As informações apresentadas são suficientes para se concluir...

Próximas questões
Com base no mesmo assunto
Q65160
Segurança da Informação Ataques e ameaças , Segurança na Internet ,
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: TCU Prova: CESPE - 2010 - TCU - Auditor Federal de Controle Externo - Tecnologia da Informação - Parte II |
Q65160 Segurança da Informação
Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

As informações apresentadas são suficientes para se concluir corretamente que esse sistema é robusto em caso de ataques de negação de serviços provenientes da Internet, pois só serão admitidas sessões autenticadas entre navegadores e o servidor de aplicação. Além disso, apenas votantes previamente cadastrados poderão interagir com o sistema.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta para a questão é Errado (E).

Vamos entender o porquê dessa resposta e esclarecer os pontos principais da questão:

A questão aborda um sistema de votação pela Internet, destacando alguns requisitos de segurança importantes, como a autenticação dos votantes através de certificados digitais e o uso de PIN para proteger o acesso à chave privada.

Primeiramente, é importante entender o conceito de um ataque de negação de serviço (DoS). Em um ataque DoS, o objetivo é tornar um sistema ou serviço indisponível para os usuários legítimos, geralmente sobrecarregando o servidor com uma quantidade massiva de solicitações.

A afirmação da questão sugere que, porque as sessões autenticadas entre navegadores e o servidor de aplicação são necessárias e apenas votantes previamente cadastrados podem interagir com o sistema, o sistema estaria protegido contra ataques DoS. No entanto, isso é uma suposição incorreta por várias razões:

1. Sessões Autenticadas: Embora apenas sessões autenticadas sejam permitidas, um atacante pode tentar iniciar uma grande quantidade de tentativas de autenticação falsas para sobrecarregar o servidor. Mesmo que essas tentativas sejam rejeitadas, o processamento dessas requisições pode consumir recursos significativos do servidor, prejudicando o desempenho ou até mesmo derrubando o serviço.

2. Pré-Cadastro dos Votantes: O fato de apenas votantes previamente cadastrados poderem interagir com o sistema não impede que um atacante envie solicitações em massa. O ataque pode ocorrer antes mesmo de a autenticação ser validada, na camada de rede, esgotando a capacidade de resposta do servidor.

Portanto, esses mecanismos de segurança mencionados na questão (autenticação com certificado digital e pré-cadastro de votantes) são importantes, mas não são suficientes para proteger contra ataques de negação de serviço. Medidas adicionais, como firewalls, sistemas de detecção de intrusão (IDS) e técnicas de mitigação de DoS, são necessárias para garantir a robustez contra esse tipo de ataque.

Por esses motivos, a afirmação de que o sistema é robusto contra ataques de negação de serviço é incorreta. Assim, a alternativa correta para a questão é Errado (E).

Espero que essa explicação tenha ajudado a esclarecer o tema! Se tiver mais dúvidas, estarei à disposição para ajudar.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A arquitetura proposta não evita em momento algum que um atacante envie várias requisições válidas para o sistema sobrecarregando a rede.

Para evitar um ataque deste tipo seria necessário um IPS que detectaria o ataque e agiria bloqueando a origem do mesmo.

A questão aborda aspectos de segurança importantes para a garantia de segurança no processo de votação. Porém, podem ser encontradas falhas em todos os parágrafos descritos. 
Adicinalmente, o texto é omisso no que tange a aspectos de infraestrutura (o objeto da questão) e, sem que se aborde a arquitetura que receberá as solicitações de sessão (ex: balanceamento de carga, restrição à quantidade de sessões simultâneas, rol de endereços passíveis de estabelecer comunicação, etc.), não é possível avaliar sobre quão robusto a ataques DoS ele é.
Questão incorreta, portanto.

GABARITO: ERRADO.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas