Questões de Concurso

Um Time de Tecnologia da Informação (TTI) de um tribunal de justiça recebeu a demanda de disponibilizar o acesso a algumas partes do Sistema Web de Acompanhamento de Processos (SAProc) por meio de um aplicativo para dispositivos móveis. Somente usuários internos, que já possuam acesso ao sistema Web SAProc, poderão utilizar o novo aplicativo. Atualmente, o SAProc utiliza o protocolo OAuth2 como framework de autorização entre a aplicação web que atua no front-end e a API RESTFul que atua no back-end.
Em função da premissa de uso do OAuth2 pelo novo aplicativo, o TTI deverá:

Analise as afirmativas abaixo com relação ao assunto criptografia de chave pública.
1. A criptografia de chave pública é simétrica, envolvendo o uso de duas chaves simétricas, sendo necessário o uso das duas em qualquer sequência para cifrar ou decifrar os dados.
2. É computacionalmente inviável determinar a chave de decriptação dado apenas o conhecimento do algoritmo de criptografia e da chave de encriptação.
3. Alguns algoritmos, como RSA, também permitem que qualquer uma das duas chaves relacionadas possa ser usada para encriptação, com a outra para a decriptação.
Assinale a alternativa que indica todas as afirmativas corretas.

A Estratégia Nacional de Segurança da Informação e Cibernética do Poder Judiciário (ENSEC-PJ) foi instituída com o objetivo de incrementar a segurança cibernética nos órgãos do Poder Judiciário, abrangendo aspectos essenciais da segurança da informação e definindo objetivos para fortalecer o espaço cibernético do Poder Judiciário, assim como divulgar ações para os órgãos em seu âmbito de atuação.
Um dos objetivos da ENSEC-PJ, instituída pela Resolução CNJ nº 396/2021, é:

Anderson quer enviar uma mensagem para sua esposa que está em outra cidade sem que ninguém saiba da existência da mensagem. Então, Anderson inseriu a mensagem em uma foto em que ambos estavam, de forma que fez uma pequena redução na qualidade da imagem e inseriu a mensagem nesses bits sobressalentes.
Para ocultar a mensagem em uma foto, Anderson utilizou a técnica de:

Caio recebeu a tarefa de melhorar a segurança da rede local do Tribunal de Justiça. A demanda solicitada foi a implementação de um sistema de criptografia que atenda aos requisitos a seguir.
1. receber como entrada um bloco de texto sem formatação;
2. trabalhar com tamanhos de chaves diferentes;
3. movimentar o bloco para uma matriz quadrada onde são executadas suas operações;
4. relacionar o número de rodadas do algoritmo com o tamanho da chave.
Para cifrar as mensagens e atender aos critérios determinados, Caio deve utilizar o algoritmo criptográfico:

Lucas é um trader profissional que trabalha em uma corretora de valores. Ele efetua muitas operações durante o período em que a bolsa negocia seus ativos. Após fazer uma revisão em suas operações do dia, não validou, como sendo efetuadas por ele, algumas das operações que obtiveram prejuízo. Lucas, então, entrou em contato com a corretora e esta demonstrou, a partir de registros de auditoria e garantia de identidade, que as operações em questão realmente foram executadas por ele.
Para que a corretora prove que foi Lucas quem realmente executou as operações, ela deve fazer uso do conceito de segurança chamado: 

Sobre softwares maliciosos, analise as afirmativas a seguir.

1) Vírus pode ser definido como um programa de computador que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.

2) Spyware pode ser visto como um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas destas atividades para terceiros.

3) O Keylogger é um tipo de spyware capaz de capturar e armazenar teclas digitadas pelo usuário no teclado do equipamento.

Está(ão) correta(s): 

Sobre a Segurança da Informação, analise as afirmativas a seguir.

1) Segurança da Informação busca proteger a informação armazenada em meio digital; ou seja, não existe preocupação de proteger a informação que está armazenada em outros meios, como o papel.

2) Embora reconhecidamente importante para a Segurança da Informação, a Gestão de Riscos em Segurança da Informação não possui nenhuma norma específica que descreva diretrizes para este fim.

3) Uma das principais referências disponíveis na área de Segurança da Informação é a norma ISO 27002, também conhecida como ISO/IEC 27002. Esta norma fornece diretrizes para práticas de gestão de Segurança da Informação e inclui a seleção, implementação e o gerenciamento de controles.

Está(ão) correta(s), apenas: 

Assinale, dentre as opções abaixo, a que apresenta um algoritmo pertencente à criptografia de chave pública.

O Certificado Digital é um documento que utiliza um sistema criptográfico. Esse tipo específico de criptografia é conhecido por:  

Um assistente programador está investigando um comportamento anormal que ocorre em um computador do MP-GO. O computador está, sem prejuízo em seu desempenho, enviando dados pessoais para a Internet por um programa desconhecido.
A fim de evitar que o mesmo tipo de problema volte a ocorrer, o assistente deve revisar a configuração e a atualização da seguinte classe de software:

A empresa ABCTech, especializada em segurança da informação, anunciou o lançamento de um produto para proteção corporativa com a promessa de segurança inviolável. Durante o lançamento do produto, o site da empresa ficou indisponível para acesso devido a um grande número de acessos, impedindo que futuros clientes conhecessem a nova tecnologia. Simultaneamente, os canais de TV que divulgavam a propaganda do produto tiveram seus sites invadidos nos quais foram postadas informações de que o site da empresa ABCTech estava sob ataque impedindo a divulgação do novo produto. 
A técnica de ataque utilizada para indisponibilizar o site da empresa ABCTech é

A empresa WakeUp Seguros investiu em novos computadores para seu parque computacional, os quais operam com um pacote de aplicativos para a proteção individual dos colaboradores.
Dentre esses novos aplicativos encontra-se o firewall pessoal que possui a funcionalidade de

Com o intuito de reduzir gastos com o uso de papéis e agilizar o trabalho, um escritório de advocacia passou a adotar o trâmite de documentos eletrônicos em seus processos e no envio de documentos externos. Para assegurar que os documentos não serão adulterados durante o envio, o escritório adotou a assinatura digital, baseada em certificados digitais emitidos por autoridades certificadoras. 
Com o uso da assinatura digital em seus documentos, o escritório de advocacia garante

A equipe de marketing da empresa XPTO está desenvolvendo um novo produto que necessita ser mantido em sigilo até sua divulgação na mídia. Para evitar vazamento de informação acerca do projeto, o Gerente da equipe de marketing decidiu que todos os arquivos do projeto sejam criptografados e, por questões de segurança, ele altera a senha utilizada na criptografia dos arquivos eventualmente, divulgando-a entre os membros de sua equipe de forma segura.
A forma de criptografia utilizada pelo gerente de marketing da empresa XPTO é

O gráfico a seguir contém o percentual dos incidentes reportados ao CERT.br em 2020.


Legenda
• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• DoS (Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. • web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é “qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro”. Essa categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Não se deve confundir scan com scam. Scams (com “m”) são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques desse tipo são enquadrados na categoria fraude.
Fonte: Disponível em: . Acesso em 15 mar. 2022.


Considerando os incidentes representados no gráfico, analise as contramedidas a seguir.
I- O uso de ferramentas de monitoramento de rede, firewalls e sistemas de detecção de invasão são medidas de prevenção contra os três maiores incidentes de 2020.
II- Os incidentes do tipo fraude são causados tipicamente por um engenheiro social e podem ser mitigados com treinamentos de conscientização.
III- Ataques Web podem ser evitados se os desenvolvedores seguirem as diretrizes de padrões abertos como os do projeto Open Web Application Security Project (OWASP).


Está(ão) correta(s) apenas

Firewalls (filtros de pacotes) e sistemas de detecção/prevenção de invasão (IDS/IPS) são as contramedidas indicadas contra os seguintes tipos de ataques, EXCETO: 

Assinale a alternativa que apresenta um tipo de código malicioso (malware) que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate para restabelecer o acesso ao usuário.

O uso de vírus tem causado sérios problemas a empresas, repartições etc.; hackers atacam instalações e criptografam os dados, exigindo resgate. O malware mais utilizado para esse tipo de ataque é o:

Os códigos maliciosos são programas mal-intencionados que infectam os dispositivos dos usuários para praticar inúmeras atividades hostis, como praticar golpes, realizar ataques ou enviar spams.
O programa que permite o retorno de um invasor a um equipamento comprometido, por meio da inclusão de serviços criados ou modificados para esse fim, é classificado como