Questões de Concurso Público UFRN 2019 para Analista de Tecnologia da Informação
Foram encontradas 50 questões
A Segurança Computacional possui uma terminologia própria. Uma padronização na utilização dessa terminologia garante o correto entendimento entre os diferentes agentes envolvidos. Em relação a isso, considere as seguintes afirmações sobre a Segurança Computacional.
I A segurança física visa providenciar mecanismos para restringir o acesso às áreas críticas da organização a fim de garantir a integridade e autenticidade dos dados.
II Uma ameaça pode ser definida como algum evento que pode ocorrer e acarretar algum perigo a algum ativo da rede. As ameaças podem ser intencionais ou não-intencionais.
III São ameaças mais comuns às redes de computadores: o acesso não-autorizado, o reconhecimento (ex: PortScan) e a negação de serviço (ex: DoS ou DDoS).
IV O “Tripé da Segurança” é formado de Pessoas, Processos e Políticas de Segurança. De nada adianta uma Política de Segurança se Pessoas e Processos não forem considerados.
Em relação à Segurança Computacional, estão corretas as afirmativas
O iptables é conhecido como o aplicativo de firewall Linux padrão. Na verdade, o iptables é apenas uma ferramenta que controla o módulo netfilter do Linux, permitindo a filtragem de pacotes. A operação do iptables é baseada em regras que são expressas em um conjunto de comandos. No departamento de TI da Security10, João terá que revisar o conjunto de regas do script atual de firewall iptables utilizado na empresa. Analisando as 2.954 linhas do arquivo de script, João se deparou com a seguinte REGRA-Y, definida a partir da sequência de comandos abaixo.
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
$IPTABLES -N REGRA-Y
$IPTABLES -A INPUT -i $WAN -p tcp --syn -j REGRA-Y
$IPTABLES -A REGRA-Y -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A REGRA-Y -j DROP
A REGRA-Y definida permite impedir o ataque de
Considere que o departamento de TI da empresa Security10 está analisando a possibilidade de utilizar o IPSec para aumentar a segurança da rede. No entanto, sua equipe ainda tem algumas dúvidas sobre o funcionamento do IPSec, no que diz respeito aos dois tipos de serviços oferecidos. Eles leram que um dos serviços protege e verifica a integridade dos dados, permitindo certificar que o dado não foi alterado durante o seu transporte. Neste tipo de serviço, o campo protocolo IP do datagrama é definido com o valor 50. Já o outro serviço encripta os dados e garante a confidencialidade destes durante o seu transporte, tendo o campo protocolo IP do datagrama definido com o valor 51.
Os tipos de serviço do IPSec retratados na circunstância acima são
O chefe do departamento de TI da Security10 enviou para João, por e-mail, o programa simples em linguagem C, mostrado abaixo, com intuito de aferir os conhecimentos do novo contratado sobre segurança de software.
L1. void LerParametros (char *arg);
L2. void main (int argc, char *argv[]) {
L3. if (arg > 1){
L4. printf ("Parametros informados: %s\n", argv[1]);
L5. LerParametros (argv[1]);
L6. }
L7. }
L8. void LerParametros (char *arg) {
L9. char buffer[10];
L10. strcpy (buffer, arg);
L11. printf (buffer);
L12. }
Junto ao código, estava a mensagem: “João, por favor, verifique esse código. Sei que estamos fazendo algo errado e, com isso, expondo uma vulnerabilidade de segurança comum em programação, mas não consigo perceber qual. Falamos mais sobre isso na segunda”. João, ao analisar o código enviado, concluiu que esse apresenta como vulnerabilidade
Em Segurança Web, é bastante comum confundir o ataque de XSS (Cross-site Scripting) com o ataque de CSRF (Cross-site Request Forgery).
A diferença entre esses ataques está na
O departamento de TI da Security10 está envolvido no desenvolvimento de uma aplicação Web, mas está com receio de lançá-la em produção sem antes efetuar alguns testes de segurança. Como João acabou de ser admitido para a vaga em segurança, coube a ele realizar essa tarefa. Seu chefe de equipe sabe que, para a realização deste tipo de teste, é comum a utilização de plataformas que incluem recursos como proxy, scanner de vulnerabilidades e rastreamento de mensagens e conteúdo e, portanto, disponibilizou o seu próprio computador para que João realize os testes.
A ferramenta adequada para a realização dos testes requisitados é
Considere o trecho abaixo
A Cartilha de Segurança para Internet da CERT.br é uma renomada fonte de informação sobre segurança da informação. Em uma de suas versões, entre outros conceitos, traz as definições de diferentes tipos de códigos maliciosos. Segundo a cartilha, há um tipo de código malicioso que torna inacessível os dados armazenados, geralmente usando criptografia, e exige pagamento de resgate para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. SimpleLocker e WannaCry são exemplos conhecidos desse tipo de código malicioso
O trecho define claramente um
O protocolo SSL (Secure Sockets Layer) é muito útil na proteção do canal de comunicação, sendo bastante utilizado para fornecer uma camada adicional de segurança às aplicações web. Sobre as características do SSL, analise as afirmativas abaixo.
I O SSL opera entre as camadas de Transporte e Aplicação, segundo o modelo TCP/IP.
II TLS (Transport Layer Security) é uma especificação de outro padrão para suportar o SSL em redes TCP/IP e é definido na RFC 5246.
III O protocolo SSL fornece serviços básicos de confidencialidade e integridade a entidades de aplicação. É o caso do HTTP (Hypertext Transfer Protocol) que utiliza o SSL para fornecer navegação segura na Web, sendo então referenciado como HTTPS.
IV Por padrão, para o HTTPS é utilizada a porta 8080.
Em relação ao SSL, estão corretas as afirmativas
O servidor Web da Security10 sofreu um ataque distribuído de negação de serviço, também conhecido como DDoS (Distributed Denial of Service), onde um computador mestre denominado master pode ter sob seu comando até milhares de computadores escravos ou zombies.
A rede formada pelo master e seus zombies, criada a fim de organizar o ataque de DDoS, é denominada
Uma boa política de segurança deve cobrir diferentes aspectos da organização, orientando sobre a necessidade de implementação de diferentes níveis de controle. Sobre alguns desses controles, analise as afirmativas abaixo.
I Controles físicos referem-se à restrição de acesso indevido de pessoas a áreas críticas da empresa (ex: sala de servidores) e restrições de uso de equipamentos ou sistemas por funcionários mal treinados.
II Controles lógicos referem-se a qualquer tipo de aplicação ou equipamento que usa da tecnologia para impedir que pessoas acessem documentos, dados ou qualquer tipo de informação sem a devida autorização.
III Controles pessoais referem-se ao monitoramento de atividade digital dos funcionários e à cobrança de assiduidade na avaliação do funcionário.
IV Controles organizacionais referem-se ao acompanhamento dos fatores de risco de TI identificados na organização.
Em relação aos controles que devem fazer parte da política de segurança, estão corretas as
afirmativas
Conheça nossos planos