ID 10579 Banca ESAF Órgão CGU Ano 2006 Provas ESAF - 2006 - CGU - Analista de Finanças e Controle - Tecnologia da Informação - Prova 3 Disciplina Segurança da Informação Assuntos Políticas de Segurança de Informação Em relação às questões que envolvem a segurança na Internet é incorreto afirmar que Alternativas confidencialidade ou privacidade corresponde a um dos serviços de segurança cujo objetivo é a proteção dos dados transmitidos contra ataques passivos, assim como a proteção do tráfego contra análise. em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o campo de endereço IP origem contendo um endereço de um host interno. o ataque DDoS (Distributed Denial of Service) é uma variação de ataques DoS. Ambos resultam em perdas ou redução de disponibilidade e são amenizados, em alguns casos, com a utilização de autenticação e criptografia. o software VPN (Virtual Private Network) atua como um filtro porque permite que os dados trafeguem apenas entre dispositivos para os quais o software VPN foi configurado, garantindo conexões seguras usando uma infra-estrutura pública de comunicação. na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas. Responder Comentários e) na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas.Pegadinha só pela palavra "completude". Na verdade as chaves assimétricas são usadas somente no momento do estabelecimento da conexão, sendo que no restante a chave é simétrica."A criptografia de chave pública envolve muito processamento, portanto, a maioria dos sistemas utiliza uma combinação da chave pública e simétrica. Quando dois computadores iniciam uma sessão segura, um computador cria uma chave simétrica e a envia ao outro usando a criptografia de chave pública. Os dois computadores podem então se comunicar utilizando a criptografia de chave simétrica. Uma vez que a sessão é terminada, cada computador descarta a chave utilizada naquela sessão. Todas as sessões adicionais requerem que uma nova chave simétrica seja criada e que o processo seja repetido." http://informatica.hsw.uol.com.br/criptografia4.htmEu respondi letra b. Nem sempre o endereço é interno, pode ser um endereço externo de uma máquina conhecida pelo destinatário, porém o fato de ser um endereço interno não torna a questão errada. a) sem comentáriosb) um endereço de host interno? não necessariamente, depende da finalidade. Se for apenas se camuflar ou promover um ataque, não precisa ser um endereço interno. Poderia estar melhor formulada...c)utilização de autenticação e criptografia? Autenticação pode até ser,mas criptografia? O que tem a ver?d)sem comentáriose) SSL utiliza simétrica e assimétrica em conjunto. a) confidencialidade ou privacidade corresponde a um dos serviços de segurança cujo objetivo é a proteção dos dados transmitidos contra ataques passivos, assim como a proteção do tráfego contra análise.Verdade. Por ataques passivos podemos entender um sniffer rodando na rede.b) em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o campo de endereço IP origem contendo um endereço de um host interno.Verdade. Intruso externo é um pleonasmo, se é intruso é pq é externo a quem de direito fazer a comunicação. O spoofing é justamente quando um intruso faz-se passar por um host transmitindo pacotes e recebendo pacotes.c) o ataque DDoS (Distributed Denial of Service) é uma variação de ataques DoS. Ambos resultam em perdas ou redução de disponibilidade e são amenizados, em alguns casos, com a utilização de autenticação e criptografia.Verdade. Existem casos em que o DDOS não pode ser evitado, como por exemplo o flood de pings sobre um servidor. Mesmo que o servidor não aceite ping, as requisições acontecem e ocupam espaço na largura de banda do meio físico.d) o software VPN (Virtual Private Network) atua como um filtro porque permite que os dados trafeguem apenas entre dispositivos para os quais o software VPN foi configurado, garantindo conexões seguras usando uma infra-estrutura pública de comunicação.Verdade. É uma forma definir o túnel VPN.e) na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas.Falso. O SSL usa chave assimétrica para trocar as chaves simétricas e se beneficiar da rapidez da simetria e da confiança da assimetria.