SóProvas

ID
3359698
Banca
CESPE / CEBRASPE
Órgão
TJ-PA
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Considerando-se as boas práticas de segurança da informação, é correto afirmar que, na situação descrita no texto 4A04-I, foram comprometidos a

Alternativas
Comentários

  • confidencialidade, pelo acesso indevido às informações pessoais, e a integridade, pela alteração dos registros.

  • GABARITO C

    DE ACORDO COM OS PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

    - INTEGRIDADE: PROTEGER AS INFORMAÇÕES CONTRA ALTERAÇÕES NAO AUTORIZADAS.

    - CONFIDENCIALIDADE: PROTEGE UMA INFORMAÇÃO CONTRA ACESSO NÃO AUTORIZADO.

    #PC-DF / PF/PRF

  • Assertiva C

    confidencialidade, pelo acesso indevido às informações pessoais, e a integridade, pela alteração dos registros.

  • Não precisa ler as assertivas I, II, III e IV para acertar.

    O primeiro parágrafo dá a resposta, vamos dividir para conquistar:

    Um hacker invadiu o sistema computacional de determinada instituição (explorou uma vulnerabilidade do sistema)

    e acessou indevidamente informações pessoais dos colaboradores e servidores (perda de CONFIDENCIALIDADE)

    Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker. (com a modificação, perde-se a INTEGRIDADE)

  • Vejamos os itens:

    I - Acesso não autorizado a uma rede interna - quebra de CONFIDENCIALIDADE, pois há acesso a quem não é de direito;

    II - Alteração de dados - quebra de INTEGRIDADE, pois a informação foi modificada indevidamente;

    III - Quebra de credenciais - ataque à CONFIDENCIALIDADE, novamente, por haver acesso a quem não é de direito;

    IV - Acesso não autorizado ao banco de dados - materialização também da quebra de CONFIDENCIALIDADE.

    Resposta certa, alternativa c).

  • GAB: C

    - Teve acesso a informações sigilosas: CONFIDENCIALIDADE

    - Teve acesso a banco de dados e alterou-os: INTEGRIDADE

  • Questão juninha kkk.

    Avante, patlick aplovado!

  • Disponibilidade: informação acessível 24h/7.

    Integridade:  pressupõe a garantia de não violação dos dados.

    Confidencialidade:  somente pessoas autorizadas tenham acesso às informações.

    Autenticidade:  veracidade da fonte das informações

    Não-Repúdio:  o usuário que gerou ou alterou a informação, não pode negar a autoria.

  • GAB C

    Resumo: Modelos de Ataques:

    • Interrupção: Quando ativo torna-se indisponível. Ataque contra à disponibilidade.
    • Interceptação: Quando ativo é acessado por parte não autorizado. Ataque contra à confidencialidade (teve acesso as informações sigilosas/pessoais).
    • Modificação: Quando ativo é acessado e alterado por parte não autorizada. Ataque contra à Integridade (alterou as informações, registros).
    • Fabricação: Quando parte não autorizada insere objetos falsificados em um ativo. Ataque contra à Autenticação.