Questões de Concursos sobre Segurança da Informação com Gabarito (Comentado)

Um fabricante de software disponibiliza atualizações de seus produtos no site http://www.exemplodefabricante.com.br/ update, que é sempre divulgado nas seções de ajuda dos aplicativos. Considerando-se que existe um arquivo SHA-1 associado a cada atualização disponível para download, é INCORRETO afirmar que o(a)

objetivo desse mecanismo, embora imperfeito, é garantir ao usuário que as atualizações baixadas estejam íntegras em relação à origem.

algoritmo de hash utilizado é, atualmente, passível de ataques de colisão em tempo computacionalmente viável.

mecanismo de integridade utilizado está limitado a arquivos menores que 2 PB, em virtude do limite atual de 64 bits.

protocolo utilizado para download (HTTP) não oferece, nativamente, garantia de confidencialidade dos dados.

utilização do HTTPS, em vez do HTTP, melhoraria significativamente a segurança do download das atualizações.

Em relação às questões que envolvem a segurança na Internet é incorreto afirmar que

confidencialidade ou privacidade corresponde a um dos serviços de segurança cujo objetivo é a proteção dos dados transmitidos contra ataques passivos, assim como a proteção do tráfego contra análise.

em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o campo de endereço IP origem contendo um endereço de um host interno.

o ataque DDoS (Distributed Denial of Service) é uma variação de ataques DoS. Ambos resultam em perdas ou redução de disponibilidade e são amenizados, em alguns casos, com a utilização de autenticação e criptografia.

o software VPN (Virtual Private Network) atua como um filtro porque permite que os dados trafeguem apenas entre dispositivos para os quais o software VPN foi configurado, garantindo conexões seguras usando uma infra-estrutura pública de comunicação.

na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas.
Responder

objetivo desse mecanismo, embora imperfeito, é garantir ao usuário que as atualizações baixadas estejam íntegras em relação à origem.

algoritmo de hash utilizado é, atualmente, passível de ataques de colisão em tempo computacionalmente viável.

mecanismo de integridade utilizado está limitado a arquivos menores que 2 PB, em virtude do limite atual de 64 bits.

protocolo utilizado para download (HTTP) não oferece, nativamente, garantia de confidencialidade dos dados.

utilização do HTTPS, em vez do HTTP, melhoraria significativamente a segurança do download das atualizações.

Em relação às questões que envolvem a segurança na Internet é incorreto afirmar que

em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o campo de endereço IP origem contendo um endereço de um host interno.

Atualmente, há diversos software maliciosos que provocam danos
aos computadores e às informações dos usuários. No que concerne
a vírus de computador, julgue os itens seguintes.

Alguns vírus têm a capacidade de modificar registros de computadores com sistema operacional Windows e de fazer com que sejam executados toda vez que o computador for iniciado.

Após uma interrupção não prevista de energia em um datacenter, um dos servidores com Windows Server 2008 R2 foi fisicamente danificado. Embora houvesse um servidor fisicamente idêntico ao danificado e existisse um backup dos arquivos e pastas comprometidos, a equipe de TI dispendeu muito tempo para instalar o Windows Server 2008 R2 no novo computador e instalar programas de aplicação que existiam no computador original, antes de restaurar os arquivos e pastas. Sobre esse processo de restauração é correto afirmar que

a sequência de recuperação foi errada, devendo primeiramente ser recuperado o backup de arquivos e pastas antes de instalar o sistema operacional e os programas de aplicação.

um cluster teria permitido a recuperação mais rápida do sistema operacional, apenas.

uma imagem do computador, tornaria possível restaurar o equipamento com maior agilidade.

a reinstalação de programas era desnecessária uma vez que os arquivos e pastas que possuíam cópia de segurança já contêm esses dados de instalação, podendo esse tempo ser economizado.

a reinstalação do Windows era desnecessária uma vez que os arquivos e pastas que possuíam cópia de segurança já contêm esses dados de instalação, podendo esse tempo ser economizado.

Julgue o próximo item, com relação à avaliação de tolerância a falhas e alta disponibilidade.

Falhas de temporização estão relacionadas ao mau funcionamento temporário de elementos de hardware que prejudicam a execução correta de um software.

Sobre as noções de segurança da informação, assinale a alternativa correta.

Além da tríade básica da Segurança da Informação, ou seja, os 03 (três) princípios: confidencialidade, integridade e disponibilidade (conhecidos como CID), podemos elencar também os princípios da autenticidade (propriedade em que, uma vez a mensagem assinada digitalmente por um emissor, ele não poderá negar sua autenticidade) e o não-repúdio (propriedade que permite confirmar a veracidade da informação prestada).

Além da tríade básica da Segurança da Informação, ou seja, os 03 (três) princípios: confidencialidade, integridade e disponibilidade (conhecidos como CID), podemos elencar também os princípios da autenticidade (propriedade que permite confirmar a veracidade da informação prestada) e o não-repúdio (propriedade em que, uma vez a mensagem assinada digitalmente por um emissor, ele não poderá negar sua autenticidade).

Além da tríade básica da Segurança da Informação, ou seja, os 03 (três) princípios: confidencialidade, integridade e disponibilidade (conhecidos como CID), não constam na Norma ISO 27001 os princípios da autenticidade e o não-repúdio.

Além da tríade básica da Segurança da Informação, ou seja, os 03 (três) princípios: confidencialidade, integridade e disponibilidade (conhecidos como CID), não fazem parte da Norma ISO 27001 os princípios da auditoria, legalidade e privacidade.

Conforme o cert.br, entre os códigos maliciosos a seguir, assinale o que não tem como ação maliciosa mais comum o furto de informações sensíveis contidas no computador infectado.

A respeito de mecanismos de segurança da informação, julgue os itens seguintes.

Um conjunto de colaboradores que atua em uma mesma organização exercendo funções semelhantes deve fazer uso de senhas compartilhadas, dado cada colaborador exercer sua função visando o alcance de objetivo comum ao conjunto.

Acerca de integridade, disponibilidade e confidencialidade em segurança da informação, julgue os itens a seguir. A confidencialidade determina que uma informação seja criptografada com cifra assimétrica.

De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, não faz parte do processo de identificação dos riscos:

Estimar os níveis de riscos;

Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos;

Identificar as ameaças para esses ativos;

Identificar as vulnerabilidades que poderiam ser exploradas pelas ameaças;

Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos.

A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas. Relacione as colunas e marque a alternativa CORRETA:
Coluna I 1. Política de senhas 2. Política de backup 3. Política de privacidade: 4. Política de confidencialidade 5. Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP)
Coluna II
(___) define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. (___) também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. (___) define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. (___) define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. (___) define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.

Cassio pretende obter certificado digital para sua empresa. Ele obteve informações que o ICP-Brasil oferece duas categorias de certificados digitais com quatro tipos cada uma. Ele foi informado, também, que a categoria A é direcionada para fins de identificação e autenticação enquanto a categoria S é direcionada a atividades sigilosas. Como cada um dos quatro tipos definem os modos pelos quais as chaves são geradas (hardware ou software), o tamanho em bits da chave, seu meio de armazenamento e o período de validade, após análise dos custos contra os benefícios, ele optou pela combinação A4 e S4 com as seguintes características geração das chaves feita por

software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token; validade máxima de dois anos.

hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano.

software; chaves de tamanho mínimo de 4096 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

Com relação aos diversos aspectos de segurança de um sistema de informações, julgue os itens de 59 a 68.

O termo DMZ (demilitarized zone) é normalmente empregado para designar uma pequena rede, geralmente contendo um servidor web, situada entre a rede interna da organização e a rede pública. O tráfego para essa zona é controlado por meio de firewalls de forma a permitir que qualquer usuário externo tenha acesso à DMZ (serviço web), mas não à rede interna, e que usuários internos possam ter acesso à Internet.

Sobre os sistemas de detecção de intrusão é incorreto afirmar que:

Funcionam como os antivírus, onde a eficiência do mesmo na detecção de ameaças está relacionado diretamente com a atualização frequente de suas bases de dados.

Configuram-se automaticamente em uma rede local de computadores.

Um IPS tem a capacidade de reagir a um determinado evento, podendo realizar inclusive contra-ataques;

Devem ser conectados em segmentos de rede ou hosts por onde passe o tráfego que necessite ser avaliado;

Podem ser instalados sozinhos em uma rede de computadores, independente de qualquer outro serviço.

Durante uma investigação de um incidente de segurança, constatou-se que o seguinte código estava embutido em um determinado website:

Considere as afirmações abaixo sobre esse código.

I - Trata-se de ataque no qual se pretende modificar a configuração dos servidores de nomes de um dispositivo.
II - É um ataque que disponibiliza a configuração dos servidores de nomes utilizados pelo website.
III - Trata-se de um ataque do tipo Cross-Site Request Forgery (CSRF).
IV - É um ataque que pretende sobrecarregar o sistema com dados aleatórios para ter acesso a dados da memória de um servidor web.
V - Trata-se de uma requisição que informa ao website qual a configuração de resolução de nomes utilizada pelo usuário.

Quais estão corretas?

A respeito da gestão de segurança da informação, julgue o item subsequente.

A fim de melhorar a interoperabilidade de dados, as informações compartilhadas entre organizações devem manter a mesma classificação e rotulação.

O usuário deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cópias de segurança:

- Que informações realmente importantes precisam estar armazenadas em minhas cópias de segurança?
- Quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem destruídas ou danificadas?
- O que aconteceria se minhas cópias de segurança fossem furtadas?

Baseado nas respostas para as perguntas anteriores, assinale a alternativa que apresenta um cuidado a ser observado por um usuário comprometido com a segurança dos dados.

Cópias de segurança devem conter apenas arquivos confiáveis do usuário, ou seja, que não contenham vírus e nem algum outro tipo de malware. Arquivos do sistema operacional e que façam parte da instalação dos softwares utilitários devem fazer parte das cópias de segurança, pois evitaria que os mesmos precisassem ser reinstalados das mídias fornecidas pelos fabricantes.

A escolha da mídia para a realização da cópia de segurança é muito importante e depende da importância e da vida útil que a cópia deve ter. A utilização de alguns disquetes para armazenar um pequeno volume de dados é perfeitamente viável. Mas um grande volume de dados, de maior importância, que deve perdurar por longos períodos, como os dados de um servidor, devem ser armazenados em mídias mais confiáveis, como os pen drives.

Cópias de segurança devem ser guardadas em um local restrito e com ar condicionado bastante frio, de modo que apenas pessoas autorizadas tenham acesso a este local e a temperatura seja sempre bem baixa.

Cópias de segurança podem ser guardadas em locais diferentes. Um exemplo seria manter uma cópia em empresas especializadas em manter áreas de armazenamento com cópias de segurança de seus clientes. Nestes casos é muito importante considerar a segurança física de suas cópias.

Os dados armazenados em uma cópia de segurança não podem conter informações sigilosas. Neste caso, os dados que contenham informações sigilosas devem ser mantidos no computador do usuário.

Os aplicativos (softwares) utilizados para obter informações de forma indevida e/ou danificar arquivos existentes no computador são definidos como

A assinatura digital permite comprovar a autenticidade e a integridade de uma informação. Baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente poderá decodificá-lo. Na assinatura digital com utilização da criptografia de chaves assimétricas, a codificação é feita sobre

todo o conteúdo da informação em si.

o algoritmo que gerou as chaves.

Segundo a Norma ISO 27002:2005, convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para isso, essa norma prescreve que várias diretrizes sejam consideradas, sendo uma delas

estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, sejam de redes externas, ou de qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.

estabelecer uma política formal de busca e apreensão do software utilizado sem a licença apropriada.

conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio; convém que quaisquer arquivos não aprovados ou com atualização não autorizada sejam formalmente descartados.

auditar, inopinadamente, a existência de códigos maliciosos nos arquivos em mídias eletrônicas, bem como nos arquivos transmitidos através de redes.

verificar, in loco, nos computadores pessoais e nos servidores de correio eletrônico, logo depois da sua instalação, a existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download).

Questões de Concursos

Q21815•
Informática•
Segurança da Informação•
CESGRANRIO•
BACEN•
Analista do Banco Central

Q629111•
Informática•
Segurança da Informação•
ESAF•
CGU•
Analista de Finanças e Controle

Q21815•
Informática•
Segurança da Informação•
CESGRANRIO•
BACEN•
Analista do Banco Central

Q629111•
Informática•
Segurança da Informação•
ESAF•
CGU•
Analista de Finanças e Controle

Q171138•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
Bombeiro Militar DF•
Bombeiro

Q43929•
Informática•
Segurança da Informação•
FCC•
TRF DF•
Técnico Judiciário

Q22873•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
ANTAQ•
Analista Administrativo

Q857353•
Informática•
Segurança da Informação•
FAPEC•
UFMS Assistente em Administração•
2020

Q857123•
Informática•
Segurança da Informação•
Gestão de Concursos•
DMAE MG Provas Técnico em Informática Técnico de Operação•
2020

Q15676•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
MPOG•
Tecnologia da Informação

Q648300•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
Controladoria Geral do Município PB•
Auditor Municipal de Controle Interno•
2018

Q10807•
Informática•
Segurança da Informação•
INSTITUTO CIDADES•
TCM GO•
Auditor de Controle Externo

Q857164•
Informática•
Segurança da Informação•
CONTEMAX•
Câmara de Flores PE Agente Administrativo•
2020

Q37459•
Informática•
Segurança da Informação•
FCC•
TRT PB•
Técnico Judiciário

Q549636•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
ABIN•
Tecnologista Classe

Q10803•
Informática•
Segurança da Informação•
INSTITUTO CIDADES•
TCM GO•
Auditor de Controle Externo

Q52730•
Informática•
Segurança da Informação•
FAURGS•
Banrisul•
Segurança da Tecnologia da Informação•
2018

Q47580•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
TRF 1a•
Analista Judiciário

Q34191•
Informática•
Segurança da Informação•
FCC•
DPE SP•
Oficial de Defensoria Pública

Q553060•
Informática•
Segurança da Informação•
PM RJ•
Polícia Militar RJ•
Soldado

Q43927•
Informática•
Segurança da Informação•
FCC•
TRF DF•
Técnico Judiciário

Q641790•
Informática•
Segurança da Informação•
CESGRANRIO•
Petrobras•
Analista de Sistemas Júnior

Q21815•Informática•Segurança da Informação•CESGRANRIO•BACEN•Analista do Banco Central

Q629111•Informática•Segurança da Informação•ESAF•CGU•Analista de Finanças e Controle

Q21815•Informática•Segurança da Informação•CESGRANRIO•BACEN•Analista do Banco Central

Q629111•Informática•Segurança da Informação•ESAF•CGU•Analista de Finanças e Controle

Q171138•Informática•Segurança da Informação•CESPE CEBRASPE•Bombeiro Militar DF•Bombeiro

Q43929•Informática•Segurança da Informação•FCC•TRF DF•Técnico Judiciário

Q22873•Informática•Segurança da Informação•CESPE CEBRASPE•ANTAQ•Analista Administrativo

Q857353•Informática•Segurança da Informação•FAPEC•UFMS Assistente em Administração•2020

Q857123•Informática•Segurança da Informação•Gestão de Concursos•DMAE MG Provas Técnico em Informática Técnico de Operação•2020

Q15676•Informática•Segurança da Informação•CESPE CEBRASPE•MPOG•Tecnologia da Informação

Q648300•Informática•Segurança da Informação•CESPE CEBRASPE•Controladoria Geral do Município PB•Auditor Municipal de Controle Interno•2018

Q10807•Informática•Segurança da Informação•INSTITUTO CIDADES•TCM GO•Auditor de Controle Externo

Q857164•Informática•Segurança da Informação•CONTEMAX•Câmara de Flores PE Agente Administrativo•2020

Q37459•Informática•Segurança da Informação•FCC•TRT PB•Técnico Judiciário

Q549636•Informática•Segurança da Informação•CESPE CEBRASPE•ABIN•Tecnologista Classe

Q10803•Informática•Segurança da Informação•INSTITUTO CIDADES•TCM GO•Auditor de Controle Externo

Q52730•Informática•Segurança da Informação•FAURGS•Banrisul•Segurança da Tecnologia da Informação•2018

Q47580•Informática•Segurança da Informação•CESPE CEBRASPE•TRF 1a•Analista Judiciário

Q34191•Informática•Segurança da Informação•FCC•DPE SP•Oficial de Defensoria Pública

Q553060•Informática•Segurança da Informação•PM RJ•Polícia Militar RJ•Soldado

Q43927•Informática•Segurança da Informação•FCC•TRF DF•Técnico Judiciário

Q641790•Informática•Segurança da Informação•CESGRANRIO•Petrobras•Analista de Sistemas Júnior

Q21815•
Informática•
Segurança da Informação•
CESGRANRIO•
BACEN•
Analista do Banco Central

Q629111•
Informática•
Segurança da Informação•
ESAF•
CGU•
Analista de Finanças e Controle

Q21815•
Informática•
Segurança da Informação•
CESGRANRIO•
BACEN•
Analista do Banco Central

Q629111•
Informática•
Segurança da Informação•
ESAF•
CGU•
Analista de Finanças e Controle

Q171138•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
Bombeiro Militar DF•
Bombeiro

Q43929•
Informática•
Segurança da Informação•
FCC•
TRF DF•
Técnico Judiciário

Q22873•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
ANTAQ•
Analista Administrativo

Q857353•
Informática•
Segurança da Informação•
FAPEC•
UFMS Assistente em Administração•
2020

Q857123•
Informática•
Segurança da Informação•
Gestão de Concursos•
DMAE MG Provas Técnico em Informática Técnico de Operação•
2020

Q15676•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
MPOG•
Tecnologia da Informação

Q648300•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
Controladoria Geral do Município PB•
Auditor Municipal de Controle Interno•
2018

Q10807•
Informática•
Segurança da Informação•
INSTITUTO CIDADES•
TCM GO•
Auditor de Controle Externo

Q857164•
Informática•
Segurança da Informação•
CONTEMAX•
Câmara de Flores PE Agente Administrativo•
2020

Q37459•
Informática•
Segurança da Informação•
FCC•
TRT PB•
Técnico Judiciário

Q549636•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
ABIN•
Tecnologista Classe

Q10803•
Informática•
Segurança da Informação•
INSTITUTO CIDADES•
TCM GO•
Auditor de Controle Externo

Q52730•
Informática•
Segurança da Informação•
FAURGS•
Banrisul•
Segurança da Tecnologia da Informação•
2018

Q47580•
Informática•
Segurança da Informação•
CESPE CEBRASPE•
TRF 1a•
Analista Judiciário

Q34191•
Informática•
Segurança da Informação•
FCC•
DPE SP•
Oficial de Defensoria Pública

Q553060•
Informática•
Segurança da Informação•
PM RJ•
Polícia Militar RJ•
Soldado

Q43927•
Informática•
Segurança da Informação•
FCC•
TRF DF•
Técnico Judiciário

Q641790•
Informática•
Segurança da Informação•
CESGRANRIO•
Petrobras•
Analista de Sistemas Júnior