Questões de Concursos Segurança da Informação

Acerca dos processos típicos de tratamento de incidentes de segurança, julgue o item abaixo.

O aumento do tempo decorrente entre a detecção e o fim da recuperação, nos incidentes de segurança, não aumenta necessariamente o tempo de indisponibilidade do serviço afetado.

Sobre segurança de redes de computadores, considere as afirmativas:

1. O SSL (Secure Sockets Layer) opera entre a camada aplicação e a camada de transporte construindo uma conexão segura entre cliente e servidor, sendo bastante utilizada em transações comerciais na Web

2. Devido a baixa segurança do protocolo IP, foi criado um novo protocolo para a camada de rede chamado IPSec. O único problema deste novo protocolo é a incompatibilidade com as redes TCP/IP

3. A TLS (Transport Layer Security) é um padrão seguro para a camada de transporte, e tende a substituir completamente o TCP como principal protocolo desta camada

4. O IPSec pode operar em dois modos: modo de transporte e modo de túnel. O modo de túnel (tunneling) é geralmente a base para a formação de redes privadas virtuais (VPN)

Podemos afirmar que estão corretas as afirmativas

Ameaças à segurança das redes que fazem com que os micros infectados por esses tipos de vírus formem redes de computadores "zumbis" que são comandados simultaneamente por seus invasores para enviar mensagens indesejadas (spam), colocar sites fora do ar e promover fraudes são categorizadas como

No que se refere a tecnologias da informação, Internet e intranet, julgue os seguintes itens.

A responsabilidade pela segurança de um ambiente eletrônico é dos usuários. Para impedir a invasão das máquinas por vírus e demais ameaças à segurança, basta que os usuários não divulguem as suas senhas para terceiros.

Julgue os itens subsequentes, com relação a filtro de conteúdo web e prevenção à intrusão.

Para a prevenção de ataques do tipo DDoS (negação de serviço distribuída), pode-se utilizar um IPS (sistema de prevenção de intrusão) do tipo NBA (análise de comportamento de rede).

Julgue os próximos itens, relativos à segurança da informação.

A gestão da segurança da informação compreende o estabelecimento de políticas, procedimentos, guias e padrões. Na linguagem técnica, o acesso ou a manipulação de informações sem autorização previa do usuário detentor dessas informações é classificado como intrusão.

A interceptação da comunicação entre dois computadores ou mesmo a exploração de cookies armazenados para a obtenção da chave de sessão, conseguindo, desse modo, acesso não autorizado a um sistema é conhecida como

Acerca da informática e do processamento eletrônico de dados, julgue os itens seguintes.

A obtenção de arquivos por correio eletrônico ou Internet é isenta de risco de infecção por vírus.

Considere estas duas recomendações de segurança em redes sem fio:

I. Mudar o SSID, ou nome que identifica a rede, contribui para a segurança da autenticação da rede que utiliza este protocolo. Existem diversas tabelas de senhas já quebradas em SSIDs configurados de fábrica. Modificar o SSID para algo personalizado garante que essas tabelas sejam inutilizadas.

II. Utilizar este protocolo aumenta a segurança da rede, pois utiliza o AES, um sistema de criptografia bastante seguro, baseado no uso de chaves de 128 a 256 bits. Usar o AES garante uma maior segurança, mas exige mais processamento, o que pode ser um problema no caso de redes com pontos de acesso e placas antigas que não têm recursos ou poder de processamento suficientes.

Os protocolos citados nas afirmativas I e II são, correta e respectivamente,

Acerca do gerenciamento de segurança da informação, julgue os itens a seguir.

Para a garantia de um nível de segurança mínimo, que evite a concretização de ameaças em uma organização, é obrigatória a implantação de todos os controles contidos na norma 27002, conforme recomendação feita na ISO, independentemente do tamanho e tipo de organização.

Diversas técnicas são usadas para prover segurança criptográfica em sistemas de informações. Acerca das principais técnicas criptográficas aplicadas à segurança de dados, julgue os itens seguintes.

A assinatura digital, que existe, por exemplo, em certificados digitais, é formada por uma combinação de algoritmos criptográficos simétricos e assimétricos.

NÃO é um dos componenetes básicos de um sistema criptográfico

Entidades públicas e privadas vêm adotando medidas para aumentar a proteção de seus usuários, tornando mais difícil para um terceiro obter dados sensíveis. Uma dessas medidas visa prevenir o acesso à conta do usuário, mesmo que o terceiro conheça a sua senha. Essa medida requer que, além da senha, o usuário utilize um dispositivo, ou outro método por ele aprovado, para liberar acesso às informações da sua conta.

Essa medida refere-se à(às):

Os geradores de transação (GTs) aguardam silenciosamente no computador até que o usuário se autentique, por exemplo, em um home banking ou loja virtual. Uma vez autenticado, o sítio geralmente cria um cookie de sessão, usado para autenticar mensagens subsequentes a partir do navegador. Esses cookies de sessão residem no navegador e se mostram acessíveis por um malware. Um GT pode, com o usuário autenticado no sítio, usar o cookie de sessão para gerar transações em nome do usuário, transferindo fundos de sua conta ou comprando itens a serem enviados como presente. Para o sítio, uma transação gerada por um GT se mostra idêntica a uma transação legítima realizada pelo usuário, pois se origina do mesmo IP usado pelo usuário na mesma hora do dia, tornando-a difícil de ser percebida por ferramentas.

Tendo o texto acima como referência inicial, julgue os próximos itens referentes ao GT.

O CAPTCHA (completely automated public turing test to tell computers and humans apart) é uma alternativa para combater o GT.

De acordo com a NBR ISO/IEC n.º 27.005/2011, as quatro possíveis ações para o tratamento do risco de segurança da informação correspondem a