Prova de Informática - Engenharia de Software - ABIN (CESPE/CEBRASPE)

Acerca de inteligência cibernética, julgue os itens a seguir. A utilização da Internet para o recrutamento de jovens pelos grupos radicais que praticam atos terroristas é considerada como terrorismo cibernético.

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Os fuzzers black-box de aplicações web, por questão de segurança, não permitem requisições que mostrem os valores de resposta na URL, o que impede a avaliação das respostas retornadas pelo servidor por meio de expressões regulares ou de funções hash, sem o conhecimento prévio dos valores da resposta.

Em relação a sistemas ICS/SCADA, julgue os itens a seguir. Na configuração típica de um sistema ICS/SCADA, a utilização de um CLP exige a sua ligação a uma unidade terminal remota.

Acerca de testes de penetração, julgue os itens seguintes. Tcpdump é um aplicativo que recupera o conteúdo dos pacotes em uma interface de rede e permite, entre outras ações, o armazenamento dos dados do pacote em arquivo para análise posterior e a interrupção da comunicação entre emissor e receptor por meio de envio de kill (-k).

Devido ao baixo custo, o fuzzing é bastante utilizado pelas empresas de segurança e hackers, para testar aplicações web e listar suas vulnerabilidades. A esse respeito, julgue os itens a seguir. Na técnica conhecida como fuzzy white-box, a equipe de teste possui acesso ao código fonte da aplicação no servidor local e consegue executar os testes fuzzing por meio de algoritmos com casos de teste gerando resultado mais rápido e preciso para o gestor.

Julgue os itens seguintes, a respeito de controlador lógico programável (CLP). Para que o programa monitor de um CLP tenha funcionamento correto e seguro, ele exige memória RAM exclusiva.

Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue os itens a seguir, a respeito de segurança de aplicações web. Situação hipotética: Um empregado da empresa que deveria ter acesso apenas a seu contracheque, ao inspecionar o código, observou que é possível alterar os seus dados GET de busca e acessar o contracheque de outro empregado, do qual conhece o user, que é o filtro do sistema. Assertiva: Essa situação ilustra um problema de cross-site scripting (XSS), que pode ser resolvido alterando-se o método do formulário para post.

Julgue os itens seguintes, a respeito de controlador lógico programável (CLP). Na função NA (normalmente aberto) da linguagem Ladder, o estado da saída digital do CLP será exatamente o mesmo observado na entrada digital.

Acerca de testes de penetração, julgue os itens seguintes. Na análise de vulnerabilidades, uma das fases da execução do teste de penetração de acordo com o PTES (Penetration Testing Execution Standard), a varredura de porta é uma técnica que ajuda a obter uma visão geral básica do que pode estar disponível na rede de destino ou no host; na exploração, outra fase da execução de tal teste, o fuzzing visa recriar um protocolo ou aplicativo e enviar dados no aplicativo com o intuito de identificar uma vulnerabilidade.

Em relação a sistemas ICS/SCADA, julgue os itens a seguir. Em sistemas SCADA, o uso de comunicação por meio de satélite tem aumentado como resposta a fatores de segurança.

Julgue os itens seguintes, a respeito de controlador lógico programável (CLP). O CLP com entradas analógicas é normalmente utilizado em processos que exijam controle de alta precisão.

Acerca de inteligência cibernética, julgue os itens a seguir. O aplicativo TOR permite o acesso a sítios na deep web, isto é, sítios que não possuem conteúdo disponibilizado em mecanismos de busca.

Julgue os itens a seguir, relativos a injeção de código, engenharia reversa e exfiltração (ou desinfiltração) de dados. Situação hipotética: Na coleta de informações de um sistema atacado pelo malware Y, observou-se que as chamadas às APIs do Windows estavam sendo redirecionadas para o software de monitoramento antes que o código da API fosse efetivamente chamado, criando informações sobre a sequência das operações do sistema executadas pela amostra de malware. Assertiva: Essa situação descreve um ataque do tipo API hooking, cuja característica é a garantia de que o comportamento do nível do sistema (que, em algum momento no tempo, deve usar uma chamada de API) não é ignorado, a menos que a chamada da API correspondente não seja conectada.

Com o objetivo de direcionar testes de penetração a ser executados em uma organização, um analista deve considerar os seguintes requisitos.

I Devem ser realizados ataques sem que o testador tenha conhecimento prévio acerca da infraestrutura e(ou) aplicação.

II Devem ser enviadas ao testador informações parciais e(ou) limitadas sobre os detalhes internos do programa de um sistema, simulando, por exemplo, um ataque de hacker externo.

Tendo como referência a situação hipotética apresentada, julgue os itens que se seguem.

O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.