SóProvas

ID
920119
Banca
FCC
Órgão
DPE-SP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Um computador ou sistema computacional é dito seguro se este atender a três requisitos básicos relacionados aos recursos que o compõem. Alguns exemplos de violações a cada um desses requisitos são:

I. O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal.

II. Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda.

III. Alguém obtém acesso não autorizado ao seu computador e altera informações da sua Declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal.

A associação correta do requisito de segurança com os exemplos de violação está expressa, respectivamente, em:

Alternativas
Comentários

  • confidencialidade significa, conforme (BRAUMANN, CAVIN e SCHMID, 2011), que nenhum acesso à informação deverá ser garantido a sujeitos ou sistemas não autorizados, isto é, apenas aqueles com os direitos e privilégios necessários serão capazes de acessar a informação, esteja ela armazenada, em processamento ou em trânsito.

    A violação da confidencialidade pode ocorrer por modo intencional através de ataques, captura de tráfego, engenharia social, entre outros, bem como de forma não deliberada por imperícia ou negligência.

    No caso específico do VoIP, a confidencialidade preocupa-se com a não intercepção de uma conversa por uma terceira parte não autorizada, como nos ataques do tipo man-in-the-middle (MITM).

    integridade é o aspecto que se preocupa com a confiança que pode ser depositada sobre uma informação obtida. Além disto, uma informação é dita íntegra se não sofreu nenhuma alteração entre os momentos de transmissão e recepção.

    Desta forma, em (BRAUMANN, CAVIN e SCHMID, 2011) são definidas duas categorias de integridade: integridade de fonte e integridade de dados. A integridade de fonte garante que uma informação realmente vem do remetente correto. A integridade dados se refere à confiabilidade da informação em si, isto é se a informação não foi comprometida (manipulada) em algum momento anterior à leitura pelo destinatário pretendido.

     

    Adicionalmente, (STEWART, TITTEL e CHAPPLE, 2008) atribui à integridade três objetivos:

    • Impedir que sujeitos não autorizados realizem modificações na informação;
    • Impedir que sujeitos autorizados realizem modificações não autorizadas; e
    • Garantir a legitimidade, verificabilidade e consistência da informação, esteja ela armazenada, em trânsito ou em processamento.

     

    Em se tratando de VoIP, a integridade deve garantir que os pacotes de mídia cheguem ao destinatário sem sofrerem manipulações maliciosas.

    disponibilidade é o aspecto da segurança da informação que diz que esta deve estar disponível para ser acessada quando solicitada por um sujeito ou sistema legítimo (BRAUMANN, CAVIN e SCHMID, 2011). Isto requer que toda estrutura que permite acesso e transporte da informação deve ser protegida para que não seja degradada ou se torne indisponível.

    Com relação à disponibilidade, os tipos de ataque que representam maior ameaça são DoS (Denial of Service) e DDoS (Distributed Denial of Service) , que visam danificar ou sobrecarregar sistemas.

    Especificamente para o VoIP, disponibilidade significa garantir que o serviço estará operante para os usuários, evitando qualquer efeito adverso resultante de um ataque do tipo negação de serviço, cujas consequências podem ser perda total ou parcial da comunicação (BRAUMANN, CAVIN e SCHMID, 2011).

  • Prezados ,
    Vamos definir as violações exemplificadas no enunciado da questão :
    I. O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal.
    Nesse caso tivemos uma violação da DISPONIBILIDADE, onde o ataque de DOS impossibilitou os usuários de acessarem o serviço

    II. Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda.

    Nesse caso tivemos uma violação da CONFIDENCIALIDADE, onde informações pessoais foram visualizadas através de acesso não autorizado e portanto tiveram sua confidencialidade violada.

    III. Alguém obtém acesso não autorizado ao seu computador e altera informações da sua Declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal.

    Nesse caso tivemos uma violação da INTEGRIDADE, uma vez que os dados foram modificados e não são mais íntegros.
    Portanto, alternativa correta é a letra D
    Para fixar o conhecimento, vamos revisar algumas propriedades relacionadas a segurança da informação utilizando Stallings como referência, página 9 :
    Confidencialidade: Proteção dos dados contra a divulgação não autorizada. Inclui também a proteção do fluxo de tráfego contra análise. Isso exige que um atacante não consiga observar a origem, o destino, a frequência, o tamanho ou outras características do tráfego em um sistema de comunicação.
    Integridade: A garantia de que os dados recebidos são exatamente como foram enviados por uma entidade autorizada ( ou seja, não contêm modificação, inserção, exclusão ou repetição )
    Disponibilidade: A propriedade de um sistema ou de um recurso do sistema ser acessível e utilizável sob demanda por uma entidade autorizada do sistema, de acordo com as especificações de desempenho.
    Fonte : Stallings, W. , Criptografia e segurança de redes , 4º edição