O uso de PIN assegura que não ocorrerão ataques de personifi...

Próximas questões
Com base no mesmo assunto
Q65161
Segurança da Informação Ataques e ameaças , Autenticação ,
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: TCU Prova: CESPE - 2010 - TCU - Auditor Federal de Controle Externo - Tecnologia da Informação - Parte II |
Q65161 Segurança da Informação
Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

O uso de PIN assegura que não ocorrerão ataques de personificação, isto é, um indivíduo votando por outro.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é E - errado.

Vamos entender por que essa alternativa está correta e os detalhes da questão.

O enunciado da questão descreve um sistema de votação pela Internet com várias medidas de segurança, incluindo o uso de certificados digitais e autenticação via PIN. No entanto, a afirmação proposta para julgamento é que o uso de PIN assegura que não ocorrerão ataques de personificação (alguém votando por outro).

1. Entendendo o Uso do PIN

O PIN (Personal Identification Number) é um meio de autenticação que adiciona uma camada de segurança ao processo. No entanto, ele não é infalível. A segurança do PIN depende de vários fatores, incluindo a sua complexidade e a maneira como ele é inserido no sistema.

2. Vulnerabilidades no Uso de PIN

Entrada do PIN pelo Teclado: O enunciado menciona que, por motivos de economicidade, a entrada do PIN será feita pelo teclado do terminal de acesso à Internet. Esse método é vulnerável a diversos tipos de ataques, como:

  • Keyloggers: Software malicioso que captura tudo o que é digitado no teclado, incluindo o PIN.
  • Shoulder Surfing: Técnica em que um atacante observa diretamente a pessoa digitando o PIN.

3. Segurança da Informação e Autenticação

A segurança da informação abrange a confidencialidade, integridade e disponibilidade dos dados. A autenticação é apenas um aspecto da segurança. Mesmo que o sistema utilize um método de autenticação robusto, como um PIN protegido por um certificado digital, ele não pode garantir 100% que não haverá ataques de personificação.

Conclusão

A afirmativa de que o uso de PIN assegura que não ocorrerão ataques de personificação é incorreta porque:

  • O PIN pode ser comprometido através de várias técnicas de ataque, como keyloggers e shoulder surfing.
  • A segurança do PIN depende de várias condições, como a maneira de entrada e a complexidade do próprio PIN.

Portanto, mesmo que o PIN adicione uma camada de segurança, ele não pode garantir que ataques de personificação não ocorrerão.

Espero que esta explicação tenha clarificado suas dúvidas sobre o tema da questão. Se precisar de mais informações ou tiver outras perguntas, estou à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

ERRADO. Se alguém descobrir o PIN de outra pessoa, poderá votar por ela. Portanto, ataques de personificação não são evitados por meio do uso de PINs. Estes ataques poderiam ser evitados por meio de testes biométricos, como impressão digital.

O uso de PIN poderia até mitigar, mas não assegura (100% de certeza). O erro estaria na palavra assegura.

Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações que por ele passem a trafegar.

GABARITO: ERRADO.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas