Questões de Concurso Sobre segurança da informação
Foram encontradas 10.099 questões
A utilização de Assinatura Digital permite verificar a __________ de um documento. O processo de assinatura consiste em executar, sobre o arquivo, um algoritmo de ____________ e, sobre o resultado, aplicar um algoritmo de ____________.
Assinale a alternativa que preenche, correta e respectivamente, as lacunas do texto acima.
As diferentes técnicas e métodos de autenticação podem ser classificados pelo tipo de atributo relativo ao usuário que utilizam. Um método de autenticação que utiliza um cartão magnético com senha é classificado como uma técnica que utiliza somente ____________.
Assinale a alternativa que completa corretamente a lacuna do texto acima.
No que se refere à Segurança da Informação, considere as afirmações abaixo:
I - hping é um gerador e analisador de pacotes TCP/IP muito utilizado para atividades de auditoria e testes de firewall.
II - o ataque de flooding ou enxurrada de pacotes é uma técnica para desestabilizar e derrubar recursos computacionais, podendo acontecer em vários níveis do TCP/IP.
III - Metasploit é um framework para testes de penetração que pode ser utilizado no modo console.
IV - Ollydbg é uma ferramenta capaz de injetar shellcode backdoor em um processo existente.
V - strace é um comando do Metasploit que mostra o caminho percorrido por pacotes de rede para chegarem aos seus destinos.
Quais estão corretas?
No que se refere à Segurança da Informação, considere as afirmações a seguir.
I - O ataque SYN flood provoca uma alteração no protocolo padrão de estabelecimento de comunicação no protocolo TCP, conhecido como three way handshake.
II - O ataque Smurf consiste em modificar o número de sequência que identifica a ordem correta de remontagem do pacote, inserindo espaços vazios. Isso pode provocar instabilidade no sistema-alvo.
III - Um comando para realizar o ataque Smurf em um serviço de SSH é: hping3 172.16.1.1 -p 22 -S --flood --rand-source
IV - Uma proteção, no Linux, para ataques do tipo Syn flood, é: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
V - Cymothoa é um script em Python para gerar uma backdoor PHP criptografada.
Quais estão corretas?
Com relação à norma ABNT NBR ISO/IEC 27.001:2006, considere as afirmações abaixo.
I - A Norma ABNT NBR ISO/IEC 27.001:2006 está alinhada com as normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004.
II - Os requisitos definidos na Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de seu tipo, tamanho e natureza.
III - Qualquer exclusão de controles considerados necessários para satisfazer os critérios de aceitação de riscos precisa ser justificada.
Quais estão corretas?
Conforme as diretrizes para a implementação do Perímetro de Segurança Física e do Ambiente, é apropriado que:
I - os perímetros de segurança sejam claramente definidos.
II - sejam construídas barreiras físicas, onde aplicável, para impedir o acesso físico não autorizado e a contaminação do ambiente.
III - as instalações de processamento da informação gerenciadas pela organização fiquem fisicamente juntas daquelas que são gerenciadas por terceiros.
Quais estão corretas?
k1 – Chave privada da entidade E1 k2 – Chave pública da entidade E1 k3 – Chave privada da entidade E2 k4 – Chave pública da entidade E2
A função C(Kn,D) representa a operação de criptografia de chave assimétrica utilizando a chave Kn. A entidade E1 possui na sua base de dados as chaves k1, k2 e k4. A entidade E2 possui na sua base de dados as chaves k2, k3 e k4.
A operação que deve ser aplicada a uma mensagem M de forma a garantir a privacidade e autenticidade de uma mensagem a ser enviada da entidade 1 para a entidade 2 é
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Em ataques do tipo man-in-the-middle, embora o atacante
possa interceptar a conexão do atacado e, dessa forma,
produzir uma falha de injeção (conhecida como project
mogul), o protocolo de change cipher spec, por meio do
método de compressão mogul cipher, determina o algoritmo de
criptografia e o algoritmo de MAC a ser utilizados, além de
definir o tamanho de hash.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Situação hipotética: Com a finalidade de realizar testes de
segurança, foi desenvolvido um sistema de inferência fuzzy
com a definição das propriedades das entradas para observar
a saída desse sistema, a fim de que fossem indicados erros
(bugs) e arquivos malformados que pudessem causar falhas no
aplicativo. Assertiva: Nessa situação, uma boa prática será
manter os testes referidos, para que seja possível reproduzir o
erro e verificar se as regressões de código não foram
reintroduzidas no erro.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Mesmo em sistemas com componentes e bibliotecas mantidos
atualizados, porém não versionados, pode ocorrer falhas do
tipo utilização de componentes vulneráveis conhecidos, em que
o atacante identifica um componente vulnerável de tais
bibliotecas, personaliza o exploit por meio de varredura ou
análise manual, conforme necessário, e executa o ataque.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
No caso em que contas-padrão não são alteradas em razão de
o console de administração do servidor de aplicação ter sido
instalado automaticamente e não ter sido removido,
recomenda-se utilizar um processo de hardening recorrente ou
desenvolver arquitetura de aplicação que separe os
componentes.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Situação hipotética: Ao realizar uma sessão em um navegador, um usuário enviou, para o sítio de um atacante, a seguinte requisição HTTP forjada, cujo parâmetro AB foi alterado com a diretiva document.location apontando para esse sítio, tal que o ID da sessão do usuário foi enviado para o atacante, que, assim, teve condições de acessar a sessão atual em questão.
(String)page+=”input name = ‘senha’ type = ‘TEXT’ value = ‘”+request.getParameter(“AB”)+”’>”;
Assertiva: A situação apresentada configura uma falha
de XSS.
Acerca do desenvolvimento seguro de software, julgue o item seguinte.
Aplicações web que não protegem informações sensíveis, tais
como dados de cartões de crédito, recorrem à criptografia no
armazenamento ou no trânsito dos dados e a precauções
especiais quando as informações trafegam pelo navegador.