SóProvas



Prova CESPE - 2016 - TCE-PA - Auditor de Controle Externo - Área Informática - Analista de Segurança


ID
2027116
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Controle Externo
Assuntos

Com relação às regras constitucionais e legais que regem o exercício do controle externo, julgue o item que se segue.
Será considerada definitiva decisão do TCE/PA que julgar regulares as contas de determinado gestor público.

Alternativas
Comentários
  • LC 81/2012 (Lei Orgânica do TCE/PA), art. 53:

     

    § 2º Definitiva é a decisão de mérito pela qual o Tribunal, manifestando-se quanto à legalidade, legitimidade, moralidade, economicidade, eficiência e eficácia dos atos administrativos, julga as contas regulares, regulares com ressalva ou irregulares.

  • Normalmente as decisões se dividem principalmente em:

     

    Decisão Terminativa: sem julgamento de mérito

    Decisão Definitiva: com julgamento de mérito

  • Há possibilidade de se analisar o mérito em decisão que julga as contas regulares?

  • Lei Orgânica do Tribunal de Contas da União 


    Art. 10. A decisão em processo de tomada ou prestação de contas pode ser preliminar, definitiva ou terminativa.


    § 1° Preliminar é a decisão pela qual o Relator ou o Tribunal, antes de pronunciar-se quanto ao mérito das contas, resolve sobrestar o julgamento, ordenar a citação ou a audiência dos responsáveis ou, ainda, determinar outras diligências necessárias ao saneamento do processo.


    § 2° Definitiva é a decisão pela qual o Tribunal julga as contas regulares, regulares com ressalva, ou irregulares.


    § 3° Terminativa é a decisão pela qual o Tribunal ordena o trancamento das contas que forem consideradas iliquidáveis, nos termos dos arts. 20 e 21 desta Lei.

  • Art. 155, Regimento Interno TCE-PA:

    § 2º Definitiva é a decisão pela qual o Tribunal:

    I - manifestando-se quanto à legalidade, legitimidade, moralidade,

    economicidade, eficiência e eficácia dos atos administrativos referentes às

    prestações e tomada de contas, julga as contas regulares, regulares com

    ressalva ou irregulares;

  • GABARITO: CORRETO

        

    Para quem vai fazer o concurso do TCDF - Auditor de Controle Externo

     

    LEI DE ORGANIZAÇÃO DO TCDF

      

    Seção II: Decisões em Processo de Tomada ou Prestação de Contas

      

    Art. 11. A decisão em processo de tomada ou prestação de contas pode ser preliminar, definitiva ou terminativa.

       
    § 1º Preliminar é a decisão pela qual o Conselheiro Relator ou o Tribunal, antes de pronunciar-se quanto ao mérito das contas, resolve sobrestar o julgamento, ordenar a citação ou a audiência dos responsáveis ou, ainda, determinar outras diligências necessárias ao saneamento do processo.

      
    § 2º Definitiva é a decisão pela qual o Tribunal julga as contas regulares, regulares com ressalva ou irregulares.

       
    § 3º Terminativa é a decisão pela qual o Tribunal ordena o trancamento das contas que forem consideradas iliquidáveis, nos termos dos arts. 21 e 22 desta Lei Complementar.


     

     

     

     

     

  • Para os que estão estudando para o TCE/RJ, segue comentário com base no RI do TCE/RJ:

    A decisão em processo de prestação ou tomada de contas pode ser:

    I - preliminar, a decisão pela qual o Tribunal, antes de pronunciar-se quanto ao mérito das contas, resolve sobrestar o julgamento, determinar diligência, ou ordenar a citação ou a notificação dos responsáveis, necessárias ao saneamento do processo;

    II - provisória, a decisão pela qual o Tribunal ordena o trancamento das contas que forem consideradas iliquidáveis.

    III - definitiva, a decisão pela qual o Tribunal julga as contas regulares, regulares com ressalva ou irregulares.

    No julgamento de processos de contas, o TCE decidirá se elas são regulares, regulares com ressalva, ou irregulares, exceto na hipótese de as contas serem consideradas iliquidáveis.

  • Fala pessoal! Tudo beleza? Prof. Jetro Coutinho aqui, para comentar esta questão sobre o julgamento de contas.

    Segundo a Lei orgânica do TCE/PA (Lei Complementar Estadual 81/2012):

    "Art. 53. A Decisão em Processo de Prestação ou Tomada de Contas pode ser preliminar, definitiva ou terminativa.

    § 1º Preliminar é a decisão pela qual o Relator ou o Tribunal, antes de se pronunciar quanto ao mérito, resolve sobrestar o feito, ordenar a audiência ou a citação dos responsáveis ou determinar outras diligências necessárias ao saneamento do processo.

    § 2º Definitiva é a decisão de mérito pela qual o Tribunal, manifestando-se quanto à legalidade, legitimidade, moralidade, economicidade, eficiência e eficácia dos atos administrativos, julga as contas regulares, regulares com ressalva ou irregulares.

    § 3º Terminativa é a decisão pela qual o Tribunal ordena o trancamento das contas que forem consideradas iliquidáveis, ou determina o seu arquivamento pela ausência de pressupostos de constituição e de desenvolvimento válido e regular do processo ou por racionalização administrativa e economia processual.

    § 4º As decisões previstas no caput deste artigo serão publicadas no Diário Oficial do Estado."

    Assim, se o TCE-PA julgar regulares a contas de um gestor público, tal decisão será considerada definitiva.


    Gabarito do Professor: CERTO.
  • verbo sobrestar é irregular e se conjuga como estar: o Tribunal de Contas sobrestá o julgamento. Como fica muito estranho ouvir assim, geralmente os textos parafraseiam: O TC decide sobrestar.

    Vai que o Cespe resolve colocar uma questão dessas....vocês não será pego de surpresa...


ID
2027692
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Inglês
Assuntos

    People with disabilities can use websites and web tools when they are properly designed. However, currently many sites and tools are developed with accessibility barriers that make it difficult or impossible for some people to use them.

    The absence of an alternative text is the classic example. Sites and tools with images should include equivalent alternative text in the markup/code.

    If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.

    When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others. It is also available to technologies that cannot see the image, such as search engines.

    Another example of barrier is the lack of keyboard input. Some people cannot use a mouse, including many elderly users with limited fine motor control. An accessible website does not rely on the mouse; it provides all functionality via a keyboard.

    Just as images are not available to people who cannot see, audio files are not available to people who cannot hear. Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing.

    It is easy and relatively inexpensive for website developers to provide transcripts for podcasts and audio files. There are also transcription services that create text transcripts in HTML format. Most of the basics of accessibility are even easier and less expensive than providing transcripts. However, the proper techniques are poorly integrated into some web tools, education, and development processes.

Internet:<https://www.w3.org>  (adapted).

Judge the following item according to the text above.

HTML format is a kind of search engine.

Alternativas
Comentários
  • A search engine is a computer program used for finding information on the internet. 

    For instance, Google, Bing and Yahoo. 

  • HyperText Markup Language (HTML) is the standard markup language for creating web pages and web applications. 

    Wrong

  • Essa nem precisava ler o texto pra responder.

  • Zuada essa questão porque do texto não dá pra tirar essa informação, mas também não dá pra dizer que ela está errada. A gente sabe que HTML não é isso por bom senso, mas se fosse algo que nunca tivessemos ouvido falar não saberíamos responder

     
  • e-

    HTML is the standard markup language for creating Web pages.

    https://www.w3schools.com/html/html_intro.asp

  •  

    O formato HTML é um tipo de mecanismo de pesquisa.

    errado

  • search engine = website usado para pesquisa ex: google.

    html não é um tipo de site... é um formato de arquivo encontro pelos websites.

  • Trata-se de questão de interpretação de texto. Em breve resumo, o texto discorre sobre as barreiras de acessibilidade existente em muitos sites e ferramentas virtuais. A partir da leitura e compreensão do texto, o candidato deve julgar como CERTA ou ERRADA a seguinte assertiva: HTML format is a kind of search engine.

    ERRADO. O formato HTML não é um tipo de mecanismo de busca. O texto não define HTML. Porém o texto explica que, ferramentas como os mecanismos de buscas não conseguem ler imagens, por isso, é necessário que as imagens inseridas em um site sejam acompanhadas por um texto equivalente em formato HTML. Veja: “When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, (…). It is also available to technologies that cannot see the image, such as search engines."
    Outrossim, a abreviação HTML (Hypertext Markup Language) é um conceito básico para os candidatos do certame (que buscam uma vaga na área de informática). Por isso, o candidato deve saber que HTML é a linguagem de construção mais básica da web, e não um mecanismo de busca.


    Gabarito do Professor: ERRADO.

ID
2027695
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Inglês
Assuntos

    People with disabilities can use websites and web tools when they are properly designed. However, currently many sites and tools are developed with accessibility barriers that make it difficult or impossible for some people to use them.

    The absence of an alternative text is the classic example. Sites and tools with images should include equivalent alternative text in the markup/code.

    If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.

    When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others. It is also available to technologies that cannot see the image, such as search engines.

    Another example of barrier is the lack of keyboard input. Some people cannot use a mouse, including many elderly users with limited fine motor control. An accessible website does not rely on the mouse; it provides all functionality via a keyboard.

    Just as images are not available to people who cannot see, audio files are not available to people who cannot hear. Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing.

    It is easy and relatively inexpensive for website developers to provide transcripts for podcasts and audio files. There are also transcription services that create text transcripts in HTML format. Most of the basics of accessibility are even easier and less expensive than providing transcripts. However, the proper techniques are poorly integrated into some web tools, education, and development processes.

Internet:<https://www.w3.org>  (adapted).

Judge the following item according to the text above.

HTML provides solutions for dealing with barriers faced by blind and deaf people.

Alternativas
Comentários
  •  When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others. It is also available to technologies that cannot see the image, such as search engines.

    Correct

  • O texto apresenta as vantagens do HTML pra quem é cego, mas isso não faz qualquer diferença pra quem é surdo, já que nesse caso um site normal com imagens é viável. Pra mim gabarito contestável.

  • Analisando as duas sentença abaixo, retiradas do texto, dá para inferir que: A transcrição de uma página para o texto em HTML, permite a acessibilidade da mesma para quem é cego (blind), surdo (deaf) ou possui a capacidade de audição limitada (hard of hearing).

     

     

     "When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind [...]"

     

    "Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing."

  • When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others.

    Por infêrencia:   and others =  and deaf people

     

     

  • c-

    Atraves do html é possivel desabilitar imagens e colocar transcricoes do audio, consoante texto

     

    When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others. It is also available to technologies that cannot see the image, such as search engines.

  • Comentário mais completo é do Uchiha Sasuke.

  • Famosa questão "coringa" que o examinador pode justificar tanto para certo quanto para errado.

    Quem é surdo não precisa do texto transcrito em HTML, afinal ele pode ler uma imagem sem problema algum. Mas o quarto parágrafo diz "to everyone", então fazer o quê, né?

    Se pensar muito a fundo na questão vai errar.

  • banca desgraçadaaaaaaa

  • nada a ver! Não é o HTML que é o fornecedor de soluções.

    O texto nem diz isso!

    "Quando um alternativa equivalente é apresentada, em HTML, por exemplo..."

    HTML é só o formato que vai ser usado pra construção do site com diversas alternativas amigáveis...

    Que sacanagem da banca. Até o examinador hoje em dia não sabe interpretar, aí ferra tudo.

  • achei um absurdo o gabarito!

    o HTML é um FORMATO, ele não é um software que provê soluções, ele é apenas o LAYOUT do site.

    Cespe sendo cespe

    "HTML (abreviação para a  HyperText Markup Language, que significa: "Linguagem de Marcação de Hipertexto" é uma  utilizada na construção de . Documentos HTML podem ser interpretados por .".

    fonte: wikipedia

  • Gabarito: CERTO

    HTML provides solutions for dealing with barriers faced by blind and deaf people.

    1. When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind...
    2. Just as images are not available to people who cannot see, audio files are not available to people who cannot hear. Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing.
  • A questão cobra interpretação de um texto sobre as barreiras da Internet para pessoas com deficiências.

    Vamos analisar o enunciado:

    HTML provides solutions for dealing with barriers faced by blind and deaf people.
    Tradução - HTML fornece soluções para lidar com as barreiras enfrentadas por pessoas cegas e surdas.


    Vejamos o trecho em questão, parágrafos 4 e 6:

    When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges.
     Just as images are not available to people who cannot see, audio files are not available to people who cannot hear. Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing.    It is easy and relatively inexpensive for website developers to provide transcripts for podcasts and audio files. There are also transcription services that create text transcripts in HTML format.

    Tradução - Quando um texto alternativo equivalente é apresentado, em formato HTML, por exemplo, a informação está disponível para todos, para pessoas cegas, bem como para pessoas que desligaram as imagens em seus telefones celulares para diminuir as tarifas de banda.
      Assim como as imagens não estão disponíveis para pessoas que não podem ver, os arquivos de áudio não estão disponíveis para pessoas que não podem ouvir. O fornecimento de uma transcrição de texto torna as informações de áudio acessíveis a pessoas surdas ou com deficiência auditiva. É fácil e relativamente barato para desenvolvedores de sites fornecer transcrições de podcasts e arquivos de áudio. Existem também serviços de transcrição que criam transcrições de texto em formato HTML.



    Você pode perceber pelas partes em negrito na tradução acima que HTML fornece soluções para lidar com as barreiras enfrentadas por pessoas cegas e surdas.


    Gabarito do Professor: CERTO.
  • Tenho certeza de que quem conhece linguagem de programação web errou a questão (eu inclusa). Sacanagem.


ID
2027698
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Inglês
Assuntos

    People with disabilities can use websites and web tools when they are properly designed. However, currently many sites and tools are developed with accessibility barriers that make it difficult or impossible for some people to use them.

    The absence of an alternative text is the classic example. Sites and tools with images should include equivalent alternative text in the markup/code.

    If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.

    When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others. It is also available to technologies that cannot see the image, such as search engines.

    Another example of barrier is the lack of keyboard input. Some people cannot use a mouse, including many elderly users with limited fine motor control. An accessible website does not rely on the mouse; it provides all functionality via a keyboard.

    Just as images are not available to people who cannot see, audio files are not available to people who cannot hear. Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing.

    It is easy and relatively inexpensive for website developers to provide transcripts for podcasts and audio files. There are also transcription services that create text transcripts in HTML format. Most of the basics of accessibility are even easier and less expensive than providing transcripts. However, the proper techniques are poorly integrated into some web tools, education, and development processes.

Internet:<https://www.w3.org>  (adapted).

Judge the following item according to the text above.

Providing access to contents through keyboard input makes websites much more friendly for older people as well.

Alternativas
Comentários
  •  Another example of barrier is the lack of keyboard input. Some people cannot use a mouse, including many elderly users with limited fine motor control. An accessible website does not rely on the mouse; it provides all functionality via a keyboard.

    ------

    Em resumo: Um site que preste irá providenciar funções via teclado, porque varias pessoas não podem usar o mouse incluindo pessoas idosas com limitações motoras.

     

    Correct

  • " Another example of barrier is the lack of keyboard input."

  • c-

    Keyboard input é preferivel para pessoas com dificuldades ao usar mouse. O site que oferece navegacao pelo teclado tem usabilidade e acessabilidade para essas pessoas

  • Friendly, está empregado como sinônimo de mais favorável, mais amigável. poatz...

  • O pulo do gato esta em saber o significado da palavra elderly (Idoso) com dificuldades de controle de locomoção .

  • A questão cobra interpretação de um texto sobre a dificuldade de acesso por parte de pessoas com deficiência a sites e ferramentas da web.


    Vamos analisar o enunciado:

    Providing access to contents through keyboard input makes websites much more friendly for older people as well. Tradução - Fornecer acesso ao conteúdo por meio do teclado torna os sites muito mais favoráveis também para pessoas mais velhas.

    A resposta se evidencia no parágrafo 5. Vejamos o trecho em questão:

    Another example of barrier is the lack of keyboard input. Some people cannot use a mouse, including many elderly users with limited fine motor control. An accessible website does not rely on the mouse; it provides all functionality via a keyboard.
    Tradução - Outro exemplo de barreira é a falta de entrada do teclado. Algumas pessoas não conseguem usar um mouse, incluindo muitos usuários idosos com controle motor fino limitado. Um site acessível não depende do mouse; ele fornece todas as funcionalidades por meio de um teclado.


    Pela tradução acima, podemos verificar que não apenas as pessoas com deficiência precisam de maior acessibilidade. Os idosos com controle motor fino limitado também têm dificuldade em lidar com um mouse, por exemplo, e usar o teclado facilitaria muito essa tarefa.



    Gabarito do Professor: CERTO.

ID
2027701
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Inglês
Assuntos

    People with disabilities can use websites and web tools when they are properly designed. However, currently many sites and tools are developed with accessibility barriers that make it difficult or impossible for some people to use them.

    The absence of an alternative text is the classic example. Sites and tools with images should include equivalent alternative text in the markup/code.

    If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.

    When an equivalent alternative text is presented, in HTML format, for example, information is available to everyone to people who are blind, as well as to people who turned off images on their mobile phone to lower bandwidth charges, people in a rural area with low bandwidth who turned off images to speed download, and others. It is also available to technologies that cannot see the image, such as search engines.

    Another example of barrier is the lack of keyboard input. Some people cannot use a mouse, including many elderly users with limited fine motor control. An accessible website does not rely on the mouse; it provides all functionality via a keyboard.

    Just as images are not available to people who cannot see, audio files are not available to people who cannot hear. Providing a text transcript makes the audio information accessible to people who are deaf or hard of hearing.

    It is easy and relatively inexpensive for website developers to provide transcripts for podcasts and audio files. There are also transcription services that create text transcripts in HTML format. Most of the basics of accessibility are even easier and less expensive than providing transcripts. However, the proper techniques are poorly integrated into some web tools, education, and development processes.

Internet:<https://www.w3.org>  (adapted).

Judge the following item according to the text above.

Information conveyed by images may not reach the intended public if there is no alternative text.

Alternativas
Comentários
  • The absence of an alternative text is the classic example. Sites and tools with images should include equivalent alternative text in the markup/code.

        If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.

     

    Correct.

  • c- People who rely on text-to-speech applications to scan the written contents of a page may be affected if an image file has no accompanying alternative text.

     

    If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.

  • copiar o texto não ajuda em nada.

  • QUESTÃO:

    -TEXTO: "Information conveyed by images may not reach the intended public if there is no alternative text."

    -TRADUÇÃO: "As informações veiculadas por imagens podem não chegar ao público-alvo se não houver um texto alternativo."

    É o que está escrito no 3º parágrafo, veja:

    -TEXT: " If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image."

    -TRADUÇÃO: "Se um texto alternativo não for fornecido para imagens, as informações da imagem ficarão inacessíveis, por exemplo, para pessoas que não podem ver e precisam usar um leitor de tela que lê em voz alta as informações em uma página, incluindo o texto alternativo para a imagem visual."

    Espero ter ajudado.

    #PERTENCEREMOS

  • A dica para resolução dessa questão, é aplicar a estratégia de leitura selectivity, a qual  selecionamos apenas o trecho (segundo e terceiro parágrafos) necessário do conteúdo para encontrar a informação, por meio do uso de palavras-chave, palavras cognatas e um vocabulário específico.

    As informações veiculadas por imagens podem não chegar ao público-alvo se não houver um texto alternativo

    O segundo e terceiro parágrafos apontam que a incerção de texto alternativo à imagem é fundamental para que as informações com imagens cheguem ao público-alvo.

    The absence of an alternative text is the classic example. Sites and tools with images should include equivalent alternative text in the markup/code. If an alternative text is not provided for images, the image information is inaccessible, for example, to people who cannot see and have to use a screen reader that reads aloud the information on a page, including the alternative text for the visual image.
    Tradução: A ausência de um texto alternativo é o exemplo clássico. Sites e ferramentas com imagens devem incluir texto alternativo equivalente na marcação/código. Se um texto alternativo não for fornecido para imagens, as informações da imagem ficarão inacessíveis, por exemplo, para pessoas que não podem ver e precisam usar um leitor de tela que lê em voz alta as informações em uma página, incluindo o texto alternativo para a imagem visual.
    Gabarito do Professor: CERTO.


ID
2027704
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Legislação dos Tribunais de Contas (TCU, TCEs e TCMs) e Ministérios Públicos de Contas
Assuntos

Com base nas disposições da Lei n.º 8.037/2014, que dispõe sobre o plano de cargos, carreiras e remuneração dos servidores do TCE/PA, julgue o item seguinte.

Denomina-se progressão funcional horizontal a progressão de servidor que ascende, dentro da mesma classe, à referência imediatamente superior, respeitado o interstício de dois anos de efetivo exercício na referência em que se encontrar.

Alternativas

ID
2027707
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Legislação dos Tribunais de Contas (TCU, TCEs e TCMs) e Ministérios Públicos de Contas
Assuntos

Com base nas disposições da Lei n.º 8.037/2014, que dispõe sobre o plano de cargos, carreiras e remuneração dos servidores do TCE/PA, julgue o item seguinte.

É vedado o exercício da atividade de controle externo da administração pública por servidores comissionados.

Alternativas
Comentários
  • Cargos em comissão são exclusivamente destinado para as funções de direção, chefia e assessoramento, de caráter transitório. De livre nomeação e exoneração. Considerando a necessidade de autonomia profissional dos auditores de controle externo, esse requisito torna incompatível a ocupação por servidores exclusivamente comissionados.


ID
2027710
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Legislação dos Tribunais de Contas (TCU, TCEs e TCMs) e Ministérios Públicos de Contas
Assuntos

Com base nas disposições da Lei n.º 8.037/2014, que dispõe sobre o plano de cargos, carreiras e remuneração dos servidores do TCE/PA, julgue o item seguinte.

Em razão de curso realizado, será concedido adicional de qualificação ao servidor, ainda que o referido curso constitua requisito para o ingresso no cargo.

Alternativas
Comentários
  • Não se pode conceder adicional para um requisito. O adicional, como o próprio nome sugere, vai além do que é obrigatório (requisito).

    Lei 19.135/15

    "Art. 3º Fica instituído o Adicional de Qualificação, de natureza permanente, a ser ... 4º É vedada a cumulação de títulos de mesma valoração, exceto a ... artigo não será concedido quando o curso constituir requisito para ingresso no cargo".


ID
2027713
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Legislação Estadual
Assuntos

De acordo com as disposições contidas na Lei n.º 5.810/1994, que dispõe o regime jurídico único dos servidores públicos civis da administração direta, das autarquias e das fundações públicas do estado do Pará, julgue o item que se segue.

O servidor reintegrado será exonerado se, submetido a inspeção de saúde em instituição pública competente, ele for julgado incapaz para o exercício do cargo.

Alternativas
Comentários
  • Art. 42 da Lei 5.810 "O servidor reitegrado será submetido a inspeção de saúde na instituição pública competente e aposentado, quando incapaz."

  • APOSENTADO! não exonerado

  • Basta lembrar que as hipóteses de exoneração são nas seguintes situações:

    - Não aprovação em estágio probatório;

    - A pedido do servidor;

    - Ao não entrar em exercício ao tomar posse.

  • GABARITO E

    Art. 42 - O servidor reintegrado será submetido à inspeção de saúde na instituição pública competente e aposentado, quando incapaz. 

  • Art. 42 - O servidor reintegrado será submetido à inspeção de saúde na instituição pública competente e aposentado, quando incapaz. 

  • Art. 42 - O servidor reintegrado será submetido à inspeção de saúde na instituição pública competente e aposentado, quando incapaz. 

  • Aposentado


ID
2027716
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Legislação Estadual
Assuntos

De acordo com as disposições contidas na Lei n.º 5.810/1994, que dispõe o regime jurídico único dos servidores públicos civis da administração direta, das autarquias e das fundações públicas do estado do Pará, julgue o item que se segue.

A condição de brasileiro nato é requisito para a posse em cargo público integrante da estrutura do TCE/PA.

Alternativas
Comentários
  • Questão que não precisa saber especificamente da Lei n.º 5.810/1994, visto que a própria CF 88 veda que sejam criadas distinções entre brasileiros natos e naturalizados:

     

    Art. 12,§ 2º A lei não poderá estabelecer distinção entre brasileiros natos e naturalizados, salvo nos casos previstos nesta Constituição.

  • famoso MP3.COM

     

     

  • Art. 17 - São requisitos cumulativos para a posse e

    m cargo público:

    I - ser brasileiro, nos termos da Constituição;

  • Gabarito Errado

    Diferente do caso de Oficiais das forças armadas que precisa ser Brasileiro Nato.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Ser brasileiro nos termos da Constituição (conforme diz a Lei 5810/94), significa dizer que pode ser tanto brasileiro nato quanto naturalizado, sem problema algum.

  • A Constituição exigi brasileiros natos apenas para os cargos:


    Art. 12.

     § 3º São privativos de brasileiro nato os cargos:

            I - de Presidente e Vice-Presidente da República;

            II - de Presidente da Câmara dos Deputados;

            III - de Presidente do Senado Federal;

            IV - de Ministro do Supremo Tribunal Federal;

            V - da carreira diplomática;

            VI - de oficial das Forças Armadas;

            VII - de Ministro de Estado da Defesa.


  • Brasileiros natos apenas para os cargos:

    Art. 12.

     § 3º São privativos de brasileiro nato os cargos:

            I - de Presidente e Vice-Presidente da República;

            II - de Presidente da Câmara dos Deputados;

            III - de Presidente do Senado Federal;

            IV - de Ministro do Supremo Tribunal Federal;

            V - da carreira diplomática;

            VI - de oficial das Forças Armadas;

            VII - de Ministro de Estado da Defesa.

    MP3.COM

  • Basta ser brasileiro!

  • Questão que não precisa saber especificamente da Lei n.º 5.810/1994, visto que a própria CF 88 veda que sejam criadas distinções entre brasileiros natos e naturalizados:

     

    Art. 12,§ 2º A lei não poderá estabelecer distinção entre brasileiros natos e naturalizados, salvo nos casos previstos nesta Constituição.

  • BASTA SER BRASILEIRO, INDEPENDENTE DE NATO OU NATURALIZADO!

    Art. 12,§ 2º : A lei não poderá estabelecer distinção entre brasileiros natos naturalizadossalvo nos casos previstos nesta Constituição.

    CARGOS PRIVATIVOS DE BRASILEIRO NATO, PREVISTOS NA CONSTITUIÇÃO:

    Art. 12, § 3º: São privativos de brasileiro nato os cargos:

            I - de Presidente e Vice-Presidente da República;

            II - de Presidente da Câmara dos Deputados;

            III - de Presidente do Senado Federal;

            IV - de Ministro do Supremo Tribunal Federal;

            V - da carreira diplomática;

            VI - de oficial das Forças Armadas;

            VII - de Ministro de Estado da Defesa.


ID
2027719
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Direito Administrativo
Assuntos

Julgue o item a seguir, acerca de controle da administração pública.

No caso de serviços públicos prestados por meio de contratos de concessão, os tribunais de contas têm competência constitucional para fiscalizar a atividade financeira e operacional das empresas concessionárias.

Alternativas
Comentários
  • Errado

     

    Na Constituição Federal não vem expressamente falando que é atribuição do TCU a competência de fiscalizar as empresas concessionárias, pois esse tipo de “norma” é atribuída como infraconstitucional, ou seja, no caso do TCU, por exemplo, por sua lei orgânica.

     

    L8443

     

    Art. 74. É vedado ao ministro do Tribunal de Contas da União:

     

    III - exercer comissão remunerada ou não, inclusive em órgãos de controle da administração direta ou indireta, ou em concessionárias de serviço público;

     

    V - celebrar contrato com pessoa jurídica de direito público, empresa pública, sociedade de economia mista, fundação, sociedade instituída e mantida pelo poder público ou empresa concessionária de serviço público, salvo quando o contrato obedecer a normas uniformes para todo e qualquer contratante;        

     

  • "Erick Alves 

    11 de agosto de 2016 às 15:38

    Olá Victor, pois é, parece que a banca considerou os contratos de concessão de forma geral, em relação aos quais a fiscalização do Tribunal de Contas é de “segunda ordem”, pois incide sobre as agências reguladoras e o poder concedente, e não diretamente sobre as concessionárias. Assim, acho que o gabarito é “Errado” mesmo. Abraço!"

  • Eu marquei errado porque, pelo o que eu entendo, o TC só poderia fiscalizar a cota da empresa relativa ao contrato de concessão, não da empresa como todo.

  • A lei 8.987/1995 assim dispõe:

     

    Art. 2o Para os fins do disposto nesta Lei, considera-se: 

    II - concessão de serviço público: a delegação de sua prestação, feita pelo poder concedente, mediante licitação, na modalidade de concorrência, à pessoa jurídica ou consórcio de empresas que demonstre capacidade para seu desempenho, por sua conta e risco e por prazo determinado;

     

    Segundo AUGUSTO OLYMPIO VIVEIROS DE CASTRO, comentando decisão do TCU:

    “Creio que esta decisão interpretou perfeitamente o pensamento do legislador; o Tribunal de Contas é fiscal da administração financeira, nada tem que vêr com contratos."

     

    "Expressamente o âmbito do controle externo, ao sujeitar à obrigação de prestar contas todo aquele “que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e valores públicos ou pelos quais a União responda, ou que, em nome desta, assuma obrigações de natureza pecuniária”. O traço essencial a caracterizar a atividade de controle por parte dos tribunais de contas será a relação do ato ou contrato controlando com a peça orçamentária, relação esta que deverá ser direta, inequívoca e fatal. Isto afasta uma suposta competência dos tribunais de contas sobre determinados atos ou contratos administrativos que não importem em despesa ou em assunção de obrigação pecuniária. Exemplificativamente: os contratos de concessão de serviço público. Sua competência, por imposição constitucional, é taxativa e não pode ser estendida para outros campos (...)"

  • Olá pessoal (GABARITO ERRADO)

     

    Achei a questão muito interessante !! Embora tenha  achado que estivesse CORRETO,  o gabarito está ERRADO !!

    --------------------------------------------------------------------------------------------------------------

    Os contratos de concessão de servico público são DESCENTRALIZAÇÕES DE SERVIÇOS PÚBLICOS ( descentralização por colaboração) por meio de DELEGAÇÃO ( a exemplo de uma empresa aérea, de ônibus), em que o poder público transfere a EXECUÇÃO de um serviço público a um particular por meio de um CONTRATO ADMINISTRATIVO, por prazo determinado, sendo realizado POR CONTA E RISCO DO PARTICULAR.  O TCU seria competente  PARA FISCALIZAR se houvesse RECURSOS PÚBLICOS FEDERAIS empregados no referido contrato, o que não ocorre ( e por simetria os TCEs fiscalizariam recursos estaduais)=PRINCÍPIO DA PRESTAÇÃO DE CONTAS=ACCOUNTABILITY .  Tal concessão estará sujeita ao CONTROLE FINALÍSTICO (=supervisão ministerial), a exemplo do controle exercido pelas agências reguladoras (ANAC, ANS,ANVISA...) quanto à sua ATIVIDADE FINANCEIRA E OPERACIONAL ( EX: Anac fiscaliza as empresas áereas  quanto à qualidade na prestação dos serviços, tendo acesso aos dados financeiros e opercionais das companhias aéreas para que possa exercer o seu poder regulatório)

     

    Espero ter ajudado...

     

    Fonte: resumos aulas Erick Alves - Controle Externo _TCU2015

     

    Façam das suas derrotas os degraus para o seu sucesso !!!

  • A assertiva precisaria ter mencionado se na concessão tinha recurso público, da forma que está escrito fica entendido que os Tribunais podem fiscalizar toda a ativadade financeira e operacional, e não seria o caso, com $$ público aplicado os Tribunais verificariam os dispêndios públicos tão somente. 

  • Wonder Woman,

    Exatamente por isso que a assertiva está ERRADA.

     

     

  • Errado


    O TCU é o órgão de controle externo do governo federal e auxilia o Congresso Nacional na missão de acompanhar a execução orçamentária e financeira do país e contribuir com o aperfeiçoamento da Administração Pública em benefício da sociedade.

     

    Competências

    >Apreciar as contas anuais do presidente da República

    >Julgar as contas dos administradores e demais responsáveis por dinheiros, bens e valores públicos.

    >Apreciar a legalidade dos atos de admissão de pessoal e de concessão de aposentadorias, reformas e pensões civis e militares.

    >Realizar inspeções e auditorias por iniciativa própria ou por solicitação do Congresso Nacional.

    >Fiscalizar as contas nacionais das empresas supranacionais.

    >Fiscalizar a aplicação de recursos da União repassados a estados, ao Distrito Federal e a municípios.

    >Prestar informações ao Congresso Nacional sobre fiscalizações realizadas.

    >Aplicar sanções e determinar a correção de ilegalidades e irregularidades em atos e contratos.

    >Sustar, se não atendido, a execução de ato impugnado, comunicando a decisão à Câmara dos Deputados e ao Senado Federal.

    >Emitir pronunciamento conclusivo, por solicitação da Comissão Mista Permanente de Senadores e Deputados, sobre despesas realizadas sem autorização.

    >Apurar denúncias apresentadas por qualquer cidadão, partido político, associação ou sindicato sobre irregularidades ou ilegalidades na aplicação de recursos federais.

    >Fixar os coeficientes dos fundos de participação dos estados, do Distrito Federal e dos municípios e fiscalizar a entrega dos recursos aos governos estaduais e às prefeituras municipais.

  • TCU - Fiscalizar as contas dos administrados, exceto o presidente.

    Congresso Nacional - Fiscalizar os contratos administrativos e as contas do presidente.

  • ERRADO

     

    Complementando os ótimos comentários com um dispositivo da CF

     

    Art. 70 Parágrafo único. Prestará contas qualquer pessoa física ou jurídica, pública ou privada, que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e valores PÚBLICOS ou pelos quais a União responda, ou que, em nome desta, assuma obrigações de natureza pecuniária.

  • CAAAARAMMMBA! pegadinha das boa, hein!? 

    Benditos recursos públicos.

  • A resposta está no art. 70 da CF.

    "Art. 70. A fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e
    das entidades da administração direta e indireta, quanto à legalidade, legitimidade,
    economicidade, aplicação das subvenções e renúncia de receitas, será exercida pelo
    Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada
    Poder.

    Parágrafo único. Prestará contas qualquer pessoa física ou jurídica, pública ou privada,
    que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e valores públicos ou
    pelos quais a União responda, ou que, em nome desta, assuma obrigações de natureza
    pecuniária."

    Ou seja, é competência do Congresso Nacional e não do Tribunal de Contas. 

    Espero ter ajudado, mas se tiver errada me corrijam. 

    Um beijo, fiquem com Deus, só Ele nos dá forças para continuar...porque não é fácil!!!

     

  • ALT. "E"

     

    A concessionária de serviço público não pertencem nem mesmo a administração direta e indireta, são pessoas jurídicas de direito privado que exercem serviço público por meio de ATO DE CONCESSÃO, sendo assim não são submetidas a fiscalização da atividade financeira e operacional.

     

    Rumo ao objetivo.

  • QUESTÃO - No caso de serviços públicos prestados por meio de contratos de concessão, os tribunais de contas têm competência constitucional para fiscalizar a atividade financeira e operacional das empresas concessionárias.

    GABARITO: ERRADA


    Em suma, o TCU (Tribunal de Contas da União) fiscaliza o que tem dinheiro público. É como se ele fosse o 'contador' de uma 'empresa', onde esta 'empresa' é a União. É papel do TCU exercer o controle e a fiscalização sobre as agências reguladoras que 'regulam' os serviços executados por empresas concessionárias [1].

    A concessão é um contrato firmado entre uma empresa concessionária e o Estado após processo de licitação. Se tiver dinheiro público empregado no contrato, aí sim o TCU 'chega junto' para fiscalizar. Não tendo, é incoerente fiscalizar. 

    Não há que se falar em fiscalização do TCU sobre a movimentação financeira de empresas concessionárias, até porque, não foi mencionado o aporte de dinheiro público no contrato celebrado entre a concessionária e a Administração. 

    REFERÊNCIAS
    [1] - http://federalconcurseira.blogspot.com.br/2015/06/controle-externo-competencias-do-tcu.html

  • Questão bem sacana! A competência de fiscalizar as empresas concessionárias não é constitucional, pois a Constituição Federal não é expressa ao atribuir essa competência aos tribunais de contas. Esse tipo de competência é atribuída por normas infraconstitucionais (no caso do TCU, por exemplo, por sua Lei Orgânica).

    https://www.pontodosconcursos.com.br/artigo/14192/pedro-guimaraes/comentarios-questoes-de-controle-externo-tce-pa-com-possiveis-recursos

  • A fiscalização da concessão do serviço público compete ao PODER CONCEDENTE, nos termos do que dispõe a Lei 8987/95.

  • Essa é aquele tipo de questão que faz a diferença na aprovação!!!

    Note que ele afirma que os tribunais de contas tem competência constitucional para exercer a fiscalizar da atividade financeira e operacional das empresas concessionárias. No entanto, rol de competências dos TCU na CF/88, Art 71., não tem esse previsão. Pra responder essa questão sob essa ótica a pessoa precissaria ter decorado as competências do TCU na CF.  

  • Os contratos de concessão de servico público são DESCENTRALIZAÇÕES DE SERVIÇOS PÚBLICOS ( descentralização por colaboração) por meio de DELEGAÇÃO ( a exemplo de uma empresa aérea, de ônibus), em que o poder público transfere a EXECUÇÃO de um serviço público a um particular por meio de um CONTRATO ADMINISTRATIVO, por prazo determinado, sendo realizado POR CONTA E RISCO DO PARTICULAR.  O TCU seria competente  PARA FISCALIZAR se houvesse RECURSOS PÚBLICOS FEDERAIS empregados no referido contrato, o que não ocorre ( e por simetria os TCEs fiscalizariam recursos estaduais)=PRINCÍPIO DA PRESTAÇÃO DE CONTAS=ACCOUNTABILITY .  Tal concessão estará sujeita ao CONTROLE FINALÍSTICO (=supervisão ministerial), a exemplo do controle exercido pelas agências reguladoras (ANAC, ANS,ANVISA...) quanto à sua ATIVIDADE FINANCEIRA E OPERACIONAL ( EX: Anac fiscaliza as empresas áereas  quanto à qualidade na prestação dos serviços, tendo acesso aos dados financeiros e opercionais das companhias aéreas para que possa exercer o seu poder regulatório)

  • Parágrafo único. Prestará contas qualquer pessoa física ou entidade pública que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e valores públicos ou pelos quais a União responda, ou que, em nome desta, assuma obrigações De natureza pecuniária. Tb acho duvidosa esta questão,teoricamente, de acordo com a CF, as concessionárias seriam sim submetidas a controle do TCU pois o estado é responsável subsidiariamente por seus atos.  De acordo com o artigo 70 da CF, mesmo que não haja dinheiro público envolvido, se o estado responder ou assumir obrigações em nome desta tem de haver controle, o que é o caso, visto que, se a concessionária vier a falir, o estado deverá responder por ela, o que se encaixa na letra da CF.

  • a concessão é um livramento de responsabilidade do governo, olhem assim.

  • Entendo também que o erro está na abrangência do termo "fiscalização financeira". O TCE não faz fiscalização financeira, pois não há dinheiro público (a questão não especificou concessão patrocinada, mesmo assim teria uma SPE).

    O que o TCE faz é análise de planilhas do custo dos serviços concedidos, como transporte público. Isso porque os aumentos são autorizados pela administração pública e também porque o valor da tarifa é o principal parâmetro para comparar no processo licitatório. 

    Já em relação a prestação do serviço, o TCE fiscaliza sim, pois ele pode fiscalizar a execução dos contratos firmados com a administração.

  • Entendo que o erro está na fiscalização da parte operacional. Os tribunais de conta fiscalizam a parte financeira das empresas, mas não acompanha a parte operacional, como por exemplo, as linhas de trajeto que a concessionária de transportes faz, a logística de distribuição da energia elétrica, etc...

  • GAB: ERRADO

    Segundo o Prof. Pedro Guimarães;

    A competência de fiscalizar as empresas concessionárias não é constitucional, pois a Constituição Federal não é expressa ao atribuir essa competência aos tribunais de contas. Esse tipo de competência é atribuída por normas infraconstitucionais (no caso do TCU, por exemplo, por sua Lei Orgânica).

  • Essas questões mais difíceis vamos enviar para comentário do professor.

  • Essa atribuição é do poder concedente e agências reguladoras! Os TCs podem fiscalizar a legalidade, regularidade fiscal, etc. do contrato de concessão.

  • Acredito que se a questão tivesse especificado modalidade Patrocinada de Concessão (PPP) aí sim o TCE ou TCU deveriam sim fiscalizar.

  • O erro é dizer que a  competência constitucional para fiscalizar a atividade financeira e operacional das empresas concessionárias é do Tribunal de contas. Pois na CF art. 46, XII - trata-se de competência exclusiva do CN.

    Art. 49. É da competência exclusiva do Congresso Nacional:

    XII – apreciar os atos de concessão e renovação de concessão de emissoras de rádio e televisão;

  • A presente questão aborda o tema da competência constitucional dos tribunais de contas, estampada no art. 71 da CRFB/88, em especial se haveria, ou não, competência para fiscalização de delegatários de serviços públicos, sob os aspectos financeiro e operacional. 

    Com efeito, ao que se verifica do exame do rol de competências ali elencadas, inexiste autorização constitucional para que os Cortes de Contas exerçam fiscalização sobre concessionários de serviços públicos.

    No ponto, é válido lembrar que, como regra geral, os delegatários de serviços públicos não são remunerados com verbas derivadas dos cofres públicos, hipótese essa em que, aí sim, excepcionalmente, legitimar-se-ia a atuação do respectivo tribunal de contas, apoiado que estaria no permissivo constante do art. 70, parágrafo único, c/c 71, II, ambos de nossa Constituição.

    Nada obstante, a regra, insista-se, não é essa. Em geral, a remuneração dos concessionários e permissionários de serviços públicos opera-se apenas com base nas tarifas pagas pelos usuários dos serviços, podendo-se até prever no edital e no contrato a exploração de fontes alternativas de receitas, sempre com vistas a favorecer a modicidade das tarifas (Lei 8.987/95, art. 11), como se dá no exemplo da utilização de espaços publicitários pelos ônibus. Mas, ainda assim, tais fontes alternativas não têm origem nos recursos do erário.

    Em não havendo, pois, como regra geral, o recebimento de dinheiro público por parte das concessionárias de serviços públicos, inexiste base constitucional expressa que permita que as Cortes de Contas exerçam a fiscalização aventada na presente questão.

    Por fim, é válido mencionar que os delegatários de serviços públicos submetem-se, isto sim, à atividade fiscalizatória por parte do poder concedente (Lei 8.987;95, arts. 29, I e 30), bem assim pelas respectivas agências reguladoras do setor objeto do contrato de concessão, razão pela qual já existem mecanismos adequados, previstos na legislação pátria, capazes de propiciar o devido controle da atividade delegada.

    Incorreta, portanto, a presente assertiva.


    Gabarito do professor: ERRADO
  • Amigos, eu respeito o comentário do professor e dos demais alunos que afirmaram na questão o gabarito como ERRADO. Todavia, como se trata de uma interpretação do aspecto jurídico dentro da CF/88, o meu posicionamento é o contrário, ou seja, a questão está CERTA, logo deveria ser anulada pelo seguinte aspecto:

    Art 70 -  A fiscalização contábil, FINANCEIRA, orçamentária, OPERACIONAL e patrimonial da União..., quanto à legalidade, legitimidade, economicidade, aplicação das subvenções e renúncia de receitas, será exercida pelo CN, mediante controle externo, e pelo sistema de controle interno de cada poder.

    FUDAMENTAÇÃO/ POSICIONAMENTO PARA RESPONDER A QUESTÃO ESTÁ AQUI NO PARÁGRAFO ÚNICO - Prestará contas qualquer pessoa física ou jurídica, pública ou privada, que UTILIZE, arrecade, guarde, GERENCIE ou ADMINISTRE  dinheiros, BENS e valores públicos...assuma obrigações de natureza pecuniária.

    Logo, uma concessionária está GERENCIANDO, ADMINISTRANDO um BEM PÚBLICO e por prazo determinado, ou seja, o TRIBUNAL DE CONTAS vinculado ao Estado ao qual ela pertenca DEVERÁ fiscalizar sim a parte FINANCEIRA quanto OPERACIONAL sobre a interpretação do mandamento CONSTITUCIONAL ainda que seja como auxiliador do CONGRESSO NACIONAL.

  • Questão com gabarito errado. O TCU pode fiscalizar aspectos operacionais e financeiros de concessionária

    Segue exemplo de fiscalização operacional em concessionária

    http://g1.globo.com/sc/santa-catarina/noticia/2013/04/tribunal-de-contas-da-uniao-investiga-irregularidades-em-concessionaria.html 

  • Pessoal, quanto ao tribunal de contas, a competência constitucional para realizar referida fiscalização seria sobre as unidades administrativas dos poderes legislativo, executivo e judiciário, e demais entidades da adm indireta.

    Quanto ao controle realizado sobre a concessionária:

    Lei 8.987/95, art. 30. No exercício da fiscalização, o poder concedente terá acesso aos dados relativos à administração, contabilidade, recursos técnicos, econômicos e financeiros da concessionária.

            Parágrafo único. A fiscalização do serviço será feita por intermédio de órgão técnico do poder concedente ou por entidade com ele conveniada, e, periodicamente, conforme previsto em norma regulamentar, por comissão composta de representantes do poder concedente, da concessionária e dos usuários.

  • "A fiscalização dos contratos de concessão é de responsabilidade das agências reguladoras. Cabe ao TCU fiscalizar a atuação do ente regulador, não regular o mercado." 

    Fonte: O papel do TCU no acompanhamento e fiscalização das concessões - Seminário Evolução da regulação setorial, subnacional e o papel dos órgãos de controle externo nas APPs no Brasil.

  • GABARITO: ERRADO 

    Acórdão 210/2013 - Plenário Data da sessão 20/02/2013 Relator JOSÉ JORGE

    Não compete ao TCU fiscalizar diretamente as empresas delegatárias de serviço público, mas sim examinar se o poder concedente fiscaliza de forma adequada a execução dos contratos celebrados, visto que entendimento contrário implicaria invasão do TCU na seara de atuação das agências reguladoras, esvaziando a competência dessas entidades. Tratando-se da atividade-fim das referidas autarquias especiais, não deve o TCU se substituir à entidade controlada, tampouco estabelecer o conteúdo do ato de competência da agência, determinando-lhe a adoção de medidas, salvo quando for constatada ilegalidade ou omissão no cumprimento de normas jurídicas pertinentes.

     

  • Ninguém conseguiu justificar cabalmente o erro dessa questão.

  • O TCU fiscaliza quem delega!

  • No meu entendimento, o erro da questão foi do CESPE ter generalizado a atuação do Tribunal de contas sobre as concessões de serviços públicos.

     

    Na CF, não há referência alguma sobre atuação do tribunal sobre concessão, entretanto, no art.70, parágrago único, diz que, Os TCs têm competência constitucional para fiscalizar qualquer um que utilize recursos públicos.

     

    Leva-se em consideração também que Concessão pública é um tipo delegação em que o poder público transfere a execução de um serviço público a um particular.

     

    Logo, é possível a seguinte dedução:

    "Os TCs têm competência constitucional para fiscalizar a atividade financeira e operacional das empresas concessionárias?"
    -Sim, desde que elas utilizem recursos públicos.
    -Não, caso elas não utilizem recursos públicos."
    Então, os TC's não têm competência pra fiscalizar a atividade financeira e operacional de toda e qualquer concessionária, como está no enunciado da questão.

     

    Daí a incorreção da mesma!

  • Não é atribuição do TCU, pelo que se percebe do art. 71 da CF, fiscalizar a atividade financeira e operacional de empresa privada concessionária de serviço público, exceto se esta receber recurso direto ou indireto dos cofres públicos, o que não foi mencionado na questão.

  • Não compete ao TCU fiscalizar diretamente as empresas delegatárias de serviço público, mas sim examinar se o poder concedente fiscaliza de forma adequada a execução dos contratos celebrados, visto que entendimento contrário implicaria invasão do TCU na seara de atuação das agências reguladoras, esvaziando a competência dessas entidades. Tratando-se da atividade-fim das referidas autarquias especiais, não deve o TCU se substituir à entidade controlada, tampouco estabelecer o conteúdo do ato de competência da agência, determinando-lhe a adoção de medidas, salvo quando for constatada ilegalidade ou omissão no cumprimento de normas jurídicas pertinentes

  • Só leiam o comentário abaixo (sensacional) e do professor; restante é achismo e pelo em ovo.

  • Silvia Vasques, comentário show! Obrigada!

  • ART 71 - CF/88


    § 1º No caso de contrato, o ato de sustação será adotado diretamente pelo Congresso Nacional, que solicitará, de imediato, ao Poder Executivo as medidas cabíveis.


    obs: Questão já ta manjada pela CESPE E QUADRIX elas amam falar que o TCU é responsável por cuidar dos contratos

  • TCU NÃO FISCALIZA CONTRATOS

    TCU NÃO FISCALIZA CONTRATOS

    TCU NÃO FISCALIZA CONTRATOS

    TCU NÃO FISCALIZA CONTRATOS

    TCU NÃO FISCALIZA CONTRATOS

    CONGRESSO FISCALIZA CONTRATOS

  • FALOU DE CONTRATO E TRIBUNAL DE CONTAS, CORRE QUE É CILADA

  • O TCU FISCALIZA ATOS E NÃO CONTRATOS.

  • Essa galera tá viajando....

    Quem disse que o TCU não fiscaliza contrato? O fato dele não sustar/anular quer dizer que não fiscalize?

    “o TCU, embora não tenha poder para anular ou sustar contratos administrativos, tem competência, conforme o art. 71, IX, para determinar à autoridade administrativa que promova a anulação do contrato e, se for o caso, da licitação de que se originou” (MS 23.550, rel. Min. Sepúlveda Pertence);

  • Bom dia.

    A Questão só exige atenção quanto ao detalhe. Ela não está mencionado que o Tribunal de Contas é competente para FISCALIZAR O CONTRATO, mas sim as ATIVIDADES DA CONCESSIONÁRIA.

  • Não está na CR/88 atribuição para Tribunal de Contas fiscalizar empresas concessionárias (serviços delegados não fazem parte da administração direta nem indireta). A questão está errada porque essa não é uma competência constitucional.

  • Comentário do professor totalmente esclarecedor!

  • Acho que a assertiva generalizou ao dizer "contratos de concessão", já que além da concessão comum, também temos as concessões especiais, sendo estas patrocinadas (recursos públicos + tarifa dos usuários) ou administrativas (integralmente recursos públicos). Fica nítida a necessidade de atuação do TCU, dentro de suas competências constitucionais, ainda que se tratando da prestação de serviços públicos por delegação à particulares.

  • Quando achar q está errado, marque certo. E vice-versa.

    Felipe Malcher

  • O erro da questão está na generalização, o TC será competente para fiscalizar o contrato, e não toda à atividade financeira e operacional das empresas concessionárias.

    Galera, nada impede que o TC fiscalize o contrato, é vedado anular/sustar, pois tal competência é do CN. Pode-se citar, por exemplo, uma das competências do TCU: aplicar sanções e determinar a correção de ilegalidades e irregularidades em atos e contratos.

  • ERRADO

    O Tribunal de Contas atua quando tem recurso público. A questão não especifica isso. Portanto, afirmativa está errada por generalizar.

    Conforme o professor do QC bem explicou, em geral, a remuneração dos concessionários e permissionários de serviços públicos opera-se apenas com base nas tarifas pagas pelos usuários dos serviços e não nos cofres públicos.

    Imaginem, se os TCs tivessem competência constitucional para fiscalizar a atividade operacional e financeira de todos os concessionários que firmam contratos de serviço público haja auditor....

  • GABARITO: ERRADO

    Em regra, os tribunais de contas não se metem em contrato administrativo. Vejamos:

    O art. 71 da Constituição não insere na competência do TCU a aptidão para examinar, previamente, a validade de contratos administrativos celebrados pelo Poder Público. Atividade que se insere no acervo de competência da função executiva. É inconstitucional norma local que estabeleça a competência do tribunal de contas para realizar exame prévio de validade de contratos firmados com o Poder Público. 

    [ADI 916, rel. min. Joaquim Barbosa, j. 2-2-2009, P, DJE de 6-3-2009.]

    Ainda, tem-se o comentário muito esclarecedor do professor Rafael Pereira:

    Em não havendo, pois, como regra geral, o recebimento de dinheiro público por parte das concessionárias de serviços públicos, inexiste base constitucional expressa que permita que as Cortes de Contas exerçam a fiscalização aventada na presente questão.

    To the moon and back

  • TCU NÃO FISCALIZA CONTRATOS

    AUTOR: Dayane Gois

  • SE AS concessionarias fossem REMUNERADAS COM DINHEIRO DOS COFRES PÚBLICOS seriam submetidas sim ao controle TCU porém na questao nao diz nada, (não posso deduzir por conta), logo não se submetem ao controle do TCU, mas tão somente ao controle finalístico da ADM PUBLICA.


ID
2027722
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Direito Administrativo
Assuntos

Julgue o item a seguir, acerca de controle da administração pública.

O controle exercido pelos tribunais de contas sobre as casas legislativas é considerado controle interno, haja vista a posição dos tribunais de contas no âmbito do Poder Legislativo.

Alternativas
Comentários
  • Errado.

     

    Não há relação de hierarquia entre os tribunais de contas e as casas legislativas.

  • O controle exercido pelos tribunais de contas sobre as casas legislativas é considerado controle externo (que é exercido por um Poder sob outro, aqui considerando os TCs como um "quarto Poder", já que não faz parte de nenhum outro).

  • Olá pessoal (GABARITO = ERRADO)

    ---------------------------------------------------------

    Não há relação de hierarquia entre os tribunais de contas e as casas legislativas, não se podendo falar em controle interno existente entre eles.

    ---------------------------------------------------------

    Fé em Deus, não desista.

  • "Erick Alves ; 11 de agosto de 2016 às 15:36

    Oi Luena, questão bastante polêmica, hein? O mais correto, a meu ver, seria mesmo constar “controle externo”. De todo modo, penso que o gabarito pode ser mantido; basta vc considerar que o Poder Legislativo exerce controle com o auxílio do Tribunal de Contas. Assim, a fiscalização exercida pelos TCs constituiria sim uma expressão de controle do Poder Legislativo sobre a Administração. Abraço!"

  • O CESPE não considera os tribunais de contas como integrantes do poder legislativo, logo não é controle interno. Fica a dica! Já é a terceira questão sobre isso que a banca mantém essa posição!

  • Putz, mas que comentário fora de órbita do Erick Alves!

    Esses cursinhos tinham que dar mais importância à correção de provas, o que pra mim é algo muito relevante na preparação para concursos.

  • Segundo a CF/1988

    Art. 71. O controle externo, a cargo do Congresso Nacional, será exercido com o auxílio do Tribunal de Contas da União, ao qual compete:

     

    (...)

     

    IV - realizar, por iniciativa própria, da Câmara dos Deputados, do Senado Federal, de Comissão técnica ou de inquérito, inspeções e auditorias de natureza contábil, financeira, orçamentária, operacional e patrimonial, nas unidades administrativas dos Poderes Legislativo, Executivo e Judiciário, e demais entidades referidas no inciso II;

  • Olá pessoal (GABARITO ERRADO)

     O controle exercido pelos TCs perante o PL é EXTERNO e não INTERNO como afirma a questão. 

    ---------------------------------------------------------------

    RESUMO CONTROLES DA ADMINISTRAÇÃO ( = SISTEMA DE FREIOS E CONTRAPESOS=  CONTROLES RECÍPROCOS="CHECKS AND BALANCES"

     

    1) CONTROLE INTERNO (= PODER DE AUTOTUTELA): ÓRGÃO INTEGRANTE DA ESTRUTURA FISCALIZADA ( EX: CGU)  Aquele em que um Poder pode anular seus próprios atos quando eivados de vícios de ilegalidade; ou revogá-los por conveniência e oportunidade ( SÚMULA 473 STF);

     

    2) CONTROLE EXTERNO: Aquele em que um Poder fiscaliza órgão não pertencente à sua estrutura, sendo de titularidade do PL, com auxílio dos TC,s (a exemplo controle externo exercido pelo CN com auxílio do TCU);

     

    3) CONTROLE JUDICIAL; exercido pelo PJ mediante provocação, tendo por premissa básica de que nem mesmo lei excluirá da apreciação do PJ lesão ou  ameaça de lesão à direito.( inafastabilidade da tutela jurisdicional);

     

    4) CONTROLE SOCIAL : exercido pelo cidadão face à indisponibilidade do interesse público. ( Ex: Site da Transparência)

     

     

    Fonte: Resumos aulas Erick Alves - Controle Externo - TCU2015

     

  • EXTERNO

  • O TCU auxilia o Congresso Nacional que detêm a titularidade do controle externo. E "só" isso, não há hierarquia e tampouco o TCU é parte do legislativo, tanto é que a CF menciona o sistema bicameral como parte do Legislativo Federal:

    Art. 44. O Poder Legislativo é exercido pelo Congresso Nacional, que se compõe da Câmara dos Deputados e do Senado Federal.

  • o entendimento majoritário é no sentido de ser o TCU um órgão de extração constitucional, independente e autônomo, que auxilia o Congresso Nacional no exercício do controle externo. ...

    fonte site TCU

  • Também vimos nas aulas que não há relação de hierarquia entre os tribunais de contas e as casas legislativas, não se podendo falar em controle interno existente entre eles.

    https://www.pontodosconcursos.com.br/artigo/14192/pedro-guimaraes/comentarios-questoes-de-controle-externo-tce-pa-com-possiveis-recursos

    Além disso, segundo a CF:

    Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma integrada, sistema de controle interno com a finalidade de:...

    Esse "sistema de controle interno" do art. 74 não é exercido pelo TCU.

  • Após pesquisar sobre o tema, eu encontrei no site do TCU as posições referentes à matéria, acredito que o CESPE se baseou na seguinte posição:

    O Tribunal de Contas da União é vinculado ao Poder Legislativo ou é um órgão independente dos poderes da República?

    A vinculação do Tribunal de Contas da União a um dos Poderes da República não é um tema pacífico no mundo jurídico. Há, na doutrina, posicionamentos diversos.

    Alguns doutrinadores, juristas e professores de Direito Constitucional entendem que o art. 71 da atual Constituição Federal coloca o Tribunal de Contas como órgão integrante do Poder Legislativo, já que a atribuição de fiscalizar faz parte das atribuições típicas do Poder Legislativo.

    Outros afirmam que o TCU não pertence a nenhum dos Poderes e entendem que ele é um órgão independente e autônomo, assim como o Ministério Público e que, ao auxiliar o Poder Legislativo, a ele não se subordina.

    Não obstante as várias interpretações constitucionais, o entendimento majoritário é no sentido de ser o TCU um órgão de extração constitucional, independente e autônomo, que auxilia o Congresso Nacional no exercício do controle externo.

     

    Fonte: http://portal.tcu.gov.br/ouvidoria/duvidas-frequentes/autonomia-e-vinculacao.htm

  • O controle interno é baseado na própria estrutura da Administração Pública que, por natureza, é escalonada em hierarquia. Dessa forma, o controle exercido na estrutura de um mesmo poder é o que se denomina de "Controle Interno". Como entre poderes distintos não há hierarquia (os poderes são independenes e harmônicos) o controle exercido pelo TCU sobre o Legislativo só pode ser considerado Externo na medida que aquele não integra a estrutura do legislativo.

  • Complementando o comentário do colega Arley, o controle interno se manifesta também entre Órgãos e Entidades que estão vinculados em decorrência da Supervisão Misterial (tutela administrativa). Exemplo: Ministério da Previdência - Adm. Direta, sobre os atos praticados pelo Instituo Nacional de Seguro Social - INSS (Autarquia Federal) Adm. Indireta. 

  • GAB:ERRADO

    Não há relação de hierarquia entre os tribunais de contas e as casas legislativas, não se podendo falar em controle interno existente entre eles.

  • PÕE ISSO NA SUA CABEÇA AMIGO , GUARDE NO SEU CORAÇÃO, NA SUA CORRENTE SANGUÍNEA : 

    TRIBUNAIS DE CONTA NÃO FAZEM PARTE DE NENHUM DOS PODERES ... 

     

    ''Guardarás essa informação e acertarás diversas questões do cespe'' . Ds 12:15 

  • O Tribunal de Contas da União é vinculado ao Poder Legislativo ou é um órgão independente dos poderes da República?

     

    A vinculação do Tribunal de Contas da União a um dos Poderes da República não é um tema pacífico no mundo jurídico. Há, na doutrina, posicionamentos diversos.

     

    Alguns doutrinadores, juristas e professores de Direito Constitucional entendem que o art. 71 da atual Constituição Federal coloca o Tribunal de Contas como órgão integrante do Poder Legislativo, já que a atribuição de fiscalizar faz parte das atribuições típicas do Poder Legislativo.

     

    Outros afirmam que o TCU não pertence a nenhum dos Poderes e entendem que ele é um órgão independente e autônomo, assim como o Ministério Público e que, ao auxiliar o Poder Legislativo, a ele não se subordina.

     

    Não obstante as várias interpretações constitucionais, o entendimento majoritário é no sentido de ser o TCU um órgão de extração constitucional, independente e autônomo, que auxilia o Congresso Nacional no exercício do controle externo.

     

     

    Fonte: http://portal.tcu.gov.br/ouvidoria/duvidas-frequentes/autonomia-e-vinculacao.htm

  • Tribunais de contas não fazem parte de nada, são autônomos e independentes!

  • Controle EXTERNO.

  • CUIDADO, Wesley Oliveira, apesar de não fazerem parte de nenhum Poder, a função fiscalizatória exercida por eles sobre os atos da Administração pública é considerado expressão do CONTROLE DO PODER LEGISLATIVO, pois o TC auxilia o CN.

  • CONTROLE EXTERNO.
  • Não é controle interno porque o TC NÃO É ÓRGÃO DO LEGISLATIVO...

  • Cabe ressaltar ainda que o TCU não é subordinado ao congresso nacional, sendo um órgão autônomo.

    O TCU apenas auxilia o nosso querido congresso nacional na função de controle externo.

  • Controle EXTERNO. Os tribunais de contas NÃO integram o poder legislativo!

  • Errado.

    Sempre que um órgão que não é integrante da mesma estrutura administrativa fiscaliza as atividades de outro, estaremos diante do controle externo. No caso, o TCU não pertence ao Poder Legislativo. Logo, o controle realizado é classificado como externo.

    Questão comentada pelo Prof. Diogo Surdi

  • Os tribunais de contas não integram o Poder Legislativo, logo, controle EXTERNO.

  • controle externo!!

    um poder sobre o outro.

  • O controle exercido pelos tribunais de contas (TCs) é considerado controle externo já que não fazem parte de nenhum outro poder.

  • O que o CESPE entende?

    A função fiscalizatória exercida pelos tribunais de contas dos estados constitui uma expressão de controle do Poder Legislativo sobre os atos da administração pública. CERTO

    -> O controle externo, a cargo do Congresso Nacional, será exercido com o auxílio do Tribunal de Contas da União.

  • Tribunal de Contas - órgão independente, sem vínculo com a estrutura de quaisquer poderes.

  • controle externO

  • Outras questões do CESPE nos ensinam que o controle interno se refere sempre a atividades administrativas, mesmo quanto exercido por outros órgãos.


ID
2027728
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Auditoria Governamental
Assuntos

Com relação às regras constitucionais e legais que regem o exercício do controle externo, julgue o item que se segue.

Em respeito ao princípio da transparência, as denúncias e representações submetidas à apreciação do TCE/PA deverão ser de caráter público desde a sua apresentação.

Alternativas
Comentários
  • Errado

     

    As denúncias formuladas têm tratamento sigiloso até que haja decisão definitiva sobre a matéria.

     

    Fonte: https://www.pontodosconcursos.com.br/Artigo/14192/pedro-guimaraes/comentarios-questoes-de-controle-externo-tce-pa-com-possiveis-recursos

  • LC 81/2012 (Lei Orgânica do TCE/PA), art. 42:

     

    A fim de preservar direitos e garantias individuais, o Tribunal de Contas dará tratamento sigiloso às denúncias e representações, até decisão definitiva sobre a matéria.

  • Esqueminha:

    Denúncias: tratamento sigiloso até a decisão definitiva

    Representações: tratamento público

  • Outro erro está relacionado ao princípio:

     

    Em respeito ao princípio da (transparência) publicidade, as denúncias e representações submetidas à apreciação do TCE/PA deverão ser de caráter público desde a sua apresentação.

     

    publicidade: divulgação dos atos administrativos 

     

    transparência: complementa a ideia de publicidade, não basta divulgar os atos administrativos praticados, é preciso que o Poder Público seja visto com clareza pelos cidadãos, por meio de informações precisas, compreensíveis, atualizadas, íntegras, verossímeis, facilmente acessíveis e capazes de conduzir à participação e ao controle social da gestão pública.

  • Lei Orgânica do Tribunal de Contas da União (IDEM TCDF)

    Art. 53. Qualquer cidadão, partido político, associação ou sindicato é parte legítima para denunciar irregularidades ou ilegalidades perante o Tribunal de Contas da União.

    § 3º A denúncia será apurada em caráter sigiloso, até que se comprove a sua procedência, e somente poderá ser arquivada após efetuadas as diligências pertinentes, mediante despacho fundamentado do responsável.

    § 4º Reunidas as provas que indiquem a existência de irregularidade ou ilegalidade, serão públicos os demais atos do processo, assegurando-se aos acusados a oportunidade de ampla defesa.

  • Para quem está estudando para o TCE RJ:

    LEI ORGÂNICA TCE RJ

    DENÚNCIAS

    Art. 58. Qualquer cidadão, partido político, associação ou sindicato é parte legítima para denunciar irregularidades perante o Tribunal de Contas.

    Art. 60. No resguardo dos direitos e garantias individuais, o Tribunal de Contas dará tratamento SIGILOSO às denúncias formuladas, até decisão definitiva sobre a matéria.

    § 1º Ao decidir, caberá ao Tribunal manter, ou não, o sigilo quanto ao objeto e à autoria da denúncia.

  • Para quem está estudando para o TCE RJ:

    LEI ORGÂNICA TCE RJ

    DENÚNCIAS

    Art. 58. Qualquer cidadão, partido político, associação ou sindicato é parte legítima para denunciar irregularidades perante o Tribunal de Contas.

    Art. 60. No resguardo dos direitos e garantias individuais, o Tribunal de Contas dará tratamento SIGILOSO às denúncias formuladas, até decisão definitiva sobre a matéria.

    § 1º Ao decidir, caberá ao Tribunal manter, ou não, o sigilo quanto ao objeto e à autoria da denúncia.


ID
2027731
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Direito Administrativo
Assuntos

Com relação às regras constitucionais e legais que regem o exercício do controle externo, julgue o item que se segue.

A nomeação de alguém, por gestor público federal, para determinado cargo de provimento em comissão somente poderá ser considerada definitiva se o Tribunal de Contas da União apreciar, aprovar e registrar tal ato.

Alternativas
Comentários
  • Errado

     

    A apreciação de atos de nomeação pelo TCU não envolve os cargos em comissão.

  • CF

    Art. 37, II - a investidura em cargo ou emprego público depende de aprovação prévia em concurso público de provas ou de provas e títulos, de acordo com a natureza e a complexidade do cargo ou emprego, na forma prevista em lei, ressalvadas as nomeações para cargo em comissão declarado em lei de livre nomeação e exoneração;

     

    Art. 71. O controle externo, a cargo do Congresso Nacional, será exercido com o auxílio do Tribunal de Contas da União, ao qual compete:

    III - apreciar, para fins de registro, a legalidade dos atos de admissão de pessoal, a qualquer título, na administração direta e indireta, incluídas as fundações instituídas e mantidas pelo Poder Público, excetuadas as nomeações para cargo de provimento em comissão, bem como a das concessões de aposentadorias, reformas e pensões, ressalvadas as melhorias posteriores que não alterem o fundamento legal do ato concessório;

  • Olá pessoal (GABARITO = ERRADO)

    ---------------------------------------------------------

    As nomeações para cargo em comissão não são apreciadas pelo Tribunal de Contas para fins de registro, conforme exceção expressa no art. 71, III da Constituição Federal.

    A apreciação de atos de nomeação pelo TCU não envolve os cargos em comissão

    ---------------------------------------------------------

    Fé em Deus, não desista.

  • Nomeação de cargos em comissão não são aprecidadas pelo Tribunal de conta.

  • Cargo em comissão é de livre nomeação e exoneração, não ha que se falar em aprovação por tribunal de contas.

  • ERRADO 

    Exceto----> nomeação para cargo em comissão.

     

    É competência do TCU apreciar a legalidade:

    -dos atos de admissão de pessoal, a qualquer título, na administração direta ou indireta...

    -dos atos de concessões de aposentadorias, reformas e pensões

     

    CF 88,Art. 71. O controle externo, a cargo do Congresso Nacional, será exercido com o auxílio do Tribunal de Contas da União, ao qual compete:

    I - apreciar, para fins de registro, a legalidade dos atos de admissão de pessoal, a qualquer título, na administração direta e indireta, incluídas as fundações instituídas e mantidas pelo Poder Público, excetuadas as nomeações para cargo de provimento em comissão,bem como a das concessões de aposentadorias, reformas e pensões, ressalvadas as melhorias posteriores que não alterem o fundamento legal do ato concessório;

  • Lembro que uma vez errei uma questão que falava sobre isso.

    Achei um absurdo!!!kkk

    Até hoje não me conformo!Mas está na lei.

  • (...) a legalidade dos atos de admissão de pessoal são apreciadas pelo TCU, excetuadas as nomeações para cargo de provimento em comissão,bem como a das concessões de aposentadorias, reformas e pensões

  • Partindo do que acontece amplamente em nosso país, basta lembrar que, livre nomeacao e exoneração, manda quem pode obedece quem tem juizo. Enquanto houver confiança(favores) há a certeza do cargo.

  • 71, CF, III - fundações instituídas e mantidas pelo Poder Público, excetuadas as nomeações para cargo de provimento em comissão, bem como a das concessões de aposentadorias, reformas e pensões, ressalvadas as melhorias posteriores que não alterem o fundamento legal do ato concessório;

  • Gab. Errado

    Não cabe ao TCU:

    • Julgar as contas do Presidente da República, governadores e prefeitos
    • Apreciar legalidade para fins de registro
    • Executar suas próprias decisões
    • Quebrar sigilo fiscal, bancário ou telefônico
    • Sustar execução de contratos administrativos
    • Apreciar nomeações para cargo em comissão
  • Errado.

    Cargos ad nutum não são apreciados pelo TCU.


ID
2027734
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Legislação dos Tribunais de Contas (TCU, TCEs e TCMs) e Ministérios Públicos de Contas
Assuntos

Com relação às regras constitucionais e legais que regem o exercício do controle externo, julgue o item que se segue.

Em caso de ausência ou impedimento do presidente do TCE/PA, se o vice-presidente também estiver impedido, caberá ao corregedor do tribunal substituí-lo.

Alternativas
Comentários
  • LC 81/2012 (Lei Orgânica do TCE/PA), art. 11:

     

    § 1º O Presidente será substituído em suas ausências e impedimentos na seguinte ordem: pelo Vice-Presidente, Corregedor e o Conselheiro mais antigo no exercício do cargo.

  • Olá pessoal (GABARITO = CERTO)

    ---------------------------------------------------------

    De acordo com o art. 15, §3º do Regimento Interno do TCE/PA.

    ---------------------------------------------------------

    Fé em Deus, não desista.

  • Errei a questão

     

     

    no TCE-PR é assim:

    Art. 113. O Tribunal Pleno, órgão máximo de deliberação, será dirigido pelo Presidente e terá seu funcionamento estabelecido pelo Regimento Interno.

    Parágrafo único. O Presidente, em caso de ausência ou impedimento, será substituído, sucessivamente, pelo Vice-Presidente do Tribunal, ou pelo Conselheiro mais antigo.

  • Conforme o Art. 9 do RI/TCM-RJ, o Presidente, em suas ausências e impedimentos, por motivo de licença, férias ou outro afastamento legal será substituído pelo Vice-Presidente. Na ausência deste será substituído pelo Corregedor.

    Em relação aos casos de vacância:

    1. Do Presidente: assume o vice que iniciará um NOVO mandato de 2 anos;

    2. Do Vice-Presidente: assume o Corregedor, que terminará o mandato daquele.

     

    FONTE: RI/TCM-RJ

  • TCE-PB RI

    Art. 30. O Presidente, em suas ausências e impedimentos, será substituído pelo Vice-Presidente.

    Parágrafo único. Na ausência ou impedimento do Vice-Presidente, o Presidente será substituído pelo Conselheiro mais antigo em exercício no cargo.

  • Para quem está estudando para o TCE-MG:

    LOTCE-MG, Art. 15. Nas faltas ou impedimentos, o Presidente será substituído pelo Vice-Presidente e, na ausência ou no impedimento deste, pelo Conselheiro mais antigo em exercício na função.

     

    Portanto, a questão estaria errada.

  • TCDF:

    Art. 19. São atribuições do Vice-Presidente:

    (...)

    Parágrafo único. Na ausência ou impedimento do Vice-Presidente, o Presidente será substituído pelo Conselheiro mais antigo, em efetivo exercício do cargo

  • TCU

    "São competências do Vice--Presidente:

    I. substituir o Presidente em sua ausências e impedimentos por motivo de licença, férias ou outro afastamento legal, e sucedê-lo, no caso de vaga.

    O Vice-Presidente, em suas ausências e impedimentos, por motivo de licença, férias ou outro afastamento legal, será substituído nas funções de Corregedor pelo Ministro mais antigo no exercício do cargo (RITCU: art. 8°,§2°).

    Em alguns Tribunais de contas Estaduais e municipais a função de Corregedor não é atribuída ao Vice-Presidente, mas a outro conselheiro eleito especificamente para exercê-lo."

    Fonte: Luiz Henrique Lima

  • Para quem está estudando para o TCE-RJ:

    LOTCE-RJ

    Art. 86. (...)

    § 7º - Na ausência ou impedimento do Vice-Presidente, o Presidente será substituído pelo Conselheiro mais antigo em exercício no cargo.

    Portanto, a questão estaria errada.

    Fonte: http://alerjln1.alerj.rj.gov.br/CONTLEI.NSF/f25571cac4a61011032564fe0052c89c/4b2972bdc563e76603256652006b849b?OpenDocument

  • No caso do TCDF a substituição também é feita pelo Conselheiro decano.


ID
2027737
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Considerando o alinhamento estratégico de TI e o BSC (balanced scorecard), julgue o item subsequente.

Sendo bidirecional o alinhamento estratégico entre o negócio e a TI, esta pode potencializar estratégias de negócio por meio da implantação de processos e infraestrutura de TI.

Alternativas
Comentários
  • CERTO.

    Segundo Aragon(2014,p.46-47),"Atualmente, o alinhamento estratégico é bidirecional, ou seja, da estratégia do negócio para a estratégia de TI e vice-versa, pois a TI pode potencializar estratégias de negócio que seriam impossíveis de ser implantadas sem o auxílio da tecnologia da informação. 

    A Figura 3.2 mostra o esquema de alinhamento estratégico proposto por Henderson & Venkatraman (1993), onde a estratégia de TI influencia e é influenciada pela estratégia de negócio e interage bidirecionalmente com a infraestrutura e os processos de TI e com a infraestrutura e os processos organizacionais."

    -IMPLANTANDO A GOVERNANÇA DE TI-ARAGON-2014-4 EDIÇÃO.


ID
2027740
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Considerando o alinhamento estratégico de TI e o BSC (balanced scorecard), julgue o item subsequente.

A construção de um BSC em uma organização inclui o estabelecimento da visão da empresa e sua decomposição nas perspectivas financeira, de aprendizado e crescimento, do cliente e de processos internos, além do estabelecimento dos objetivos estratégicos para todas essas perspectivas.

Alternativas
Comentários
  • Balanced Scorecard – BSC, traduzido de forma literal significa algo como “Indicadores Balanceados de Desempenho. O BSC alinha os resultados de desempenho da empresa com as metas traçadas, buscando identificar as falhas. Neste sentido Kaplan e Norton (1997, p. 231) comentam que “A construção de um Balanced Scorecard que ligue a missão e a estratégia de uma unidade de negócios a objetivos e medidas explícitos é apenas o começo da utilização do Scorecard como sistema gerencial”. 

    O BSC traduz a missão e a visão da estratégia segundo quatro perspectivas: financeira, do cliente, dos processos internos e do aprendizado e crescimento. Essas quatro perspectivas do Scorecard equilibram os objetivos de curto e longo prazo, com os vetores desses resultados, sendo que essas medidas apontam para a execução de uma estratégia integrada. 

  • Kaplan e Norton (1997, p. 231) comentam que “A construção de um BSC que ligue a missão e a estratégia de uma unidade de negócios a objetivos e medidas explícitos é apenas o começo da utilização do Scorecard como sistema gerencial”. 

     

    O BSC traduz a missão e a visão da estratégia segundo quatro perspectivas: Financeira, do Cliente, dos Processos Internos e do Aprendizado e Crescimento.

     

    Essas quatro perspectivas do Scorecard equilibram os objetivos de curto e longo prazo, com os vetores desses resultados, sendo que essas medidas apontam para a execução de uma estratégia integrada. 

  • O BSC é reponsável pelo estabelecimento da visão da empresa?

  • visao e estabelecer objetivos?

  • Etapas para construção do BSC:

    1) Estabelecer a visão (onde queremos chegar)
    2) Decompor a visão nas quatro perspectivas
       - Financeira, Cliente, Processos internos e Aprendizado e crescimento (ou outras, a critério da organização)
    3) Estabelece objetivos estratégicos para atingir a "visão" (para cada perspectiva)
    4) Definir indicadores
       - de resultado (lagging indicators) e de desempenho (leading indicators)
    5) Determinar relações de causa e efeito
       - Como os objetivos se relacionam entre si
    6) Estabelecer o ScoreCard
       - Representação dos objetivos por perspectiva e pelas relações de causa e feito
    7) Desdobrar o ScoreCard
       - Relacionar com as unidades organizacionais da empresa, até o nível mais baixo
    8) Determinar metas para cada um dos indicadores (de resultado e de desempenho)
    9) Determinar iniciativas para atingir os objetivos
       - Projetos, ações e serviços
    10) Implantar, disseminar e manter o BSC

    Fonte: Prof. Yuri de Moraes

  • CERTO

     

     

    (Ano: 2015 Banca: CESPE Órgão: TRE-MT Prova: Conhecimentos Gerais para os Cargos 1, 2, 4, e 5)

     

    No que concerne ao BSC (balanced scorecard), que é uma ferramenta da administração que permite à organização focar as estratégias para o sucesso no longo prazo, assinale a opção correta.

     

     d) De acordo com Kaplan e Norton, a estratégia empresarial se conecta ao conceito de BSC, traduzindo missão, objetivos e planos por meio dos segmentos finanças, clientes, processos internos e crescimento.(CERTO)


ID
2027743
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Acerca de gerenciamento de projetos, julgue o item subsecutivo à luz dos documentos COBIT 5, PMBOK 5 e ITIL 3.

No COBIT 5, as atividades da gestão e da governança são diferenciadas, visto que encontram-se em níveis e domínios distintos; para não haver superposição e sombreamento dos objetivos, o modelo restringe a ocorrência de interação entre as atividades desses domínios.

Alternativas
Comentários
  • A questão fala especificamente do COBIT, mas creio que o erro da questão está no final dela: " o modelo restringe a ocorrência de interação entre as atividades desses domínios". Creio que embora haja separação, ainda assim existe interação.

  • ERRADO. O erro é:   (...) o modelo restringe (...)

    _________________________

    Segundo o Cobit 5,p.33,"A partir das definições de governança e gestão, fica claro que elas incluem diversos tipos de atividades, com diferentes
    responsabilidades; entretanto, dado o papel da governança - de avaliar, orientar e monitorar - uma série de interações é exigida entre a governança e a gestão a fim de resultar um eficiente e eficaz sistema de governança."

  • Para o COBIT 5, uma série de interações é exigida entre a governança e a gestão a fim de resultar um eficiente e eficaz sistema de governança. Inclusive, o COBIT 5 explica, em alto nível, como tais interações ocorrem para cada habilitador:

    Errado!


ID
2027746
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Acerca de gerenciamento de projetos, julgue o item subsecutivo à luz dos documentos COBIT 5, PMBOK 5 e ITIL 3.

Caso se solicite ao gestor de serviços de um órgão a elaboração, com base no ITIL 3, de um plano que elenque diferentes previsões das demandas de negócio e custos de acordo com o nível de serviço acordado, o artefato correto para atender a essa demanda será o plano de continuidade de negócio.

Alternativas
Comentários
  • Um documento mais adequado adequado, ainda que não seja suficiente por si só, para a necessidade apresentada na questão seria o PAN - Padrão de aividade do negócio. O glossário da ITIL afirma que "Padrões de atividade de negócio são usados para ajudar o provedor de serviço de TI a entender e a planejar para os diferentes níveis de atividade de negócio."

     

    O plano de continuidade do negócio, por outro lado, é definido como "Um plano que define as etapas necessárias para recuperar os processos de negócio logo após uma interrupção. O plano também identifica os gatilhos para invocação, as pessoas a serem envolvidas, comunicações, etc. Os planos de continuidade de serviço de TI formam uma parte significante dos planos de continuidade de negócio."

     

    Fonte: Glossário ITIL V3

  • O processo de gerenciamento de demanda rastreia, analisa, monitora e documenta os padões de atividade do negócio (Patterns of Business Activity - PBA) para prever as demandas atuais e futuras por serviço.

    https://app.assembla.com/spaces/projetoreqsoftware/wiki/Descritivo_ITIL_sobre_Ger%C3%AAncia_de_Demanda

    http://www.pmgacademy.com/pt/glossario-itil/366-padrao-de-atividade-de-negocio-pan#

  • O plano de continuidade de negócio é um plano que define as etapas necessárias para recuperar os processos de negócio logo após uma interrupção.

    A questão descreveu o plano de capacidade

    Mais detalhes você pode encontrar no meu livro (https://eduzz.com/g/checkout/cart/000000-KB4RX4-DHNDTQ-K5OJY0/) e no meu site (www.apcti.com.br)

    Fontes: www.apcti.com.br

  • Plano de Continuidade de Negócio: Livro: Desenho de Serviço / Processo: Gerenciamento da continuidade de serviço;

    Plano de Capacidade: Livro: Desenho de Serviço / Processo: Gerenciamento da Capacidade;

    Padrão de atividades de negócio (PAN): Livro: Estratégia de Serviços / Processo: Gerenciamento de demanda. "O processo de gerenciamento de demanda rastreia, analisa, monitora e documenta os padões de atividade do negócio (Patterns of Business Activity - PBA) para prever as demandas atuais e futuras por serviço."

    Acho que é o PAN mesmo.

  • Gerenciamento de demanda e gerenciamento financeiro da estratégia de serviço(nível estratégico), também poderia considerar o gerenciamento de capacidade(nível técnico), mas nunca gerenciamento de continuidade de negócio.

  • O Plano de Capacidade é o plano que, com base na demanda atual/futura e variantes, mantém o balanceamento entre os custos x capacidade. O Plano de Continuidade de Negócios serve para definir as etapas para recuperar os processos de negócio após um desastre.

    Errada. 


ID
2027749
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca de gerenciamento de projetos, julgue o item subsecutivo à luz dos documentos COBIT 5, PMBOK 5 e ITIL 3.

Situação hipotética: A um gerente de projetos solicitou-se a apresentação de dois artefatos com base no PMBOK 5: um que deve conter as ações necessárias para integrar, definir e coordenar todos os planos auxiliares e outro que deve descrever as principais entregas do projeto e do trabalho. Assertiva: Nessa situação, os artefatos solicitados correspondem, respectivamente, ao termo de abertura do projeto (TAP) e à estrutura analítica do projeto (EAP).

Alternativas
Comentários
  • ERRADO. O primeiro artefato corresponde ao plano de gerenciamento do projeto (onde se documenta todas as ações necessárias para definir, preparar, integrar e coordenar todos os planos auxiliares que são criados em outros processos em outras área de conhecimento.). O segundo artefato está correto e corresponde à EAP.

    FONTE: http://www.linhadecodigo.com.br/artigo/3658/gerenciamento-da-integracao-pmbok.aspx#ixzz4HUgJceYN

  • Segundo o PMBOK 5,p.76,"4.2.3.1 Plano de gerenciamento do projeto
    O plano de gerenciamento do projeto é o documento que descreve como o projeto será executado, monitorado e controlado. Ele integra e consolida todos os planos de gerenciamento auxiliares e linhas de base dos processos de planejamento."

    _____________________________

    Segundo o PMBOK 5,p.544, "Estrutura analítica do projeto (EAP) / Work Breakdown Structure (WBS). A decomposição hierárquica do escopo total do trabalho a ser executado pela equipe do projeto a fim de alcançar os objetivos do projeto e criar as entregas exigidas."

     

  • O termo de abertura do projeto, também muito conhecido como Project Charter (inglês), é o documento que autoriza formalmente o início do projeto. Ele concede ao gerente de projetos a autoridade para aplicar os recursos organizacionais nas atividades do projeto. Fonte: https://escritoriodeprojetos.com.br/termo-de-abertura-do-projeto Bonsso estudos
  • O Plano que contém as ações necessárias para integrar, definir e coordenar todos os planos auxiliares é o Plano de Gerenciamento do Projeto, embora seja mesmo a EAP que descreve as principais entregas do projeto e do trabalho.

    Ou seja, temos um item correto e outro não, de modo que o item é Errado.

  • o termo de abertura do projeto é o documento onde se autoriza o início do projeto e contém um sumário sobre o projeto.


ID
2027752
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Considerando que determinado órgão da administração pública federal pretenda realizar uma licitação para contratar serviços de tecnologia da informação, julgue o próximo item com base na Lei n.º 10.520/2002 e na Instrução Normativa do MPOG/SLTI n.º 4/2014.

O edital da licitação deverá conter a indicação da remuneração dos empregados dos fornecedores dos serviços, uma forma de garantir o respeito ao piso salarial da categoria de trabalhadores contratados e de atender ao princípio da publicidade.

Alternativas
Comentários
  • IN 4/2014

    Art. 7º É vedado:

    II - prever em edital a remuneração dos funcionários da contratada;

  • Segue link da IN 4/2014 que o colega postou:

    http://www.governoeletronico.gov.br/documentos-e-arquivos/IN%204%202014_compilada.pdf

  • Tudo bem, Alan Oliveira... Mas a lei que foi divulgada acima é a  do PREGÃO( Lei n.º 10.520/2002)....

  • Pela lógica, entendo que numa licitação assim é informado o valor para a contratação do SERVIÇO, quanto ao pagamento de salários de empregados do prestador isso é uma questão interna que diz respeito apenas a ele.

  • Lei 10520/02:

     

    Art.12, III - na impossibilidade do atendimento ao disposto no inciso II, excepcionalmente, poderão ser registrados outros preços diferentes da proposta vencedora, desde que se trate de objetos de qualidade ou desempenho superior, devidamente justificada e comprovada a vantagem, e que as ofertas sejam em valor inferior ao limite máximo admitido.

  • Complementando...

    Quem faz a "indicação da remuneração" dos empregados é o fornecedor do serviço no lance ou na proposta por ele apresentada no valor global/mensal, sendo ele responsável em garantir o respeito ao piso salarial da categoria de trabalhadores por ele contratados. 

    Fonte: Prática!

  • BOA TARDE, NO CASO DE OBRAS, NA PLANILHA DE COMPOSIÇÃO VEM OS VALORES DOS COLABORADORES, É LEGAL OU NÃO. ?

  • Wesley Narduchi,

     

    ... Com base na Lei n.º 10.520/2002 E na Instrução Normativa do MPOG/SLTI n.º 4/2014 (...).

    .

    .

    At.te

    Foco na missão 

  • GABARITO ERRADO (SEGUNDO IN01/2019)

    IN01/2019

    Art. 5º É vedado:

    II - prever em edital a remuneração dos funcionários da contratada;

  • Gabarito: ERRADO

    INSTRUÇÃO NORMATIVA Nº 1, DE 4 DE ABRIL DE 2019

    Art. 5º É vedado:

    I - estabelecer vínculo de subordinação com funcionários da contratada;

    II - prever em edital a remuneração dos funcionários da contratada;

    III - indicar pessoas para compor o quadro funcional da contratada;

    IV - demandar a execução de serviços ou tarefas estranhas ao objeto da contratação, mesmo que haja anuência do preposto ou da própria contratada;

    V - reembolsar despesas com transporte, hospedagem e outros custos operacionais, que devem ser de exclusiva responsabilidade da contratada;

    VI - prever em edital exigências que constituam intervenção indevida da Administração na gestão interna dos fornecedores;

    VII - prever em edital exigência que os fornecedores apresentem, em seus quadros, funcionários capacitados ou certificados para o fornecimento da solução, antes da contratação;

    VIII - adotar a métrica homem-hora ou equivalente para aferição de esforço, salvo mediante justificativa e sempre vinculada à entrega de produtos de acordo com prazos e qualidade previamente definidos;

    IX - contratar por postos de trabalho alocados, salvo os casos justificados mediante a comprovação obrigatória de resultados compatíveis com o posto previamente definido;

    X - fazer referências, em edital ou em contrato, a regras externas de fabricantes, fornecedores ou prestadores de serviços que possam acarretar na alteração unilateral do contrato por parte da contratada; e

    XI - nas licitações do tipo técnica e preço:

    a) incluir critérios de pontuação técnica que não estejam diretamente relacionados com os requisitos da solução de TIC a ser contratada ou que frustrem o caráter competitivo do certame; e

    b) fixar fatores de ponderação distintos para os índices "técnica" e "preço" sem que haja justificativa para essa opção.


ID
2027755
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Considerando que determinado órgão da administração pública federal pretenda realizar uma licitação para contratar serviços de tecnologia da informação, julgue o próximo item com base na Lei n.º 10.520/2002 e na Instrução Normativa do MPOG/SLTI n.º 4/2014.

A modalidade pregão poderá ser utilizada caso a licitação envolva o desenvolvimento de um software.

Alternativas
Comentários
  • Lei 10520/2012. Art. 1º  Para aquisição de bens e serviços comuns, poderá ser adotada a licitação na modalidade de pregão, que será regida por esta Lei.

    Desenvolver software é um serviço comum. 

  • Correta galera;

     

    Decreto 7174

     

    Art. 9o  Para a contratação de bens e serviços de informática e automação, deverão ser adotados os tipos de licitação “menor preço” ou “técnica e preço”, conforme disciplinado neste Decreto, ressalvadas as hipóteses de dispensa ou inexigibilidade previstas na legislação. 

     

    § 1o  A licitação do tipo menor preço será exclusiva para a aquisição de bens e serviços de informática e automação considerados comuns, na forma do parágrafo único do art. 1º da Lei nº 10.520, de 2002, e deverá ser realizada na modalidade de pregão, preferencialmente na forma eletrônica, conforme determina o art. 4o do Decreto no 5.450, de 31 de maio de 2005. 

     

    § 2o  Será considerado comum o bem ou serviço cuja especificação estabelecer padrão objetivo de desempenho e qualidade e for capaz de ser atendida por vários fornecedores, ainda que existam outras soluções disponíveis no mercado. 

     

     

    "I'm strong enough to climb the highest tower.
    And I'm fast enough to run across the sea"

  • Lei 10.520/2002

     

    Art. 1º  Para aquisição de bens e serviços comuns, poderá ser adotada a licitação na modalidade de pregão, que será regida por esta Lei.

    Parágrafo único.  Consideram-se bens e serviços comuns, para os fins e efeitos deste artigo, aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado.

  • CERTO. (abaixo Acórdãos do TCU que corroboram o uso do Pregão para bens e serviços de TI)

     

    a licitação na modalidade Pregão é admitida para a aquisição de softwares desde que estes possam ser nitidamente classificados como “bem comum”, nos termos da definição contida no parágrafo único do art. 1º da Lei 10.520/2002; (Acórdão nº 2.094/2004 - Plenário)

     

     “utilizar a modalidade Pregão estritamente para aquisição e/ou contratação de bens e serviços comuns, ou seja, aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado, conforme regra ínsita no art. 1º, parágrafo único, da Lei nº 10.520/2002, incluindo nessas características os bens e serviços de informática.(Acórdão nº 740/2004 - Plenário com redação alterada pelo Acórdão nº 1.299/2006 - Plenário)

  • IN 4/2014

    Art. 26 Parágrafo único. É obrigatória a utilização da modalidade Pregão para as contratações de que trata esta IN sempre que a Solução de Tecnologia da Informação for enquadrada como bens ou serviços comuns, conforme o art. 1º da Lei nº 10.520, de 2002, preferencialmente na forma eletrônica, de acordo com o Decreto nº 5.450, de 2005.

  • GABARITO: CERTO.

     

    "Inicialmente cabe destacar que não está em discussão a adoção do pregão como a modalidade licitatória adequada para a contratação de bens e serviços comuns, inclusive de tecnologia da informação, a exemplo do desenvolvimento de software em geral. A obrigatoriedade do pregão em tais casos decorre de imposição legal, consolidada tanto na jurisprudência do TCU (ex.: acórdãos 2.138/2005-TCU-Plenário e 2.471/2008-TCU-Plenário, entre outros), quanto na legislação, a exemplo do § 1º do art. 9º do Decreto 7.174/2010 e da atual IN-SLTI/MP 4/2014, art. 26, parágrafo único" (TCU, Acórdão n. 2.362/2015, Rel. Min. Augusto Nardes, Plenário, julgado em 23/09/2015).

  • eu errei essa questão pq sou desenvolvedor

     

    não é nada comum desenvolver um software

     

    maaaasssss

     

    vamos nessa neh

  • desenvolvedor injuriado aqui

    software ser comum fala serio

  • Desenvolver software é comum? Pelo amor de Deus! 
    É por isso que bate desânimo, você nunca sabe qual é o pensamento do examinador.

  • Pois é meus amigos, eu como desenvolvedor também deixo aqui a minha indignação. Desenolver software é completamente diferente de aquisição de software. Não há nada de comum. Cada software é um software diferente e existem um zilhão de variáveis, mas o TCU disse, está dito. O que vale é o acórdão do TCU, o resto do povo tentando justificar de outras formas é viagem na maionese.

  • Os desenvolvedor tudo revoltado, pq chamaram o serviço deles de comum, heuheuheuheuheuhe !

  • software é considerado um serviço comum desde quando ??? pelo amor de deus a cespe quer q a pessoa erre a todo custo não aceita nada pqp

  • Pessoal, só uma dica: a questão diz: "julgue o próximo item com base na Lei n.º 10.520/2002 e na Instrução Normativa do MPOG/SLTI n.º 4/2014". O comentário mais votado se baseia no Decreto 7.174/2010. É coerente, mas não é a fonte que devemos nos basear. Cuidado com os enunciados!

     

    Levemos em consideração a lei e a IN citadas e os acórdãos do TCU (já que jurisprudência - quase - sempre vale), já expostos pelos colegas.

  • Segue decisão do TRF que não aceitou pregão para serviço de software:

    ADMINISTRATIVO. MANDADO DE SEGURANÇA. LICITAÇÃO. INADEQUAÇÃO DA MODALIDADE DO PREGÃO PARA A CONTRATAÇÃO DE SERVIÇOS NÃO ENQUADRADOS NA CATEGORIA DE "COMUNS". VIOLAÇÃO À LEGISLAÇÃO. ANULAÇÃO DO CERTAME. I - Nos termos do parágrafo único do art. 1º da Lei nº 10.520/2000, "Consideram-se bens e serviços comuns, para os fins e efeitos deste artigo, aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado." II - Da análise do caso concreto, verifica-se que para a contratação de empresa especializada na prestação de serviços de informática, visando o desenvolvimento de software de apoio à tomada de decisões, não se afigura cabível a licitação na modalidade do pregão, por tratar-se de serviço que não se caracteriza notoriamente como "serviços comuns", na forma da legislação de regência. II - Remessa oficial desprovida. Sentença confirmada. (TRF-1 - REOMS: 21859 DF 2009.34.00.021859-0, Relator: DESEMBARGADOR FEDERAL SOUZA PRUDENTE, Data de Julgamento: 12/03/2012,  QUINTA TURMA, Data de Publicação: e-DJF1 p.342 de 30/03/2012)

  • Como se objetiva um desenvolvimento de software ?????? que loucura... ainda mais serviço comum...

      

    Saiu o resultado dos recursos e manteve o gabarito como certo.

    E na próxima? Se cobrar jurisprudência marcaremos como errado, se cobrar só pela lei marcaremos certo (considerando a hipótese de conseguir objetivar o desenvolvimento)

  • Poderia ser adotado pregao ou deverá ser adotado?..
  • LEI 10520

    Art. 2º, § 1º Poderá ser realizado o pregão por meio da utilização de recursos de tecnologia da informação, nos termos de regulamentação específica.

     

  • A especificação usal de mercado para servicos de desenvolvimento de software ocorre por pontos de função. Por isso, pode-se utilizar o pregão.
  • Gab: Certo

    Art. 1º  Para aquisição de bens e serviços comuns, poderá ser adotada a licitação na modalidade de pregão (Lei 10.520)

    Embora correta, é uma pena tal consideração pois nao é qualquer um que desenvolve softwares!

     

    Espero ter ajudado, bons estudos!

     

  • Mesmo mencionando a tal IN, fui convicto no errado. rsss

  • Penso da mesmo forma que o Ademar.

    IN 4/2014

    Art. 26 Parágrafo único. É obrigatória a utilização da modalidade Pregão para as contratações de que trata esta IN sempre que a Solução de Tecnologia da Informação for enquadrada como bens ou serviços comuns, conforme o art. 1º da Lei nº 10.520, de 2002, preferencialmente na forma eletrônica, de acordo com o Decreto nº 5.450, de 2005.

    A Lei diz "deverá" ser adotado. Portanto, não é um ato discricionario (poderá) é vinculado(deverá)
    Por isso, marquei errado

  • A modalidade Pregão poderá ser utilizada caso a licitação envolva o desenvolvimento de um software?

    O tema é polêmico. A IN 04/2014 diz: " É obrigatória a utilização da modalidade Pregão para as contratações de que trata esta IN sempre que a Solução de Tecnologia da Informação for enquadrada como bens ou serviços comuns, conforme o art. 1º da Lei nº 10.520, de 2002". Ou seja, caso a contratação se enquadre como um bem comum, o Pregão deve ser utilizado. 

    Entretanto, o que é bem comum? De acordo com a Lei nº 10.520, de 2002, consideram-se bens e serviços comuns aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado.

    Por sua vez, o Acórdão nº 2.094/2004–Plenário do TCU, cita: "a licitação na modalidade Pregão é admitida para a aquisição de softwares desde que estes possam ser nitidamente classificados como “bem comum”, nos termos da definição contida no parágrafo único do art. 1º da Lei 10.520/2002".

    Enfim, é sim possível que o Pregão seja utilizado para os casos de licitação que envolva desenvolvimento de software.

    QUESTÃO CERTA.

  • Seria "bem comum" se fosse a simples compra de software, não o desenvolvimento de um. Não?

  • sacanagem da banca, mas não é passível a anulação não, pois a questão traz expresso a Lei n.º 10.520/2002 que fala claramente que o pregão PODERÁ ser usado para contratação de um bem comum. 


ID
2027758
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Governança de TI
Assuntos

Considerando que determinado órgão da administração pública federal pretenda realizar uma licitação para contratar serviços de tecnologia da informação, julgue o próximo item com base na Lei n.º 10.520/2002 e na Instrução Normativa do MPOG/SLTI n.º 4/2014.

A gestão de segurança da informação do referido órgão pode ser objeto do contrato com a empresa privada vencedora da licitação, desde que seja garantida a participação de servidores do órgão na gestão.

Alternativas
Comentários
  • IN 4/2014

    Art. 5º Não poderão ser objeto de contratação:

    II - gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da informação

  • votem para mudar a classificação

     

    deveria ser classificada como IN/04

  • A resposta para essa questão só pde ser extraída da IN 4/2014?

  • LOUCURA. FIZ ESSE CONCURSO EM BELÉM PENSE EM UMA PROVA LOUCA, FIZ NA AREA DE ECONOMIA. MAS NÃO PASSEI MAS NÃO DESISTI, ESTAMOS NA ATIVA. VAMOS PASSAR.

  • Art. 3º Não poderão ser objeto de contratação:

    I - mais de uma solução de TIC em um único contrato, devendo o órgão ou entidade observar o disposto nos §§ 2º e 3º do art. 12; e

    II - o disposto no art. 3º do Decreto nº 9.507, de 2018, inclusive gestão de processos de TIC e gestão de segurança da informação.

    Parágrafo único. O apoio técnico aos processos de gestão, de planejamento e de avaliação da qualidade das soluções de TIC poderá ser objeto de contratação, desde que sob supervisão exclusiva de servidores do órgão ou entidade.

    Art. 3º Não serão objeto de execução indireta na administração pública federal direta, autárquica e fundacional, os serviços:

    I - que envolvam a tomada de decisão ou posicionamento institucional nas áreas de planejamento, coordenação, supervisão e controle;

    II - que sejam considerados estratégicos para o órgão ou a entidade, cuja terceirização possa colocar em risco o controle de processos e de conhecimentos e tecnologias;

    III - que estejam relacionados ao poder de polícia, de regulação, de outorga de serviços públicos e de aplicação de sanção; e

    IV - que sejam inerentes às categorias funcionais abrangidas pelo plano de cargos do órgão ou da entidade, exceto disposição legal em contrário ou quando se tratar de cargo extinto, total ou parcialmente, no âmbito do quadro geral de pessoal.

    § 1º Os serviços auxiliares, instrumentais ou acessórios de que tratam os incisos do caput poderão ser executados de forma indireta, vedada a transferência de responsabilidade para a realização de atos administrativos ou a tomada de decisão para o contratado.

    § 2º Os serviços auxiliares, instrumentais ou acessórios de fiscalização e consentimento relacionados ao exercício do poder de polícia não serão objeto de execução indireta.

    Art. 12. O Termo de Referência ou Projeto Básico será elaborado pela Equipe de Planejamento da Contratação a partir do Estudo Técnico Preliminar da Contratação, incluindo, no mínimo, as seguintes informações:

    § 2º A Equipe de Planejamento da Contratação avaliará a viabilidade de:

    I - realizar o parcelamento da solução de TIC a ser contratada, em tantos itens quanto se comprovarem técnica e economicamente viáveis, justificando-se a decisão de parcelamento ou não da solução; e

    II - permitir consórcio ou subcontratação da solução de TIC, observado o disposto nos arts. 33 e 72 da Lei nº 8.666, de 1993, respectivamente, justificando-se a decisão.

    § 3º A Equipe de Planejamento da Contratação avaliará, ainda, a necessidade de licitações e contratações separadas para os itens que, devido a sua natureza, possam ser divididos em tantas parcelas quantas se comprovarem técnica e economicamente viáveis, procedendo-se à licitação com vistas ao melhor aproveitamento dos recursos disponíveis no mercado e à ampliação da competitividade sem perda da economia de escala, conforme disposto no art. 23, § 1º da Lei nº 8.666, de 1993.


ID
2027761
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Engenharia de Software
Assuntos

Uma empresa foi contratada pela administração pública federal para desenvolver um software de gestão da informação. O contrato prevê cargos de programadores, mas impõe que a gerência de desenvolvimento fique sob a responsabilidade de servidores do órgão.

A respeito dessa situação hipotética, julgue o item subsequente.

Se o escopo do projeto de desenvolvimento do software for alterado, a administração poderá diminuir o número de programadores contratados, de modo a reduzir o valor inicial do contrato em até 50%.

Alternativas
Comentários
  • Marquei ERRADO, levando em consideração a INSTRUÇÃO NORMATIVA N° 4, DE 11 DE SETEMBRO DE 2014.

     

    Art. 7 É vedado:

     

    I - estabelecer vínculo de subordinação com funcionários da contratada;
    II - prever em edital a remuneração dos funcionários da contratada;
    III - indicar pessoas para compor o quadro funcional da contratada;

    ...

    VI - prever em edital exigências que constituam intervenção indevida da Administração na gestão interna dos fornecedores;

  • IN04

    Art. 7o É vedado:

    ...
    IV - demandar a execução de serviços ou tarefas que escapem ao escopo do objeto da contratação, mesmo que haja assentimento do preposto ou da própria contratada;
     

    Quem deve lidar com mudanças de escopo é unicamente o órgão contratante. 

  • A questão versa sobre a alteração do contrato, que para este caso poderá ser de até 25%, conforme a Lei 8.666/93: “ O contratado fica obrigado a aceitar, nas mesmas condições contratuais, os acréscimos ou supressões que se fizerem nas obras, serviços ou compras, até 25% (vinte e cinco por cento) do valor inicial atualizado do contrato, e, no caso particular de reforma de edifício ou de equipamento, até o limite de 50% (cinqüenta por cento) para os seus acréscimos. “

ID
2027764
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Engenharia de Software
Assuntos

Uma empresa foi contratada pela administração pública federal para desenvolver um software de gestão da informação. O contrato prevê cargos de programadores, mas impõe que a gerência de desenvolvimento fique sob a responsabilidade de servidores do órgão.

A respeito dessa situação hipotética, julgue o item subsequente.

Uma pessoa contratada para exercer a função de programador poderá compor a equipe de gerência de projetos, desde que tenha certificação para tal.

Alternativas
Comentários
  • Marquei ERRADO, levando em consideração a INSTRUÇÃO NORMATIVA N° 4, DE 11 DE SETEMBRO DE 2014.

     

    Art. 7 É vedado:

     

    I - estabelecer vínculo de subordinação com funcionários da contratada;
    II - prever em edital a remuneração dos funcionários da contratada;
    III - indicar pessoas para compor o quadro funcional da contratada;

    ...

    VI - prever em edital exigências que constituam intervenção indevida da Administração na gestão interna dos fornecedores;

  • Penso que se a administração pública contratou uma pessoa para exercer uma função X, mas, ao mesmo tempo, permitir que o referido contratado exerça uma função Y ou X+Y (no caso desta questão), estará violando o contrato.


ID
2027767
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos princípios de segurança da informação, criptografia e certificação digital, julgue o item a seguir.

Em criptografia assimétrica, para se recuperar um texto claro oriundo de um texto cifrado com uma chave pública e um algoritmo de criptografia, deve-se utilizar a chave privada associada e o correspondente algoritmo de decriptografia.

Alternativas
Comentários
  • GAB: C!!  Há duas técnicas básicas para criptografar informações: criptografia simétrica (também chamada de criptografia de chave secreta) e criptografia assimétrica (também chamado criptografia de chave pública).

    Criptografia assimétrica

    O problema com chaves secretas está em trocá-las pela Internet ou por uma grande rede e ao mesmo tempo impedir que caia em mãos erradas. Qualquer pessoa que conheça a chave secreta pode descriptografar a mensagem. Uma resposta é a criptografia assimétrica, em que há duas chaves relacionadas - um par de chaves. Uma chave pública é disponibilizada gratuitamente a qualquer pessoa que queira enviar uma mensagem. Uma segunda chave privada é mantida em segredo, para que somente você saiba. 

    Qualquer mensagem (texto, arquivos binários ou documentos) que é criptografada usando a chave pública só pode ser descriptografada, aplicando o mesmo algoritmo, mas usando a chave particular correspondente. Qualquer mensagem que é criptografada usando a chave privada só pode ser descriptografada usando a chave pública correspondente. 

    Isso significa que você não precisa se preocupar em passar as chaves públicas pela Internet (as chaves devem ser públicas).

    https://support.microsoft.com/pt-br/kb/246071

  • CRIPTOGRAFIA

    Olá pessoal (GABARITO = CERTO)

    ---------------------------------------------------------

    A forma mais utilizada para prover a segurança em pontos vulneráveis de uma rede de computadores é a utilização da criptografia.

    A criptografia fornece técnicas para codificar e decodificar dados, tais que os mesmos possam ser armazenados, transmitidos e recuperados sem sua alteração ou exposição.

    ---------------------------------------------------------

    A criptografia moderna pode ser classificada como Simétrica ou Assimétrica.

    ---------------------------------------------------------

    Criptografia assimétrica:

    Existem duas chaves (MACETE: aSSimétrica = dois SS = duas chaves);

    Uma conhecida por chave pública e a outra por chave privada.

    ---------------------------------------------------------

    Criptografia Simétrica:

    Uma única chave (MACETE: Simétrica = um S = uma chave);

    Os algoritmos Simétricos, por sua vez, podem ser subdivididos em algoritmos em bloco e algoritmos de fluxo.

    m algoritmo é tanto mais poderoso (e eficiente) quanto melhor for a utilização que faz da chave e quanto mais resistente for à criptoanálise (processo que tenta descobrir o conteúdo cifrado pelo algoritmo, sem necessitar de qualquer tipo de chave).

    ---------------------------------------------------------

    Fé em Deus, não desista.

  • Discordo do gabarito pois nunca ouvi falar de ALGORITMO DE DECRIPTOGRAFIA. Até onde sei, não são dois algoritmos um para cifrar e outro para decifrar. Se não são dois algoritmos distintos, não existe um "algoritmo de decriptografia".

  • @George Silva.

     

    Algoritmo = pedaço de código, podendo ser a parte que criptografa, a parte que decriptografa ou ambas. 

  • Confidencialidade: remetente pega a chave publica do destinatario, criptografa e destinatario descriptografa com a chave privada

    assinatura digital: remetente criptografa com sua chave privada e destinatario descriptografa com a chave publica do remetente

  • Um esquema de criptografia de chave pública possui seis ingredientes (Figura 9.1a; compare com a Figura 2.1):
    • Texto claro: essa é a mensagem ou dados legíveis que são alimentados no algoritmo como entrada.
    • Algoritmo de criptografia: o algoritmo de criptografia realiza várias transformações no texto claro.
    • Chaves pública e privada: esse é um par de chaves que foi selecionado de modo que, se uma for usada para
    criptografia, a outra será usada para decriptografia. As transformações exatas realizadas pelo algoritmo
    dependem da chave pública ou privada que é fornecida como entrada.
    • Texto cifrado: essa é a mensagem codificada produzida como saída. Ela depende do texto claro e da chave.
    Para uma determinada mensagem, duas chaves diferentes produzirão dois textos cifrados diferentes.
    • Algoritmo de decriptografia: esse algoritmo aceita o texto cifrado e a chave correspondente e produz o texto
    claro original.

    Fonte: página 183 do livro Criptografia e Segurança de Redes - Stallings, William

  • Turetto, se vc concorda ou nao, guarde isso pra si, erre sozinho, mas nao induza os outros a isso. Temos q fazer o q a banca, e os autores pedem. Se no dia da prova a banca pedir pra vc plantar bananeira no meio da sala, vc deve obedecer, pois sua aprovacao depende dela, nao do q vc concorda ou discorda.

    Dito isso, vamos responder a questao.

    Para este autor[1], "um algoritmo criptográfico da Alice com chave K crip-tografa um texto legível x obtendo-se um outro texto ilegível fk(X) = Y. O texto y é transmitido para o computador-destino do Beto onde y é decriptografado pelo algoritmo inverso fk(y) obtendo-se x se e só se o destinatário Beto conhece a chave K.

    Fonte:

    [1] Segurança de dados: criptografia em rede de computador, Routo Terada

  • Minha contribuição.

    Criptografia simétrica x Criptografia assimétrica

    Criptografia simétrica: Implica o uso de uma chave secreta que é utilizada tanto para codificar quanto para decodificar informações.

    Criptografia assimétrica (criptografia de chave pública): Utiliza duas chaves distintas, sendo uma pública e outra privada. A chave pública é disponibilizada para qualquer um e a chave privada é de uso personalíssimo e restrito a um usuário, instituição ou equipamento. Esse par de chaves formam um par exclusivo, de modo que um texto criptografado pela chave pública só pode ser descriptografado pela chave privada e um texto criptografado pela chave privada só pode ser descriptografado pela chave pública.

    Mnemônico:

    Simétrica - 1 chave

    Assimétrica - 2 chaves

    Fonte: Estratégia

    Abraço!!!

  • GABARITO: CERTO.

  • Criptografia Assimétrica = 2 chaves.

    Ambas podem cifrar e decifrar


ID
2027770
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos princípios de segurança da informação, criptografia e certificação digital, julgue o item a seguir.

Um certificado digital contém, além de atributos específicos do usuário, uma chave pública, assinada digitalmente por entidade confiável, responsável pela emissão do certificado ou pela autenticação da entidade emissora.

Alternativas
Comentários
  • GAB: C  !! 

    Informações gerais

    A principal finalidade do certificado digital é garantir que a chave pública contida no certificado pertence à entidade à qual o certificado foi emitido. 

    Técnicas de criptografia usando chaves públicas e privadas exigem uma infra-estrutura de chave pública (PKI) para oferecer suporte a distribuição e a identificação de chaves públicas. Os certificados digitais de pacote chaves públicas, informações sobre os algoritmos usados, proprietário ou dados de assunto, a assinatura digital de uma autoridade de certificação que verificou os dados da entidade e um intervalo de datas durante o qual o certificado pode ser considerado válido. 

    Sem certificados, seria possível criar um novo par de chaves e distribuir a chave pública, afirmar que é a chave pública para quase todas as pessoas. Você poderia enviar dados criptografados com a chave privada e a chave pública seria usada para descriptografar os dados, mas não haveria nenhuma garantia de que os dados foi originados por qualquer pessoa em particular. Todos o receptor deve saber é que um par de chave válido foi usado.

    Autoridades de certificação

    Os certificados são assinados com a autoridade de certificação (CA) que emite. Em essência, uma autoridade de certificação é um terceiro confiável normalmente confiam para verificar a correspondência de chaves públicas a identidade, nome de email ou outras informações desse gênero. 

    As vantagens de certificados e autoridades de certificação ocorrem quando duas entidades confiam na mesma CA. Isso permite que eles saber a chave pública do outro trocando certificados assinados pela autoridade de certificação. Depois sabem que a chave pública do outro, eles podem ser usados para criptografar dados e enviá-lo para um outro, ou para verificar as assinaturas nos documentos. 

    Um certificado mostra que uma chave pública armazenada no certificado pertence ao assunto do certificado. 

    Software que foi desenvolvido para tirar proveito da PKI mantém uma lista de autoridades de certificação que ele confia. 

    https://support.microsoft.com/pt-br/kb/195724

     

  • Certo.

    Na Certificação digital utiliza-se a chave pública de um usuário que garante a autenticidade, integridade e não repúdio. Não garante confidencialidade, pois não é criptografada.Uma característica particular da certificação digital é que a Autoridade Certificadora atesta e assina a chave do usuário.

    Fonte: Alfaconcursos

  • Minha contribuição.

    Certificado Digital: É um documento eletrônico assinado digitalmente por uma terceira parte confiável, chamada autoridade certificadora, e que cumpre a função de associar uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas com o intuito de tornar as comunicações mais confiáveis e auferindo maior confiabilidade na autenticidade.

    Fonte: Estratégia

    Abraço!!!

  • GABARITO: CERTO.

  • COMPOSIÇÃO DE UM CERTIFICADO DIGITAL:

    • Versão e Número de sério do certificado
    • Dados que identificam a AC que o emitiu
    • Dados que identificam o dono do certificado
    • Chave Pública do dono do certificado
    • Validade do certificado
    • Assinatura digital da AC emissora do certificado

  • O que eu não entendi é que quem assina é a autoridade certificadora, certo? Agora, a entidade que certificada essa autoridade não assina digitalmente o certificado do usuário final. Estou equivocado?

  • http://chng.it/gyLDxv6PVf

  • Se a Autoridade Certificadora Nível 1 pode assinar, porque a Autoridade Certificadora Raiz não poderia.

  • Esse 'OU' na questão que me deixou em dúvida...


ID
2027773
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos princípios de segurança da informação, criptografia e certificação digital, julgue o item a seguir.

Caso a senha da conta de email do presidente de determinada organização seja indevidamente trocada, ficando a conta temporariamente inacessível ao seu proprietário, haverá quebra da integridade das informações contidas nas mensagens da caixa postal correspondente.

Alternativas
Comentários
  • ERRADO

    No caso em tela ao que tudo indica, haverá "quebra" da DISPONIBILIDADE.

     

    Evidência no trecho: "ficando a conta temporariamente inacessível".

  • Acredito que seja "quebra" de disponibilidade.

    Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

    http://cartilha.cert.br/

  • Concordo com o Luiz, o serviço ficou indisponível, o comando da questão não indica que houve violação das mensagens ou algo do tipo.

  • Ampliando o debate:

    Acredito que a questão esteja correta. O enunciado diz que a senha foi INDEVIDAMENTE TROCADA.

     

    Trazendo essa situação para a nossa realidade. Imagine que a sua senha pessoal (face; e-mail....)  fosse INDEVIDAMENTE TROCADA

     

    Suponha que, de alguma forma, você conseguisse novamente obter acesso ao seu face ou email. 

    Você confiaria (100%) que não mexeram neles? Que ninnguém postou nada em seu nome ou que enviaram e-mail por você?

    Se a resposta for "eu ficaria com um pé atraz" então para mim a informação deixou de ser integra.

     

    "A integridade é o aspecto que se preocupa com a confiança que pode ser depositada sobre uma informação obtida"

     

    Assim, acredito ter havido compromentimento da integridade e certamente também houve a indisponibilidade da informação, mas isso, por si só, não invalida a questão.

     

     

  • Errado 

    O critério atacado foi a disponibilidade.

  • Robson O. Seu pensamento esta correto e bem fundamentado, porém, pra responder questões desta banca temos que "responder a mais certa" que no caso é a Disponibilidade, em outras palavras, "temos que reponder o que o avaliador quer ouvir".

    Veja que a questão não menciona a palavra disponibilidade justamente porque o avaliador quer saber se voce estudou o assunto e sabe que os atributos são: Confidencialidade, Integridade, Disponibilidade e Autenticidade e o que significa cada um deles.

    Ademais, se levarmos em consideração a sua forma de pensar e seus argumentos, poderíamos dizer que TODOS os atributos foram quebrados, mas perceba que não é isso que a banca quer. 

  • Logo que li a questão também pensei o mesmo, Robson, mas não é certeza que haverá a quebra da integridade das informações, diferentemente do que a questão afirma: HAVERÁ. Se na questão fosse dito que poderia ocorrer a quebra da integridade, aí sim o item estaria correto.

  • haverá quebra na disponibilidade.

     

    Gabarito: E

  • Gabarito Errado

    Nada a ver integridade com isso... será disponibilidade.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Háverá quebra de disponibilidade, poderá haver quebra de integridade e confidencialidade ;-)

  • Erivelton Luis, seu texto é uma poesia...

    Mas nâo vejo por ai! Se sua conta de e-mail foi invadida ficando indisponivel para vc, isso não significa q o invasor leu seus e-mails(quebrando a confidencialidade), ou alterou algo(rompendo a integridade). Mas, com toda crtza absoluta, significa quebra da disponibilidade, pois vc perdeu o acesso!!!

    Não enxergo essa subjetividade toda q vc cuspiu não.

  • GAB: ERRADO!

    Na verdade, haverá a quebra da disponibilidade, visto que o presidente não terá mais o acesso a não ser que recupere a senha.

    PRINCÍPIO DA DISPONIBILIDADE:

    Garantia da informação sempre disponível aos envolvidos (criador e autorizados pelo criador);

    Pode ser relacionada ao acesso de rede VPN;

    "O princípio estará ferido quando a informação não estiver disponível."

  • GABARITO: ERRADO.

  • Haverá quebra da disponibilidade

  • Erivelton Luis, seu texto é uma poesia...

    Mas nâo vejo por ai! Se sua conta de e-mail foi invadida ficando indisponivel para vc, isso não significa q o invasor leu seus e-mails(quebrando a confidencialidade), ou alterou algo(rompendo a integridade). Mas, com toda crtza absoluta, significa quebra da disponibilidade, pois vc perdeu o acesso!!!

    Não enxergo essa subjetividade toda q vc cus*piu não.

  • Erivelton Luis, seu texto é uma poesia...

    Mas nâo vejo por ai! Se sua conta de e-mail foi invadida ficando indisponivel para vc, isso não significa q o invasor leu seus e-mails(quebrando a confidencialidade), ou alterou algo(rompendo a integridade). Mas, com toda crtza absoluta, significa quebra da disponibilidade, pois vc perdeu o acesso!!!

    Não enxergo essa subjetividade toda q vc cus*piu não.

  • Erivelton Luis, seu texto é uma poesia...

    Mas nâo vejo por ai! Se sua conta de e-mail foi invadida ficando indisponivel para vc, isso não significa q o invasor leu seus e-mails(quebrando a confidencialidade), ou alterou algo(rompendo a integridade). Mas, com toda crtza absoluta, significa quebra da disponibilidade, pois vc perdeu o acesso!!!

    Não enxergo essa subjetividade toda q vc cus*piu não.

  • quebra de disponibilidade e confidencialidade

  • Minha contribuição.

    Segurança da Informação - Princípios Fundamentais

    Confidencialidade: é a capacidade de um sistema de não permitir que informações estejam disponíveis ou sejam reveladas a entidades não autorizadas.

    Integridade: é a capacidade de garantir que a informação manipulada está correta, fidedigna e que não foi corrompida.

    Disponibilidade: é a propriedade de uma informação estar acessível e utilizável sob demanda por uma entidade autorizada.

    Autenticidade (legitimidade): é a propriedade que trata da garantia de que um usuário é de fato quem alega ser. Em outras palavras, garante a identidade de quem está enviando uma determinada informação.

    Irretratabilidade: também chamada de irrefutabilidade ou não-repúdio, o princípio trata da capacidade de garantir que o emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria.

    Fonte: Estratégia

    Abraço!!!


ID
2027776
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item seguinte, acerca de ataques a computadores.

Em caso de um serviço de rede sofrer ataque de negação de serviço distribuído, os usuários conectados permanecerão com tempo de resposta garantido; as novas tentativas de conexão serão negadas e novos acessos ao serviço, bloqueados.

Alternativas
Comentários
  • Totalmente errado.

     

    O ataque de negação de serviço (Ddos) é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores, com o objetivo de forçar o sistema da vítima a reinicializar ou consumir todos os recursos de forma que ele não possa mais fornecer seu serviço.

     

    Exemplo: Quando Hackers fazem com que diversos computadores acessem um site específico ao mesmo momento, com o objetivo de derrubar o site.

  • Em caso de um ataque de negação de serviço, não apenas os próximos usuarios que tentarem acessar o serviço terão o acesso negado. Os usuários que atualmente estão utilizando o serviço também sofrerão perda de acesso ou lentidão(a depender da efetividade do ataque).

  • How do you know if an attack is happening?

     

    Not all disruptions to service are the result of a denial-of-service attack. There may be technical problems with a particular network, or system administrators may be performing maintenance. However, the following symptoms could indicate a DoS or DDoS attack:

    ---unusually slow network performance (opening files or accessing websites)

    ---unavailability of a particular website

    ---inability to access any website

    ---dramatic increase in the amount of spam you receive in your account

     

    SOURCE: https://www.us-cert.gov/ncas/tips/ST04-015

  • O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas.

  • Boa noite! Só uma dúvida. O efeito que estes ataques causam são os mesmos que acontencem quando vamos acessar o site do CESPE, por exemplo, no dia de divulgação do gabarito, em que o site fica travadão ? Rs. 

    Obrigado. 

  • Galera, 

    alguém poderia esclarecer esse trecho : os usuários conectados permanecerão com tempo de resposta garantido

  • O ataque de negação de serviço é qualquer tipo de ataque que negue o serviço. A princípio, até tirar o roteador da tomada pode ser considerado um ataque de DOS(deny of service) rs.

     

    A questão não disse qual exatamente foi o ataque, então a princípio não podemos garantir que usuários já conectados garantam a permanência de sua conexão. Mas o maior erro da questão, ao meu ver, "é tempo de resposta garantido", visto que mesmo que não derrube o serviço para os já conectados, no mínimo causa uma lentidão. E a segunda parte da questão até está correta, visto que novos usuários terão realmente dificuldade em conectar.

  • É parecido com isso Tiago, só que muito pior. DOS(deny of service) Os Crakers enviam milhares de pacotes(buffer over flow) para derrubar o servidor, pois, este fica sobrecarregado.

    Derrubando o servidor, não irá funcionar a rede. Respondendo a Jayce ayres. Quando vc solicita um serviço digitando, por exemplo, um endereço no navegador, não há retorno algum. acredito que isso que eles se referiam na questão. Ao contrário do que esta na questão.

  • alguém poderia esclarecer esse trecho : os usuários conectados permanecerão com tempo de resposta garantido

     

    Respondendo a colega:

    Não permanecerão, pois o sistema estará sobrecarregado com novas requisições ou até mesmo fora do ar.

     

  • Bruno Campos, quando um servidor sofre um ataque de negação de serviço o usuário também sofre. É tipo quando a conexão de internet fica lenta e a conexão cai, isso ocorre quando o ataque de negação foi bem sucedido, ou seja, o tempo de resposta do usuário foi comprometido.

  • Em caso de um serviço de rede sofrer ataque de negação de serviço distribuído, os usuários conectados permanecerão com tempo de resposta garantido; as novas tentativas de conexão serão negadas e novos acessos ao serviço, bloqueados.

    O temo de resposta ficará comprometido, não é possível afirmar: as novas tentativas de conexão serão negadas e novos acessos ao serviço, bloqueados..

  • Q616329

    Ano: 2015

    Banca: CESPE

    Órgão: MEC

    Prova: Gerente de Segurança

     

    No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.

    Ataques DDoS de fragmentação de pacotes, tanto em TCP quanto em UDP, são um desafio a qualquer sistema de proteção de rede, pelo fato de os pacotes não chegarem ordenados e as informações relativas às portas de origem e destino serem disponibilizadas apenas no último pacote.

    GABARITO - CERTO 

     

    Q340752

    Ano: 2013

    Banca: IBFC

    Órgão: PC-RJ

    Prova: Perito Criminal - Engenharia da Computação

     

    Com relação a ataques DoS (Denial of Service) e DDoS (Distributed Denial of Service), analise:

    I. O ataque DoS (Denial of Service), é também denominado ataque de negação de serviço. 

    II. No ataque DoS o atacante tenta tornar os recursos de um sistema indisponíveis para seus usuários. 

    III. DDoS, constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.

    Marque a opção que apresenta apenas as afirmativas corretas: I, II e III.

  • GAB: ERRADO!

    Como o sistema está sendo sobrecarregado, poderá sofrer impedimentos no fornecimento das informações como por exemplo: lentidão no acesso, falta da conexão, entre outros...Basta lembrar da relação cliente servidor, onde se o servidor está sendo atacado, consequentemente o cliente da requisição sofrerá algum tipo de interferência na sua comunicação.

    Vale lembrar que:

    *Ataque DOS - UM para UM

             UM para MUITOS

    *Ataque DDOS - MUITOS para UM

                MUITOS para MUITOS   

  • GABARITO: ERRADO.


ID
2027779
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013.

Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.

Alternativas
Comentários
  • d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;

     

    ISO/IEC 27001:2013.

  • até porque a 27001 é norma de certificação

  • Não pode excluir as seguintes seções:

    4 - Sistema de gestão de SI
    5 - Responsabilidades da direção
    6 - Auditorias internas do SGSI
    7 - Análise crítica do SGSI pela direção
    8 - Melhoria do SGSI

  • ERRADA

     

    ABNT NBR ISO/IEC 27001:2013

    1 Escopo

    (...) A exclusão de quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável
    quando a organização busca a conformidade com esta Norma.

     

    NÃO PODEM SER EXCLUIDAS SE QUISER GANHAR CERTIFICAÇÃO:

    4. Contexto da organização;

    5. Liderança;

    6. Planejamento;

    7. Apoio;

    8. Operação;

    9. Avaliação do desempenho;

          9.1 Monitoramento, medição, análise e avaliação;

          9.2 Auditoria interna;

          9.3 Análise crítica pela direção;

    e

    10) Melhoria

     

    http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27001-2013.pdf

  • A questão soa estranho, não é mesmo? Afinal, se uma organização quer reivindicar conformidade com a ISO 27001, mas não vai atender a determinados requisitos especificados na norma, é razoável que ela redija uma declaração de aplicabilidade que contenha os controles adotados e justificativa para os controles não adotados. Errado!

  • GABARITO: ERRADO.

  • Para organização ter uma certificação da norma 27001, não poderá ter nenhum item excluído sem justificativa.


ID
2096578
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos conceitos de segurança da informação, julgue o item subsequente.

A capacidade de localização de identidades preexistentes em sistemas conectados é uma funcionalidade de sistemas de gestão de identidades.

Alternativas
Comentários
  • Correto.

     

    assertiva consta na página 15 do livro Gerenciamento de Identidades de Alfredo Luiz dos Santos

    https://books.google.com.br/books?id=ACFU300zVGUC&pg=PA14&lpg=PA14&dq=A+capacidade+de+localiza%C3%A7%C3%A3o+de+identidades+preexistentes+em+sistemas+conectados+%C3%A9+uma+funcionalidade+de+sistemas+de+gest%C3%A3o+de+identidades.&source=bl&ots=-ziqjYA2Fd&sig=cvP3fUXb5NFm8JROLBVBloOY_Pw&hl=pt-BR&sa=X&ved=0ahUKEwid6MDS3ODRAhXFDpAKHUHuAzMQ6AEIITAB#v=onepage&q=A%20capacidade%20de%20localiza%C3%A7%C3%A3o%20de%20identidades%20preexistentes%20em%20sistemas%20conectados%20%C3%A9%20uma%20funcionalidade%20de%20sistemas%20de%20gest%C3%A3o%20de%20identidades.&f=false

  • 1.8 Regras de localização

    Uma funcionalidade de soluções de gerenciamento de identidade é a capacidade de localizar identidades preexistentes em sistemas conectados. Na maioria dos casos, os sistemas já possuem identidades e a solução precisa realizar uma busca baseada em um atributo do usuário para vincular o usuário da aplicação à identidade do metadiretório.

    Fonte: Gerenciamento de identidades (pág. 14)

    Por: ALFREDO LUIZ DOS SANTOS

    Em resumo a assertiva está CORRETA.

  • fiquei com medo de ter pegadinha, pq pareceu muito lógico.

  • fiquei com medo de ter pegadinha, pq pareceu muito lógico.


ID
2096581
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos conceitos de segurança da informação, julgue o item subsequente.

O repasse de informações institucionais a terceiros viola a política de confidencialidade fixada na política de segurança da informação de uma organização.

Alternativas
Comentários
  • Não necessariamente. Toda informação relevante deve ser classificada com base nos critérios de segurança de cada companhia. Algumas informações são classificadas como públicas (não confidencial), as quais não causam prejuízos quando divulgadas. 

  • Só haverá quebra do pricípio da confidencialidade se a informação, além de repassada, ela for acessada.

     

  • Desde que tenha autorização para tal ou mesmo, que sejam informações públicas!!! Não é uma regra, e sim, que existe varias possibilidades de as informações institucionais sejam disponibilizadas para terceiros.

     

  • Resposta está subliminar , como sempre ! 

  • ****Um exemplo são as informações salariais do servidores da administração pública do Portal da transparência. (Informações institucionais para terceiros(cidadão interessado)).

  • NEM SEMPRE

     

  • Informacoes Institucionais servem para descrever a entidade e delimitar genericamente sua area e capacidade de atuacao. Atraves das informacoes institucionais as pessoas conseguem obter um parametro de atuacao das empresas(publico ou privado) e principalmente como as empresas estao inseridas no contexto social.

     

    A partir desta definicao, fica claro a relevancia para a sociedade das Informacoes Institucionais das entidades que interagem com a comunidade.

     

    FFF

  • nessa, o gabarito podia ser qq 1

  • Típica questão que o gabarito é relativo. Muito superficial essa afirmação da banca. :(

  • Questão pra testar sua sorte.

  • Moçada, vcs estão dando umas escorregadas (espero q não seja no quiabo!!!)

    A questão é imperativa, não dando outra interpretação, senaõ aquilo q ela coloca!!!

    "O repasse de informações institucionais a terceiros viola a política de confidencialidade fixada na política de segurança da informação de uma organização".

    Isso tá erradoooooooooooo!!!

    Vamos supor q eu seja servidor da PMPA(q não é a policia militar do pará, e sim a prefeitura muncipal de p*a*u amarelo, minha cidade natal!!!)

    Alguém liga e quer saber se vai ter expediente amanha na PMPA...quer dizer q eu to proibido de repassar a informacao institucional de q amanha a PMPA vai ou não funcionar, pq isso viola a confidencialidade? Claro q não ne???!!!

    E outra: A publicidade é a regra, o sigilo, a exceção. Nem precisava conhecer a ISO pra responder essa.


ID
2096584
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos conceitos de segurança da informação, julgue o item subsequente.

Escuta, análise de tráfego e falsificação são exemplos de ataques que ameaçam a integridade dos dados.

Alternativas
Comentários
  • Confidencialidade

  • Escuta e análise de tráfego -  ameaçam  a CONFIDENCIALIDADE

     Falsificação - INTEGRIDADE

    #FÉFORÇAFOCO

     

  • Podemos indicar os seguintes concietos a partir da forma que esta disposto na assertiva as expressoes "Escuta, Analise de Trafego e Falsicicacao"

     

    Escuta - CONFIDENCIALIDADE

    Análise de tráfego - CONFIDENCIALIDADE

    Falsificação - INTEGRIDADE

     

    FFF

  • Gabarito: E

    Somente falsificação ameaça a integridade dos dados.

  • Gabarito Errado

    A falsificação ameaça a integridade.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Droga, errei por falha de interpretação msm. não vi o "E" ali.

  • Escuta e análise de tráfego ameaçam a confidencialidade, mas para ataques de falsificação não seria a autenticidade o problema, ao invés de integridade como comentaram antes?

  • Gabarito E

    Integridade está relacionada a garantia de que os dados não serão alterados, dessa forma a escuta e a análise de tráfico não são capazes de comprometer a integridade. Nesse caso, somente a falsificação ameaça a integridade.

  • GABARITO: ERRADO.

  • Integridade: inteireza; dados em estado original, sem alteração.

    Que tipo de falsificação seria essa? De assinatura digital? Porque aí não envolve necessariamente alteração dos dados a meu ver.


ID
2096587
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca de segurança de banco de dados e de desenvolvimento de software, julgue o item subsecutivo.

Na metodologia de desenvolvimento seguro de software SDL (Security Development Lifecycle), a modelagem de ameaças é realizada na fase de requisitos.

Alternativas
Comentários
  • Modelos de ameaças durante o design do software

  • Há um total de 7 fases para a implementação do SDL:

    Formação

    Essa fase é um pré-requisito para a implementação do SDL e visa a formação de um núcleo de treinamento e atualização. É realizada uma atualização sobre os princípios básicos de segurança e tendências recentes de segurança e privacidade, assim como treinamento de conceitos fundamentais para a construção de um software melhor. Entre estes conceitos estão incluídos projeto seguro, modelagem de ameaças, codificação segura, testes de segurança e melhores práticas para privacidade.

    É ainda nessa fase que é definida a freqüência mínima de treinamento e o limiar mínimo aceitável para grupos de treinamento.

    Requisitos 

    Nessa fase definem-se portões de qualidade e analisa os riscos de segurança e privacidade. O time de desenvolvimento identifica requerimentos de segurança e privacidade,

    Projeto

    Nessa fase é feita a modelagem de ameaças e a análise de superfície de ataque (ou vulnerabilidade). A modelagem de ameaças consiste no levantamento de contra-medidas de segurança que resolvem as ameaças ao software. A análise de superfície de ataque consiste em fazer um levantamento de formas de acesso do aplicativo ou componente.

    Implementação

    Nessa fase são especificadas ferramentas de segurança, listas de verificação, reforçadas funções proibidas e realizada a análise estática, assim como são adotadas as melhores práticas de codificação segura para ajudar a implementar um projeto seguro.

    Verificação

    Nessa fase são realizados testes dinâmicos de difusão (fuzz) e verificados os modelos de ameaças e a superfície de ataque. Os testes de difusão consistem em tomar dados válidos, metamorfoseá-los e depois observar um aplicativo que empregue esses dados, verificando se aplicação se comporta adequadamente ou apresenta algum tipo de falha de segurança. Em sua forma mais simples, pode-se criar uma biblioteca de arquivos válidos que o aplicativo utilize e depois usar uma ferramenta para corromper sistematicamente um arquivo e fazer o aplicativo executá-lo ou processá-lo no verificador de aplicativos com verificação de heap habilitada para ajudar a descobrir mais erros.

    Lançamento

    Nessa fase é definido o plano de resposta, a revisão de segurança final (FSR) e a liberação de arquivo. A FSR é executada pela equipe de segurança central com ajuda da equipe de produto, mas não apenas pela equipe de produto. No final do processo FSR, as descobertas são anotadas e é tomada uma decisão sobre o lançamento do software ou o retrabalho de seções.

    Resposta

    Nessa fase é realizada a execução de resposta, que consiste de duas partes principais:

    responder a defeitos de segurança e trabalhar com pessoas que descobrem problemas de segurança no código.

    aprender com os erros, através da análise e documentação da causa dos defeitos.

     

    Fonte: https://pt.wikipedia.org/wiki/Ciclo_de_Vida_do_Desenvolvimento_Seguro

  • errado:

    veja: https://msdn.microsoft.com/pt-br/library/ms995349.aspx

             http://micreiros.com/modelagem-de-ameacas-o-que-e-e-porque-aplicar/

     

  • Benjamin Pinto, na verdade, o uso (a realização) da modelagem de ameaças se dá na fase 3. Design: SDL PRACTICE #7: USE THREAT MODELING

    https://www.microsoft.com/en-us/sdl/process/design.aspx

  • Fases SDL

    Formação, requisitos, design,implementação, verificação, lançamento, resposta (suporte e manutenção)

    FASE DE FORMAÇÃO (TREINAMENTO)

    Essa fase é um pré-requisito para a implementação do SDL e visa a formação de um núcleo de treinamento e atualização. É realizada uma atualização sobre os princípios básicos de segurança e tendências recentes de segurança e privacidade, assim como treinamento de conceitos fundamentais para a construção de um software melhor. Entre estes conceitos estão incluídos projeto seguro, modelagem de ameaças, codificação segura, testes de segurança e melhores práticas para privacidade.

    É ainda nessa fase que é definida a freqüência mínima de treinamento e o limiar mínimo aceitável para grupos de treinamento.

    FASE DE REQUISITOS: considerar como a segurança será integrada no processo de desenvolvimento.

    FASE DE DESIGN:

          Definir as diretivas de design e arquitetura de segurança;

          Documentar os elementos da superfície de ataque do software;

          Realizar a modelagem de ameaças;

          Definir critérios de fornecimento complementar.

    FASE DE IMPLEMENTAÇÃO:

          Gera, testa, integra o software.

          Aplicar padrões de codificação e teste.

          Aplicar ferramentas de testes de segurança, incluindo ferramentas de difusão.

          Aplicar ferramentas de verificação de código de análise estática.

          Realizar revisões de código.

    FASE DE VERIFICAÇÃO

         Testes beta. Revisões extras de código. Testes de segurança direcionados.

    FASE DE LANÇAMENTO

    Nessa fase é definido o plano de resposta, a revisão de segurança final (FSR) e a liberação de arquivo. A FSR é executada pela equipe de segurança central com ajuda da equipe de produto, mas não apenas pela equipe de produto. No final do processo FSR, as descobertas são anotadas e é tomada uma decisão sobre o lançamento do software ou o retrabalho de seções.

    FASE DE RESPOSTA (RESPOSTA E MANUTENÇÃO)

    Nessa fase é realizada a execução de resposta, que consiste de duas partes principais: responder a defeitos de segurança e trabalhar com pessoas que descobrem problemas de segurança no código. aprender com os erros, através da análise e documentação da causa dos defeitos.

     

     

     

     

     

     

     

     

     

     

     

     


ID
2096590
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

Acerca de segurança de banco de dados e de desenvolvimento de software, julgue o item subsecutivo.

Os bancos de dados NoSQL são imunes a ataques de injeção SQL.

Alternativas
Comentários
  • NoSQL NoSQL (às vezes interpretado como Not Only SQL - Não Somente SQL) é um termo genérico para uma classe definida de banco de dados não-relacionais que rompe uma longa história de banco de dados relacionais com propriedades ACID. Outros termos equivalentes para esta categoria de bancos é NF², N1NF (non first normal form), nested relational, dimensional, multivalue, free-form, schemaless, document database e MRNN (Modelo Relacional Não Normalizado). Os bancos de dados que estão sob estes rótulos não podem exigir esquemas de tabela fixa e, geralmente, não suportam instruções e operações de junção SQL. Fonte: Wikipedia
  • A injeção de SQL está mais relacionada à falha de verificação de entradas em uma aplicação Web do que ao fato de o banco ser ou não relacional. Mesmo que se use um banco NoSQL, se a aplicação não tratar corretamente suas entradas, deixará o banco exposto a ataques de SQLi. Questão errada.

  • "NoSQL databases provide looser consistency restrictions than traditional SQL databases. By requiring fewer relational constraints and consistency checks, NoSQL databases often offer performance and scaling benefits. Yet these databases are still potentially vulnerable to injection attacks, even if they aren't using the traditional SQL syntax. Because these NoSQL injection attacks may execute within a procedural[1] language , rather than in the declarative[2] SQL language, the potential impacts are greater than traditional SQL injection."

     

    https://www.owasp.org/index.php/Testing_for_NoSQL_injection

  • Os ataques teriam que ser de NoSQL Injection e não SQL Injection, a diferença existe!! 

    Como vc vai ter injeção de comandos SQL se vc n roda SQL? 

    Vc permanece vulnerável a ataques de injeção? SIM!! Mas injeções SQL? NÃO! De outro tipo! 

    Na teoria eles são imunes a ataques SQL, mas vulneráveis a injeções NoSQL.

    AAAhhhh, mas o examinador está usando a expressão SQL Injection num sentido mais amplo..... puta duma sacanagem, isso sim!

  • P mim foi tensa essa questao...
  • ERRADO

    Pensei no simples

    NoSQL -> NOT ONLY SQL. Logo, não são imunes a ataques de injeção SQL.

    Não sei se viajei. Abç

    @prof.lucasmicas


ID
2096593
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, relativo à criptografia e suas aplicações.

Um hash, que é resultante de uma função de resumo, pode ser utilizado para gerar assinaturas digitais.

Alternativas
Comentários
  • CORRETA!

     

    Uma função de dispersão criptográfica ou função hash criptográfica é uma função hash considerada praticamente impossível de inverter, isto é, de recriar o valor de entrada utilizando somente o valor de dispersão. Essas funções hash unidirecionais têm sido chamadas de "os operários da criptografia moderna".[1] Os dados de entrada costumam ser chamados de mensagem, e o valor de dispersão mensagem resumida ou simplesmente resumo.

     

    Funções hash criptográficas possuem várias aplicações em segurança da informação, principalmente em assinatura digital, código de autenticação de mensagem (MACs), e outras formas de autenticação. Elas também podem ser utilizadas como funções hash, para indexar dados em tabelas hash, para impressão digital, para detectar dados duplicados ou identificar arquivos únicos, e como checksum para detectar corrupção de dados acidental. 

     

    https://pt.wikipedia.org/wiki/Fun%C3%A7%C3%A3o_hash_criptogr%C3%A1fica

  • Função de resumo

    Método criptográfico que, quando aplicado sobre uma informação, independentemente do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado hash.

     

    Assinatura digital

    - Código usado para comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela não foi alterada.

     

    - A codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda.

     

    R: Certo

    Bons estudos! ;)

  • Acho que o examinador viajou! Uma coisa é assinar o hash com uma chave privada como comumente acontece, outra coisa é utilizar o hash pra gerar assinaturas digitais.O texto ficou bem confuso.

  • Assertiva CORRETA. 

     

    Antes de enviar uma mensagem é feito o CRC dela. O HASH gerado é então criptografado e enviado juntamente com a mensagem em claro. Quando chega no destino, este descriptografa o hash. De posse do hash descriptografado ele realiza o CRC na mensagem enviada e compara o hash gerado com o hash que ele recebeu.

     

    Se os dois hashes forem iguais a mensagem não foi alterada (integridade) e foi realmente enviada pelo emissor, pois foi ncessário sua chave pública para descriptografar o hash (autenticidade + não-repúdio). Sendo assim, um hash pode, sim, ser utilizado em assinaturas digitais. 

  • Tá. Então eu pego a mensagem, gero o hash dela e envio pro destinatário. Daí eu digo que a mensagem tá assinada, é isso CESPE?

     

    O HASH é utilizado no processo de geração da assinatura. É preciocismo? Talvez até seja, mas numa questão de certo ou errado, onde uma palavra pode mudar a avaliação da questão, esse tipo de confusão não deveria existir.

     

    De quem é o papel principal na assinatura digital? O par de chaves do remetente. O HASH vai ajudar mais na garantia da integridade da mensagem. 

  • A banca viajou nessa questão. É como o Robson disse, pressupor que hash GERE assinaturas digitais não faz sentido.

  • Meus amigos Robson e Jéssica, se a pergunta estivesse dessa maneira :

    Um hash, que é resultante de uma função de resumo, não pode ser utilizado para gerar assinaturas digitais.

    E lendo as explicações de nossos amigos,

    O princípio básico da assinatura digital reside na obtenção dos princípios de integridade e autenticidade na troca de mensagens entre dois usuários

    E só se obtém a confiança na integridade utilizando-se a função HASH.

    O que vocês marcariam?

     

  • Tem sempre uma galerinha ai criando pelo em ovo. Sim, o processo de assinatura envolve "pegar uma mensagem, gerar o hash dela (fazer outras coisas, como criptografar com sua chave privada) e envia-la pro destinatário, afirmando q a mensagem tá assinada.

    Para[1]. "no caso da assinatura digital, o valor de hash da mensagem é encriptado com a chave privada do usuário

    Qualquer mecanismo de autenticação de mensagem ou assinatura digital possui dois níveis de funcionalidade.

    (...)

    Função de hash: uma função que relaciona uma mensagem de qualquer tamanho a um valor de hash de tamanho fixo, que serve como autenticador.

    (...)

    E' isso mesmo q ocorre, colega! O fato de o CESPE ter omitido um ou outro procedimento, nao torna a questao errada. Muito cuidado com isso. O CESPE adora esse tipo de coisa.

    E muita gente cai feito um pato!!!

    Fonte:

    [1] Criptografia, Stallings

  • Gabarito: Certo

    A implementação da assinatura digital só foi possível com o uso dos algoritmos de criptografia assimétrica e funções hash em conjunto.

  • Até que enfim uma questão tranquila nesse emaranhado de espinhos uahauhahauha

  • Caso utilizada em uma assinatura digital em conjunto com a chave privada do emissor, a assinatura pode garantir autenticação mais integridade.

  • Assinatura Digital => Utiliza algoritmo Hash => o Hash é um algoritmo de mão única/unidirecional.

  • Assinatura por si só gera a autenticidade, para promover também a integridade, deve-se utilizar a função HASH


ID
2096596
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, relativo à criptografia e suas aplicações.

A decriptografia de dados por meio do algoritmo RC4 é realizada com sucesso se os dados tiverem sido criptografados mediante o algoritmo AES (Advanced Encryption Standard) e a mesma chave simétrica tiver sido utilizada em ambos os algoritmos.

Alternativas
Comentários
  • Que invenção essa do CESPE de misturar algoritmos de criptografia.

  • Não existe isso de a mesma chave simetrica tiver sido utilizada em ambos os algoritmos. questão sem sentido.

  • RC4 - é uma cifra de fluxo, com tamanho de chaves variável, baseado em uso de permutação aleatória. Usada para SSL/TLS, WPA e WEP.

    AES - é uma cifra de bloco, cuja chave é de 128 bits e substitui hoje o uso do DES.

    Todos os dois são cifras SIMÉTRICAS, ou seja, usam algoritmos , chaves SIMÉTRICAS. Algo que é criptografado com a cifra de fluxo, por exemplo, deve ser descriptografado com a mesma cifra de fluxo (ex.: neste caso, o RC4)

     

    [Fonte : Criptografia e segurança de Redes, 4º ed. Willian Stallings  págs. 95 e 132]

  • Que mistureba louca.

    Gabarito: E

  • Corrigindo a informação da Salete, que confundiu chave com bloco.

    [1], "O comprimento da chave pode ser 128, 192 ou 256 bits".

    O blobo, esse sim, é fixo, de 128bits.

    Fonte:

    [1] Criptografia, Stallings

  • BTW,

    RC4 é o único algoritmo famoso que usa cifra de fluxo.

    fonte: alguém aqui do QC (tem fonte melhor?!)

  • RC4 é por fluxo, AES é blocado

  • Algoritmos Assimétricos:

    RSA, ElGamal, Diffie - Hellman, Curvas Elípticas, etc

    Algoritmos Simétricos:

    AESRC4,DES, 3DES, IDEA, CAST, Blowfish, Twofish, etc.

     

    RC4 - é uma cifra de fluxo, com tamanho de chaves variável, baseado em uso de permutação aleatória. Usada para SSL/TLS, WPA e WEP.

    AES - é uma cifra de bloco, cuja chave é de 128 bits e substitui hoje o uso do DES.

    Todos os dois são cifras SIMÉTRICAS, ou seja, usam algoritmos , chaves SIMÉTRICAS

  • assinatura digital - MD5, SHA-1

    criptografia simétrica - DES, AES, RC4

    criptografia assimétrica - RSA

    O algoritmo criptográfico RC4, cifra de fluxo com tamanho de chave variável, é utilizado nos padrões SSL/TLS (secure socket layer / transport layer security) definidos para a comunicação entre programas navegadores e servidores web.


ID
2096599
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, relativo à criptografia e suas aplicações.

A adição de um bite ao tamanho da chave duplica o tempo médio necessário para um ataque de força bruta.

Alternativas
Comentários
  • Pela omissão do examinador, devemos considerar criptografia como sendo criptografia simétrica (chave única).

     

    Nesses algoritmos, o tamanho da chave é o principal fator da segurança da criptografia. Conforme aumenta o tamanho da chave, a segurança aumenta exponencialmente.

    Assim, a cada bit (ou bite, como trazido pelo examinador) aumentado na chave, dobram as possibilidades. Portanto, para ataques de força bruta (que testam possibilidade por possibilidade), é duplicado o tempo médio para conseguir quebrar a proteção.

     

  • o dobrar, para min, foi muito forçado. Ta mais para um aumento exponencial.

  • Se a chave tiver 1 bit, ela possui 2¹ possibilidades. 

    Se for uma chave de 2 bits, ela tem 2² possibilidades (=4). 

    Aumentando de 1 em 1, dobra-se a quantidade de possibilidades...e o número de chutes necessários para acertar a chave. 

    2^3=8

    2^4=16

    2^5=32 ...

  • Fernando, e' exponencial, e e' dobrar tambem. Nao ha nenhum problema nas duas definicoes.

    Perfeito o comentario do Luciano Drogba e a explicacao do Luis Forcachato!!!

  • Lembrar: A adição de um bite ao tamanho da chave duplica o tempo médio necessário para um ataque de força bruta. (CERTO)

  • lembrando que cada bite adicionado duplica as possibilidades( 0 ou 1 ).

    2^10 = 1024

    Ao incluir mais um bite, fica assim:

    2^11 = 2048


ID
2096602
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, relativo à criptografia e suas aplicações.

RSA, 3DES e SHA-1 são métodos criptográficos que utilizam chave assimétrica.

Alternativas
Comentários
  • ERRADO. SHA-1 é um algoritmo de hash, segue evidência.

     

    Algoritmos Simétricos:

    AES, RC4,DES, 3DES, IDEA, CAST, Blowfish, Twofish, etc.

     

    Algoritmos Assimétricos:

    RSA, ElGamal, Diffie - Hellman, Curvas Elípticas, etc.

     

    Algoritmos de HASH

    SHA-1, SHA-2, MD4, MD5, etc.

  • Gabarito Errado
    SHA-1 é hash

  • CORREÇÃO:

    "RSA, 3DES e SHA-1 consistem, respectivamente, em algoritmo assimétrico,algoritmo simétrico e algoritmo de hash."

  • O Hash SHA-1 gera digest de tamanho fixo de 160 bits ou 20 bytes.

  • Gabarito Errado

    RSA = Algorítimo assimétrico.

    3DES = Algoritmo Simétrico.

    SHA-1 = Algoritimo de Hash.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • RSA: assimétrica.

    3DES: simétrica.

    sha-1: Hash.

     

    Gabarito: E

  • Gabarito: Errado

    Algoritmos de hash: Família SHA (SHA-0, SHA-1, SHA-2 e SHA-3).

    Algoritmos criptográficos simétricos: DES, AES, 3DES, IDEA, TwoFish, RC5, Serpent, Blowfish, RC4 e OTP.

    Algoritmos criptográficos assimétricos: RSA, Diffie Hellman, El Gamal, ECC.

    Dica para decorar alguns: terminou com S ou Fish, será simétrico.

  • Lembrar:

    Algoritmos Simétricos:

    AES, RC4,DES, 3DES, IDEA, CAST, Blowfish, Twofish, etc.

     

    Algoritmos Assimétricos:

    RSA, ElGamal, Diffie - Hellman, Curvas Elípticas, etc.

     

    Algoritmos de HASH

    SHA-1, SHA-2, MD4, MD5, etc.

  • Assimétrica tem que ter o homem do inferno (Hellman)


ID
2096605
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de ataques a redes e serviços, julgue o próximo item.

Quando a autenticação e o gerenciamento da sessão de aplicação não são feitos corretamente, ocorre o ataque de referência insegura a objetos, por meio do qual o atacante, ao assumir a identidade da vítima, compromete senhas, chaves e sessões web.

Alternativas
Comentários
  • Gabarito: E.

     

    Quando a autenticação e o gerenciamento da sessão de aplicação não são feitos corretamente, isso permite que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários. Isso está relacionado à vulnerabilidade de software "Quebra de autenticação e Gerenciamento de Sessão".

     

    A vulnerabilidade "Referência Insegura e Direta a Objetos" trata-se de outro conceito, em que um programador expõe uma referência à implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não autorizados.

  • A fonte para responder essa questão está em

    https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

    Acredito, inclusive, que foi de onde o nosso colega Sávio Luiz buscou informações para respondê-la.

  • Gabarito E

    Ótima resposta do amigo companheiro Sávio Luiz !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • fui um pouco pela interpretacao o que m deixo na duvida foi situacao da WEB

  • O próprio examinador pode nem ter pensando desse forma, mas eu pensei e EU ESTOU CERTO!

    quando autenticação não acontece de forma correta, ocorre BLABLABLA...

    Isso soa como uma consequência automática. E claramente isso tá errado. 

    quando autenticação não acontece de forma correta, PODE ocorrer...

    escrito desse jeito, a questão até PODERIA ficar certa. Não afirmo que FICARIA pq não domino o conteúdo do resto da frase

  • GABARITO: ERRADO.

  • Um ataque CSRF força a vítima que possui uma sessão ativa em um navegador a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima. 

    Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos. 

    Uma referência insegura e direta a um objeto ocorre quando um programador expõe uma referência à implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não-autorizados.

    As funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.

    As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados não confiavéis são enviados para um interpretador como parte de um comando ou consulta. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados. 

  • GABARITO ERRADO!

    .

    .

    Uma referência direta à objeto ocorre quando um desenvolvedor expõe a referência a um objeto implementado internamente, como é o caso de arquivos, diretórios, registros da base de dados ou chaves, na forma de uma URL ou parâmetro de formulário. Os atacantes podem manipular estas referências para acessar outros objetos sem autorização. 

    .

    .

    https://owasp.org/www-pdf-archive/OWASP_TOP_10_2007_PT-BR.pdf


ID
2096608
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de ataques a redes e serviços, julgue o próximo item.

Diferentemente dos golpes de phishing, os ataques de spear phishing são realizados mediante o envio aleatório e em massa de emails enganosos para múltiplos usuários, para a obtenção de informações bancárias das vítimas ou apropriação da identidade delas.

Alternativas
Comentários
  • ERRADO.

     

    Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques amplos e dispersos, o spear phishing foca em um grupo ou organização específicos.

     

    Phishing --->  ataque amplo e dispersos, envio aleatório e em massa de emails enganosos para múltiplos usuários

    Spear phishing ---> grupo ou organização específicos,  golpe de e-mail direcionado com o objetivo único

     

    Nobre Nobre 

    Ex - Analista de Segurança Sénior Kaspersky Lab

  • O erro já começa aqui: "Diferentemente dos golpes de phishing, os ataques de spear phishing ..."

     

    Segue abaixo uma questão base sobre o mesmo assunto:

     

     

    Q435342

    Segurança da Informação 

     Ataques e ameaças

    Ano: 2014

    Banca: CESPE

    Órgão: ANATEL

    Prova: Analista Administrativo - Suporte e Infraestrutura de TI

    Resolvi certo

    Acerca das tecnologias de segurança e dos ataques eletrônicos, julgue os itens a seguir.

    O ataque de spear phishing, que é uma tentativa de fraude por falsificação de email, tem como alvo uma organização específica e objetiva, normalmente, conseguir acesso não autorizado a dados sigilosos.

    R: Certo

  • Como o colega Nobre Nobre disse, Spear phishing é um ataque de phishing direcionado. Há uma variação dele chamado whaling phishing, que é um ataque direcionado a membros da alta direção (os "peixes graúdos") de uma organização.

  • Segue definicao de "SPEAR PHISHING":

     

    Spear phishing é um golpe de e-mail DIRECIONADO com o objetivo único de obter acesso não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques amplos e dispersos, o spear phishing foca em um grupo ou organização específicos. A intenção é roubar propriedade intelectual, dados financeiros, segredos comerciais ou militares e outros dados confidenciais.

     

    Fonte: https://www.kaspersky.com.br/resource-center/definitions/spear-phishing

     

    FFF

  • Gabarito Errado

    Spear phishing

    Técnicas de phishing direccionadas a instituições ou indivíduos específicos são denomindas de spear phishing. Consiste na coleção de detalhes e informação pessoais de modo a aumentar a probabilidade de sucesso dos atacantes. É a técnica de phishing mais eficaz atualmente, sendo responsável por 91% de ataques deste género.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Errado

    Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques amplos e dispersos, o spear phishing foca em um grupo ou organização específicos.

  • se souber  o significado de spear ja mata a questão, siginifica lança, e lança é direcionado a um unico alvo 

  • phishing = ataque aletório

    spear phishing = ataque direcionado

  • Spear phishing é um golpe proveniente de e-mail ou comunicação eletrônica, direcionado a um indivíduo, organização ou empresa específicos. Embora tenha a intenção de roubar dados para fins mal-intencionados, os criminosos virtuais também podem tentar instalar malware no computador do usuário.

    kaspersky.com.br/resource-center/definitions/spear-phishing

  • Tipos de phishing

    Spear phishing: Técnicas de phishing direcionadas a instituições ou indivíduos específicos são denominadas de spear phishing. Consiste na coleção de detalhes e informação pessoais de modo a aumentar a probabilidade de sucesso dos atacantes. É a técnica de phishing mais eficaz atualmente, sendo responsável por 91% de ataques deste gênero.

    Clone phishing: tentativa de dirigir o utilizador a um site clonado do original ao que a vítima pretende aceder. Consiste normalmente uma página de início de sessão que requer a inserção de credenciais que são depois armazenadas pelos atacantes e o utilizador redirecionado para o site original. Pode também incluir o redirecionamento de uma cópia de email legítimo (previamente recebido pelos atacantes) ou falsificado para a vítima, no qual a ligação para um portal é falsificada para que pareça originar-se num utilizador ou instituição legítimos.

    Whaling (referência à pesca da baleia) pelo acto de apanhar um peixe grande — envolve a procura de dados e informação relativas a altos cargos ou personalidades de relevância. Neste caso, os ataques estão normalmente disfarçados de notificações judiciais, queixas de clientes ou outras questões empresariais.

    Fonte: Wikipedia.

    Para quem ainda está meio perdido em informatica, o Wikipedia me ajudou muito.

    Pesquisava uma assunto, ex REDES, e depois ia fazendo anotações no word de cada parte sobre aquele assunto.

    Espero ter ajudado.

  • Gabarito: Errado

    Spear Phishing: phishing altamente direcionado. Envia e-mails personalizados a uma pessoa específica. Força ainda mais na engenharia social.

  • GABARITO: ERRADO.

  • ERRADO. É justamente o contrário. Enquanto campanhas de phishing regulares têm rendimento relativamente baixo para os hackers, o spear phishing visa alvos específicos usando e-mails criados especialmente para a vítima pretendida com o objetivo de aumentar o ganho.

    fonte: future.com.br

  • SPEAR PHISHING possui alvo específico.

  • Galera, concurseiro precisa assimilar as coisas, então se liga:

    Phishing é pescaria, então em uma pescaria, o que você pegar tá valendo. Não é algo direcionado

    Agora Spear significa lança, então Spear Phishing é uma pescaria mais direcionada, você tá com um arpão e escolhe aquele peixão que você quer pegar, logo é direcionada.

    Simples assim!! Agora não vai levar isso pra uma prova de alto nível, isso é o básico hahaha

  • Lembrar:

    phishing = ataque aletório

    spear phishing = ataque direcionado

  • VALEU, XIN ZHAO.

  • ERRADO

    Phishing = ataque aleatório

    Spear Phishing = ataque com alvo específico

    Clone Phishing = clona um e-mail legítimo e apenas substitui os links ou anexos por conteúdo malicioso

  • Spear Phising

    • Phishing altamente direcionado. Envia e-mails personalizados a uma pessoa especifica
  • SPEAR PHISHING

    • golpe direcionado
    • intuito de acesso de dados sigilosos de pessoa/empresa específica
    • "Sei o peixe que quero pescar"

    PHISHING

    • genérico
    • não sabe quem vai ser a vítima.
    • "caiu na rede, é peixe" (quem cair na minha, tá valendo)
  • phishing = ataque aletório

    spear phishing = ataque direcionado

    Spear phishing é um golpe de e-mail DIRECIONADO com o objetivo único de obter acesso não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques amplos e dispersos, o spear phishing foca em um grupo ou organização específicos. A intenção é roubar propriedade intelectual, dados financeiros, segredos comerciais ou militares e outros dados confidenciais.

    ( CESPE ) Acerca das tecnologias de segurança e dos ataques eletrônicos, julgue os itens a seguir

    O ataque de spear phishing, que é uma tentativa de fraude por falsificação de email, tem como alvo uma organização específica e objetiva, normalmente, conseguir acesso não autorizado a dados sigilosos.

    R: Certo

  • phishing = ataque aletório

    spear phishing = ataque direcionado

  • # Spear phishing:

    (CESPE/ANATEL/2014) O ataque de spear phishing, que é uma tentativa de fraude por falsificação de email, tem como alvo uma organização específica e objetiva, normalmente, conseguir acesso não autorizado a dados sigilosos.(CERTO)

    fonte: mauro

  • Blind = Aleatório

    Spear = Direcionado

    Obs.: O mesmo vale para ataques de banco de dados - Injeção de SQL, há esses dois tipos tb.


ID
2096611
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de ataques a redes e serviços, julgue o próximo item.

Constituem estratégias para evitar ataques de XSS (cross-site scripting): a utilização da flag HTTPOnly nos cookies, pela qual se evita que estes sejam manipulados por JavaScript; e a ativação da flag Secure, que garante que o tráfego seja feito apenas por HTTPS. 

Alternativas
Comentários
  • Principais consequências para o usuário afetado com XSS:
    -Seqüestro de sessão de usuários;
    -Alteração do código HTML do aplicativo (visivel somente do lado do cliente);
    -Redirecionar o usuário para sites maliciosos;
    -Alteração do objeto DOM para captura de dados ou envio de malware.

    Uma alternativa contra sequestro de sessão é usar HTTPS e flag HTTPOnly nos cookies, segundo a recomendação da OWASP

  • jesus amado :o

     

  • CERTO

    Bora traduzir a questão?

    Ataque XSS: induz navegador a executar script malicioso, geralmente JavaScript, em site confiável.

    Estratégias citadas pela banca para combater o ataque:

    Cookies HTTPOnly: cookies que não podem ser acessados de nenhuma forma por JavaScript.

    Flag secure: indica ao navegador que o cookie deve ser transmitido por conexões SSL (mais seguras). O conteúdo do cookie será descartado quando o navegador for fechado.

    Tá certinho, as medidas aumentam a segurança e ajudam a proteger os navegadores.

  • GABARITO: CERTO.


ID
2096614
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de ataques a redes e serviços, julgue o próximo item.

Ataque de dia zero é um tipo de ataque de software projetado para ativar e realizar uma ação destrutiva em hora ou data específica.

Alternativas
Comentários
  • Brechas “Dia Zero”

    Tal brecha tem esse nome por causa da seguinte analogia: a publicação de uma correção de um programa é denominada “dia um”, portanto, se um criminoso virtual for capaz de descobrir essa falha antes do lançamento da correção (logo, na data de divulgação da falha), ele estará atuando no “dia zero”, pois a correção ainda não foi publicada. Essa expressão também é usada por grupos relacionados à pirataria, mas este artigo tratará somente sobre as falhas de segurança.

     

    Fonte: http://www.tecmundo.com.br/seguranca/2142-dia-zero-entenda-o-que-e-e-como-e-explorada-essa-falha-de-seguranca.htm

  • O ataque mencionado é o Time bomb!

     

     

    "Ataque TIME BOMB é um tipo de ataque de software projetado para ativar e realizar uma ação destrutiva em hora ou data específica."

     

     

    Assim ficaria correta!

  • Gabarito Errado

    Zero-Day (ou 0-Day… ou ainda “Dia Zero”) é pura e simplesmente a estratégia por trás de grande parte dos mais bem elaborados ataques a sistemas computacionais da atualidade !!!

    Sua definição é simples… os cenários de uso e o comportamento de quem os descobre (ou produz) é que potencializam os estragos de sua utilização e o tornam uma ameaça constante e perigosa.

    Zero-Day é tão somente uma falha de segurança não explorada e não documentada, ou seja, um vetor de ataque (ferramenta e/ou método de exploração) contra a qual não existe correção conhecida (patches, service packs, hotfixies, recomendações técnicas) uma vez que o próprio desenvolvedor da solução ou quaisquer soluções de detecção e/ou correção de vulnerabilidades – a priori – não conhecem, ainda, a falha.

    É algo como um vírus para o qual nenhuma empresa de anti-vírus tem vacina, ou uma falha explorável em um serviço de acesso remoto que, caso explorada, não vai ser reportada por nenhum sistema de detecção de intrusões uma vez que sua “assinatura” (identificação da vulnerabilidade) não é, ainda, conhecida.

     

    Pelo enunciado da questão, provavelmente está se referindo a Time Bomb.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • "Esse termo vem da natureza do ataque, o que essencialmente significa que ainda não há solução; o fornecedor do software não está ciente dessa vulnerabilidade, portanto, não há atualização para corrigi-lo, e todos os usuários em todo o mundo que têm esse software estão expostos a ataques usando essa exploração específica de dia zero."

  • ERRADO.

    Acho que a questão apresenta o conceito de ataque de bomba relógio, como, por exemplo, Sexta-Feira 13.

  • Gabarito: Errado

    Zero Day: é uma expressão que representa um problema grave. Trata-se de uma falha de segurança em algum sistema que é descoberta pelo cibercrime antes que a empresa responsável tenha conhecimento sobre o assunto. Isso significa que até a empresa desenvolver e publicar uma correção, que pode demorar alguns dias ou semanas, os hackers terão acesso livre para explorar a falha.

  • -> Zero-day

    No contexto de segurança da informação, trata-se de uma vulnerabilidade desconhecida por administradores de um sistema que pode ser explorada por hackers. O termo zero-day (ou dia zero) é o dia em que o administrador de um sistema descobre essa vulnerabilidade e começa a tomar ações para mitigá-la.

    -> Time Bomb (GABARITO)

    Trata-se de um vírus que – após infectar a máquina– permanece latente (oculto), apenas se replicando. Além disso, seu código malicioso é programado para ser ativado em um determinado momento específico, executando sua carga útil.

  • GABARITO: ERRADO.

  • Zero day é simplesmente o invasor aproveitar de uma vulnerabilidade que a vitima não conheça, simples assim, seja um sistema novo, uma plataforma nova, geralmente os invasores são os próprios desenvolvedores. Exemplo: Sou mecânico, você traz seu carro para consertar, eu conserto e quebro ele ao mesmo tempo sem você saber para que volte semana que vem e eu me aproveite de você.

  • Dia zero : Ataque que ocorre no dia que se descobre a vulnerabilidade do sistema.

    .

  • O ataque dia zero é quando o sistema possui uma falha que ainda é desconhecida e o atacante usa essa falha pra obter vantagem, utlizando-se de software (q é malicioso).

    Time bomb q é um ataque com hora e data já estabelecida

  • GABARITO ERRADO

    ATAQUE DIA ZERO (EXPLOITS ZERO-DAY): atacam brechas que ainda são desconhecidas pelos fabricantes de software e pelos fornecedores de antivírus; não existem nem assinaturas de antivírus para detectar tal exploit nem atualizações disponíveis para reparar as brechas.

  • Zero Day:  Trata-se de uma falha de segurança em algum sistema que é descoberta pelo cibercrime antes que a empresa responsável tenha conhecimento sobre o assunto. Isso significa que até a empresa desenvolver e publicar uma correção, que pode demorar alguns dias ou semanas, os hackers terão acesso livre para explorar a falha

    fonte: colega qc

  • CESPE (2020) Ministério da Economia - Exploits zero-day atacam brechas que ainda são desconhecidas pelos fabricantes de software e pelos fornecedores de antivírus; não existem nem assinaturas de antivírus para detectar tal exploit nem atualizações disponíveis para reparar as brechas (CERTO)


ID
2096617
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de ataques a redes e serviços, julgue o próximo item.

Em ataques APT (Advanced Persistent Threat), são aplicadas técnicas de engenharia social para que se invadam, de forma discreta, os sistemas organizacionais.

Alternativas
Comentários
  • O anglicismo APT é um acrônimo para Advanced Persistent Threat, que em uma tradução livre do inglês significa Ameaça Persistente Avançada.

    Essa expressão é comumente usada para se referir a ameaças cibernéticas, em particular a prática de espionagem via internet por intermédio de uma variedade de técnicas de coleta de informações que são consideradas valiosas o suficiente para que o agente espião despenda tempo e recursos para obtê-las.

    Mesmo quando tem a intenção de acessar ou atacar um alvo específico, um cracker geralmente não é considerado o possível autor de um ataque APT, pois isoladamente um indivíduo raramente dispõe dos recursos necessários à execução de um ataque desses.

  • certo.

     

    Estágios de um ataque por ameaça persistente avançada 

    Um ataque por APT consiste em três estágios: infiltração na rede, expansão da presença e extração de dados. Para que seja bem-sucedidos, não pode haver detecção em nenhum desses estágios. Confira: 

    Infiltração

     Os hackers se infiltram na rede comprometendo áreas como ativos web, recursos da rede ou usuários com privilégios de acesso.

    Para isso, usam uploads maliciosos, por meio de ataques de injeção de SQL, por exemplo, ou técnicas de engenharia social, como spear phishing. 

    Ao mesmo tempo, pode ser que os cibercriminosos executem também um ataque DDoS para servir de distração.

    Os profissionais de segurança ficam ocupados tentando “apagar o incêndio” e fazer os sistemas voltarem a funcionar e, enquanto isso, o perímetro de segurança enfraquece, tornando a invasão mais fácil. 

    Depois de entrar na rede, os cibercriminosos instalam uma backdoor, que também podem vir em forma de trojans mascarados como trechos de softwares legítimos, evitando sua detecção por ferramentas de segurança.

    veja mais em: http://www.proof.com.br/blog/apt/

  • Gabarito Certo

    APT é a abreviatura de “advanced persistent threat” (ameaça persistente avançada). Termo que se tornou famoso depois que o New York Times publicou detalhes do ataque que sofreu  por  mais de um mês. A unidade militar chinesa, agora conhecida como “APT 1”, invadiu a rede da organização midiática com uma série de emails de spear-phishing e um dilúvio de malwares personalizados.

    Existem duas modalidades deste ataque: uma se refere a um tipo extremamente específico de ciberataque, outra se refere a grupos, muitas vezes patrocinados pelo estado.

    Ameaças persistentes avançadas são pouco intuitivas. Quando pensamos em cibercriminosos e outros disseminadores de malware imaginamos que o objetivo deles seja contaminar todos os computadores possíveis com suas credenciais de furtos, botnets ou outros softwares maliciosos. Quanto maior a rede, mais oportunidades para roubar dinheiro, benefícios e qualquer coisa que estejam procurando. Mas os agressores de APT estão interessados em atingir computadores específicos.

    O objetivo final de um ataque APT é atingir a máquina em que exista algum tipo de informação valiosa. Mas seria muito óbvio que agressores instalassem um keylogger ou um backdoor na máquina de um CEO (chief executive officer) de uma grande companhia, além do que é preciso ser muito esperto para pegar estes caras. Eles estão protegidos, possuem equipes e ferramentas de segurança para cuidar deles. Em outras palavras, é muito complicado hackear a grandes executivos.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Certa.

    "APT é um acrônimo para Advanced Persistent Threat (Ameaça Persistente Avançada). Uma ameaça persistente avançada é um tipo de ataquedirecionado implementado por cibercriminosos com alto nível de especialização e recursos para se infiltrar na rede de uma organização específica. É persistente porque o atacante pode passar meses recolhendo informações sobre o alvo e usar essa inteligência para lançar vários ataques durante um prolongado período. "

    Esse recolhimento de informações sobre o alvo é uma forma de engenharia social.
    Fonte: http://www.mycybersecurity.com.br/glossario/apt-advanced-persistent-threat/

  • O que é uma ameaça persistente avançada (APT)?

    Devido ao nível de trabalho necessário para realizar esses ataques, as APTs geralmente são direcionadas a alvos de grande valor, como países e grandes corporações. A finalidade de um ataque de APT é obter acesso permanente ao sistema.  Além disso, muitas defesas cibernéticas tradicionais, como antivírus e firewalls, nem sempre conseguem proteger contra esses tipos de ataques.

  • Gabarito: Certo

    Advanced Persistent Threats (APT): Ameaça Persistente Avançada, consiste em um conjunto de processos de hacking contínuos e invisíveis que são comumente orquestrados por pessoas com uma finalidade específica. As APT costumam atacar organizações e/ou países por motivos comerciais ou políticos (guerra cibernética, espionagem industrial, combate ao terrorismo, ciberterrorismo, etc). Normalmente requerem alto grau de sigilo. O termo avançada significa que são utilizadas técnicas sofisticadas de malwares, o termo persistente significa que há um sistema de controle e comando que está continuamente monitorando e extraindo dados de um alvo específico. Os ataques APT funcionam em três etapas: Planejamento, Engenharia Social e Aprofundamento da Invasão. Um exemplo famoso do uso de APT foi o famoso worm Stuxnet, que foi criado para atingir o programa nuclear iraniano.

  • Mais genérico que isso só o Paracetamol.

  • GABARITO: CERTO.

  • APT (Ameaça Persistente Avançada)

    • Conjunto de processos de hacking contínuos e invisíveis
    • São utilizadas técnicas sofisticadas de malwares
    • Funcionam em três etapas:
    • Planejamento
    • Engenharia Social
    • Aprofundamento da Invasão
    • As APT costumam atacar organizações e/ou países por motivos comercias ou políticos

  • GABARITO CERTO

    ATAQUES APT (ADVANCED PERSISTENT THREAT): aplicam-se técnicas de engenharia social para que invadam, de forma discreta, os sistemas organizacionais. Em geral, uma APT não é detectada por antivírus ou por softwares IDS firmados em assinatura.


ID
2096620
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo à segurança de aplicativos web.

A técnica de fuzzing do OWASP ZAP fornece entradas não válidas para qualquer tipo de mecanismo de entrada. 

Alternativas
Comentários
  • ZAP (Zed Attack Proxy Project) da OWASP é uma ferramenta que pode apoiar no PEN TEST (Teste de Penetração).e no item SQL Injection.

    Fuzzing é uma técnica de testes de software, frequentemente automatizada ou semi-automatizada, que envolve prover inválidos, inesperados e aleatórios dados como entradas para programas de computador. O programa é então monitorado, analisando exceções como erros em tempo de execução. Fuzzing é uma técnica comumente utilizada para testar problemas de segurança em softwares ou sistemas computacionais.

     

  • OWASP Zed Attack Proxy (ZAP) é uma das ferramentas de segurança gratuitas mais populares do mundo e é ativamente mantido por centenas de voluntários internacionais. Pode ajudá-lo a encontrar automaticamente vulnerabilidades de segurança em seus aplicativos da Web enquanto você está desenvolvendo e testando seus aplicativos. É também uma ótima ferramenta para experientes pentesters para usar para testes de segurança manual.

  • O gabarito é Certo.

     

    Uma das maiores preocupações em aplicações Web é o vazamento de informações confidenciais. E uma das práticas mais usadas é o SQL Injection.

     

    A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

     

    Para estarmos seguros, é extremamente importante em nosso ciclo de testes, abordarmos o PEN TEST (Teste de Penetração).

     

    O teste de penetração é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa. O processo envolve uma análise nas atividades do sistema, que envolvem a busca de alguma vulnerabilidade em potencial que possa ser resultado de uma má configuração do sistema, falhas em hardwares/softwares desconhecidas, deficiência no sistema operacional ou técnicas contramedidas. Todas as análises submetidas pelos testes escolhidos são apresentadas no sistema, junto com uma avaliação do seu impacto e muitas vezes com uma proposta de resolução ou de uma solução técnica.

     

    E uma ferramenta gratuita que pode apoiar no PEN TEST e no item SQL Injection é a ZAP (Zed Attack Proxy Project) da OWASP.

  • CERTO

    Ele é projetado para ajudar a encontrar bugs que ainda não são conhecidos. Fazem isso construindo entradas aleatórias ou pseudo-aleatórias.

    Os erros podem ser analisados e transformados em uma exploração de trabalho para melhorar a segurança de softwares e sistemas. 


ID
2096623
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo à segurança de aplicativos web.

Limitar o tempo de vida dos cookies de uma sessão e implementar mecanismos de desafio-resposta, como o captcha, são contramedidas para ataques de CSRF (cross-site request forgery).

Alternativas
Comentários
  • CSRF (do inglês Cross-site request forgeryFalsificação de solicitação entre sites) é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.[1] Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.

  • Um ataque CSRF consiste em inserir requisições em uma sessão já aberta pelo usuário.

     

    algumas formas de prevenção:

     

    Mitigação com controles alternativos

    Outros controles que não tokens, nem combinação de cookies com corpo da resposta ajudam a prevenir ataques que exploram o CSRF. São eles:

    Validação do cabeçalho "Referer": Sim, é simples e ajuda bastante. Um atacante não consegue modificar o cabeçalho "Referer". Uma tentativa de ataque de CSRF vai trazer na requisição que o site que originou a requisição é "malicioso.com.br" e não "banco.com.br";

    Verificar o cabeçalho "Origin": Parecido com o "Referer", mas diferente. O cabeçalho Origin foi criado para prevenir ataques entre domínios e, diferentemente do "Referer", o cabeçalho Origin é enviado mesmo em requisições HTTP originadas de URLs em HTTPS;

    Adicionar um Captcha: Visto que o Captcha mitiga ataques automatizados, ele também serve para bloquear ataques CSRF, porque o Captcha tem que ser preenchido corretamente.

     

    veja mais em:

    https://dadario.com.br/csrf-o-que-e/

  • Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.

  • http://blog.caelum.com.br/protegendo-sua-aplicacao-web-contra-cross-site-request-forgerycsrf/

     

    Leia esse artigo

  • Essa questão e os comentários me dispertaram a curiosidade em analisar qual a diferença entre CSRF e XSS, achei um artigo em inglês, portanto a tradução automática não fica tão boa assim, mas deu p sanar a dúvida:

     

    "A diferença fundamental é que o CSRF (falsificação de solicitação entre sites) ocorre em sessões autenticadas quando o servidor confia no usuário / navegador, enquanto o XSS (Cross-Site scripting) não precisa de uma sessão autenticada e pode ser explorado quando o site vulnerável não faz o básico de validar ou escapa  dos controles de acesso que usam a política de mesma origem."

     

    https://www.quora.com/What-is-the-difference-between-XSS-and-CSRF-from-their-execution-perspective

  • CERTO

    O ataque CSRF explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Medidas que implementam mecanismos como o captcha (o velho e bom não sou um robôkk) ajuda a comprovar a autenticidade de quem está acessando o site.

  • Gabarito: Certo

    Diferença entre XSS e CSRF:

    XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador.

    CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão. Com isso, implementando o que a questão traz, limitar o tempo dos cookies e implementar o captcha, faz com que o site questione a confiança no usuário mais vezes e em menor tempo. Isso ajuda contra CSRF.

  • O CSRF é um tipo de exploit malicioso de um website, no qual comandos não autorizados são transmitidos a partir de um  usuário em quem a aplicação web confia. Há muitos meios em que um site web malicioso pode transmitir tais comandos, tags de imagem especialmente criadas, formulários ocultos e XMLHttpRequests de Java Script , por exemplo, podem funcionar sem a interação do usuário ou mesmo seu conhecimento. Diferente do  (XSS), que explora a confiança que um usuário tem para um site específico, o CSRF explora a confiança que um site tem no navegador de um usuário.

  • XSS tira casquinha do usuário no site.

    CSRF tira casquinha do navegador do cliente.

  • Só complementando:

    Sempre confundo a sigla, gravei assim:

    XSS -- Xuxa, a rainha dos baixinhos (é o usuário)

    Explora a confiança que um usuário tem em um site.

    CRSS -- CoRreio Braziliense (é o site)

    Explora a confiança que um site tem no navegador de um usuário.

  • TCU. só é lembara que o DF é mantido pela união, quem assina o check é quem presta as contas .


ID
2096626
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de segurança da informação (GRSI), julgue o item a seguir.

Durante o processo de GRSI, é importante que os riscos, bem como a forma com que se pretende tratá-los, sejam comunicados ao pessoal das áreas operacionais e aos devidos gestores.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27005:2011,p.15,

    "6 Visão geral do processo de gestão de riscos de segurança da informação

    Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados."

  • Gabarito Certo

    Sem mais nem menos...

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
2096629
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de segurança da informação (GRSI), julgue o item a seguir.

O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco.

Alternativas
Comentários
  • Assinalei como CERTO.

     

    E encontrei algo que corrobora com minha posição, ISO 27005: 2011 Página 14:

    Processo de Gestão de Riscos de Segurança da Informação(GRSI) PODE ter as atividades de análise/avaliação de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. 

     

    Gabarito Definitivo marcou ERRADO e concordo com essa posição.

     

    A questão diz:  "O processo de GRSI É iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco".

    Colocado dessa forma parece ser obrigatório a iteração, quando na verdade a norma é bem clara e diz PODE.

     

    A celuema está nesse jogo de PODE ou É iterativo.     

    Cespe EU te AMO!

     

    Aguardo contribuição dos colegas.

  • Eu também marquei CERTO, mas se realmente o gabarito for ERRADO, então é por causa do PODE. Assim, o que torna a questão errada consiste na palavra "É", que demonstra obrigatoriedade. 

    Segundo a ISO 27005:2011,p.14, "Como mostra a Figura 2, o processo de gestão de riscos de segurança da informação pode ser iterativo
    para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco.
    "

  • nada a ver suas respostas.. o "é" nao determina ou impoem nada.. ele é iterativo? sim! sempre? nao! errado estaria ao dizer "deve" "é sempre interativo"

  • Gustavo,

    Acho que faz sentido. Na resposta do Nobre Nobre dá a entender que o padrão da norma é sequencial, mas pode ter mais de uma iteração. Então, ao falar que "é sequencial" subentendese que assim é o padrão, contudo pode variar, ou é sempre assim. É sutil, mas, ainda válido. A CESPE tem questões com gabaritos piores.

  • Inicialmente marquei como Certo, entretanto é uma questão realmente capsiosa. O fato de algo ser "iterativo" não restringe a possibilidade de se ter apenas um único ciclo de melhoria ou aprendizagem. Nesse caso o fato da utizacao do "é" ou do "pode" não ficaria tão evidente como sendo o erro da questão. Independente disso, espero na próxima vez não perder essa questão. Gabarito, ERRADO. FFF
  • Nossa! Que questão maldita!

  • 2018

    De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica a atividade que pode ter um enfoque iterativo.

    A Definição do contexto.

    B Tratamento do risco.

    C Aceitação do risco.

    D Comunicação e consulta do risco.

    E Monitoramento e análise crítica de riscos.

    O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco.

    Se o erro for nesse PODE ser iterativo

    é de fuder

    de qualquer forma, entraria com recurso, pois EM REGRA, ele é iterativo

    veja o que está na norma

    O processo de avaliação de riscos é executado frequentemente em duas (ou mais) iterações. Primeiramente, uma avaliação de alto nível é realizada para identificar os riscos potencialmente altos, os quais merecem uma avaliação mais aprofundada. A segunda iteração pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iteração. Se ela não fornecer informações suficientes para avaliar o risco, então análises adicionais detalhadas precisarão ser executadas, provavelmente em partes do escopo total e possivelmente usando um outro método. 

  • O erro não poder ser esse "É", no lugar de PODE, pq a questão fala em PROCESSO. Até pq, por se tratar do ciclo PDCA, as coisas tem que ser iterativas. Mais cedo ou mais tarde vamos analisar/avaliar aquele risco denovo e vamos analisar críticamente o plano de tratamento de riscos. Lembrando bem da figura, me recordo que há duas perguntas no ciclo: A AVALIAÇÃO FOI SATISFATÓRIA? O TRATAMENTO FOI SATISFATÓRIO?

    Para de onda Cespe, vão arranjar emprego numa empresa pra vcs aplicarem a norma...

  • Acho que o examinador interpretou de forma bem literal a imagem do processo de gestão riscos definido na norma, com a sua descrição. Porém, se o tratamento de riscos não for satisfatório, poderá haver outra iteração do processo a partir da definição do contexto.

    https://www.qsp.org.br/image/figura_27005.gif

    "Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo."

  • Qualquer um que tenha estudado a norma marcaria Certo nessa questão.

  • To rico, to pobre, pode, não pode, f*, não f*....

  • Tratamento de Riscos (Ponto de Decisão 1) e Aceitação de Riscos (Ponto de Decisão 2) são iterativos.

    Ao chegar neles pode ter de voltar à Identificação de Riscos, ou à Definição de Contexto.


ID
2096632
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue o item subsecutivo.

São consideradas as circunstâncias e as necessidades da organização para se determinar se a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas de análise.

Alternativas
Comentários
  • Segundo a NBR ISO 31000:

    Análise de Riscos:

    "A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas."
     

  • Gabarito: Certa

    A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas.

    As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a partir dos dados disponíveis.

    As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns casos, é necessário mais que um valor numérico ou descritor para especificar as consequências e suas probabilidades em diferentes períodos, locais, grupos ou situações.

    FONTE: Estratégia


ID
2096635
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue o item subsecutivo.

A gestão de riscos é uma atividade autônoma e independente de outros processos da organização.

Alternativas
Comentários
  • A gestão de riscos é parte integrante de todos os processos organizacionais.
    A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças. 

  • Gabarito: Errado.

     

    Fonte: ABNT NBR ISO 31000

     

    3. Princípios 

    b) A gestão de riscos é parte integrante de todos os processos organizacionais.
    A gestão de riscos não é uma atividade autônoma separada das principais atividades e processos da organização. A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos os processos de gestão de projetos e gestão de mudanças.

  • Ela é integrada, estruturada e abrangente.


ID
2096638
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item que se segue.

O controle dos processos terceirizados é opcional, motivo pelo qual as organizações podem avaliar tais processos apenas quando considerarem isso necessário.

Alternativas
Comentários
  • A organização deve assegurar que os processos terceirizados sejam controlados.

  • ✅Gabarito(Errado) 

    8 Operação

    8.1 Planejamento e controle operacional

    A organização deve garantir que processos terceirizados são controlados.

    Fonte: Fonte: ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARÇO 2013


ID
2096641
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item que se segue.

Os objetivos da continuidade de negócios devem ser monitorados e, quando necessário, atualizados.

Alternativas
Comentários
  • A ISO 22301:2013 adota o PDCA (Plan-Do-Check-Act) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente e melhorar continuamente a eficácia do Sistema de Gestão de Continuidade de Negócios (SGCN) de uma organização.

  • ✅Gabarito(Certo) 

    6 Planejamento

    6.1 Ações para direcionar riscos e oportunidades

    6.2 Objetivos de continuidade de negócios e planos para alcançá-los

    Os objetivos de continuidade de negócios devem ser monitorados e atualizados sempre que necessário.

    Fonte: ABNT/CEE-68 PROJETO 63:000.02-001 (ISO 22301) MARÇO 2013


ID
2096644
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da informação.
Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização deve estar disponível, como informação documentada, exclusivamente para a alta gerência.

Alternativas
Comentários
  • ERRADO.

    Segundo a ISO 27001:2013,"A política de segurança da informação deve:
    a) estar disponível como informação documentada;
    b) ser comunicada dentro da organização; e
    c) estar disponível para as partes interessadas conforme apropriado."

     

    CORREÇÃO:**Devido a seu conteúdo estratégico, a política de segurança da informação de uma organização deve estar disponível, como informação documentada, DENTRO DA ORGANIZAÇÃO E PARA PARTES EXTERNAS RELEVANTES, DEVENDO-SE TER O CUIDADO PARA NÃO FORNECER INFORMAÇÕES SENSÍVEIS.

  • Pegadinha né !

     

    Exclusivamete para a alta gerência ?NUNCA !Sempre para todos os funcionarios para que todos estejam cientes.

     

    GAB:ERRADO


ID
2096647
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de malwares executáveis em ambiente Windows, julgue o item a seguir.

Por meio da análise estática, é possível descrever o comportamento de um malware como se ele estivesse sendo executado em tempo real.

Alternativas
Comentários
  • A análise estática, também chamada de análise estática de código, é um método de depuração programa de computador  feito através da análise do código sem executar o programa. O processo proporciona uma compreensão da estrutura do código, e pode ajudar a assegurar que o código adere às normas industriais, mundiais e de mercado. Ferramentas automatizadas podem ajudar programadores e desenvolvedores na realização de uma análise estática. O processo de análise de código por inspeção visual (por meio de olhar para a impressão, por exemplo), sem o auxílio de ferramentas automatizadas, é às vezes chamado de entendimento ou compreensão do programa.

  • Gab.: Errado.

    Não é em tempo real: "Na terminologia do computador, meios estáticos fixos, enquanto meios dinâmicos são capazes de várias ações e/ou mudança. A análise dinâmica envolve o teste e avaliação de um programa baseado em execução."

  • Não precisa executar.

  • ANÁLISE DINÂMICA E NÃO ESTÁTICA.

  • A análise estática de softwares, também conhecida como whitebox, trabalha diretamente com o código de uma ferramenta. Nesse caso, os componentes de uma ferramenta são verificados sem que o produto seja executado. Seja por meio de uma ferramenta automatizada ou dos testes manuais, o principal objetivo dessa técnica é identificar erros de programação, tais como:

    >> Práticas ruins;

    >> Erros de sintaxe;

    >> Falhas de segurança.

    A análise estática auxilia gestores de TI a identificar todas as linhas de código que foram mal escritas durante a criação de um software. Todos os caminhos de execução, processamento e exibição de valores são examinados. Como consequência, erros mais comuns são descobertos mais rapidamente.

    O teste dinâmico pode ser empregado de forma complementar a análise estática. Esse tipo de abordagem vê o software como uma “caixa preta” (daí o nome popular “blackbox”) e trabalha, principalmente, com as informações que são inseridas nas rotinas de entrada e saída de dados. Além disso, são verificados itens como:

    >> O tempo de resposta;

    >> A performance da aplicação;

    >> A capacidade do software se adaptar a diferentes ambientes;

    >> O comportamento funcional.

    Muitas empresas adotam a análise dinâmica por ela permitir que problemas mais sutis sejam identificados. Não importa o grau de complexidade, as chances de um bug passar por uma análise estática e uma análise dinâmica sem ser rastreado é consideravelmente baixa. Dessa forma, o teste dinâmico consegue dar mais segurança e confiabilidade ao produto final.

    https://blog.convisoappsec.com/teste-estatico-e-dinamico-entenda-diferencas/

  • Todas estudam o programa porém:

    Estática ============> SEM EXECUTÁ-LO.

    Dinâmica ===========> Á MEDIDA EM QUE ELE EXECUTA

    Post-mordem ========> APÓS A EXECUÇÃO

  • Para analisar o malware, podemos utilizar duas abordagens, estática ou dinâmica.

    Análise estática: analisamos o arquivo sem executá-lo, ou executamos apenas trechos do seu código com ajuda de debuggers. Nesta análise é exigido conhecimento de sistema operacional e linguagem assembly. Essa análise exige mais estudo pois quase todo trabalho é feito manualmente.

    Análise dinâmica: executamos o arquivo e monitoramos como ele se comporta, essa análise também pode ser chamada de comportamental.

    Aqui, identificamos sua interação com o sistema operacional, deixamos o malware agir e o observamos, é como se deixássemos um suspeito criminal dentro de uma sala com uma câmera filmando para observar seu comportamento, o suspeito pode quebrar a janela, ou simplesmente ficar quieto esperando alguém entrar para agir de modo malicioso.

  • Estática = sem executá-lo.

    No meu português (sou nativo), "como se ele estivesse sendo executado" não significa que ele ta sendo executado.

    Logo, pode gerar duas interpretações.

  • Gab.: ERRADO!

    Técnicas chaves para a análise de malware:

    >>Análise ESTÁTICA: estuda o programa sem executá-lo;

    >>Análise DINÂMICA: estuda o programa à medida em que o executa;

    >>Análise POST-MORTEM: estuda os efeitos do programa após sua execução.

  • CERTO

    Bizu: falou em tempo real -- só acompanha se for dinâmico.

  • Rapaz, li rápido e acabei entendendo Análise Estatística
  • Se está estático ( parado) como observa-lo em tempo real ( funcionando) ? cespito ladron de sonhos.

  • Análise estática estuda um código/programa sem executá-lo.

    Gab: errado

  • ANÁLISE DE MALWARES:  

    • Tem objetivo de entender de forma abrangente o funcionamento de um código malicioso 
    •  3 técnicas para análise: 

     Análise DINÂMICA (ou comportamental) 

    •  Estudar a medida que ele executa. Em ambiente controlado  

    Análise ESTÁTICA (engenharia reversa)  

    • Estudar sem executa-lo  

    Análise POST MORTEM  

    • Estudar o que acontece depois que o programa já rodou 

  • 1ª geração Assinatura Estática estuda sem executá-lo.

    2ª geração Heurística Dinâmica monitora o comportamento dos programas.

    NGAV (nova geração) capaz de aprender o comportamento da máquina por meio da IA e assim permite a identificação de padrões comportamentais.

    (CESPE) Os antivírus que utilizam assinaturas comportamentais são capazes de detectar vírus desconhecidos. (CERTO, Heurística)

    (CESPE) Os aplicativos de antivírus com escaneamento de segunda geração utilizam técnicas heurísticas para identificar códigos maliciosos. (CERTO)

    (CESPE) Para tentar prevenir uma infecção por vírus ou malware, algumas ferramentas de antivírus procedem à detecção por heurística, técnica de detecção de vírus baseada no comportamento anômalo ou malicioso de um software. (CERTO)

    (CESPE) Por meio da análise estática, é possível descrever o comportamento de um malware como se ele estivesse sendo executado em tempo real. (ERRADO)

    (CESPE) Como os antivírus agem a partir da verificação da assinatura de vírus, eles são incapazes de agir contra vírus cuja assinatura seja desconhecida. (ERRADO)

  • engenharia reversa - estático


ID
2096650
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de malwares executáveis em ambiente Windows, julgue o item a seguir.

Pela técnica de engenharia reversa, é possível obter o código-fonte de um malware e o nome real de suas funções, desde que utilizado um leitor hexadecimal.

Alternativas
Comentários
  • não é possível

  • você não precisa d eum leitor hexadecimal, e sim de um leitor binário.

  • Na minha opiniao, o erro da questao reside na parte em que restringe a obtencao do nome REAL DAS FUNCOES EM UM CODIGO FONTE DE UM MALWARE "desde que utilizado um leitor hexadecimanl" . O simples uso de um leitor hexadecimal nao garante a possibilidade de se obter o nome real das funcoes, haja vista a possiblidade de o codigo malicioso ter sido OFUSCADO ou EMPACOTADO. Nesse sentido existem uma VARIEDADE de tecnicas e ferramentas a serem aplicadas para (tentar) obter o codigo-fonte.

     

    Segundo o livro Tratado de Computacao Forense, 2016, pag. 415: " A analise de malware envolve a adoção de um grande número de ferramentas e técnicas com a finalidade de se descobrir quais atividades maliciiosas sao executadas pelo programa em questao. "

     

    Gabarito, ERRADO.

     

    FFF

  • Trata-se de análise estática avançada (a que utiliza engenharia reversa do código).

    A questão estaria correta se ao invés de afirmar:

     

    "obter o código-fonte de um malware e o nome real de suas funções, desde que utilizado um leitor hexadecimal."

     

    Afirmasse:

     

    "obter o código-fonte de um malware e o nome real de suas funções, desde que utilizado um desmontador(disassembler)."

     

    Fonte: Tratado de Computaçãõ Forense - Cap 12 - Pg 416

  • O código de máquina gerado de um programa não possui identificadores das funções- após a compilação se perde a tabela de simbolos. Assim, após uma descompilação não se terá disponível os nomes originais, independente do tipo de leitor.  

  • É possível obter o código-fonte de um malware e o nome real de suas funções, tanto por desmontador quanto por descompilador, mas não é garantido.

  • Com engenharia reversa é possível obter o código-fonte de um malware.

  • Engenharia reversa é o processo de descobrir os princípios tecnológicos e o funcionamento de um dispositivo, objeto ou sistema, através da análise de sua estrutura, função e operação. Objetivamente a engenharia reversa consiste em, por exemplo, desmontar uma máquina para descobrir como ela funciona.

  • "desde que" salvou vc que tô ligado.


ID
2096653
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de malwares executáveis em ambiente Windows, julgue o item a seguir.

Informações a respeito das funções que um malware executa podem ser obtidas pela extração de strings desse malware.

Alternativas
Comentários
  • CERTO,

    Na verdade a extração das strings acontece usando engenharia reversa.

  • Gbarito Certo

    Acredito que a questão esteja se referindo a Engenharia reversa.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O que é um string? Na programação de computadores é uma sequencia (cadeia) de caracteres.

    Na analise de um malware, as strings podem dar indícios de onde o malware se conecta.

  • Gabarito Certo.

    Ao analisar malware, a extração de string é uma das primeiras coisas a fazer para extrair brevemente informações úteis, como endereço IP, domínios, funções, dados.

    Uma string é uma sequência de caracteres, pode ser uma constante ou uma variável. 

    Strings são inerentes à programação de computador, eles são basicamente dados valiosos que são usados ​​para criar software e, por sua vez, para obter pistas sobre a funcionalidade durante a engenharia reversa.

    Fonte: https://medium.com/malware-buddy/fifty-shades-of-malware-strings-d33b0c7bee99

  • Quem estuda Python matou essa kk!

  • Um malware executável no ambiente windows é analisado utilizando engenharia reversa, extraíndo-se o código binário. Eu colocaria a questão como ERRADA, porque não se extrai Strings de código binário.


ID
2096656
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito à segurança em redes, julgue o próximo item.

Para bloquear um ataque de XSS (cross-site script) a uma aplicação web, é suficiente desativar o suporte a XML no navegador do usuário.

Alternativas
Comentários
  • ERRADO.  ERRO:  "é suficiente"

    Segundo o documento da OWASP,TOP 10-2013,"Evitar XSS requer a separação do dado não-confiável do conteúdo ativo no navegador.
    1.A opção apropriada é filtrar adequadamente todos os dados não-confiáveis com base no contexto HTML (corpo, atributo, JavaScript, CSS ou URL) no qual os dados serão colocados. Veja o OWASP XSS Prevention Cheat Sheet para detalhes sobre os requisitos das técnicas de filtro de dados.

    ___________________

    2.“Lista branca" ou validação de entrada positiva também é recomendada pois ajuda a proteger contra XSS, mas não é uma defesa completa, já que muitas aplicações requerem caracteres especiais em sua entrada. Tal validação deve, tanto quanto possível, validar o tamanho, caracteres, formato, e as regras de negócio sobre os dados antes de aceitar a entrada.

    ____________________
    3.Para conteúdo rico considere bibliotecas de auto-sanitização como OWASP's AntiSamy ou o Java HTML Sanitizer Project.

    ____________________
    4.Considere a Content Security Policy (CSP) para se defender contra XSS em todo o seu site."

  • Viu "suficiente", é probabilidade de 99% de a afirmativa ser falsa.

  • Fonte de consulta

    https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf

  • ERRADO

    Porque o XSS age em XML e também em HTML logo não adiantaria .

  • Gabarito: Errado.

    O ataque pode ocorrer explorando o Javascript, HTML, CSS, entre outras tecnologias. Desativando apenas o XML não resolve.

  • ERRADO!

    A vulnerabilidade conhecida como Cross Site Scripting (XSS) ou execução de comandos em sites cruzados

    Em primeiro lugar, é importante ter em conta que com essa vulnerabilidade, os atacantes aproveitam a confiança que existe entre um usuário e um site em particular,

    Esse tipo de vulnerabilidade pode ser explorada de duas maneiras: de forma refletida e de forma persistente. A seguir, farei uma breve explicação sobre cada uma delas.

    • Refletida

    Consiste em modificar valores que o aplicativo web usa para enviar variáveis entre duas páginas. Um clássico exemplo disso é fazer com que através de um buscador seja executada uma mensagem de alerta em JavaScript. Com o XSS refletido, o atacante pode roubar as cookies para, em seguida, também roubar a identidade, mas para isso, deve fazer com que a vítima execute um determinado comando dentro do endereço web.

    • Persistente

    Consiste em inserir um perigoso código HTML (programação web) em sites e, desse modo, se tornar visível para os usuários que acessem ao site modificado.

    Fonte: https://www.welivesecurity.com/br/2017/07/07/vulnerabilidade-cross-site-scripting/

  • É SUFICIENTE DESCONECTAR O RJ45

  • Para bloquear um ataque de XSS (cross-site script) a uma aplicação web, é suficiente desativar o suporte a XML no navegador do usuário.

    Em termo de segurança na internet, a única alternativa quase suficiente é desconectar o RJ-45.

  • Gabarito: errado

    Complementando:

    O Cross-Site Request Forgery (CSRF) é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Para execução do CSRF, o usuário mal intencionado deve induzir o utilizador legítimo, seja por meio de engenharia social ou outros artifícios como cross-site scripting, a executar atividades arbitrárias no aplicativo, permitindo que virtualmente qualquer ação específica possa ser realizada no sistema sem o consentimento do usuário final.


ID
2096659
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Redes de Computadores
Assuntos

No que diz respeito à segurança em redes, julgue o próximo item.

Por padrão, um WAF (web application firewall) é capaz de utilizar as camadas de rede, de transporte e de aplicação da pilha TCP/IP.

Alternativas
Comentários
  • WAF | Web Application Firewall

    O WAF oferece uma camada altamente escalável de proteção contra ataques às aplicações web, emitindo alertas e os bloqueando antes de alcançar os servidores de origem, filtrando todo o tráfego HTTP e HTTPS de entrada, por meio de controles configuráveis nas camadas de rede e aplicação.

    Os parâmetros de segurança do WAF são baseados no ModSecurity, um conjunto extremamente confiável de regras que detecta e previne técnicas de exploração comuns como SQL Injection e Cross Site Scripting - XSS. A solução permite definir regras, alertas e ações do WAF, assim como whitelist e blacklist de IPs.

  • WAF (Web Application Firewall): Projetado para proteger aplicações web/servidores de ataques baseados na web que um IPS não pode impedir. Ele monitora o tráfego de e para os aplicativos/servidores web. O WAF atua na camada de aplicação entre o servidor HTTP/HTTPS e o cliente, no qual atuam HTML, XML, Cookies, Javascript, ActiveX, Client Request e Server Request.

  • Uma dúvida: Se um protocolo usa a camada de APLICAÇÃO do TCP/IP, automaticamente esse mesmo protocolo não está usando TODAS as camadas inferiores????

    Existe algum protocolo que use APENAS a camada de APLICAÇÃO do TCP/IP e NÃO utilize as demais camadas????

  • Boa pergunta Turetto;

    Achei esse texto (que reafirma as postagens anteriores):

    A Web application firewall (WAF) is a firewall that monitors, filters or blocks data packets as they travel to and from a Web application. A WAF can be either network-based, host-based or cloud-based and is often deployed through a proxy and placed in front of one or more Web applications. Running as a network appliance, server plug-in or cloud service, the WAF inspects each packet and uses a rule base to analyze Layer 7 web application logic and filter out potentially harmful traffic.

     

    Ou seja, menciona apenas a camada de Rede e a de Aplicação, sem falar nada de transporte.

  • Nao e assim q as coisas funcionam, Turetto. Atuar na camada superior nao confere poder pra atuar nas de baixo.

    Segundo [1], "Web Application Firewall (WAF) e' um firewall de aplicaqöes HTTP, que por sua vez dispöe de um conjunto de regras que säo usadas para prevenir ataques nesse contexto (HTTP).

    Se usa HTTP, WEB, que atuam na camada de aplicacao, como q WAF pode operar em todas as camadas??

    Fonte:

    [1] Information Security Management Handbook, Volume 3, Harold F. Tipton, Micki Krause

  • GABARITO ERRADO!

    .

    .

    Além da proteção contra ataques executados nas camadas OSI 3 e 7, um WAF também tem a capacidade de fazer mais do que apenas controlar o tráfego da web - ele pode analisá-lo. WAFs podem parar ameaças conhecidas ou usar aprendizado de máquina ou outros tipos de inteligência artificial (IA) para detectar e sinalizar comportamentos maliciosos.

  • A questão fez referencia ao modelo TCP/IP e não ao modelo OSI, logo, ele opera na camada 4 que é a de Aplicação. Quando não especificado, a CESPE adota por padrão o modelo TCP de 4 camadas e não de 5.

    Ainda sobre WAF, é importante destacar que:

    • Opera por meio de um conjunto de regras/políticas.
    • Também é conhecido como proxy.
    • Trabalha com protocolos da camada de aplicação: HTTP, SMTP, FTP, SSH, Telnet, POP3, DNS etc.
    • Não atua contra ataques DDoS 

  • GABARITO: ERRADO

    Por padrão, um WAF (web application firewall) é capaz de utilizar as camadas de rede e de aplicação da pilha TCP/IP.


ID
2096662
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Banco de Dados
Assuntos

No que diz respeito à segurança em redes, julgue o próximo item.

Um ataque SQL Injection possibilita o envio de comandos SQL por meio de campos de entrada de aplicações web.

Alternativas
Comentários
  • Não seria pela URL?

  • George, também.

  • "..consegue inserir comandos maliciosos (sql querys) no banco de dados através dos campos de formulários ou de URLs de uma aplicação vulnerável"

    Fonte:https://www.tecmundo.com.br/tecmundo-explica/113195-sql-injection-saiba-tudo-ataque-simples-devastador.htm

  • Gabarito Certo

    Um ataque de SQL injection consiste na inserção ou ‘injeção’ de uma query SQL nos dados de entrada via input do clienteda aplicação. Uma exploração bem sucedida de SQLi pode dar ao atacante a possibilidade de ler dados sensíveis do banco de dados, modificar esses dados (inserir; atualizar; deletar), executar operações administrativas nesse DB (como desligar o DBMS), recuperar conteúdo de um arquivo presente no sistema de arquivos do DBMS e em alguns casos rodar comandos diretamente no sistema operacional. Um ataque de SQL injection se enquadra no tipo Injeção, onde comandos SQL são injetados em campos de input de texto puro, como campos de busca, para efetuar a execução de comandos SQL pré-definidos.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através da entradas de dados de uma aplicação, como formulários ou URL de uma aplicação

     

    Gabarito: Certo

  • Os ataques SQL injection consistem na exploração de vulnerabilidade nas aplicações web e nos comandos SQL dinâmicos enviados ao banco. Através deles, os usuários podem explorar a possibilidade de realizar entrada de dados de forma direta nas instruções SQL e incluir comandos maliciosos.

    Gabarito: C


ID
2096665
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da ação de softwares maliciosos, julgue o item subsequente.

Um rootkit é uma ferramenta que manipula recursos do sistema operacional para manter suas atividades indetectáveis por mecanismos tradicionais, podendo, ainda, operar no nível de kernel do sistema operacional.

Alternativas
Comentários
  • Gabarito: Certo

    Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.

    É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo.

    Fonte: Cartilha de Segurança para Internet

  • A definicao de rootkit esta adequada na questao ao indicar que o referido malware "manipula recursos do sistema operacional para manter suas atividades indetectáveis por mecanismos tradicionais".

     

    A segunda afirmacao é mais interessante. A banca descreve a possibilidade(algo que pode acontecer como pode nao acontecer) do malware conseguir "operar no nível de kernel do sistema operacional". Tal fato é plenamente possivel se imagirnarmos o malware em funcionamento em um sistema operacional MONOLITICO ou HIBRIDO. Neste caso as instrucoes de servico(softwares em geral) podem rodar em modo KERNEL(nucleo ou privilegiado), dessa forma podendo interagir com enderecos de memoria, instrucoes do processador, etc.

     

    Gabarito, CERTO.

    FFF

  • Questão CORRETA

    Outras questões ajudam a responder essa.

     

    (2015/TJ-DFT/Analista TI) Os rootkits, não somente podem esconder a existência de certos processos ou programas de métodos normais de detecção, mas também permitir uso contínuo com acesso privilegiado a determinado recurso. CERTO

     

    (2017/FCC-TRT/7°R) Rootkit, é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. CERTO

     

    (2013/PCDF/Escrivão) Rootkit é um tipo de praga virtual de difícil detecção, visto que é ativado antes que o sistema operacional tenha sido completamente inicializado. CERTO

  •   Kernel Rootkits (carregado no Kernel do SO);
    - Virtual Rootkits (Agem na camada de virtualização de um sistema);
    - Firmware Rootkit (Agem nos componentes de hardware, como placas de
    vídeo, controladoras, etc);
    - Library Rootkit (Carregado no módulo de bibliotecas de um SO).

     

    Fonte : Estratéia Concursos.

  • O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:

    >> remover evidências em arquivos de logs

    >> instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado;

    >> esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc;

    >> mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;

    >> capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego.

  • Gab: CERTO

    Há vários tipos de Rootkits. Dentre eles, temos o Rootkit no modo kernel. Segue a explicação encontrada no site do AVG:

    "Rootkits no modo kernel operam no núcleo de um SO (nível kernel) e causam falhas frequentes no sistema. É assim que a equipe de suporte da Microsoft determina se o dispositivo da vítima foi infectado por um rootkit.

    Um golpista explora primeiramente o sistema do usuário carregando um malware no kernel, o que acaba interceptando chamadas do sistema ou adiciona seus próprios dados, filtrando qualquer outro dado retornado pelo malware que pode fazer com que seja reconhecido. Malwares baseados em kernel podem ser usados para cobrir rastros e esconder ameaças tanto no núcleo quanto nos componentes do modo usuário."

    Fonte: avg.com/pt/signal/what-is-rootkit

  • Gabarito: Certo

    Rootkit: um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder os seus rastros e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece esses mecanismos é conhecido como rootkit. Ele apaga os seus rastros, não tem nada a ver com acesso root. Na verdade a confusão se faz pois ele não é utilizado para obter acesso privilegiado, mas manter. 

  • -> ROOTKIT

    Esconde ou assegura a presença do invasor em um PC comprometido. Rootkits inicialmente eram usados por atacantes que, após invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos métodos utilizados na invasão, e para esconder suas atividades do responsável e/ou dos usuários do computador.

  • ROOTKIT: principal intenção é se camuflar, para assegurar a presença no computador comprometido, impedindo que seu código seja encontrado por qualquer antivírus; é ativado até mesmo antes da inicialização completa do Sistema Operacional;

  • ROOTKIT

     Também chamado de Caixa de Ferramentas, são programas maliciosos que infectam o sistema dezenas de vezes sem que o usuário perceba, permanecendo ocultos no computador.

     Em outras palavras, é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.

    [...]

    Modos de Uso: Tais programas e técnicas pode ser usado para:

    ✓ Manter acesso privilegiado em um computador comprometido;

    ✓ Esconder as atividades dos atacantes;

    ✓ Tornar oculta sua presença pelos usuários e por mecanismos de proteção.

    [...]

    Modo de Ativação: Os rootkits são ativados antes que o sistema operacional do computador esteja totalmente iniciado, renomeando arquivos de sistema, o que torna difícil sua remoção. Eles são normalmente utilizados para instalar arquivos ocultos, que servem para interceptar e redirecionar dados privados para o computador de quem criou o malware.

    ___

    Questão Cespiana:

    Rootkit é um tipo de praga virtual de difícil detecção, visto que é ativado antes que o sistema operacional tenha sido completamente inicializado. (CERTO)

    ► Suas atividades permanecem ocultas no computador e podem ser instaladas de forma remota.

    [...]

    QUANTO À SUA REMOÇÃO

     A remoção pode ser complicada ou praticamente impossível, especialmente nos casos em que o rootkit reside no kernel.

    Ele é capaz de subverter o software (qualquer ferramenta de segurança) que se destina a encontrá-lo.

    • E,

    Mesmo que o malware seja removido, os problemas causados por ele persistirão.

    ---

    Questões Cespianas:

    1} Um rootkit se esconde com profundidade no sistema operacional, sendo sua remoção uma tarefa difícil, já que, na maioria dos casos, danifica o sistema. (CERTO)

    2} Se um rootkit for removido de um sistema operacional, esse sistema não voltará à sua condição original, pois as mudanças nele implementadas pelo rootkit permanecerão ativas. (CERTO)

    [...]

    Importante! ☛ O nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo.

    • CESPE, 2013:

    Rootkit é um programa que instala novos códigos maliciosos, para assegurar acesso futuro em um computador infectado, e remove evidências em arquivos de logs. (CERTO)

    [...]

    RESUMO

    Rootkit --> ESCONDE e ASSEGURA --> MANTÉM acesso ao PC

    rootKIDS: crianças brincam de se esconder...rsrs

    [...]

    ____________

    Fontes: Techtudo; Cartilha de Segurança; Estratégia Concursos; Questões da CESPE; Colegas do QC.

  • CERTO

    ROOTKIT

    • infecta o núcleo (kernel) do sistema operacional
    • são difíceis de serem detectados por antivírus
  • Só dá jeito formatando, infelizmente.

  • O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:

    � remover evidências em arquivos de logs

    � instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador

    infectado;

    � esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro,

    conexões de rede, etc;

    � mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;

    � capturar informações da rede onde o computador comprometido est´a localizado, pela interceptação de tráfego.

    https://cartilha.cert.br/

  • DIRETÃO

    ROOTKIT é tipo de malware cuja principal intenção é se camuflar, para assegurar a sua presença no computador comprometido, impedindo que seu código seja encontrado por qualquer antivírus. 


ID
2096668
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da ação de softwares maliciosos, julgue o item subsequente.

A atuação de um adware ocorre de maneira que o usuário não esteja ciente de que seu computador está sendo monitorado e de que suas informações estão sendo enviadas a um servidor de terceiros.

Alternativas
Comentários
  • Marcaria ERRADO até o fim do mundo, para mim a questão fala de Sypware, mas....

     

    Alguns programas adware têm sido criticados porque ocasionalmente possuem instruções para captar informações pessoais e as passar para terceiros, sem a autorização ou o conhecimento do usuário e tem provocado críticas dos experts de segurança e os defensores de privacidade, incluindo o Electronic Privacy Information Center. Porém existem outros programas adware que não instalam spyware.

     

    Esse jogo de terminologia ferra qualquer um.

  • Adware é um tipo de Spyware

    Veja:

    CERT disse: "Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Tambem pode ser usado para fins maliciosos, quando as propagandas apresentadas sao direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento esta sendo feito."

    Fonte: Cartilha de Segurança para Internet

  • - Certo -

     

    Adware é uma ramificação do Spyware, assim como o keylogger e o screenlogger

     

    Eles SEMPRE serão ocultos pois rodam em segundo plano.

     

     

    O Adware basicamente copia cookies para gerar propaganda direcionada. Ex: Quando você entra em um anúncio de bicicleta e todo site que você entra depois o anúncio fica aparecendo.

  • Complicado...

     

    Adware

    Do inglês Advertising Software. Tipo específico de spyware. Programa projetado especificamente para apresentar propagandas. Pode ser usado de forma legítima, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

     

    Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

     

    FONTE: CERT

  • Acredito que em regra seja essa a definição, uma vez que o adware é uma espécie de spyware. Respondi apenas imaginando que o conhecimento desejado pelo examinador era de que adware é um tipo de spyware. Porém concordo com os colegas que a generalização ficou forçada. Parece que os examinadores fazem questões dúbias de propósito para justificar o gabarito que lhes for mais conveniente.

  • Certo

    Adware: projetado especificamente para apresentar propagandas. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas sào direcionadas, de acordo com a navegacao do usuario e sem que este saiba que tal monitoramento esta sendo feito.

    Fonte: http://cartilha.cert.br/

  • contexto ai é generico para 100% ou 99% dos tipos de malware!

    o usuario, é evidente, Ñ tem ciencia do que ocorre!

     

    ele sabendo seria como perguntar a ele se eu, malware, posso infectar seu computador.

    ele deixará?

  • Gabarito - Certo.

    Adware - trata-se de um spyware projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos quando as propagandas são direcionadas.

  • "As funções do Adware servem para analisar os locais de Internet que o usuário visita e lhe apresentar publicidade pertinente aos tipos de bens ou serviços apresentados lá."

    Fonte: apostila Prof. Deodato

  • Cespe consegue ser mais insuportável que o adware

  • Outra:

    CESPE 2010 - Adware é qualquer programa que, depois de instalado, automaticamente executa, mostra ou baixa publicidade para o computador. Alguns desses programas têm instruções para captar informações pessoais e passá-la para terceiros, sem a autorização ou o conhecimento do usuário, o que caracteriza a prática conhecida como spyware. CERTO

  • Pra mim o Adware é o tipo de Malware que é mais descarado, e de fácil percepção.

    Muito antes de eu saber o que era malware eu já sabia q o adware era um.

    Meu pc estava normal e de repente brotava propagandas em tudo q é lugar, e que coincidentemente era algo de meu interesse, que há alguns instantes eu estava pesquisando, eu já pensava: Algum vírus instalou no meu pc.

    Ok, vc pode não saber que esse Malware está enviando informações e tals, mas quando quando vc é leigo vc generaliza e coloca tudo dentro de uma mesma caixa e considera tudo possível.

  • Adware são basicamente propagandas ou anúncios na internet que são passados a você de acordo com seu perfil, pode ser usado para fim malicioso, mas não é exclusivo deste.

  • vish, para mim ADWARES são propagandas exibidas..

    Talvez esse conceito seria de spywares, questão estranha!!!!

  • Adware: É um tipo de spyware projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

    ACERTIVA CORRETA!

    FONTE: https://cartilha.cert.br/malware/

  • Uma vez que o adware sequestra seu dispositivo, ele pode realizar todos os tipos de tarefas indesejadas. As funções do software podem ser projetadas para analisar sua localização e quais sites você visita e, em seguida, apresentar publicidade relativas aos tipos de produtos ou serviços apresentados neles.

    (...) se os criadores do adware venderem seu comportamento e informações de navegação para terceiros, eles podem até usá-lo para direcionar a você mais anúncios personalizados para seus hábitos de visualização.

    https://br.malwarebytes.com/adware/

  • Adware: O meu marido está morto.

  • Aham, passa despercebido sim... 1 milhão de propagandas pipocando na tua tela, do nada.

  • Gabarito: CERTO

    Tipos de SPYWARE (malware espião):

    • Keylogger (teclas)
    • Screenlogger (tela)
    • Adware (propaganda)
    • Trackware (monitora atividades)
    • Flame (teclado, tela, microfone)

    No geral, SPYWARE não se propaga, masss esse do tipo FLAME, se propaga sim.

    Qualquer erro avisa noixx :)

  • Se você dá o aceite nos termos da plataforma que esta utilizando (facebook, google, etc.), automaticamente você esta "ciente" de que ela coleta seus dados, conforme descrito obrigatoriamente nos termos.

    Estou errado?


ID
2096671
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a algoritmos e protocolos de segurança em redes wireless, julgue o item que se segue.

O padrão WPA2 não tem seu uso restrito ao modo de funcionamento para redes sem fio com padrões 802.11b.

Alternativas
Comentários
  • O gabarito é Certo.

     

    O WPA2 utiliza diversos padrões, protocolos e cifras que foram definidos dentro ou fora do desenho 802.11i, ou seja, alguns desses foram definidos dentro de seus próprios documentos e outros foram oficialmente criados dentro do documento 802.11i.

  • GABARITO: CERTO

    WPA2: Os roteadores WiFi suportam uma variedade de protocolos de segurança para proteger redes sem fio: WEP, WPA e WPA2. No entanto, o WPA2 é o protocolo recomendado pois oferece mais segurança.

    O número 802.11 refere-se às redes sem fio e a letra corresponde à forma como ela trabalha, em que frequência e velocidade opera, além de alguns outros parâmetros.

    A rede padrão 802.11b permite um alcance máximo operacional de 100 metros em ambiente fechado e 180 metros em uma área aberta, podendo alcançar a velocidade máxima de 11 Mbits/s, e trabalha usando a frequência de 2,4 GHz.

  • Em redes de computadores sem fio com o padrão 802.11b não existe restrição para o uso do padrão WPA2.

  • O WPA2 implementa os elementos mandatórios especificados pelo padrão IEEE 802.11i.


ID
2096674
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Redes de Computadores
Assuntos

No que se refere a algoritmos e protocolos de segurança em redes wireless, julgue o item que se segue.

O protocolo WEP (wired equivalent privacy) não é considerado seguro, uma vez que por meio de uso dos vetores de inicialização é possível quebrá-lo.

Alternativas
Comentários
  • O padrão WEP se torna mais inseguro à medida que o poder de processamento dos computadores aumenta. Por ser um sistema de segurança de 128 bits (fator que define os caracteres possíveis, ou seja, o número máximo de combinações de senha), é possível descobrir a palavra-passe de uma rede WiFi desse tipo em poucos minutos por meio de um software de ataques

  • Embasado na cifra de fluxo RC4, não determina como devem ser gerados os vetores de inicialização (24bits), o que propicia que as implementações os reusem, causando, assim, vulnerabilidades de segurança.

    - Esse é o principal motivo do WEP ser considerado inseguro. Também houve vários ataques em cima dele.


    Principais Problemas

    Uso de chaves WEP estáticas

          a falta de um mecanismo de gerenciamento de chaves faz com que muitos usuários utilizem a mesma chave WEP durante um período de tempo relativamente longo.

    O vetor de inicialização do WEP, de 24 bits, é curto:

          descobrir o key stream é fácil, principalmente em redes com tráfego alto, pois pode existir a repetição

    constante de key streams (colisão de vetores de inicialização).

    O vetor de inicialização faz parte da chave de criptografia do RC4

          ataques analíticos podem recuperar a chave.

    Não existe proteção de integridade

          o Cyclic Redundancy Check (CRC) não é considerado um algoritmo criptográfico e, combinado com um algoritmo de stream cipher como o RC4, novas vulnerabilidades são introduzidas.

  • WEP - Antigo e obsoleto / Criptografa utilizando algoritmo RC4(pouco seguro) / Pode ser quebrado por força bruta.


ID
2096677
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a algoritmos e protocolos de segurança em redes wireless, julgue o item que se segue.

O padrão WPA2 é inseguro contra ataques de força bruta.

Alternativas
Comentários
  • WPA2 é altamente seguro contra ataques de força bruta.

  • Fonte??

  • Alguém explica essa?

    Até onde sei, não existe um padrão onde podemos afirmar ser seguro contra força bruta, do contrário, não seria recomendável mudar senhas de tempos em tempos.

    Não sei de onde surgiu essa afirmação. Alguém ajuda?

  • Em teoria, os ataques de força bruta podem decifrar e encontrar qualquer senha, pois

    usam uma técnicas exaustivas onde testam todas as combinações possíveis de uma

    Wordlist ou grupo de caracteres como um "grupo de caracteres escolhido for apenas

    letras minúsculas, por exemplo, e uma senha de 5 caracteres for explorada, a primeira

    tentativa desse método será aaaaa, seguido por aaaab até finalizar em zzzzz."

    (KUPPENS, 2012, p.23)

  • O WPA2 utiliza o AES (Advanced Encryptation Standard) junto com o TKIP com chave de 256 bits, um método mais poderoso que o WPA que utilizava o TKIP com o RC4. O AES permite ser utilizada chave de 128, 192 e 256 bits, o padrão no WPA2 é 256 bits, sendo assim, uma ferramenta muito poderosa de criptografia. 

  • O WPA2 implementa o CCMP(Counter Mode Cipher Block Chaining Message Authentication Code Protocol) no lugar do mecanismo TKIP que é utilizado no WPA.

    O CCMP representa um metodo mais robusto com relacao a encriptacao dos dados se compararmos com seu antecessor, TKIP. 

    Os artigo relacionados ao tema sugerem que o tempo gasto para decriptar uma informacao codificada com o CCMP é superior a validade(relavancia) dessa informacao. A partir dessa teoria é possivel deduzir que o WPA2(que utiliza o CCMP) é seguro com relacao a ataques de Forca Bruta.

     

    Mais detalhes sobre o CCMP: https://en.wikipedia.org/wiki/CCMP

     

    FFF

  • ...inseguro...

    menosprezar/limitar uma tecnologia é sinal de 95% de ta errada.

     

    é cilada bino!

  • @Turetto . Ninguém explica, irmão... Só o pessoal que não é de TI e tem as decorebas prontas que não sei de onde saem...

  • Afirmar que é inseguro é algo muito forte, creio eu que ao usar a afirmação 'inseguro', a questão quis dizer que qualquer coisa passa pela criptografia de forma fácil, isso não quer dizer que seja totalmente seguro, pelo fato dela poder ser quebrada com brutal force (e isso pode demorar dias), mas pode acontecer. Concluindo, não é inseguro, mas não é totalmente seguro. Questão que envolve interpretação e conhecimento técnico sobre o assunto abordado.

  • Errado.

    Lembrando que geralmente ataques de força bruta são voltados para descobrir senhas.

  • WPA2 é seguro contra o ataque de força bruta!

    Diferente das chaves criptográficas (tanto a assimétrica quanto a simétrica) que NÃO são seguras contra os ataques de força bruta e temporalização.

  • O sistema-padrão atual e também o mais seguro, implementado pela Wi-Fi Alliance em 2006. A diferença aqui é a maneira como o sistema lida com senhas e algoritmos, excluindo completamente a possibilidade de um ataque de força bruta. Sendo assim, esse é o tipo mais seguro da atualidade. Segundo especialistas, o risco de intrusões para usuários domésticos com WPA2 é praticamente zero.

    Fonte: tecmundo

    https://www.tecmundo.com.br/wi-fi/42024-wep-wpa-wpa2-o-que-as-siglas-significam-para-o-seu-wifi-.htm

  • GABARITO: ERRADO.

  • WPA2 Utilizado recentemente / Criptografa utilizando AES(Criptografia avançada) - Simétrico chave única.

    A SENHA NÃO É MODIFICADA. ELA É DESCOBERTA.

  • WEP. Padrão 1999 - 2004. Fácil de quebrar e difícil de configurar. Abandonado.

    WPA. Foi usado como um aprimoramento temporário para o WEP. Fácil de quebrar. Configuração: moderada

    WPA2. Versão 2. Desde 2004. Criptografia AES.

    O protocolo de segurança baseado no padrão sem-fio 802.11i foi introduzido em 2004. A melhoria mais importante adicionada ao WPA2 em relação ao WPA foi o uso do Advanced Encryption Standard (AES). O AES foi aprovado pelo governo dos EUA para ser usado como padrão para a criptografia de informações classificadas como secretas, portanto, deve ser bom o suficiente para proteger redes domésticas.

    Neste momento, a principal  é quando o atacante já tem acesso a rede Wi-Fi segura e consegue obter acesso a certas chaves para executar um ataque a outros dispositivos na rede. Dito isto, as sugestões de segurança para as vulnerabilidades conhecidas do WPA2 são, em sua maioria, significativas apenas para as redes de nível empresarial e não são realmente relevantes para as pequenas redes domésticas

  • O WPA2 é um protocolo de certificação que utiliza o AES (Advanced Encryption Standard), sistema de encriptação mais seguro e mais pesado do que o WPA original. 

    O AES é um sistema de encriptografia bastante seguro, baseado na utilização das chaves com 128 a 256 bits. 

    A desvantagem do WPA2 é que o AES exige mais processamento para ser executado.

  • WPE- Já foi quebrado por força bruta;

    WPA- Veio corrigindo o WPE;

    WPA2- O mais seguro dos três, usa o algoritmo AES.

  • Gabarito: Errado.

    Cumpre informar que já está disponível o WPA3, sendo, de acordo com a WiFi Alliance, a segurança "da próxima geração".

    Vantagens em relação ao antecessor:

    Em 2019, foi descoberta uma vulnerabilidade do WPA2 chamada de KRACK - ataque de chave de reinstalação. Nessa perspectiva, o WPA3 buscou contornar isso. Logo, possui um mecanismo mais robusto de proteção de senhas.

    O WAP3 possui a premissa de facilitar a conectividade em dispositivos sem display. Isso veio em função da crescente de dispositivos de automação e assistentes pessoais utilizados nos últimos anos.

    Possui melhor segurança individual para redes públicas, pois melhora a criptografia da conexão.

    Oferece uma suíte de de segurança de 129 bits para os Governos.

    Bons estudos!

  • e-

    WPA/WPA2 PSK - vulnerável a ataques de dicionário,

    WEP - suscetível a ataques de força bruta.


ID
2096680
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

A respeito de configurações de segurança em servidores Linux e em servidores Windows 2012 R2, julgue o item a seguir.

O Windows 2012 R2 possui uma ferramenta de segurança denominada ISA KMP (Internet Security Association and Key Management Protocol), que permite ao administrador do sistema configurar a segurança de um usuário no Windows.

Alternativas
Comentários
  • O ISAKMP é o protocolo que negocia a política e fornece uma estrutura comum gerando as chaves de que os IPsec peer compartilham

     

    Fonte https://fabiansilva.wordpress.com/2015/06/28/protocolo-isakmp/

  • O ISA KMP apenas fornece uma estrutura para autenticação e troca de chaves e é projetado para ser independente de chaves; Protocolos como o Internet Key Exchange e a Kerberized Internet Negotiation of Keys fornecem material de codificação autenticado para uso com o ISA KMP.


ID
2096683
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

A respeito de configurações de segurança em servidores Linux e em servidores Windows 2012 R2, julgue o item a seguir.

Por padrão, após a instalação de um servidor Windows, qualquer usuário criado em uma estação Windows 2012 R2 será administrador do domínio.

Alternativas
Comentários
  • Gabarito Errado

    Essa é uma das perguntas clássicas da CESPE...

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Qualquer um, viraria bagunça.

  • Eh a casa da mãe Joana?


ID
2096686
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

A respeito de configurações de segurança em servidores Linux e em servidores Windows 2012 R2, julgue o item a seguir.

No Linux, os drivers relacionados à implementação do firewall Iptables estão na camada de kernel, ligados ao conceito de netfilter.

Alternativas
Comentários
  • netfilter.org is home to the software of the packet filtering framework inside the Linux 2.4.x and later kernel series. Software commonly associated with netfilter.org is iptables.
    (...)
    netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.

     

    https://www.netfilter.org/

  • netfilter é um módulo que fornece ao sistema operacional Linux as funções de firewall, NAT e log dos dados que trafegam por rede de computadores.

    iptables é o nome da ferramenta do espaço do usuário que permite a criação de regras de firewall e NATs. Apesar de, tecnicamente, o iptables ser apenas uma ferramenta que controla o módulo netfilter, o nome "iptables" é frequentemente utilizado como referência ao conjunto completo de funcionalidades do netfilter. O iptables é parte de todas as distribuições modernas do Linux.

    FONTE: https://pt.wikipedia.org/wiki/Netfilter

  • netfilter é um módulo que fornece ao sistema operacional Linux as funções de firewall, NAT e log dos dados que trafegam por rede de computadores.

    iptables é o nome da ferramenta (de front-end) do espaço do usuário que permite a criação de regras de firewall e NATs. O iptables é parte de todas as distribuições modernas do Linux.

  • Outra questão:

    Prova: CESPE - 2016 - TCE-PA - Auditor de Controle Externo - Área Informática - Analista de Segurança

    Julgue o item seguinte, relativo à segurança em Linux.

    A ferramenta IPTables controla o módulo Netfilter do kernel Linux, módulo que, por sua vez, controla as funções NAT, firewall e log do sistema. R.: CERTO

  • CERTO

  • iptables não é essencialmente um firewall, mas um programa que, por meio de seus módulos, possibilita ao usuário configurar o kernel Linux e o conjunto de regras do filtro de pacotes — função típica do firewall.

    Poxa, então tenho que engolir seco na marra e aceitar que pra cespe é um firewall, não quero brigar com a banca, quero é acertar na prova ^^


ID
2096689
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsecutivo, acerca de ataques comuns realizados em testes de invasão (pentests).

Ferramentas automatizadas para ataques MITM (man-in-the-middle) na camada de enlace provocam muito ruído na rede e, consequentemente, ocasionam sobrecarga desnecessária e mau funcionamento dos switches.

Alternativas
Comentários
  • posso estar errado, mas acho que nao tem nava a ver com mau funcionamento dos switches

  • Acho que a ideia de um ataque MITM é justamente passar desapercebido, ou seja, sem ocasionar um overhead grande a rede.

  • O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes (por exemplo, você e o seu banco), são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas se apercebam.[1] Numa comunicação normal os dois elementos envolvidos comunicam entre si sem interferências através de um meio, aqui para o que nos interessa, uma rede local à Internet ou ambas. Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear partes da informação. Como os participantes legítimos da comunicação não se apercebem que os dados estão a ser adulterados tomam-nos como válidos, fornecendo informações e executando instruções por ordem do atacante. Fonte: Wikipedia
  • MITM atua adulterando a tabela ARP dos dispositivos, na questão diz que MITM atua na camada de enlace, acredito que esse seja o erro, afinal MITM altera o ARP (CAMADA DE REDE) que é o casamento do MAC (CAMADA DE ENLACE) e IP (CAMADA DE REDE).

  • Pessoal, RUÍDO é CAMADA FíSICA!

  • Man-in-the-middle é um ataque passivo, portanto não provoca nenhuma alteração na rede. Ex: alguém está escutando o tráfego porque espelhou a porta no switch.

    No caso da técnica de alteração do arp, que alguém comentou, trata-se de um ataque ativo (conhecido como arp spoofing) que antecede o Man-in-the-middle. 

  • O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados), o atacante administra duas sessões:

    ATC com USER  e ATC com SERVIDOR de aplicação.

    No contexto da questão, esse ataque está ocorrendo na camada de aplicação e a assinatura do mesmo (dados tragando) é transparente para o Switch, logo não gera nenhum ruido a nível de enlace, senão apenas dados trafegando de modo lícito. 

  • Atenção, corta pŕa cá!!!

    Peguem estes três comentários (Fernanda Satoberg, PT STAR e Wiskey Couto). Em conjunto eles respondem à questão!!!

    A ideia de um ataque MITM é justamente passar desapercebido. Além disso, ataques MITMs atuam adulterando a tabela ARP dos dispositivos (CAMADA DE REDE), e não têm nada a ver com mau funcionamento dos switches.

  • GABARITO: ERRADO.

  • Valeu galera dos comments, procurei fazer a leitura com lógica da questão, mesmo assim errei. Contudo, vcs me ajudaram a identificar os erros e subir um degrauzinho mais nessa escalada...

    Switch opera na camada de enlace, mas MITIM não tem a ver com nenhum desses dois...

  • Ruído>camada física

  • Questão de redes e de segurança da informação, banca malandra

  • GABARITO ERRADO

    ATAQUE MAN IN THE MIDDLE: É uma forma de ataque de espionagem em que um invasor interrompe uma conversa ou transferência de dados em andamento. Os atacantes se apresentam como partes genuínas após se colocarem no "meio" da transferência, conforme mostrado na figura acima. Isso permite que um invasor intercepte dados e informações de ambas as partes, ao mesmo tempo que fornece links maliciosos ou outras informações a ambos os participantes genuínos de uma forma que pode não ser descoberta.

    Existem vários tipos de ataques MITM:

    -Envenenamento de cache ARP

    -Spoofing de DNS

    -Spoofing de IP

    -Escuta de Wi-Fi

    -Seqüestro de sessão

    Vejam que nenhum ocorre na camada de enlace, mas sim na camada de rede ou aplicação

  • Ataques MITM permitem que cybercriminosos interceptem, enviem e recebam dados que chegam e saem do seu dispositivo sem serem detectados até que a transação esteja completa. A questão está errada, porque o atacante geralmente quer passar despercebido, sem chamar a atenção. Portanto, algo que cause grande tráfego na rede está fora de cogitação. Normalmente os switches de camada 2 não sofrem tanta interferência ou tem o seu desempenho afetado por tráfego causado por essas ferramentas de automatização de ataques.


ID
2096692
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsecutivo, acerca de ataques comuns realizados em testes de invasão (pentests).

Phishing, técnica pela qual é possível capturar senhas de usuários, pode utilizar mecanismos de engenharia social para tentar enganar as vítimas.

Alternativas
Comentários
  • CORRETA!

    O phishing pode ocorrer de diversas formas. Algumas são bastante simples, como conversas falsas em mensageiros instantâneos e emails que pedem para clicar em links suspeitos. Fora isso, existem páginas inteiras construídas para imitar sites de bancos e outras instituições. Todas essas maneiras, no entanto, convergem para o mesmo ponto: roubar informações confidenciais de pessoas ou empresas.

    http://www.tecmundo.com.br/phishing/205-o-que-e-phishing-.htm

  • Como não foi mencionado nada referente a e-mail, eu achei que estivesse errado.
  • Gabarito Certo

    Phishing é uma maneira desonesta que cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails falsos ou direcionando você a websites falsos.

    Mensagens de Phishing parecem ser enviados por organizações legítimas como PayPal, UPS, uma agência do governo ou seu banco; entretanto, elas são em fato falsas mensagens. Os e-mails pedem de forma educada por atualizações, validação ou confirmação de informações da sua conta, sempre dizendo que houve algum problema. Você é então redirecionado a um site falso e enganado a apresentar informações sobre a sua conta, que podem resultar em roubos de identidade.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !
     

  • Certo

    O que é phishing?

      Phishing, é uma das técnicas utilizadas na Engenharia Social para obter informações ou acesso a computadores e redes alvos.

     

    Fonte:https://www.profissionaisti.com.br/2013/11/engenharia-social-entendendo-a-tecnica-phishing/

  • Coloquei CERTO, por pensar que não tinha como ser a igreja católica a religião oficial do BRASIL, pelo simples fato de ela ter apoiado direta ou indiretamente as maiores barbárie que já ocorreu no mundo.

    Mas preciso estudar mais... kkkkkk

  • Coloquei CERTO, por pensar que não tinha como ser a igreja católica a religião oficial do BRASIL, pelo simples fato de ela ter apoiado direta ou indiretamente as maiores barbárie que já ocorreu no mundo.

    Mas preciso estudar mais... kkkkkk

  • Gabarito: Certo

    Phishing: É o tipo de fraude por meio da qual um golpista tenta obter dados pessoais (senhas) e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. O phishing ocorre por meio do envio de mensagens eletrônicas. Geralmente vem de páginas falsas de comércio eletrônico, internet banking, companhias aéreas, essas mensagens normalmente vêm com formulários ou link para códigos maliciosos ou solicitação de recadastramento. A fraude se dá através de mensagens não solicitadas, passando-se por comunicação de uma instituição conhecida e que procura induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros de usuários. Ocorre por e-mail, mensagem instantânea, SMS, VoIP etc. Procura induzir o usuário a fornecer dados pessoais e financeiros

  • seria ótimo se fosse assim na prática... pq chegar em qualquer órgão público e deparar com um crucifixo, me faz pensar que o cristianismo é a religião oficial da República Federativa do Brasil garantido pela CF...

  • GAB CERTO

    PHISHING

    É uma fraude em que o golpista tenta enganar um usuário para obtenção de dados pessoais e financeiros, que permitam a aplicação de um golpe, combinando técnicas computacionais e de engenharia social.

    A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, em que “iscas” (e-mails) são usadas para “pescar” informações sensíveis (senhas e dados financeiros, por exemplo) de usuários da Internet.  

  • PHISHING(phishing-scam) é um tipo de fraude realizada com o objetivo de obter os dados pessoais e financeiros de um usuário, por meio da utilização de engenharia social e meios técnicos. Ex: e-mail se passando por funcionário de banco a fim de obter dados;

  • Gabarito: certo

    Prova: CESPE / CEBRASPE - 2021 - TCE-RJ - Analista de Controle Externo - Especialidade: Tecnologia da Informação

    Os ataques de phishing caracterizam-se pelo envio de mensagens eletrônicas que despertam a atenção de usuários por meio da sugestão de vantagens ou ameaças de prejuízos e também por induzirem os usuários a fornecer dados pessoais e(ou) financeiros.(CERTO)

  • CERTO

    PISHING É UMA FORMA DE ENGENHARIA SOCIAL, OU SEJA, ESTAO RELACIONADOS!


ID
2096695
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsecutivo, acerca de ataques comuns realizados em testes de invasão (pentests).

Um ataque de negação de serviço é dificilmente detectado em ambientes de rede.

Alternativas
Comentários
  • ERRADO. Existem, inclusive, mecanismos de bloqueio de DoS, tais como IPS e IDS

  • Gabarito Errado

    Os IPS e IDS são os mecanismos que podem impedir esse tipo de ataque.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !
     

  • será que não é? 

    Pense no SYN Flood, como eu sei que vários SYNs de diferentes fontes (botnets) não são clientes legítimos? Como dimensionar isso? No material que eu uso estava isso e eu errei agora...Mas ainda não entendi porque não é difícil detectar um DoS (não estou me referindo a depois que o sistema saiu do ar, aí é óbvio que é fácil), falo durante o ataque

  • Negação de serviço = DoS -> Denial Of Service

     

    (Q874733) Ano: 2018 Banca: CESPE Órgão: ABIN Prova: Oficial de Inteligência - Área 4

     

    No caso de um ataque de DoS (Denial of Service) a uma rede de computadores, seria mais indicado como resposta reconfigurar o roteador para minimizar efeitos de flooding que duplicar a configuração dos ativos envolvidos para investigação forense. (C)

  • Acho que os comentários se equivocaram, no meu entendimento. A questão fala sobre o sistema DETECTAR o ataque, ou seja, tomar ciência de que se trata de um DoS, mas a questão não fala sobre RASTREAR a origem do ataque, por isso está incorreta.

  • Pelo fluxo do tráfego dá pra ter uma ideia que é uma negação de serviço.

  • Fui pelo mesmo pensamento...

  • Gabarito: Errado

    Pode-se detectar que está sofrendo esse tipo de ataque, por exemplo, pelo número de requisições que está recebendo, pelo fluxo de informações chegando, pelo tráfego. Duas ferramentas importantes que ajudam nessa detecção são IPS e IDS.

  • GABARITO: ERRADO.

  • Eu cheguei meio q pra bagunçar com os comentários, com uma abordagem completamente diferente!!! Vamos lá!!!

    Repare q a questao fala de DOS e não de DDOS (este muito difícil de ser detectado). Esta fonte [1] diz q "Apesar dos trojans utilizados para esse tipo de ataque, DDOS, serem pouco comuns e difíceis de serem detectados, ainda é possível saber se um computador faz parte de um sistema de ataque DDoS e dependente de um computador mestre".

    Já com relação ao DOS, é a negação de serviço ou o processo que torna um sistema ou aplicação indisponível", mas não é distribuido.

    A diferenca entre o DOS e o DDOS é q este último, por ser distribuido, tornando sua deteccao muito dificil...deteccao q eu digo no sentido de saber o q é e o q não é legítimo. Por exemplo, como q o Google vai saber diferenciar o computador do Zé Dro*ginha infectado por malware DDOS disparando pesquisa sobre ma*co*nha pra viciados de uma pesquisa autêntica feita por profissionais do Albert Einstein q pesquisam ma*co*nha medicinal? Isso é extremamente dificil. Logico q ha ferramentas q minimizam isso, mas penalizam tbm usuarios normais.

    Experimente, vc, tentar usar o Google com o Tor...váo te banir na hora, achando q pode ser fonte de DDOS em potencial, quando, na verdade, vc quer apenas o contato do "fornecedor" mais proximo (se é q me entendem!!!).

    Já o DOS é bem mais simples de detectar, pq, normalmente, apenas uma maquina participa do ataque (não é distribuido)!!!

    Fonte:

    [1] https://canaltech.com.br/produtos/o-que-e-dos-e-ddos/

  • Gabarito: Errado.

    Na maioria das redes, é comum que se tenha uma análise de tráfego média. Em geral, tantos usuários acessam tal domínio, tantos usuários ficam conectados, tantos usuários usam tal aplicação e etc. Então, se em um dia, de maneira aleatória e sem justificativa plausível, a rede recebe uma carga de acessos ou processos que seja muito além de um máximo já registrado ou previsto, é possível que se trate de um DoS.

    Bons estudos!

  • se seu computador for alvo deste tipo de ataque, ele vai ficar lento. muito lento, pois ele além de executar as operações comuns do seu dia a dia, vai estar enviando requisições pra algum servidor... logo, vc vai perceber que ele não está funcionando corretamente, a um alerta vai se acender. isso que a questão quis dizer.
  • Gabarito: Errado

    Pode-se detectar que está sofrendo esse tipo de ataque, por exemplo, pelo número de requisições que está recebendo, pelo fluxo de informações chegando, pelo tráfego. Duas ferramentas importantes que ajudam nessa detecção são IPS e IDS.

    Q874733) Ano: 2018 Banca: CESPE Órgão: ABIN Prova: Oficial de Inteligência - Área 4

    No caso de um ataque de DoS (Denial of Service) a uma rede de computadores, seria mais indicado como resposta reconfigurar o roteador para minimizar efeitos de flooding que duplicar a configuração dos ativos envolvidos para investigação forense. (C)

  • Tive o mesmo pensamento, mas lendo os comentários, vi que, por mais que fosse abrangente, NÃO SERIA APENAS essa situação, pois existe outra..

    X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;   

  • Eu ACHO que a questão quis dizer que:

    1 ataque (DOS) é FÁCIL de ser detectado; e:

    VÁRIOS ataques (DDOS) é DIFÍCIL de ser detectado.

    Vejam essa questão:

    (CESPE - 2015 - TCU - AFCE) Acerca de ataque eletrônico e software malicioso, julgue o item subsecutivo.

    Os ataques DDoS de camada de aplicação são caracterizados por explorar aspectos de arquitetura das aplicações e dos serviços para obstruir a comunicação; além disso, são difíceis de detectar e podem ser efetivos com poucas máquinas e taxas de tráfego não muito altas. (Gabarito:CERTO)

    (CESPE - 2012 - TCE-ES - ACE) Com relação a ataques a redes de computadores e mecanismos de defesa, julgue os itens subsequentes.

    Um ataque do tipo DDoS é caracterizado pela inundação de tráfego em uma rede, muitas vezes com características de tráfego legítimo. Em virtude de ser um tipo de ataque facilmente detectado, pode ser bloqueado por meio de firewall e IDS.(Gabarito:ERRADO)

    Me corrijam se estiver errado.


ID
2096698
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Com relação aos protocolos NAC (network access control) e NAP (network access protection), julgue o seguinte item.

Em redes Windows, o NAP não funciona com o protocolo RADIUS.

Alternativas
Comentários
  • Fui até ver esse Absurdo... "RADIUS não é Protocolo"

     

    Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (Accounting em inglês) para usuários que conectam-se a e utilizam um serviço de rede.

  • ERRADO. 

    RADIUS não é protocolo. RADIUS pode ser um servidor de acesso, como servidor dial-up ou ponto de acesso sem fio, ou um proxy. 

  • O NPS é a nomenclatura utilizada pela Microsoft para implementacao do Servidor Radius no Microsoft. Como qualquer servidor Radius, implementa uma serie de controles relativos a AAA nos mais diversos tipos de rede. O NAP é um framework que pode ser implementado no NPS(Radius) do Windows. Abaixo um trecho extraido do manual do NPS:

     

    "...NPS is the Microsoft implementation of a Remote Authentication Dial-in User Service (RADIUS) server, and as such, performs connection authentication, authorization, and accounting for many types of network access, including wireless and virtual private network (VPN) connections. NPS also functions as a health evaluation server for Network Access Protection (NAP)."

     

    Fonte: https://technet.microsoft.com/en-us/library/dd182017.aspx

     

    FFF

  •  O protocolo RADIUS segue a arquitetura servidor/cliente. O usuário que deseja utilizar um determinado serviço de rede envia as suas informações para o NAS solicitado (o NAS atua como um cliente para o servidor RADIUS), que pode solicitar a autenticação deste usuário a um servidor RADIUS AAA, na forma de uma mensagem de requisição de acesso (Access- Request message).

    https://www.gta.ufrj.br/grad/08_1/radius/TopologiaeFuncionamento.html#Topic14

  • NAS (Network Autentication Server): é o host que recebe uma solicitação do cliente (o Access Point por exemplo) e autentica esse pedido no servidor RADIUS.

    Fonte: wikipedia.org

    Gabarito Errado


ID
2096701
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação aos protocolos NAC (network access control) e NAP (network access protection), julgue o seguinte item.

O padrão 802.1 X, que é uma forma de NAC, define formas de encapsulamento do EAP (extensible authentication protocol) sobre IEEE 802.

Alternativas
Comentários
  • Objetivos do NAC

    1. Mitigation of non-zero-day attacks

    2. Authorization, Authentication and Accounting of network connections.

    3. Encryption of traffic to the wireless and wired network using protocols for 802.1X such as EAP-TLS, EAP-PEAP or EAP-MSCHAP.

    4. Role-based controls of user, device, application or security posture post authentication.

    5. Automation with other tools to define network role based on other information such as known vulnerabilities, jailbreak status etc.

    6. The main benefit of NAC solutions is to prevent end-stations that lack antivirus, patches, or host intrusion prevention software from accessing the network and placing other computers at risk of cross-contamination of computer worms.

    7. Policy enforcement

    8. NAC solutions allow network operators to define policies, such as the types of computers or roles of users allowed to access areas of the network, and enforce them in switches, routers, and network middleboxes.

    9. Identity and access management

  • MARAVILHA. TODOS AQUI ENTENDEM PERFEITAMENTE INGLÊS.....

  • Se você estuda pra área de informática e não sabe inglês, sinto muito, mas tá na área errada.

  • Objetivos do NAC

    1. Mitigação de ataques de dia diferente de zero

    2. Autorização, autenticação e contabilidade de conexões de rede.

    3. Criptografia de tráfego para a rede sem fio e com fio usando protocolos para 802.1X, como EAP-TLS, EAP-PEAP ou EAP-MSCHAP.

    4. Controles baseados em funções de autenticação de usuário, dispositivo, aplicativo ou postura de segurança.

    5. Automação com outras ferramentas para definir a função da rede com base em outras informações, como vulnerabilidades conhecidas, status de jailbreak etc.

    6. O principal benefício das soluções NAC é evitar que estações finais sem antivírus, patches ou software de prevenção de intrusão de host acessem a rede e coloquem outros computadores em risco de contaminação cruzada de worms de computador.

    7. Aplicação da política

    8. As soluções NAC permitem que os operadores de rede definam políticas, como os tipos de computadores ou funções de usuários com permissão para acessar áreas da rede, e as imponha em switches, roteadores e middleboxes de rede.

    9. Identidade e gerenciamento de acesso

    Tradução do colega acima.

  • [1]

    O NAC requer uma estrutura segura e flexível para autenticação, gerenciamento de acesso, segurança de rede e privacidade de dados - e o padrão IEEE 802.1X pode oferecer isso. .

    Fonte:

    [1] Network Access Control Para Retardados Mentais, Jay Kelley, Rich Campagna, Denzil Wessels

  • Turminha que faz PF querendo tumultuar as questões da área de TI. Chegam com arrogância querendo ofender o amigo que fez a contribuição em inglês.

    Isso daqui é uma questão de TI, nível superior. Nós temos a obrigação de entender inglês!

  • Ei nem ia fazer isso, mas como li uns xingament0s à área de TI, ai vai!!!

    O padrão 802.1 X, que é uma forma de NAC, define formas de encapsulamento do EAP (extensible authentication protocol) sobre IEEE 802.

    NAC requires a secure, flexible framework for authentication, access management, network security, and data privacy — and the IEEE 802.1X standard can deliver.

    The IEEE 802. IX standard allows you to create a powerful network perimeter defense through robust admission controls that refuse users or devices network access unless they comply with specific policies defined by your organization. The 802.1X standard also gives NAC solutions a durable, easily applied and integrated authentication process, guarding a network against improper access and use. Completing user or device authentication before a network IP address is assigned ensures that NAC can stop unauthenticated or unauthorized devices (which may carry malware or other threats) before those devices can spread their malicious payload to a network.

    When you use the IEEE 802.1X standard as part of a NAC solution, it also Empowers the NAC solution to interoperate with new or existing standards-based network components.

    Fonte:

    [1] Network Access Control Para Re*tar*da*dos Men*tais, Jay Kelley, Rich Campagna, Denzil Wessels


ID
2096704
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Com relação aos protocolos NAC (network access control) e NAP (network access protection), julgue o seguinte item.

O NAP funciona em redes Windows e permite aos administradores de sistemas definirem políticas que permitam ou neguem acesso a uma estação na rede.

Alternativas
Comentários
  • CORRETA!

     

    Network Access Protection (NAP - Proteção de Acesso à Rede) é uma nova tecnologia de segurança do NPS (Serviço de Proteção à Rede) lançada no Windows Vista e Windows Server 2008. Essa tecnologia inclui componentes que permitem criar e impor diretivas de requisito de integridade que definem as configurações necessárias tanto de software como de sistema para os computadores que se conectam a rede.

     

    Com o Network Access Protection, os administradores de rede podem definir políticas para os requisitos de integridade do sistema e assim verificar o estado de saúde das máquinas que tentam se conectar ao servidor. Certificar se o computador possui o sistema operacional atualizado, ou as definições de vírus do software antivírus atualizadas são alguns dos exemplos de requisitos de integridade do sistema.

     

    Caso um computador cliente não esteja em conformidade com a política de requisitos, o NAP restringe o seu acesso à rede, porém oferece mecanismos para que o cliente se torne compatível com os requisitos, e tenha o acesso normal à rede.

     

    https://pt.wikipedia.org/wiki/Prote%C3%A7%C3%A3o_de_Acesso_%C3%A0_Rede


ID
2096707
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue o próximo item, acerca dos protocolos Syslog e Microsoft Event Viewer.

O nível de severidade das mensagens do Syslog varia entre 0 e 7.

Alternativas
Comentários
  • CERTO. 

    Level  -  Keyword  -  Description

    0  -  emergencies  -  System is unusable

    1  -  alerts  -  Immediate action is needed

    2  -  critical  -  Critical conditions exist

    3  -  errors  -  Error conditions exist

    4  -  warnings  -  Warning conditions exist

    5  -  notification  -  Normal, but significant, conditions exist

    6  -  informational  -  Informational messages

    7  -  debugging  -  Debugging messages

     

  • Syslog e Microsoft Event Viewer, o que são? Onde vivem? Do que se alimentam? Talvez algum dia, pelos professores do QConcursos

  • Complementando os comentários dos colegas , o Syslog é o sistema de registro de eventos e seu objetivo é armazenar mensagens de eventos ocorridos no sistema , permitindo ao administrador localizar possíveis falhas ou tentativas de invasão no sistema.

  • syslog tem como objetivo a transmissão de mensagens de log em redes IP, criado pelo IETF (Internet Engineering Task Force, comunidade internacional composta por técnicos, agências, fabricantes, fornecedores e pesquisadores, atuando na evolução da arquitetura da Internet e na manutenção de seu funcionamento). O syslog permite o envio de pequenas mensagens de texto (menores do que 1024 bytes) por UDP e por TCP.

     

    O sistema grava localmente os registros enviados, bem como a indicação de sua origem, passando a existir um único ponto de registro, facilitando a análise dos dados e permitindo a interligação dos registros de vários sistemas. Como é suportado por vários dispositivos diferentes em diversas plataformas, o syslog pode ser usado para integrar diferentes sistemas em um único repositório de dados. 

     

    syslog é usado no gerenciamento de computadores e na auditoria de segurança de sistemas, permitindo diagnosticar, resolver e administrar condições de segurança, bem como o desempenho de dispositivos.

     


ID
2096710
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o próximo item, acerca dos protocolos Syslog e Microsoft Event Viewer.

As ferramentas de visualização de logs da Microsoft utilizam a tecnologia Azure com Elasticsearch para o processamento distribuído dos registros de segurança do sistema operacional. Nesse caso, o plugin AZEL é adicionado ao Event Viewer

Alternativas
Comentários
  • Gabarito: E

    O Microsoft Azure é uma plataforma destinada à execução de aplicativos e serviços, baseada nos conceitos da computação em nuvem, não tem relação com a visualização de logs.

    Elasticsearch é um servidor de buscas distribuído baseado no Apache Lucene. Foi desenvolvido por Shay Banon[1] e disponibilizado sobre os termos Apache License. ElasticSearch foi desenvolvido em Java e possui código aberto liberado sob os termos da Licença Apache. Logo não é uma tecnologia da Microsoft.

    "plugin AZEL": Acredito que não exista, pois na data de hoje não encontrei referência no google.

    E acredito não ser possível adicionar plugin ao Event Viewer.


ID
2096713
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o próximo item, acerca dos protocolos Syslog e Microsoft Event Viewer.

O mecanismo de geração de logs do Linux utiliza o Syslog por padrão, sendo algumas mensagens do sistema direcionadas para o arquivo /var/log/messages.

Alternativas
Comentários
  • /var/log/messages - visa armazenar mensagens valiosas, não depuradas e não críticas. É considerado o log de atividade geral do sistema

     

    /var/log/syslog - registra tudo, exceto mensagens relacionadas à autenticação.

  • ACRESCENTANDO:

    /var

    Todo arquivo que aumenta de tamanho ao longo do tempo está no diretório de arquivos variáveis. Um bom exemplo são os logs do sistema, ou seja, registros em forma de texto de atividades realizadas no Linux, como os logins feitos ao longo dos meses.


ID
2096716
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

No que se refere a ferramentas e recursos de segurança nos sistemas operacionais Debian e Windows Server, julgue o item a seguir.

A ferramenta de avaliação Microsoft Baseline Security Analyzer, suportada tanto no Windows Server 2008 R2 quanto no Windows Server 2012 R2, fornece uma metodologia simples e rápida para a identificação das atualizações de segurança ausentes.

Alternativas
Comentários
  • CERTO. 

    O MBSA (Microsoft Baseline Security Analyzer) é uma ferramenta fácil de usar, criada para profissionais de TI, que ajuda empresas de pequeno e médio portes a determinar o estado de sua segurança de acordo com as recomendações de segurança da Microsoft e oferece diretrizes de atualizações específicas. 

  • A assertiva transcreveu a definicao do MBSA

     

    Segue definicao da propria Microsoft:

     

    "The Microsoft Baseline Security Analyzer provides a streamlined method to identify missing security updates and common security misconfigurations. MBSA 2.3 release adds support for Windows 8.1, Windows 8, Windows Server 2012 R2, and Windows Server 2012. Windows 2000 will no longer be supported with this release."

     

    Fonte: https://www.microsoft.com/en-us/download/details.aspx?id=7558

     

    FFF

  • quem nunca tinha ouvido falar nisso também?

  • A União estabelece normais gerais (e não apenas normais gerais) nas competências comuns, não na privativa, como indica a questão.


ID
2096719
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a ferramentas e recursos de segurança nos sistemas operacionais Debian e Windows Server, julgue o item a seguir.

Nessus é a mais completa e atualizada ferramenta de segurança disponibilizada no Debian para verificação remota de vulnerabilidades.

Alternativas
Comentários
  • A ferramenta mais completa e atualizada é, de longe, o nessus que é composta por um cliente (nessus) usado com uma GUI e um servidor (nessusd) que inicia os ataques programados.

    fonte:https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.pt-br.html

  • CERTO. 

    Nessus é um programa de verificação de falhas/vulnerabilidades de segurança. Ele é composto por um cliente e servidor, sendo que o scan propriamente dito é feito pelo servidor. O nessusd (servidor Nessus) faz um port scan ao computador alvo, depois disso vários scripts (escritos em NASL, Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurança. O Nessus é distribuído sob os termos da Licença Pública Geral GNU.

  • Realmente o NESSUS possui a definicao descrita na Assertiva e complementada pelos colegas abaixo. Entretanto indica-lo como a "mais completa e atualizada ferramenta de segurança disponibilizada" soa um tanto subjetivo.

     

    FFF

  • Gabarito Certo

    O Nessus é um ótimo scanner de vulnerabilidades, conhecidíssimo há muito tempo no mercado, ele conta com mais de 67.000 plugins divididos por categorias (família de plugins) que fazem a verificação de diversas informações pertinentes à um vulnerability assessment, como: enumeração de serviços, bruteforces, verificação de serviços vulneráveis e blá blá blá. Além disso, a Tenable, que é a empresa criadora do Nessus, já ganhou diversas premiações pela sua competência quando o assunto é Segurança da Informação.
    Ele não é o único produto disponibilizado pela Tenable, outros produtos como o  PVS, Log Correlation Engine e o Nessus podem ser todos integrados em uma “única” solução, que é o Security Center oferecido como uma solução paga da própria empresa. Temos também a alternativa de integrá-lo à um SIEM, como o AlienVault (OSSIM), quando o desejado é gerenciamento de vulnerabilidades.Informações adicionais

    O Nessus Vulnerability Scanner possui algumas licenças de uso, sua licença Home Feed é para apenas uso doméstico e portanto, só nos permite scanear até 16 ip’s internos (RFC 1918), há uns quase dois anos atrás era permitido scanear ip’s externos também, porém, já não é mais possível com esta licença. Para mais informações relacionadas às licenças do Nessus, bem como as suas funcionalidades adicionais, segue o link: http://www.tenable.com/products/nessus/editions
    O Nessus nos oferece dois tipos de instalação/configuração: Online e Offline

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O mais completo é o openvas

  • Quem errou? acertou?


ID
2096722
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a ferramentas e recursos de segurança nos sistemas operacionais Debian e Windows Server, julgue o item a seguir.

As ferramentas tiger e flawfinder são utilizadas na execução de auditorias internas de hosts no Debian para verificar se o sistema de arquivos está configurado de forma correta.

Alternativas
Comentários
  • 8.3 Auditoria Interna

    Atualmente, somente a ferramenta tiger utilizada no Debian pode ser usada para executar auditorias internas de hosts (também chamadas de "caixa branca") de fato para determinar se o sistema de arquivos está corretamente configurado, que processos estão rodando no hosts, etc..

    8.4 Auditoria de código fonte

    Debian fornce três pacotes que podem ser utilizados para auditar códigos fontes em C/C++ e encontrar erros de programação que podem conduzir para potenciais falhas de segurança:

    flawfinder

    rats

    splint


    fonte: https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.pt-br.html

  • Complementando a ótima resposta do Gustavo:

     

    Flawfinder

     

    O Flawfinder4 é uma ferramenta de análise de padrões, desenvolvida por David Wheeler na linguagem de programação Python. A ferramenta suporta código nas linguagens C e C++. A ferramenta à medida que pesquisa o código fonte, guarda informação sobre as possíveis vulnerabilidades para depois reportar, com uma descrição do problema e solução, assim como a severidade e o tipo de vulnerabilidade. As vulnerabilidades reportadas encontram-se sempre ordenadas pelo grau de severidade.

     

    Das diversas ferramentas, o Flawfinder é aquela que detalha melhor o problema de cada vulnerabilidade, possibilitando a diminuição do número de falsos positivos apresentados através da inserção de comentários no código.

     

    Fonte: http://www.di.fc.ul.pt/~nuno/THESIS/EmanuelTeixeira_master07.pdf

  • Não afere conhecimento algum do candidato;


ID
2096725
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Software
Assuntos

No que se refere à tipologia de ambientes com alta disponibilidade e escalabilidade para a estruturação de ambientes computacionais, julgue o item subsequente.

Denomina-se failover o processo, transparente ou não, em que um nó assume o funcionamento de outro nó em razão de este ter apresentado alguma falha.

Alternativas
Comentários
  • CERTO.

    Segundo Stallings(2010,p.536),"A função de trocar as aplicações e recursos de dados de um sistema que falhou para um sistema alternativo no cluster é conhecida como failover(recuperação de falhas). Uma função relacionada é a restauração de aplicações e recursos de dados para o sistema original quand o mesmo for consertado; isto é chamado de failback(retorno à operação)."

    -ARQUITETURA E ORGANIZAÇÃO DE COMPUTADORES-STALLINGS-8 EDIÇÃO-2010.

  • Gabarito Certo

    Em computação, tolerância a falhas (do inglês failover) é a comutação para um computador servidor, sistema, componente de hardware ou rede redundante ou em modo de espera em caso de falha ou finalização anormal daquele ativo previamente. Tolerância a falhas e transição (switchover) são essencialmente a mesma operação, exceto pelo fato de que a tolerância a falhas é automática e normalmente opera sem aviso, enquanto a transição requer intervenção humana.

    Projetistas de sistemas normalmente fornecem a capacidade de tolerância a falhas nos servidores, sistemas ou redes que necessitam de disponibilidade contínua - o termo usado é alta disponibilidade - e um alto grau de confiabilidade.

    No nível de servidor, a automação de tolerância a falhas normalmente usa um sistema "heartbeat" que conecta dois servidores, por meio da utilização de um cabo separado (por exemplo, portas/cabos seriais RS-232) ou uma conexão de rede. Enquanto um "pulso" ou "batimento cardíaco" regular, continua entre o servidor principal e o segundo servidor, o segundo servidor não vai trazer seus sistemas online. Também pode haver um terceiro servidor de "peças de reposição", que tem de executar componentes de reposição para computação ágil (hot) para evitar tempo de inatividade. O segundo servidor retoma o trabalho do primeiro logo que se detecta uma alteração no "pulsação" da primeira máquina. Alguns sistemas têm a capacidade de enviar uma notificação de tolerância a falhas.

    Alguns sistemas, intencionalmente, não são tolerantes a falhas de forma totalmente automática, mas requerem intervenção humana. Esta configuração de "automatizado com a aprovação manual" é executada automaticamente uma vez que um ser humano tenha aprovado a tolerância a falhas.

    Failback é o processo de restauração de um sistema, componente ou serviço em um estado anterior ao de falha, retornando ao seu estado original (estado funcional).

    O uso de software de virtualização permitiu práticas de tolerância a falhas se tornarem menos dependentes de hardware físico.(virtualização).

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ..."transparente ou não"....

    errei por causa desse trecho... pensei que fosse sempre transparente...


ID
2096728
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

No que se refere à tipologia de ambientes com alta disponibilidade e escalabilidade para a estruturação de ambientes computacionais, julgue o item subsequente.

Balanceamento de carga é um tipo de cluster cuja função é manter o sistema em plena condição de funcionamento por longo período de tempo.

Alternativas
Comentários
  • Isso é Cluster de alta disponibilidade.

  • Errado.

    O cluster cuja função é manter o sistema em plena condição de funcionamento por longo período de tempo é chamado de cluster de alta disponibilidade.

    O balanceamento de carga visa distribuir a carga de trabalho uniformemente entre dois ou mais computadores, enlaces de rede, UCPs, discos rígidos ou outros recursos, a fim de otimizar a utilização de recursos, maximizar o desempenho, minimizar o tempo de resposta e evitar sobrecarga. Utilizando múltiplos componentes com o balanceamento de carga, em vez de um único componente, pode aumentar a confiabilidade através da redundância.

  • Balanceamento de carga é um tipo de cluster cuja função é manter o sistema em plena condição de funcionamento por longo período de tempo.

    Cluster tem a função de balancear carga afim de manter o desempenho do sistema.

    A questão inverteu a definição....

     Para balancear a carga nos servidores, o sistema distribui as requisições para diferentes nós que componham o cluster de servidores, com um objetivo de otimizar o desempenho do sistema

    https://www.gta.ufrj.br/seminarios/semin2002_1/Rafael/

  • Características e vantagens de um cluster:

    ▪ Escalabilidade => ampliação do poder computacional.

    ▪ Disponibilidade => manutenção do sistema operacional mesmo em caso de falhas.

    ▪ Balanceamento de carga => distribuição do processamento.

  • Um cluster (do inglês cluster : 'grupo, aglomerado') consiste em computadores fracamente ou fortemente ligados que trabalham em conjunto, de modo que, em muitos aspectos, podem ser considerados como um único sistema.

    Os tipos mais conhecidos de cluster são:

    cluster de alto desempenho: também conhecido como cluster de alta performance, ele funciona permitindo que ocorra uma grande carga de processamento com um volume baixo de gigaflops.

    cluster de alta disponibilidade: são clusters cujos sistemas conseguem permanecer ativos por um longo período de tempo e em plena condição de uso;

    cluster para balanceamento de carga: esse tipo de cluster tem como função controlar a distribuição equilibrada do processamento.

    Fonte: Wikipédia.


ID
2096731
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

No que se refere à tipologia de ambientes com alta disponibilidade e escalabilidade para a estruturação de ambientes computacionais, julgue o item subsequente.

Cluster é um ambiente composto de dois ou mais nós que trabalham em conjunto, como se fossem um único sistema, para a execução de aplicações e realização de tarefas.

Alternativas
Comentários
  • Um cluster (do inglês cluster : 'grupo, aglomerado') consiste em computadores fracamente ou fortemente ligados que trabalham em conjunto, de modo que, em muitos aspectos, podem ser considerados como um único sistema. Diferentemente dos computadores em grade, computadores em cluster têm cada conjunto de nós, para executar a mesma tarefa, controlado e programado por software.

     

    Fonte: https://pt.wikipedia.org/wiki/Cluster

  • Gabarito Certo

    Cluster é um termo em inglês que significa “aglomerar” ou “aglomeração” e pode ser aplicado em vários contextos. No caso da computação, o termo define uma arquitetura de sistema capaz combinar vários computadores para trabalharem em conjunto ou pode denominar o grupo em si de computadores combinados.

    Cada estação é denominada “nodo” e, combinadas, formam o cluster. Em alguns casos, é possível ver referências como “supercomputadores” ou “computação em cluster” para o mesmo cenário, representando o hardware usado ou o software especialmente desenvolvido para conseguir combinar esses equipamentos.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • GABARITO CORRETO!

    .

    .

    CESPE: Clusters computacionais podem ser utilizados para criar sistemas de computação que agreguem as propriedades de alta capacidade de processamento (desempenho) e alta disponibilidade. Para a constituição desses sistemas, são geralmente utilizados recursos de hardware cuja configuração básica e desempenho sejam semelhantes, pois isso facilita o projeto da função de distribuição de carga e controle de disponibilidade.


ID
2096734
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

No que se refere à tipologia de ambientes com alta disponibilidade e escalabilidade para a estruturação de ambientes computacionais, julgue o item subsequente.

Durante a operação correta do recurso de clustering de failover, ocorre um grande número de interrupções nos serviços oferecidos aos usuários.

Alternativas
Comentários
  • ERRADO, pois ocorre menos interrupções.

    Segundo Microsoft,"Um cluster de failover é um conjunto de computadores independentes que trabalham em conjunto para aumentar a disponibilidade e escalabilidade de funções de cluster (antigamente chamadas de aplicações e serviços de cluster). Os servidores clusterizados (chamados de nós) são conectados por cabos físicos e por software. Se um ou mais dos nós do cluster falhar, o outro nó começará a fornecer o serviço (um processo conhecido como failover). Além disso, as funções de cluster são monitoradas de maneira proativa para verificar se estão funcionando adequadamente. Se o funcionamento não estiver correto, elas serão reiniciadas ou movidas para outro nó. Os clusters de failover também fornecem a funcionalidade CSV (Volume Compartilhado Clusterizado) que, por sua vez, oferece um namespace consistente distribuído, o qual pode ser usado para acessar o armazenamento compartilhado em todos os nós. Com o recurso Clustering de Failover, os usuários passam pelo mínimo de interrupções no serviço."

     

    https://msdn.microsoft.com/pt-br/library/hh831579(v=ws.11).aspx

     

     

     

  • GUARDE ISSO NO CORAÇÃO: FAILOVER ESTÁ PRESENTE JUSTAMENTE EM SISTEMAS DE ALTA DISPONIBILIDADE.


ID
2096737
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca dos diretórios de serviços LDAP e AD (Active Directory), julgue o item que se segue.

O servidor controlador de domínio (domain controller) é o único tipo de servidor aplicável em domínios que se baseiam no AD.

Alternativas
Comentários
  • Windows Server can be one of three kinds: Active Directory "domain controllers", Active Directory "member servers" and Windows Workgroup "stand-alone servers".[8] The term "Active Directory Server" is sometimes used by Microsoft as synonymous to "Domain Controller"[9][10][11][12][13] but the term is discouraged.[14]

    https://en.wikipedia.org/wiki/Domain_controller

    Active Directory is what is called a directory service, it stores objects like users and computers. So you can consider it as as database that store users and computers configuration in AD domain.

    A domain controller is the server running Active Directory; Domain controllers are typically referred as DC. Domain controller is a server based on MS windows Server 200X which is responsible for allowing host access to domain resources.   
    A Domain controller authenticates the users and the computers to join the domain. You can have many Domain controllers in your AD for many reasons, like redundancy and load balance as users can use anyone of them as they are replicating AD database.

    Member servers are servers running within a domain. Member sever runs an operating system which belongs to a domain and is not a DC. Member server typically run different services on the machine can act like a file server web server application server print server.

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/60e064b5-5c6f-4c96-9abb-e3e51f4265c9/ad-server-vs-domain-controller-vs-member-server-et-al?forum=winservergen

  • Existem também os Member Servers, que permitem apenas a criação de contas locais, ou seja, contas que não são replicadas para o restante do AD e se restringem apenas ao servidor onde foram criadas. Fonte: Windows 2012 R2 e Active Directory - Júlio Battisti e Eduardo Popovici. GABARITO: ERRRADO

ID
2096740
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca dos diretórios de serviços LDAP e AD (Active Directory), julgue o item que se segue.

O AD, além de armazenar, em seu banco de dados, objetos como usuários, membros de grupos e relações de confiança, disponibiliza alguns serviços, como, por exemplo, a autenticação de usuários.

Alternativas
Comentários
  • Os DCs compartilham uma lista de usuários, grupos e políticas de segurança e também são responsáveis por fazer a autenticação dos usuários na rede, já os servidores membros não possuem uma cópia da lista de usuário e grupos, estes não efetuam a autenticação dos clientes e também não armazenam informações sobre as políticas de segurança para o Domínio – as quais também são conhecidas por GPO – Group Policies Objects.

    Os recursos de segurança são integrados com o Active Directory através do mecanismo de logon e autenticação. Todo usuário tem que fazer o logon (informar o seu nome de usuário e senha), para ter acesso aos recursos da rede. Durante o logon, o Active Directory verifica se as informações fornecidas pelo usuário estão corretas e então libera o acesso aos recursos para os quais o usuário tem permissão de acesso.

    http://imasters.com.br/artigo/4735/redes-e-servidores/entendendo-active-directory/?trace=1519021197&source=single

  • Gabarito Certo

    Serviço de diretório é um conjunto de Atributos sobre recursos e serviços existentes na rede, isso significa que é uma maneira de organizar e simplificar o acesso aos recursos de sua rede centralizando-os; Bem como, reforçar a segurança e dar proteção aos objetos da database contra intrusos, ou controlar acessos dos usuários internos da rede.

    O Active Directory mantém dados como contas de usuários, impressoras,grupos,computadores, servidores,recursos de rede, etc. Ele pode ser totalmente escalonável, aumentando conforme a nossa necessidade.

    Esse serviço de diretório, é composto por objetos, ou seja, todo recurso da nossa rede é representado como um objeto no AD. Esses objetos possuem propriedades o que são chamados de atributos dos objetos. A base de dados do AD é um arquivo chamado NTDS.dit, onde todos os recursos são armazenados no mesmo.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • 2017
    Uma rede local de computadores foi configurada para utilizar o protocolo LDAP para compartilhar as informações sobre os usuários dos serviços daquela rede. Considerando o processo de comunicação entre o cliente e o servidor LDAP, a autenticação da sessão é realizada utilizando a operação  
      a) StartTLS. 
      b) Request. 
      c) StartSec. 
      d) Bind. 
      e) Extended

     


ID
2096743
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca dos diretórios de serviços LDAP e AD (Active Directory), julgue o item que se segue.

LDAP é um padrão aberto que facilita a manutenção e o compartilhamento do gerenciamento de grandes volumes de informação, definindo um padrão de acesso em um diretório.

Alternativas
Comentários
  • LDAP é um padrão aberto capaz de facilitar, de forma flexível, o compartilhamento, a manutenção e o gerenciamento de grandes volumes de informações, definindo um método-padrão de acesso e atualização de informações dentro de um diretório.

  • Lightweight Directory Access Protocol, ou LDAP, é um protocolo de aplicação aberto, livre de fornecedor e padrão de indústria para acessar e manter serviços de informação de diretório distribuído sobre uma rede de Protocolo da Internet (IP).

  • Muitos se embananaram com o trocadilho (Open) LDAP.

    E mts ainda se embananarão!!!


ID
2096746
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o item a seguir acerca do emprego da ferramenta shell no desenvolvimento de scripts.

A principal ferramenta do Unix utilizada para a realização de buscas no conteúdo dos arquivos é o grep, cujas variantes são grep, egrep e fgrep.

Alternativas
Comentários
  • egrep is 100% equivalent to grep -E

    fgrep is 100% equivalent to grep -F

    Historically these switches were provided in separate binaries. On some really old Unix systems you will find that you need to call the separate binaries, but on all modern systems the switches are preferred. The man page for grep has details about this.

     

    As for what they do, -E switches grep into a special mode so that the expression is evaluated as an ERE (Extended Regular Expression) as opposed to its normal pattern matching. Details of this syntax are on the man page.

    -E, --extended-regexp
    Interpret PATTERN as an extended regular expression

     

    The -F switch switches grep into a different mode where it accepts a pattern to match, but then splits that pattern up into one search string per line and does an OR search on any of the strings without doing any special pattern matching.

    -F, --fixed-strings
    Interpret PATTERN as a list of fixed strings, separated by newlines, any of which is to be matched.

     

    http://unix.stackexchange.com/questions/17949/what-is-the-difference-between-grep-egrep-and-fgrep

     

    Gabarito: Certo

  • tem ainda o pgrep

    pgrep looks through the currently running processes and lists the process IDs which matches the selection criteria to stdout

  • Seguindo o manual(man) do grep, temos: In addition, two variant programs egrep and fgrep are available. egrep is the same as grep -E. fgrep is the same as grep -F. Direct invocation as either egrep or fgrep is deprecated, but is provided to allow historical applications that rely on them to run unmodified. Gabarito, Certo. FFF
  • grep, fgrep , egrep

    Procura em um ou mais arquivos por linhas que contêm um padrão de busca (expressão regular simples ou estendida)

     

     

    Certo

     

     

    Fonte: Linux - Guia do Administrador do Sistema - 2ed Rubem E. Ferreira

  • CERTO

    GREP: PROCURA UM FICHEIRO POR UM  PADRÃO, SENDO UM FILTRO MUITO USADO E ÚTIL.

  • Orra! A galera gastando o inglês nos comentários


ID
2096749
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Programação
Assuntos

Julgue o item a seguir acerca do emprego da ferramenta shell no desenvolvimento de scripts.

A expressão teste.? lista todos os arquivos de um diretório que contenha os arquivos teste.c, teste.o e teste.log.

Alternativas
Comentários
  • Teste.? permite que exista qualquer caractere após o ponto, mas apenas UM caractere. Para que o arquivo teste.log fosse listado, é necessário o comando teste.*

  • O correto seria:

     

    teste.??? ➝ teste.log

    .

    .

    At.te

    Foco na missão ❣


ID
2096752
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Programação
Assuntos

Julgue o item a seguir acerca do emprego da ferramenta shell no desenvolvimento de scripts.

Por utilizar uma linguagem padronizada conforme o padrão POSIX, o Script Bash apresenta simplicidade e portabilidade.

Alternativas
Comentários
  • GAB: C

    Vantagens : Portabilidade, Simplicidade e Facilidade de desenvolvimento.

    Respeitam um padrão POSIX, e são universal entre sistemas UNIX,podendo ser escritos com cuidado , usados através de uma série de sistemas.

    Fonte: http://rjnetwork.com.br/blog/?p=1287

  • c-

    You can use POSIX standard in many shells such as, dash , bash , ksh , mksh , yash , zsh , etc. You need to be aware that each shell has its own commands and options or different options top of the POSIX specification.

    https://betterprogramming.pub/24-bashism-to-avoid-for-posix-compliant-shell-scripts-8e7c09e0f49a


ID
2096755
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o item seguinte, relativo à segurança em Linux.

No modo de operação enforcing, as regras do SELinux são desativadas e todas as operações geram logs.

Alternativas
Comentários
  • Basicamente, o SELinux pode operar em três tipos diferentes, que são:

    Enforcing – As regras do SELinux estão aplicadas, e está sendo gerado Logs de todas as operações do mesmo;

    Permissive – As regras do SELinux estão desativadas, porém, está gerando Logs de todas as operações do mesmo (útil para Troubleshoot de aplicações);

    Disabled - As regras e os Logs do SELinux estão completamente desativados.

     

    https://www.vivaolinux.com.br/artigo/SELinux-Seguranca-em-Servidores-GNU-Linux


ID
2096758
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o item seguinte, relativo à segurança em Linux.

A ferramenta IPTables controla o módulo Netfilter do kernel Linux, módulo que, por sua vez, controla as funções NAT, firewall e log do sistema.

Alternativas
Comentários
  • Discordo quanto a "log do sistema"... Eita CESPE..

    Se se referisse a Log do sistema de Firewall, OK. Mas "log de sistema" independe do netfilter. 

     

    Vejam:

     

    Origem: Wikipédia, a enciclopédia livre.

    netfilter é um módulo que fornece ao sistema operacional Linux as funções de firewall, NAT e log dos dados que trafegam por rede de computadores.

  • Janeiro de 2019 e eu continuo discordando...


  • O netfilter é um módulo que fornece ao sistema operacional Linux as funções de firewall, NAT e log de utilização de rede de computadores. Iptables é o nome da ferramenta do espaço do usuário que permite a criação de regras de firewall e NATs. Apesar de, tecnicamente, o iptables ser apenas uma ferramenta que controla o módulo netfilter, o nome &quot;iptables&quot; é frequentemente utilizado como referência ao conjunto completo de funcionalidades do

    netfilter.

    Concordo com Feijão preto... GAB: ERRADO

    https://www.passeidireto.com/arquivo/4660227/bfwiptables

  • Discordo... ele não tem função de gravar o log do sistema, e sim o log da utilização da rede.

  • boneca russa:

    Iptable > netfilter > nat, firewall e logs


ID
2096761
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o item seguinte, relativo à segurança em Linux.

O módulo ModSecurity do servidor web Apache oferece proteção contra ataques direcionados a aplicações web e permite o monitoramento e a análise do tráfego HTTP em tempo real, com reduzida ou nenhuma alteração de infraestrutura.

Alternativas
Comentários
  • O ModSecurity, às vezes chamado de Modsec, é um popular firewall de aplicativos da Web de código aberto. Concebido originalmente como um módulo para o Servidor HTTP Apache, ele evoluiu para fornecer uma matriz de solicitação de HTTP e recursos de filtragem de resposta.

     

    https://en.wikipedia.org/wiki/ModSecurity

  • CERTO

    ModSecurity é um Firewall de Aplicação WEB. Funciona como uma forma de detecção e prevenção contra intrusos. Operando como um módulo do Apache, se propõe a incrementar a segurança nas aplicações web, protegendo-as de ataques conhecidos e desconhecidos.

    Essencialmente, o Modsecurity te dá acesso, em tempo real, ao tráfego HTTP, juntamente com a capacidade de inspecioná-lo.


ID
2096764
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o item seguinte, relativo à segurança em Linux.

A técnica hardening é utilizada para mapear ameaças e executar, em nível lógico, possíveis correções nos sistemas, preparando-os para impedir tentativas de ataques ou de violação da segurança da informação.

Alternativas
Comentários
  • ERRADO. Não tem como impedir tentativas de ataques.

  • Segundo (FACINA, 2009)  Hardening é uma técnica usada para mapear ameaças e depois executar possíveis correções nos sistemas, preparando-os para determinadas tentativas de ataques ou violação na segurança da informação.

  • Hardening não atua em controles físicos? A ênfase dada pela questão em "nível lógico" me incomodou um pouco, mas não tenho certeza se esse é o erro.

  • Hardening como o nome diz é o endurecimento (aumento) das defesas. O hardening pode acontecer a qualquer momento, visando dificultar ao máximo a tarefa de um invasor

  • Limitar o acesso dos usuários é uma técnica de hardering, porém não acho que ela seja um controle físico, mas sim lógico. Por isso, acredito que o erro da questão está no entorno comentado por demais colegas, o fato de não se conseguir impedir um ataque por completo.

  • Hardening é uma técnica usada para mapear ameaças e depois executar possíveis correções nos sistemas, preparando-os para determinadas tentativas de ataques ou violação na segurança da informação (FACINA, 2009). 

  • A questão é copiada e colada da fonte: FACINA, 2009, só adicionaram: EM NÍVEL LÓGICO, portanto esse é o erro.

     

    A técnica hardening é utilizada para mapear ameaças e executar, em nível lógico, possíveis correções nos sistemas, preparando-os para impedir tentativas de ataques ou de violação da segurança da informação.


    * Hardening é uma técnica usada para mapear ameaças e depois executar possíveis correções nos sistemas, preparando-os para determinadas tentativas de ataques ou violação na segurança da informação (FACINA, 2009). 

  • acho que o erro está em dizer que impede TENTATIVAS de ataque. O que se pode fazer é impedir o sucesso do ataque.

  • Sim, o erro está na palavra impedir. Apenas isso!

    Hardening é um procedimento preventivo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas[1].

    Mas ele não garante 100% de prevenção, como a palavra "impedir" dá a entender.

    Fonte:

    [1] Estratégia

  • Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.

    Normalmente, o processo inclui remover ou desabilitar nomes ou logins de usuários que não estejam mais em uso, além de serviços desnecessários.

    Outras providências que um processo de hardening pode incluir: limitar o software instalado àquele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma política de senhas fortes.

  • GENTE, O ERRO ESTA "EM NIVEL LOGICO" APENAS ISSO.


ID
2096767
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Software
Assuntos

Julgue o item subsecutivo, referente à gestão do ciclo de vida da informação — ILM (Information Lifecycle Management).

Classificação, implementação e gerenciamento são as três atividades envolvidas no processo de desenvolvimento de uma estratégia de ILM.

Alternativas
Comentários
  • Apresentação de ILM

     

    http://pt.slideshare.net/joao.galdino/abordagens-de-implementao-de-ilm-como-estratgia-auxiliar-no-gerenciamento-de-capacidade-por-anderson-lovatto

  • O processo de ILM inclui quatro atividades: classificação, implementação, gerenciamento e organização. 

    Faltou a ORGANIZAÇÃO na questão.

  • A questão nao traz no enunciado as atividas unicas (somente, exclusivamente).  Poderia a acertiva ser considerada como Certa, pois além das 3 citadas pela banca existe outra (Organização) conforme citou o Marvin. Acho que caberia recurso. 

  • Errada.

    Eu tbém marquei Certa, em virtude de não interpretar caráter de exclusividade...

    Mas perceba a importância do português nessa hora...

    'Classificação, implementação e gerenciamento são as três atividades...' com o determinante 'as' eu especifico.

    'Classificação, implementação e gerenciamento são três atividades...' sem o determinante 'as' eu generalizo.

    Por essa razão ela está errada!

     

    A gestão do Ciclo de Vida da Informação consiste das seguintes atividades (CIGO):

    - Classificação dos dados e aplicativos;

    - Implementação de políticas;

    - Gerenciamento do ambiente;

    - Organização dos recursos de armazenamento hierárquico.

     

  • Para quem não entende os comentários sem o gabarito e não tem acesso a resposta.

    Gaba: ERRADO

     

     gestão do ciclo de vida da informação — ILM (Information Lifecycle Management).

     

    pra decora: no "IML" você cai de 4!

     

     

     

  • A gestão do Ciclo de Vida da Informação consiste das seguintes atividades (CIGO):

    Classificação dos dados e aplicativos;

    Implementação de políticas;

    Gerenciamento do ambiente;

    Organização dos recursos de armazenamento hierárquico.


ID
2096770
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Software
Assuntos

Julgue o item subsecutivo, referente à gestão do ciclo de vida da informação — ILM (Information Lifecycle Management).

Em comparação aos dados não estruturados, os dados estruturados demandam mais espaço de armazenamento e um gerenciamento mais cauteloso, uma vez que constituem a maior parte dos dados corporativos.

Alternativas
Comentários
  • Em comparação aos dados não estruturados, os dados estruturados demandam MENOS espaço de armazenamento...

    Fonte: Armazenamento e Gerenciamento de Informações, pg. 30, https://books.google.com.br/books/about/Armazenamento_e_Gerenciamento_de_Informa.html?id=d8uCfC46hwsC&printsec=frontcover&source=kp_read_button&redir_esc=y#v=onepage&q=dados%20estruturados&f=false

  • Errado.

     

    Os dados podem ser classificados como estruturados e não estruturados.

     

    Dados estruturados são organizados em linhas e colunas (formato definido) de modo que os aplicativos possam processá-los e recuperá-los com eficiência (SGBD).

     

    Os dados não estruturados não possuem um formato definido, logo, são difíceis de consultar e recuperar (gerenciamento mais complexo).

     

    Assim, concluímos que os dados NÃO estruturados demandam um gerenciamento mais cauteloso.

  • Como vimos durante a aula, os dados não estruturados costumam representar a maior parte dos dados em uma organização. Dessa maneira, eles irão requerer mais espaço para armazenamento e um gerenciamento mais cauteloso. A alternativa somente inverteu os conceitos.

    Gabarito: E

  • Gabarito: certo.

    Além do que os colegas disseram, os dados não estruturados é que constituem a maior parte dos dados corporativos.

  • CERTO

    A maior parte dos dados corporativos são não-estruturados, logo eles necessitam de maior espaço de armazenamento e um gerenciamento mais cauteloso.

  • Os dados não estruturados são os que não podem, ou são difíceis de serem armazenados em linhas e colunas. Geralmente são de difícil acesso e recuperação e requerem maior espaço e velocidade para armazenamento e gerenciamento. 

    Fonte: https://www.devmedia.com.br/big-data-tutorial/30918

  • "constituem a maior parte dos dados corporativos"

  • GAB.: ERRADO.

    ''Maior parte dos dados corporativos'' são os dados NÃO ESTRUTURADOS. Portanto, ele é o mais difícil de ser armazenado. A questão apenas inverteu as definições.

    Bons estudos!

  • Os dados não estruturados são abundantes na internet e nas organizações, sendo a maior parte dos dados (cerca de 90%) no ambiente corporativo. Assim, demandam mais espaço de armazenamento e um gerenciamento mais cauteloso.

    Errado.

  • Em comparação aos dados não estruturados, os dados estruturados demandam mais espaço de armazenamento e um gerenciamento mais cauteloso, uma vez que constituem a maior parte dos dados corporativos.

    O TRECHO EM VERMELHO TORNA A QUESTÃO COMPLETAMENTE ERRADA!

    • MINHA CONTRIBUIÇÃO:

    DADOS ESTRUTURADOS: Um banco de dados tradicional é o composto em sua maioria por dados estruturados que possuem representação homogênea. POSSUÍ ATRIBUTOS BEM definidos e com formatação, como texto, número, data, valor lógico. Ocupam menos espaço para serem armazenados. E AINDA, ESTIMASSE QUE 20% DOS DADOS DE UMA EMPRESA SEJAM ESTRUTURADOS. É mais fácil manipular e utilizar dados estruturados em aplicações. Cada registro pode apresentar valores diferentes, mas utiliza os mesmos atributos que os demais. PODEM SER CLASSIFICADOS.

  • gab e!

    Assim, os dados não estruturados não seguem nenhum tipo de modelo ou organização predefinida. Como exemplos, podemos citar imagens, textos, vídeos, documentos... Os dados não estruturados são abundantes na internet e nas organizações, sendo comum que se afirme que esse tipo de dado compõe a maior parte dos dados no ambiente corporativo.

    Prof Arthur Mendonça - Equipe Victor Dalton.

  • Dados estruturados

     

    Segue uma estrutura bem definida.

     

    Dados estruturados são organizados em linhas e colunas, geralmente são encontrados em banco de dados relacionais, são eficientes quanto à recuperação e processamento.

     

    • Cada coluna deve ter o mesmo tipo de dados para todos os valores diferentes de nulo, assim como as linhas devem possuir registros que satisfação as restrições de integridade descritas na definição da tabela.
    • Estes dados respeitam uma estrutura rígida predefinida, ou seja, estão sempre representados de acordo com um modelo que foi previamente estabelecido. É o tipo de dados comumente armazenados nos bancos de dados convencionais.

    Característica:

     

    • Estrutura rígida predefinida (esquema)
    • Dados mais facilmente buscáveis e acessíveis.
    • Manutenção do padrão
    • Atributos conhecidos com ANTECEDÊNCIA

  • Os dados não estruturados costumam representar a maior parte dos dados em uma organização.

    Dessa maneira, eles irão requerer mais espaço para armazenamento e um gerenciamento mais cauteloso.

    A alternativa somente inverteu os conceitos.

    Gabarito: E

  • GAB. ERRADO!

    Os dados não estruturados são abundantes na internet e nas organizações, sendo a maior parte dos dados (cerca de 90%) no ambiente corporativo. Assim, demandam mais espaço de armazenamento e um gerenciamento mais cauteloso.

    Fonte: Patrícia Quintão.


ID
2096773
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Software
Assuntos

Julgue o item subsecutivo, referente à gestão do ciclo de vida da informação — ILM (Information Lifecycle Management).

DAS (direct-attached storage) é uma tecnologia de armazenamento de dados criada para que sejam direcionados os requisitos relativos ao custo, ao desempenho e à disponibilidade dos dados.

Alternativas
Comentários
  • Gabarito Errado

    A sigla DAS é abreviação de "Direct Attached Storage". Ela se refere a dispositivos de armazenamento externo ligados diretamente ao servidor (ou a qualquer outro micro da rede), como no caso das gavetas de HD ligadas a portas eSATA (o eSATA é uma versão externa das portas SATA, que mantém a mesma velocidade de 150 ou 300 MB/s, mas permite o uso de um cabo externo) ou a portas USB, por exemplo.

    Além de gavetas e suportes baratos para ligar HDs externos, a lista inclui dispositivos mais caros. Nas fotos a seguir temos dois exemplos. O primeiro é uma gaveta de HD simples, ligada em uma porta USB e o segundo é uma unidade eSATA da Micronet, que utiliza 5 HDs, com RAID via hardware e outras funções. Apesar da diferença de complexidade, temos em ambos os casos unidade externa ligada à uma porta USB ou eSATA, que não tem nada a ver com redes.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
2096776
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Computadores
Assuntos

Julgue o item a seguir, relativo às tecnologias e às arquiteturas de data center.

Em um data center, não deve haver janelas voltadas para ambiente externo.

Alternativas
Comentários
  • As paredes devem ser de concreto ou alvenaria, capazes de suportar impactos ou furacões. O ambiente não deve possuir janelas ou outras aberturas, somente uma porta corta-fogo, o conjunto deve garantir no mínimo uma hora de resistência ao fogo a uma temperatura de 1260º C.

    questão correta.

  • e eu pensando em janela como um conceito de redes kkkkk

    mas acertei. 


ID
2096779
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Computadores
Assuntos

Julgue o item a seguir, relativo às tecnologias e às arquiteturas de data center.

É imprescindível a execução de aterramento na infraestrutura de qualquer data center.

Alternativas
Comentários
  • A utilização de equipamentos de TI em um Data Center se torna muito importante, a ponto de ter um projeto de sistema de aterramento bastante confiável, para evitar danos irreparáveis em equipamentos que possuem alto custo e são de vital importância para os sistemas de rede de comunicações, telecomunicações, entre outros.

    Para a construção de um prédio com aterramento é necessário seguir normas como a NBR-5419 e NBR-5410.

    A norma NBR-5419 fixa as condições exigíveis ao projeto de instalações e manutenções de sistema de proteção contra descargas atmosféricas de estruturas. Aplica-se às estruturas comuns, utilizadas para fins comerciais, industriais, administrativos ou residenciais.

    A norma NBR-5410 estabelece as condições a que devem satisfazer as instalações elétricas de baixa tensão, aplica-se principalmente às instalações elétricas de edificações, qualquer que seja seu uso, residencial, comercial, público ou industrial.

    Recomenda-se construir um sistema de aterramento isolado com destino ao para-raios e outro sistema de aterramento separado para o Data Center, eletrocalhas, racks e piso elevado. 

    O cuidado com a energia é de extrema importância para manter os sistemas de um data center funcionando

  • ué.. + a resposta seria correta? o erro é o q? " imprescindivel"

     

  • Gustavo "imprescindível" é indispensável ...

  • É imprescindível a execução de aterramento na infraestrutura de qualquer data center.

    Não, pois posso muito bem criar um data center sem colocar aterramento.

    então não é imprescindivel o aterramento para o data center funcionar.

  • "Viajando" um pouco junto com o Cespe... um Data Center pode ser construido no fundo do mar. Creio que nessa situação o aterramento torna-se dispensável. :)

     

    FFF

  • Datacenter sem aterramento = CPD

     

  • Tem cada comentário pior que a questão.

  • Para mim o gabarito está certo... fiz várias pesquisas sobre data centers e todas elas apresenta a questão ATERRAMENTO como forma de segurança indispensável para o data center.

    nto.Abaixo 3 pesquisas:

    Ah... Refutando o Thiago Moraes... aterramento serve como escape num excesso de carga, tensão ou voltagem elétrica afim de evitar curtos, explosões e outros... mesmo no fundo do mar se houver data center teria q ter aterramento.

    A utilização de equipamentos de TI em um Data Center se torna muito importante, a ponto de ter um projeto de sistema de aterramento bastante confiável, para evitar danos irreparáveis em equipamentos que possuem alto custo e são de vital importância para os sistemas de rede de comunicações, telecomunicações, entre outros.

    Infraestrutura dedicada para o datacenter:

    Normas internacionais existentes fornecem os requisitos e orientações para projetos e instalação dos datacenters de modo que as equipes multidisciplinares envolvidas nestas atividades atendam os diversos códigos elétricos, códigos de segurança, códigos de incêndio, códigos de aterramento, códigos de geração de emergência e standby, códigos de telecomunicações e códigos térmicos para datacenters.

    A norma ANSI/EIA/TIA 942 ou (TIA 942) define níveis de criticidade do Data Center, que são baseadas nos custos do downtime e o TCO. Tal regulamento é aplicável para projetos de novos Data Centers (greenfield) ou empreendimentos já existentes (retrofit).

     

    A TIA 942 versa sobre critérios, desde a construção até a avaliação do Data Center pronto e confirma um conjunto de outras normas:

     

    Esse conjunto de normas baseadas na TIA 942 estabelece a padronização necessária para evitar o Downtime (Tempo de Indisponibilidade) e garantir o TCO (Custo Total de Propriedade), adequado

  • Questao anulada pela banca.


ID
2096782
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Computadores
Assuntos

Julgue o item a seguir, relativo às tecnologias e às arquiteturas de data center.

A redundância 2N de um data center adiciona um módulo, caminho ou sistema ao mínimo necessário para satisfazer o requisito básico.

Alternativas
Comentários
  • A norma ANSI/TIA-942 estabelece nomenclaturas para as definições da redundância dos Data Centers, utilizando como base a classificação Tier. As classificações são as seguintes [6]:

    Data Center “N”, sem nenhum tipo de redundância.

    Data Center “N+1”, existe pelo menos uma redundância, por exemplo: nobreak, gerador, linkredundante, etc.

    Data Center “N+2”, existe uma redundância a mais, por exemplo: o Data Center será suprido na falta de energia por um nobreak e um gerador, sendo assim duas redundâncias. Podendo se estender para os outros equipamentos, links, refrigeração, sistema de prevenção de incêndios, etc.

    Data Center “2N”,  redundância completa.

    Data Center “2(N+1)” existe uma redundância para cada equipamento, utilizando o exemplo anterior, seria necessário um nobreak ou gerador para cada uma das empresas de energia.

    Fonte: Portal Teleco

  • A redundância 2N fornece duas unidades, módulos, caminhos ou sistemas completos para cada sistema básico.

    A falha ou manutenção de uma unidade, módulo, caminho ou sistema inteiro não interrompe as operações.

    Seguindo com exemplo de alimentação elétrica, o data center 2N deve possuir duas linhas de distribuição elétrica totalmente redundantes e independentes. Isso desde os geradores até a régua de alimentação ( PDU ) dos servidores.

    Em outras palavras, tudo deve ser duplicado, sem a presença de um ponto único de falha!

    Errada


ID
2096785
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Arquitetura de Computadores
Assuntos

Julgue o item a seguir, relativo às tecnologias e às arquiteturas de data center.

Se a classificação da parte elétrica de um data center for TIER 3 e a da parte mecânica for TIER 2, a classificação global desse data center será TIER 3.

Alternativas
Comentários
  • Gabarito Errado

    TIER 3

    Cumpre todos os requisitos Tier 1 e Tier 2

    Múltiplos caminhos de distribuição independente, servindo aos equipamentos de TI

    Todos os equipamentos de TI devem ser dual-alimentados e totalmente compatíveis com a topologia da arquitetura do local

    Infraestrutura local paralelamente sustentável, garantindo a disponibilidade de 99,982%

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A força de uma corrente é a força do seu elo mais frágil...

  • A norma classifica ainda os Data Centers em quatro Tiers (níveis), numerados de um a quatro:

     

    Tier 1: Data Center básico;
    Tier 2: Data Center com componentes redundantes;
    Tier 3: Data Center que permite manutenção sem paradas;
    Tier 4: Data Center tolerante a falhas.

     

    Fonte: https://tecnologiaegestao.wordpress.com/2013/01/03/o-que-e-um-data-center-e-suas-classificacoes-tier/

     

    Bons estudos!