar instruções no navegador da vítima usando um aplicativo web vulnerável, modificar estruturas do documento HTML e até mesmo utilizar o golpe para perpetrar fraudes como phishing.

    Um bom exemplo é uma aplicação como um fórum, em que o usuário tenha permissão para incluir mensagens de sua própria autoria para que os outros usuários possam ler. Se este aplicativo não filtrar corretamente os códigos HTML, um usuário mal intencionado pode injetar instruções para leitura de informações específicas do usuário legítimo, tais como códigos de sessão, e até mesmo executar tarefas específicas como enviar mensagens de maneira arbitrária para o fórum.

    Tipos conhecidos de XSS

    Persistente (Stored)

    Neste caso específico, o código malicioso pode ser permanentemente armazenado no servidor web/aplicação, como em um banco de dados, fórum, campo de comentários etc. O usuário torna-se vítima ao acessar a área afetada pelo armazenamento do código mal intencionado.

    Esse tipo de XSS são geralmente mais significativos do que outros, uma vez que um usuário mal intencionado pode potencialmente atingir um grande número usuários apenas com uma ação específica e facilitar o processo de engenharia social. Em alguns casos, o navegador afetado pode até mesmo se comportar como se estivesse infectado por um worm, replicando cópias para cada usuário que execute o código mal intencionado.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • GABARITO: CERTO.

  • Certo.

    "Resuminho" baseado em questões do CESPE.

    Um ataque do tipo CSRF (cross-site request forgery) permite que um usuário final execute ações não desejáveis em uma aplicação web falha

    Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador.  

    O ataque cross-site scripting, executado quando um servidor web inclui, nos dados de uma página web enviada para um usuário legítimo, um conjunto de dados que tenham sido previamente recebidos de um usuário malicioso, permite que se roube de um usuário legítimo senhas, identificadores de sessõescookies.

  • REESCREVENDO O COMENTÁRIO DO PEDREIRO DE SOFTWARE:

    XSS tira casquinha do usuário no site.

    CSRF tira casquinha do navegador do cliente.

ID
801415
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens que se seguem, acerca de máquinas virtuais, intrusão
em sistemas e técnicas de invasão de sistemas.

Ataques do tipo SQL injection exploram erros em aplicativos web que lhes permitam inserir, remover ou alterar dados em um banco de dados.

Alternativas
Comentários
  • "A SQL injection attack consists of insertion or "injection" of a SQL query via the input data from the client to the application. A successful SQL injection exploit can read sensitive data from the database, modify database data (Insert/Update/Delete), execute administration operations on the database (such as shutdown the DBMS), recover the content of a given file present on the DBMS file system and in some cases issue commands to the operating system."

    https://www.owasp.org/index.php/Guide_to_SQL_Injection
  • Segundo Navathe (2011, p.576)"Em um ataque de Injeção de SQL (SQL injection), o atacante injeta uma entrada de cadeia de caracteres pela aplicação, que muda ou manipula a instrução SQL para o proveito do atacante. Um ataque de injeção de SQL pode prejudicar o banco de dados de várias maneiras, como na manipulação não autorizada do banco de dados, ou recuperação de dados confidenciais. Ele também pode ser usado para executar comandos em nível do sistema que podem fazer o sistema negar serviço à aplicação."


    Bibliografia:

    Sistemas de Banco de dados - 6 edição 2011
    Autor: Elmasri, Navathe

  • Gabarito Certo

    Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através da entradas de dados de uma aplicação, como formulários ou URL de uma aplicação.

    Um usuário, por meio de ataques com injeção SQL, é possível obter qualquer tipo de dado sigiloso mantido no banco de dados de um computador servidor. Dependendo da versão do banco de dados, também é possível inserir comandos maliciosos e conseguir permissão total (acesso root) à máquina em que o banco está em execução.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801418
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os itens que se seguem, acerca de máquinas virtuais, intrusão
em sistemas e técnicas de invasão de sistemas.

Em uma máquina virtual que esteja comprometida devido a um ataque, o atacante pode obter o controle da estação que gerencia a máquina virtual (hipervisor). Essa técnica utiliza despejo de memória e acessa os registros de controle da máquina virtual.

Alternativas
Comentários
  • O erro deve estar na parte de despejo de memória:

    Vejam notícia abaixo:

    "Nova vulnerabilidade de virtualização permite ataque a hypervisor"

    http://webcache.googleusercontent.com/search?q=cache:http://informationweek.itweb.com.br/8913/nova-vulnerabilidade-de-virtualizacao-permite-ataque-a-hypervisor/
  • Esse ataque tem mais caracteristica de Buffer Overflow, no qual o atacante causa o transbordamento de memória causando erros e possibilitando a entrada do invasor.
  • Não tenho certeza das afirmações que os colegas antes de mim disseram.  Acho que o erro está em dizer que existe ataques desse tipo, quando não são possíveis.  No artigo referenciado, fala de um bug encontrado em 2012 em alguns tipos de software de virtualização e que já foi corrigido.  Alem do que a questão dá a entender que a virtualização como um todo tem esse risco, quando o VmWare (Baremetal) não teve esse problema.
    Até onde sei, as áreas de memórias das máquina virtualizadas são "isoladas" das demais máquinas virtualizadas, bem como da máquina hospedeira.  Um despejo de memória, um buffer overflow, ... afetaria apena a máquina virtualizada.
    Além disso, a prova é de 2011, antes do artigo (2012) que trata desse bug.
    Alguém tem mais informações sobre o assunto, inclusive sobre o que disse do "isolamento" das áreas de memórias entre as máquinas virtualizadas e a hospedeira.
    Abraços

  • ERRADO

    Em uma máquina virtual que esteja comprometida devido a um ataque, (CERTO)

    o atacante pode obter o controle da estação que gerencia a máquina virtual (hipervisor).  (CERTO)

    Essa técnica utiliza despejo de memória e acessa os registros de controle da máquina virtual. (ERRADO)

  • nunca ouvir nada em relação a esse ataque !!

  • No Technet tem um artigo sobre isto. (http://blogs.technet.com/b/fcima/archive/2006/08/13/446484.aspx):

    "O modelo de segurança destes softwares é baseado na seguinte premissa:

    O que quer que esteja rodando em uma máquina virtual, ela não pode comprometer a segurança do sistema host.

    Ou seja, mesmo que uma máquina virtual seja invadida, infectada, comprometida e esteja inteiramente sob controle de um indivíduo malicioso, isso não deve representar uma ameaça para o sistema host. As máquinas virtuais devem ser completamente isoladas do sistema operacional que roda embaixo delas."

  • A questão estaria certo se o Hypervisor é Tipo II
    Hypervisores - Tipo 2
    • É apenas um programa do usuário
    funcionando
    • Interpretador do conjunto de instruções da
    máquina
    • SO que funciona sobre o hardware é o SO
    hospedeiro
    • Roda sobre o SO nativo como se fosse um
    processo deste

  • Acho que essa questão está desatualizada... em uma busca rápida parece que o VENON já faz esse tipo de ataque

  • Se acontecer um ataque a uma máquina virtual e esta for comprometida devido ao hacker conseguir usuário e senha de administrador do emulador com certeza ela estará em perigos, mas isso não quer dizer que o ataque realizado usou a técnica de despejo de memória. Por isso, a questão está errada.

    Resposta: Errado

  • Se acontecer um ataque a uma máquina virtual e esta for comprometida devido ao hacker conseguir usuário e

    senha de administrador do emulador com certeza ela estará em perigos, mas isso não quer dizer que o ataque

    realizado usou a técnica de despejo de memória. Por isso, a questão está errada.

    Comentário do Professor Márcio Saraiva

ID
801421
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas complementares, julgue o item abaixo.

A Norma Complementar GSI/PR n. o 3 estabelece as diretrizes para a elaboração de políticas de segurança da informação e comunicações nos órgãos e entidades da administração pública federal.

Alternativas
Comentários
  • As normas complementares do Gabinete de Segurança Institucional da Presidência da República são:
    1) Normatização
    2) Metodologia de Gestão de Segurança da Informação
    3) Criação de Políticas de Segurança da Informação e Comunicações
    4) Diretrizes para Gestão de Riscos de SIC
    5) Criação da Equipe de Tratamento de Incidentes de Rede (ETIR)
    6) Diretrizes para Gestão de Continuidade de Negócios (GCN)
    7) Implementação de Controle de Acesso
    8) Diretrizes de Gerenciamento de Incidentes de Rede
    9) Uso de Criptografia de Estado como ferramenta de controle de acesso
    10) Mapeamento de Ativos de Informação
    11) Avaliação de Conformidade
    12) Uso de dispositivos móveis
    13) Gestão de Mudanças
    14) Uso de Serviços de Computação em Nuvem na APF
    15) Uso de Redes Sociais 

    Fonte: http://dsic.planalto.gov.br/legislacaodsic/53

  • CERTO

    03/IN01/DSIC/GSIPR

    1 OBJETIVO 

    Estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação  e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e  entidades da Administração Pública Federal, direta e indireta - APF. 

    Bibliografia:

    http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf