Questões de Concurso Sobre segurança de sistemas de informação em segurança da informação

Acerca do desenvolvimento seguro de software, julgue o item seguinte.

A fim de mitigar riscos à segurança computacional, as infraestruturas críticas devem ser protegidas por meio de um processo de desenvolvimento em que a arquitetura, o design e a implementação do software resistam a ataques, para que se protejam o próprio software e as informações por ele processadas.

Acerca do desenvolvimento seguro de software, julgue o item seguinte.

São exemplos de falhas de XSS (cross-site scripting) a injeção de SQL e o LDAP (lightweight directory access protocol), criado como alternativa ao DAP.

A respeito de modos de operação de cifra, julgue o item que se segue.

Uma entrada de vídeo de uma câmera em um computador pode ser uma fonte de entropia.

A respeito de modos de operação de cifra, julgue o item que se segue.

A ação do usuário em mexer o mouse aleatoriamente em um computador é incapaz de gerar entropia.

Acerca de criptografia e segurança em computadores, julgue o próximo item.

Um dos objetivos da segurança em computadores é a manutenção da privacidade, que garante que as ações de uma entidade sejam associadas exclusivamente a ela.

Em relação a sistemas ICS/SCADA, julgue o item a seguir.

Em sistemas SCADA, o uso de comunicação por meio de satélite tem aumentado como resposta a fatores de segurança.

Em relação a sistemas ICS/SCADA, julgue o item a seguir.

Na configuração típica de um sistema ICS/SCADA, a utilização de um CLP exige a sua ligação a uma unidade terminal remota.

Em relação a sistemas ICS/SCADA, julgue o item a seguir.

O emprego de protocolos é um fator positivo em relação à segurança de sistemas SCADA, já que, embora proprietários, eles são de conhecimento público e, portanto, amplamente avaliados quanto à segurança.

Considerando o acesso a um sítio de uma empresa, desenvolvido em arquitetura Web/PHP, julgue o item a seguir, a respeito de segurança de aplicações web.

Situação hipotética: Um empregado da empresa que deveria ter acesso apenas a seu contracheque, ao inspecionar o código, observou que é possível alterar os seus dados GET de busca e acessar o contracheque de outro empregado, do qual conhece o user, que é o filtro do sistema. Assertiva: Essa situação ilustra um problema de cross-site scripting (XSS), que pode ser resolvido alterando-se o método do formulário para post.

O item a seguir apresenta uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.

Um arquivo de configuração é acessado por uma classe Java que guarda, em um objeto em memória, o acesso ao dataSource do banco de dados do servidor. Quando compilado, esse arquivo é criptografado. Nesse caso, para evitar alteração ou modificação do arquivo por terceiros, uma solução seria guardar o arquivo no repositório GIT, de forma privada.

Acerca de testes de penetração, julgue o item seguinte.

Na situação apresentada na figura a seguir, de acordo com o OSSTMM (The Open Source Security Testing Methodology Manual), seria correto classificar o teste de penetração como um teste do tipo tandem, mas não como um teste double blind, haja vista que, na técnica tandem, o alvo não recebe notificação prévia referente ao alcance da auditoria, aos canais testados e aos vetores de teste.

Acerca de testes de penetração, julgue o item seguinte.

Situação hipotética: O acesso a uma aplicação web com permissão de administrador é realizado por meio do valor informado em uma variável, conforme a seguir.

http://www.site.com.br/aplicacacao?profile=as cs23f8g7por04

Assertiva: Nesse caso, de acordo com a OWASP (Open Web Application Security Project), o teste de penetração black-box automatizado é efetivo para encontrar uma vulnerabilidade, dados o valor fixo para a variável e a forma de passagem: pedido via GET.

Tendo como referência a situação hipotética apresentada, julgue o item que se segue.

O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.

A respeito de inteligência de ameaças em fontes abertas (OSINT), julgue o item a seguir.

Informações obtidas por meio de OSINT são menos confiáveis e menos precisas que aquelas obtidas usando-se disciplinas de inteligência tradicionais.

A respeito de inteligência de ameaças em fontes abertas (OSINT), julgue o item a seguir.

OSINT é potencialmente uma fonte de informação rápida e economicamente viável, e a informação e a inteligência derivadas de OSINT podem ser potencialmente compartilhadas.

Julgue o item seguinte, a respeito da análise de artefatos maliciosos.

Executar com sucesso o disassembly não é um problema simples de resolver haja vista que sequências de código executável podem ter várias representações — algumas que podem ser inválidas — e, ao final, pode-se causar erros na funcionalidade real do programa.

Acerca dos conceitos de organização e de gerenciamento de arquivos, dos procedimentos e dos aplicativos para segurança da informação, julgue o item subsequente.

Treinamento e conscientização dos empregados a respeito de segurança da informação são mecanismos preventivos de segurança que podem ser instituídos nas organizações, uma vez que as pessoas são consideradas o elo mais fraco da cadeia de segurança.

A respeito da gestão de segurança da informação, julgue o item subsequente.

Em um acesso a sistemas e aplicações mediante log-on, recomenda-se que, caso ocorra uma condição de erro, o sistema não informe qual parte do dado de entrada está correta ou incorreta.