Questões de Concurso Sobre segurança da informação

No que se refere a algoritmos e protocolos de segurança em redes wireless, julgue o item que se segue.

O padrão WPA2 não tem seu uso restrito ao modo de funcionamento para redes sem fio com padrões 802.11b.

Acerca da ação de softwares maliciosos, julgue o item subsequente.

A atuação de um adware ocorre de maneira que o usuário não esteja ciente de que seu computador está sendo monitorado e de que suas informações estão sendo enviadas a um servidor de terceiros.

Acerca da ação de softwares maliciosos, julgue o item subsequente.

Um rootkit é uma ferramenta que manipula recursos do sistema operacional para manter suas atividades indetectáveis por mecanismos tradicionais, podendo, ainda, operar no nível de kernel do sistema operacional.

No que diz respeito à segurança em redes, julgue o próximo item.

Um ataque SQL Injection possibilita o envio de comandos SQL por meio de campos de entrada de aplicações web.

No que diz respeito à segurança em redes, julgue o próximo item.

Para bloquear um ataque de XSS (cross-site script) a uma aplicação web, é suficiente desativar o suporte a XML no navegador do usuário.

Acerca da análise de malwares executáveis em ambiente Windows, julgue o item a seguir.

Informações a respeito das funções que um malware executa podem ser obtidas pela extração de strings desse malware.

Acerca da análise de malwares executáveis em ambiente Windows, julgue o item a seguir.

Pela técnica de engenharia reversa, é possível obter o código-fonte de um malware e o nome real de suas funções, desde que utilizado um leitor hexadecimal.

Acerca da análise de malwares executáveis em ambiente Windows, julgue o item a seguir.

Por meio da análise estática, é possível descrever o comportamento de um malware como se ele estivesse sendo executado em tempo real.

Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da informação. Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização deve estar disponível, como informação documentada, exclusivamente para a alta gerência.

Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item que se segue.

Os objetivos da continuidade de negócios devem ser monitorados e, quando necessário, atualizados.

Com base na NBR ISO 22301:2013, que dispõe requisitos para a gestão de continuidade de negócios, julgue o item que se segue.

O controle dos processos terceirizados é opcional, motivo pelo qual as organizações podem avaliar tais processos apenas quando considerarem isso necessário.

Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue o item subsecutivo.

A gestão de riscos é uma atividade autônoma e independente de outros processos da organização.

Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue o item subsecutivo.

São consideradas as circunstâncias e as necessidades da organização para se determinar se a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas de análise.

À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de segurança da informação (GRSI), julgue o item a seguir.

O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco.

À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de segurança da informação (GRSI), julgue o item a seguir.

Durante o processo de GRSI, é importante que os riscos, bem como a forma com que se pretende tratá-los, sejam comunicados ao pessoal das áreas operacionais e aos devidos gestores.

Julgue o seguinte item, relativo à segurança de aplicativos web.

Limitar o tempo de vida dos cookies de uma sessão e implementar mecanismos de desafio-resposta, como o captcha, são contramedidas para ataques de CSRF (cross-site request forgery).

Julgue o seguinte item, relativo à segurança de aplicativos web.

A técnica de fuzzing do OWASP ZAP fornece entradas não válidas para qualquer tipo de mecanismo de entrada. 

A propósito de ataques a redes e serviços, julgue o próximo item.

Em ataques APT (Advanced Persistent Threat), são aplicadas técnicas de engenharia social para que se invadam, de forma discreta, os sistemas organizacionais.

A propósito de ataques a redes e serviços, julgue o próximo item.

Ataque de dia zero é um tipo de ataque de software projetado para ativar e realizar uma ação destrutiva em hora ou data específica.

A propósito de ataques a redes e serviços, julgue o próximo item.

Constituem estratégias para evitar ataques de XSS (cross-site scripting): a utilização da flag HTTPOnly nos cookies, pela qual se evita que estes sejam manipulados por JavaScript; e a ativação da flag Secure, que garante que o tráfego seja feito apenas por HTTPS.