Questões de Concurso

Open Web Application Security Project (OWA SP) tem como um dos seus trabalhos mais conhecidos uma lista que reúne os riscos de ataques mais obrigatórios exploráveis a partir de vulnerabilidades nas aplicações web. Estes trabalhos são conhecidos como os dez riscos de segurança de aplicativos web mais críticos. “Ocorrem quando dados não confiáveis são enviados a um intérprete como parte de um comando ou consulta.” Tal afirmação se refere ao seguinte risco:

Nas categorias de serviços de segurança da informação há: confidencialidade; autenticidade; integridade; não repúdio; conformidade; controle de acesso; e, disponibilidade. A garantia contra ataques ativos por meio de alterações ou remoções não autorizadas se trata de:

“Combinação da probabilidade (chance da ameaça se concretizar) de um evento ocorrer e de suas consequências para a organização.” Trata-se de:

De acordo com a Segurança da Informação, são considerados modelos de ataque: 

Considere as seguintes afirmativas sobre segurança em aplicações web.

I. Utilizar credenciais do banco de dados com permissão de somente-leitura evita ataques de injeção de SQL (SQL injection).
II. A utilização de certificados digitais pelos usuários (como o e-CPF) pode dispensar a necessidade de autenticação por meio de nome de usuário e senha.
III. Entrar suas credenciais apenas em sites com conexão segura (HTTPS) evita o comprometimento de senhas por registro de teclado (keyloggers).

Assinale a alternativa CORRETA.

Considere um algoritmo de cópia de segurança (backup) que divide cada arquivo em K partes e suporta a desativação (resiliência) de M servidores sem que gere indisponibilidade no serviço. O número final de partes geradas F é M+K e o espaço de armazenamento requerido R pode ser calculado como D*(1+(1-(K/F))), onde D é a quantidade de armazenamento desejado.
No ambiente há N servidores com a mesma capacidade de armazenamento disponível, onde N é maior que F. Considere a necessidade de armazenar 4TB com uma resiliência de 2 servidores dividindo os arquivos em 6 partes.

Assinale a alternativa que apresenta CORRETAMENTE a capacidade mínima de armazenamento disponível no ambiente para atender a essa demanda.

Considere as seguintes afirmativas sobre a utilização de chaves criptográficas assimétricas.

I. Um dado codificado por uma chave privada pode ser decodificado pela mesma chave privada.
II. Um dado codificado por uma chave pública pode ser decodificado por sua chave privada correspondente.
III. Um dado codificado por uma chave privada pode ser decodificado pela mesma chave privada e por sua chave pública correspondente.

Assinale a alternativa CORRETA.

Considere as seguintes afirmativas sobre a utilização de chaves criptográficas assimétricas em sistemas de e-mails.

I. A codificação dos cabeçalhos do e-mail garante a integridade do mesmo.
II. A adição de uma assinatura digital no e-mail garante a confidencialidade do mesmo.
III. A irretratabilidade da mensagem também pode ser provida com a codificação dos cabeçalhos da mensagem.

Assinale a alternativa CORRETA.

Sobre segurança da informação em aplicações web, considere um caso de vazamento de dados (como o caso do site Ashley Madison, em 2015), no qual uma tabela, contendo apenas os números de cartões de crédito e e-mails dos usuários, foi acessada e publicada na internet. Considere as seguintes afirmativas.

I. A utilização de técnicas de sumarização (Hash) com variações (Salt) em novos campos da tabela inviabilizaria o reconhecimento dos dados.
II. A verificação de clientes utilizando certificados evitaria a conexão de usuários anônimos no servidor web.
III. A utilização do protocolo HTTPS evitaria a injeção de comandos SQL (SQL Injection).

Assinale a alternativa CORRETA.

“Foi identificado na noite de sexta-feira (13/8) um ataque de ransomware à rede interna da Secretaria do Tesouro Nacional. As medidas de contenção foram imediatamente aplicadas e a Polícia Federal, acionada”. Em relação ao texto, é correto afirmar, sobre um ataque ransomware, que: 

Considere:
Manter a confidencialidade da informação de autenticação secreta, garantindo que ela não seja divulgada para quaisquer outras partes, incluindo autoridades e lideranças.
De acordo com a Norma ABNT NBR ISO/IEC 27002:2013, essa recomendação é do âmbito de

É uma forma de ataque na internet, que se utiliza do método de tentativa e erro para descobrir nomes de usuários e senhas e que pode resultar em negação de serviço, quando a quantidade de tentativas realizadas em um curto período de tempo é grande. Trata-se de

De acordo com a Norma ABNT NBR ISO/IEC 27002:2013, no âmbito do Gerenciamento da segurança em redes, um método de controlar a segurança da informação em grandes redes é

Ao analisar a rede do Tribunal de Justiça de Santa Catarina, hipoteticamente, um Analista de Sistemas percebeu a existência de um programa com código malicioso que combinava as características de dois outros códigos maliciosos conhecidos, o que permitia ao atacante acessar o equipamento remotamente e executar ações como se fosse o usuário. Esse programa, conhecido pela sigla RAT, combina as características de

No que diz respeito à segurança física e lógica em redes, um recurso empregado na internet visa determinar se um usuário on-line é realmente um ser humano e não um bot. A seguir é mostrada uma figura que ilustra um exemplo de emprego desse recurso.

Na figura, é solicitado aos usuários que identifiquem algumas letras e alguns números. Eles aparecem distorcidos para que os bots não possam identificá-los. Para serem aprovados no teste, os usuários precisam interpretar o texto distorcido, digitar os caracteres corretos em um campo de formulário e enviar o formulário. Se as letras não estiverem corretas, os usuários serão solicitados a tentar novamente. Esses testes são comuns em formulários de login, formulários de cadastramento de contas, buscas on-line e nas páginas do caixa de comércio eletrônico.
Esse recurso é conhecido por

Conforme STALLINGS e BROWN, considerando os tipos de autenticação possíveis, um sistema de autenticação biométrica tenta autenticar um indivíduo com base em suas características físicas únicas. Isso inclui características como:
I. Impressão digital. II. Geometria da mão. III. Smart Cards.

Está(ão) CORRETO(S):

Segundo a ISO 27005 - Gestão de riscos em TI, sobre os critérios para a aceitação do risco, convém que os seguintes tópicos, entre outros, sejam considerados durante o desenvolvimento, como:
I. Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco; porém, precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível, desde que sob circunstâncias definidas. I. Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado e o risco estimado. III. Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isso for especificado como um requisito contratual.
Está(ão) CORRETO(S):

A norma ISO/IEC, que fornece um modelo de referência básica na avaliação de produto de software com a definição de características de qualidade de software, tais como: Funcionalidade, Confiabilidade, Usabilidade, Eficiência, Manutenibilidade, Portabilidade, Segurança e Compatibilidade, é a norma: 

Baseado em conceitos de um IDS (Sistema de detcção de intrusão) é correto afirmar que: