Questões de Segurança da Informação para Concurso
Foram encontradas 10.099 questões
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.
Texto 4A3-I
Em um espaço público ABC, um hacker instalou um ponto de acesso gratuito à Internet, do tipo wi-fi sem senha, e deu à rede o identificador ABCfree. O hacker configurou essa rede de modo que usuários que a ela se conectassem e tentassem acessar sítios de mídias sociais fossem direcionados para páginas clonadas, nas quais as credencias de acesso dos usuários eram solicitadas. De posse dessas credenciais, um programa criado pelo hacker estabelecia conexões reais com as mídias sociais e interceptava transparentemente todas as comunicações dos usuários nas plataformas, acessando indevidamente todo o seu conteúdo.
Com o objetivo de evitar que um usuário seja vítima de um ataque como o descrito no texto 4A3-I, foram propostas as seguintes ações.
I Conectar-se a redes wi-fi públicas somente quando exigirem senhas para acesso.
II Certificar-se de que as comunicações na Internet sejam criptografadas por meio de protocolos como TLS.
III Usar serviços de VPN para aumentar a segurança de privacidade das comunicações na Internet.
IV Observar e considerar advertências de programas navegadores sobre sítios potencialmente inseguros.
São ações preventivas adequadas para o referido objetivo apenas as
apresentadas nos itens
Texto 4A3-I
Em um espaço público ABC, um hacker instalou um ponto de acesso gratuito à Internet, do tipo wi-fi sem senha, e deu à rede o identificador ABCfree. O hacker configurou essa rede de modo que usuários que a ela se conectassem e tentassem acessar sítios de mídias sociais fossem direcionados para páginas clonadas, nas quais as credencias de acesso dos usuários eram solicitadas. De posse dessas credenciais, um programa criado pelo hacker estabelecia conexões reais com as mídias sociais e interceptava transparentemente todas as comunicações dos usuários nas plataformas, acessando indevidamente todo o seu conteúdo.
A respeito das políticas de segurança da informação nas organizações, julgue os itens a seguir.
I Essas políticas provêm fundamentos conceituais para a construção de uma infraestrutura de segurança da informação nas organizações.
II Devem-se evitar, nas políticas de segurança, definições de papéis internos à organização ou de diretrizes de acessos a recursos, em razão do nível de detalhamento exigido nessas definições.
III Uma política de segurança da informação deve identificar realisticamente os recursos informacionais, as atividades e operações críticas da organização, além de apoiar a gestão da segurança da informação.
IV A definição da política de segurança da informação deve contemplar requisitos oriundos de ameaças identificadas para a segurança da informação da organização, atuais e futuras.
Estão certos apenas os itens
Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, julgue os itens a seguir.
I Honeypots são sistemas planejados para atrair um atacante para uma área diferente, longe dos sistemas críticos.
II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão.
III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada.
Assinale a opção correta.
Na tecnologia da informação, o uso de recursos criptográficos é cada vez mais essencial para a manutenção da segurança da informação, que, conforme a forma de criptografia, pode fornecer
I integridade.
II autenticidade.
III confidencialidade.
Considerando o que os algoritmos de chaves públicas podem prover, assinale a opção correta.
A respeito dos conceitos que envolvem a segurança da informação, analise as afirmativas a seguir:
I. Os mecanismos de segurança podem ser lógicos ou físicos.
II. A perda de confidencialidade, integridade e disponibilidade são exemplos de eventos que comprometem a segurança da informação.
III. Assinatura Digital, Encriptação e Firewall são exemplos de mecanismos lógicos de segurança.
Assinale
Entre os tipos de criptografia, uma utiliza um par de chaves, diferentes entre si, que se relacionam matematicamente por meio de um algoritmo. Uma das chaves, denominada chave privada, é mantida em segredo, sendo de conhecimento somente de seu titular, enquanto a outra, denominada chave pública, pode ser de conhecimento público, livremente divulgada. Em consequência, por meio desse tipo de criptografia, o texto cifrado por uma chave só pode ser decifrado pela outra do mesmo par. É esse o tipo de criptografia, utilizada na assinatura de documentos eletrônicos por meio de certificados digitais, e que gera maior segurança às informações veiculadas na Internet.
O tipo descrito é denominado criptografia:
Conheça nossos planos