SóProvas

ID
332800
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.

Alternativas
Comentários
  • Definição de código móvel: http://www.cic.unb.br/~jhcf/MyBooks/ciber/doc-ppt-html/CodigoMovel.html

    Trecho da 27002:
    10.4.2 Controles contra códigos móveis
    Controle
    Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que o código móvel
    autorizado opere de acordo com uma política de segurança da informação claramente definida e códigos
    móveis não autorizados tenham sua execução impedida. 
  • 1°) Código Móvel
    “Código móvel” é um código que tem sua  fonte em um sistema remoto
    possivelmente “não confiável” porém executado em um sistema local.
    Esse conceito de “código móvel” tem recebido diversos nomes: agentes
    móveis,  downloadable code, conteúdo executável, cápsulas ativas, código remoto e
    outros. Todos lidam com a execução local de código com fonte remota. 
    Fonte: (    http://www-di.inf.puc-rio.br/~endler/semGSD/monografias/leonardo-godinho.pdf)

    Código móvel é definido, no Dicionário de Segurança de Internet, como um programa que podem executar em locais remotos com qualquer modificação no código. [Ele] pode viajar e executar a partir de uma máquina para outra em uma rede durante a sua vida. 
    Código móvel inclui ActiveX, Java, JavaScript, VBScript, macros do MS Word ePostScript. Esses códigos podem ser usados ??para coletar informações a partir de um sistema de destino, para introduzir código malicioso ou um cavalo de Tróia, ou para modificar ou destruir informações. Macros são normalmente encontrados em documentos; JavaScript roda em websites e discos mais pop-ups e uma série de outras características mais importantes; ActiveX permite a um PC para fazer o download crítica plug-ins mais sua carga secreta.
    Fonte: Livro de Alan Calder em IT Gov

    2°) Onde?

    A.10  Gerenciamento das operações e comunicações 

    A.10.4   Proteção contra códigos maliciosos e códigos móveis 

     
    A.10.4.1 Controle contra códigos maliciosos 

    A.10.4.2 Controles contra códigos móveis

  • Repare q essa questao é uma pegadinha. A referida norma foi lançada em 2006 e não havia tantos dispositivos moveis como ha hje em dia.
    Adicionalmente, transcrevo trecho da seçao A.10.4 (Proteção contra códigos maliciosos e códigos móveis) da 27001:

    A.10.4.2 Controles contra códigos móveis:
    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.

  • Não podemos confundir código móvel com algo relacionado a dispositivos móveis.
    Um código móvel é um código que é executado remotamente e pode controlar o seu equipamento (ou apenas uma parte), transformando-o em uma máquina zumbi que faz parte de um ataque DDoS a um determinado domínio, por exemplo.

  • Gabarito Errado

    ISO 27001

    A.10.4.2 Controles contra códigos móveis:
    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !