A Open Web Application Security Project (OWASP) mantém um documento que lista os 10 ataques a segurança de aplicações web mais críticos. Dentre esses ataques descritos na versão mais recente do documento estão:
I. Injection Flaws.
II. Cross-site Scripting (XSS).
III. Malicious File Execution.
IV. Cross-site Request Forgery (CSRF).
Está correto o que se afirma em
O Sistema de Detecção de Intrusão - IDS é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente, e sua localização é um dos pontos a serem definidos com cuidado.
Dentre os tipos primários de IDS, um faz o monitoramento do sistema, com base em informações de arquivos de logs ou de agentes de auditoria, inclusive realizando detecção de port scanning. Outro tipo monitora o tráfego do segmento de rede, geralmente com a interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes.
Esses tipos são conhecidos como:
Qual opção apresenta um conjunto de métodos que caracteriza uma autenticação forte?
A criptografia moderna tem três tipos de ferramentas básicas: algoritmos criptográficos simétricos e assimétricos e as funções de resumo de mensagem. Acerca dos principais algoritmos para esses tipos de ferramenta criptográfica, julgue os itens subseqüentes.
MD5 e SHA-1 são funções de resumo de mensagem (funções hash). Esses algoritmos têm a finalidade de garantir a integridade e a autenticidade para mensagens de tamanho arbitrário.
Sobre segurança da informação, considere:
I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e pelo dano potencial à empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.
Está correto o que se afirma APENAS em
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.
Analise as seguintes afirmações relativas a um firewall:
I. Um firewall é um equipamento, ou conjunto de equipamentos, cujo objetivo é controlar o tráfego entre redes.
II. Um firewall, quando configurado corretamente, deve impedir invasões que partam de máquinas na rede em que se encontra a máquina alvo da invasão.
III. Em um firewall, os filtros definem valores que os cabeçalhos dos pacotes devem apresentar de forma que possam ser filtrados em função de critérios como tipo de protocolo e endereço e porta de origem e destino.
IV. De uma forma geral, um firewall não pode ser instalado em um roteador porque as características de seus filtros impedem o correto roteamento dos pacotes, o que transformaria o roteador em um simples Hub.
Estão corretos os itens:
No que diz respeito à segurança na internet, um tipo de fraude foi concebido para furtar dados pessoais valiosos, como números de cartão de crédito, palavras-passe, dados de contas ou outras informações. Pessoas que burlam podem enviar milhões de mensagens fraudulentas de correio eletrônico que parecem vir de Web sites confiáveis, como o seu banco ou uma empresa de cartão de crédito, e pedem o fornecimento de informações pessoais. Essa fraude é conhecida por:
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos itens.
Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operações e das comunicações, uma organização deve garantir que software em desenvolvimento e software em produção partilhem de sistemas e processadores em um mesmo domínio ou diretório, de modo a garantir que os testes sejam compatíveis com os resultados esperados no mundo real.
No que se refere à detecção de intrusão, analise:
I. Envolve a detecção de padrões incomuns de atividade ou padrões de atividade sabidamente relacionados a intrusões.
II. Podem ser utilizados sistemas de armadilha (honeypots), planejados para atrair um atacante em potencial para longe dos sistemas críticos.
III. É baseada na suposição de que o comportamento do intruso é muito semelhante ao comportamento de um usuário legítimo, de maneira que não podem ser quantificadas.
IV. Não permite a coleta de informações relevantes e/ou seguras sobre as técnicas de intrusão.
Está correto o que consta em
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos itens.
Uma das recomendações adequadas para a gestão de ativos é que o requisito de rotulação e tratamento seguro da classificação da informação é fundamental para que sejam definidos os procedimentos de compartilhamento da informação, seja ela interna ou externa à organização.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.
Suas atualizações recentes
Nenhuma notificação.