selecione os filtros para encontrar suas questões de concursos e clique no botão abaixo para filtrar e resolver.
Julgue os itens seguintes, relacionados a segurança física, segurança
lógica e gestão de risco.
Para que a gestão de riscos de segurança da informação seja viável e eficiente em qualquer tipo de organização, os ativos de informação devem ser analisados com o objetivo de identificar as vulnerabilidades e, a seguir, identificar as ameaças.
Segundo a norma ISO 27001, para se estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), considere:
I. A organização deve definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer.
II. A organização deve definir a abordagem de análise/avaliação de riscos da organização e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco.
III. Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos.
Está correto o que se afirma em
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.
Observe o cenário hipotético abaixo.
I- DANI recebeu um e-mail oferecendo promoções por meio do link http://urlcurta.br/yhdkadkw, que é na verdade um acesso ao site http://malicioso.com.br;
II- DANI, por descuido e sem perceber, acessou o site http://malicioso.com.br, assim abriu uma porta do seu computador para um ATACANTE, o qual passou a “escutar” todo o tráfego de rede daquele computador;
III- DANI acessou http://interbank.com para realizar uma transferência bancária de 100 reais para MIG. A requisição, de uma maneira genérica, será feita da seguinte forma: GET /transfer.do?acct=MIG&amount=100 HTTP/1.1
IV- DANI resolveu transferir mais 50 reais à conta de MIG. A requisição que parte do navegador de DANI tem a seguinte característica: GET /transfer.do?acct=MIG&amount=50 HTTP/1.1
V- O ATACANTE observou as duas requisições realizadas e concluiu que uma transação simples poderia ser feita para sua conta se assumisse o seguinte formato: GET /transfer.do?acct=ATACANTE&amount=1000 HTTP/1.1
VI- O http://interbank.com de DANI manteve a informação de autenticação num cookie, e o cookie não expirou;
VII- O ATACANTE, com as informações necessárias, preparou e encaminhou um e-mail ao DANI com uma requisição maliciosa, por meio do seguinte link: <imgsrc=http://interbank.com/transfer.do?acct=ATACANTE&amount=1000 width=’T height="1" border="0">
VIII- DANI, ao abrir o novo e-mail do ATACANTE, e ao carregar a imagem, sem perceber qualquer aviso, o navegador submeteu a requisição maliciosa ao http://interbank.com sem qualquer indicação visual de que a transferência bancária de 1000 reais fora executada.
O gerenciamento de usuários é uma tarefa bastante comum para os administradores de sistemas operacionais, dado que as contas de usuários delimitam fronteiras entre as pessoas que usam os sistemas e entre os processos que são nele executados, além de fornecer a cada utilizador uma área para armazenar seus arquivos de maneira segura. Tendo como base a administração de contas de usuários, analise as afirmativas abaixo.
I A utilização de grupos de usuários é uma forma de atribuir ou limitar direitos a vários usuários, de uma vez, em um sistema operacional.
II Alguns comandos do Linux, como, por exemplo, useradd, passwd e chmod, podem ser utilizados para automatizar a tarefa de criação de usuários.
III O arquivo /etc/users.conf contém os valores-padrão determinados para a criação de novas contas.
IV Na maioria das grandes organizações, as informações das contas de usuários são armazenadas em servidores de autenticação centralizada.
Dentre as afirmativas, estão corretas
No contexto das ameaças e vulnerabilidades de rede, considere:
I. Cross-site Scripting (XSS) é uma vulnerabilidade em sites web que permite que um indivíduo malicioso execute código Javascript no site alvo no contexto do usuário e, dessa forma, poder roubar credenciais de acesso ou até executar comandos em nome do administrador.
II. Phishing é uma fraude virtual que chega por e-mail com a tentativa de convencer o usuário de que ele precisa preencher um formulário com seus dados ou clicar em um determinado link para baixar um arquivo, que na verdade é um vírus, e o site, se acessado, roubará todos os dados digitados.
III. IP Spoof permite ataques como o envenenamento de cache do DNS. Na maioria das vezes, ele é realizado via UDP, já que o protocolo TCP usa a proteção handshake.
IV. No ataque SYN flooding, o atacante inicia muitas conexões TCP em um curto período de tempo, atacando o three-way handshake e passa a enviar SYNs e não responder aos SYN-ACK, deixando em aberto os estabelecimentos de conexão até ocupar todos os buffers de conexão no servidor.
Está correto o que consta em
Julgue os próximos itens, que se referem à certificação digital.
Um certificado comum autoassinado é, em princípio, menos
seguro que um certificado assinado por outra autoridade
certificadora.
Atualmente existem inúmeras formas pelas quais os malwares (software malicioso) se disseminam e atuam. Por exemplo, o tipo de malware conhecido como Worms é caracterizado
Com relação aos controles a serem implementados em um SGSI,
julgue os itens seguintes.
Acordos de não divulgação que reflitam as necessidades da organização para proteção da informação devem ser revisados sempre que houver vazamento de informação.
O elemento raiz que define o documento XML como uma mensagem SOAP é o
A respeito de criptografia, julgue os itens subsequentes.
A confidencialidade e a integridade de uma comunicação são garantidas com o uso de criptografia tanto simétrica quanto assimétrica. No entanto, para garantir autenticidade e irretratabilidade, é necessário o uso combinado desses dois tipos de criptografia.
LDAP é um protocolo leve para acessar serviços de diretório que roda
I. sobre o protocolo TCP/IP;
II. sobre conexões de transferência de serviços;
III. como uma interface para o X.500.
Está correto o que consta em
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.
O usuário torna a sua chave I disponível para todos os que podem eventualmente enviar-lhe informações criptografadas. Essa chave pode apenas codificar os dados, mas não pode descodificá-los, ou seja, não pode abrir as informações criptografadas, mas é capaz de criptografar um arquivo. No envio da informação criptografada, a chave II é utilizada, e quem recebe o texto cifrado, descodifica-o com a chave III . O algoritmo de criptografia IV rata o texto como se fosse um número muito grande, eleva-o à potência de outro número também enorme e, então, calcula o restante depois de dividido por um terceiro número igualmente gigantesco. Por fim, o número resultante de todo este processo é convertido de novo em texto. Na criptografia V o algoritmo divide os dados em pequenos pedaços chamados de blocos, depois coloca letras em volta, muda a informação presente em cada bloco para números, comprime e expande esses dados e coloca esses números em fórmulas matemáticas que incluem a chave. Então o algoritmo repete todo o processo, até mesmo dúzias de vezes, se necessário.
Completam correta e respectivamente as lacunas I a V:
Segundo a citada norma, convém que a política de segurança seja analisada crítica e periodicamente, à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação.
Uma das técnicas utilizadas no PMBOK para Planejamento da Qualidade do Projeto é
Um dos tipos de criptografia muito usado no processo de transmissão de dados para melhorar os aspectos de segurança faz uso de uma mesma chave para criptografar e descriptografar a informação, sendo denominado de criptografia de chave simétrica. Este recurso tem como vantagem a facilidade de implementação, mas tem como princi- pal problema a
Julgue os itens que se seguem, acerca de máquinas virtuais, intrusão
em sistemas e técnicas de invasão de sistemas.
O ataque mediante a utilização da técnica de cross-site script consiste em explorar falhas de aplicações web para inserir nessas aplicações determinados tipos de códigos que serão executados no lado cliente.
Suas atualizações recentes
Nenhuma notificação.