EXERCÍCIO - 2 INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO

 1ª Questão: Com relação à afirmação “São as vulnerabilidades que permitem que as ameaças se concretizem” podemos dizer que:

a)      A afirmativa é verdadeira somente para vulnerabilidades físicas.

b)      A afirmativa é falsa.

c)       A afirmativa é verdadeira.

d)      A afirmativa é verdadeira somente para ameaças identificadas.

e)      A afirmativa é verdadeira somente para vulnerabilidades lógicas.

Resposta Certa: Alternativa C

2ª Questão: A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.

a)      O Não repúdio

b)      A Disponibilidade

c)       A Confidencialidade

d)      A autenticidade

e)      A Legalidade

Resposta Certa: Alternativa D

3ª Questão: As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?

a)      Vulnerabilidade de Software

b)      Vulnerabilidade Física

c)       Vulnerabilidade Comunicação

d)      Vulnerabilidade Natural

e)      Vulnerabilidade Mídia

Resposta Certa: Alternativa A

4ª Questão: A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes:

I - Wannabes ou script kiddies: São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos.

II- Defacers: Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação.

III- Pheakres: São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.

a)      Apenas a sentença I está correta.

b)      As sentenças I e II estão corretas.

c)       As sentenças II e III estão corretas.

d)      As sentenças I e III estão corretas.

e)      Todas as sentenças estão corretas.

Resposta Certa: Alternativa A

5ª Questão: Qual opção abaixo representa a descrição do Passo “Levantamento das Informações” dentre aqueles que são realizados para um ataque de segurança?

a)      O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".

b)      O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.

c)       O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento

d)      O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.

e)      O atacante tenta manter seu próprio domínio sobre o sistema

Resposta Certa: Alternativa A

6ª Questão: Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante?

a)      Spammer

b)      Rootkit

c)       Spyware

d)      Bot/Botnet

e)      Phishing

Resposta Certa: Alternativa D

7ª Questão: Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000?

a)      ISO/IEC 27004

b)      ISO/IEC 27005

c)       ISO/IEC 27001

d)      ISO/IEC 27003

e)      ISO/IEC 27002

Resposta Certa: Alternativa B

8ª Questão: A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação.

O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.

Em relação a etapa "Check", qual das alternativas abaixo descreve essa etapa:

a)      É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.

b)      Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.

c)       Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.

d)      São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.

e)      Nenhuma das opções anteriores.

Resposta Certa: Alternativa A

9ª Questão: A gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.  Sobre a GCN analise as afirmativas abaixo:

I-A continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em níveis aceitáveis após a ocorrência de um incidente de interrupção.

II-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN).

III-O SGCN pode ser aplicado apenas em empresas de porte grande.

Assinale a opção que contenha apenas afirmações verdadeiras:

a)      I, II e III

b)      Apenas I

c)       Apenas I e III

d)      Apenas I e II

e)      Apenas III

Resposta Certa: Alternativa D

10ª Questão: O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de:

a)      Testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subsequentes.

b)      Controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador.

c)       Criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso.

d)      Confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador.

e)      Confirmar a identidade do usuário.

Resposta Certa: Alternativa D

EXERCÍCIO-3 INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO

 1ª Questão: Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido:

a)    Confiabilidade

b)    Legalidade

c)    Integridade

d)    Disponibilidade

e)    Confidencialidade

Resposta Correta: Alternativa D

2ª Questão: Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"?

a)    Valor de restrição.

b)    Valor de negócio.

c)    Valor de propriedade.

d)    Valor de troca.

e)    Valor de uso.

Resposta Correta: Alternativa C

3ª Questão: Observe a figura abaixo e complete corretamente a legenda dos desenhos:

a)    Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios

b)    Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios

c)    Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios

d)    Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos

e)    Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos

Resposta Correta: Alternativa D

4ª Questão: Analise as seguintes afirmativas sobre ameaças à Segurança da Informação:

I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário.

II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro.

III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos.

Estão CORRETAS as afirmativas:

a)    I, II e III.

b)    II e III, apenas.

c)    I e II, apenas.

d)    II apenas

e)    I e III, apenas.

Resposta Correta: Alternativa E

5ª Questão: Em relação aos ataques a segurança da informação, analise as afirmações abaixo e assinale apenas a opção que contenha ALTERNATIVAS VERDADEIRAS:

I - Phreaking é um expressão utilizada pra denominar um grupo de pessoas que pesquisam e exploram equipamentos dos sistemas de telefonia e sistemas conectados à rede pública de telefone.

II - O Pharming corrompe um servidor de sistemas de nomes de domínios (DNS-Domain Name System).

III - O Pharming é um tipo de ataque que busca obter informações financeiras das pessoas através da falsificação de um domínio.

a)    I, II e III

b)    Apenas I e II

c)    Apenas III

d)    Apenas I

e)    Apenas II

Resposta Correta: Alternativa B

6ª Questão: Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de instalação de jogos, aplicativos e softwares?

a)    Rootkit

b)    Adware

c)    Spyware

d)    Backdoor

e)    Trojan

Resposta Correta: Alternativa B

7ª Questão: Em relação as normas, analise as afirmações abaixo:

I - Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa

II - É notável que as empresas estejam buscando cada dia mais a adequação de padrões e normas preestabelecidas afim de fornecer ao consumidor maior qualidade e, principalmente, maior credibilidades aos produtos e serviços.

III - As normas também são ferramentas de marketing para uma empresa. Pois, as empresas que estão de acordo com as normas vigentes do seu setor são vistas com diferencial no mercado em relação as que não seguem as normas. 

Assinale apenas a opção com afirmações corretas:

a)    Apenas I

b)    I, II e III

c)    Apenas I e II

d)    Apenas II

e)    Apenas I e III

Resposta Correta: Alternativa C

8ª Questão: No contexto da Segurança da Informação, qual das opções abaixo não pode ser considerada como um Problema de Segurança:

a)    Uma inundação.

b)    Restrição Financeira.

c)    A perda de qualquer aspecto de segurança importante para a organização.

d)    Uma Operação Incorreta ou Erro do usuário.

e)    Uma tempestade.

Resposta Correta: Alternativa B

9ª Questão: Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar:

a)    Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização.

b)    Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.

c)    Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.

d)    Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização.

e)    Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização.

 Resposta Correta: Alternativa D

10ª Questão: A intrusão pode ser conceituada como um acesso não autorizado às redes de computadores. Essa intrusão pode ocorrer por um usuário que tenta obter acessos adicionais aos que já possui, ou através de um usuário externo, que tenta realizar o acesso normalmente pela Internet.

Os sistemas de detecção de intrusão podem utilizar os seguintes métodos para detecção:

I - Analise de Assinatura de Ataques: esses tipos de sistemas já possuem o armazenamento dos principais ataques realizados pelos hackers. Dessa forma, é monitorado o comportamento dos servidores para verificar a ocorrência do ataque.

II - Analise de protocolos: o sistema está o tempo todo verificando os protocolos de aplicação para determinar se há algo de errado.

III - Detecção de anomalias: esta é uma técnica mais complexa de detecção de intrusão. Ela envolve o monitoramento de CPU, logs do sistema operacional, memória e discos dos servidores para verificar se alguma anomalia que pode ou não ser um ataque que esteja ocorrendo no servidor. 

Assinale a opção que contenha apenas os métodos verdadeiros:

a)    Apenas I e III

b)    Apenas II

c)    Apenas III

d)    Apenas I

e)    I, II e III

Resposta Correta: Alternativa D

Exercício Respondido - Introdução a Segurança da Informação

1ª Questão: Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:

I-A informação é uma mercadoria capaz de produzir conhecimento, e a informação incluída em um sinal é o que podemos aprender dela... O conhecimento é identificado com a crença produzida (ou sustentada) pela informação.

II-A informação atualmente é um recurso estratégico para empresas, possibilitando a sustentabilidade do negócio, gerando conhecimento sobre os processos e apoiando as tomadas de decisões.

III-A informação deve ser cuidada por meio de políticas e regras, da mesma maneira que os recursos financeiro e material são tratados dentro da empresa.

a)      I, II e III

b)      Somente II

c)       Somente I e III

d)      Somente I e II

e)      Somente I

Resposta Certa: Letra A

2ª Questão: Questão: As ameaças são os principais perigos a que uma empresa está susceptível. Essas ameaças podem ser classificadas em:

• Ameaças intencionais
• Ameaças relacionadas aos equipamentos
• Ameaças relativas a um evento natural
• Ameaças não intencionais

Em relação as ameaças relacionadas aos equipamentos, podemos afirmar:

a)      São as ameaças divulgadas pela mídia e nas quais os produtos de segurança podem atuar melhor. Podem ser do tipo agentes internos ou externos. Em que agentes externos podem ter acesso ao sistema de várias formas. Apesar do foco dos dispositivos de segurança normalmente ser o agente do tipo externo, a maior parte dos problemas de segurança é provocada por agentes do tipo internos.

b)      Quando um equipamento apresenta falhas de hardware ou mesmo de software, seja por defeito ou mesmo por bugs. Colaboradores especializados podem induzir falhas aos sistemas por eles administrados.

c)       Nenhuma das opções abaixo

d)      Esse grupo de ameaças incluem todos os equipamentos ou instalações físicas de uma empresa, que podem estar sujeitos a fogo, inundações, quedas de energia. É possível minimizar as chances de que o dano seja severo e também fazer um planejamento para a recuperação após a ocorrência de um desastre de ordem natural.

e)      São os perigos trazidos pela falta de conhecimento. Por exemplo, um usuário ou administrador de sistema que não tenha recebido treinamento adequado, que não tenha lido a documentação, ou que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas pela organização. A maior parte dos danos causados no sistema surge pela ignorância de usuários ou administradores e não por ações maliciosas. 

Resposta Certa: Letra B

3ª Questão: João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo:

a)      Comunicação

b)      Humana

c)       Mídia

d)      Natural

e)      Física

Resposta Certa: Letra E 

4ª Questão: Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um:

a)    worm

b)    exploit

c)    vírus

d)    cavalo de tróia (trojan horse)

e)    active-x

Resposta Certa: Letra D

5ª Questão: Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos?

a)    Divulgação do Ataque

b)    Obtenção de Acesso

c)    Exploração das Informações

d)    Camuflagem das Evidências

e)    Levantamento das Informações

Resposta Certa: Letra A

6ª Questão: Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo? 

a)    Rootkit

b)    Backdoor

c)    Defacement

d)    Spyware

e)    Phishing

Resposta Certa: Letra E

7ª Questão: Quando devem ser executadas as ações corretivas?

a)    Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição

b)    Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição

c)    Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição

d)    Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição

e)    Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição

Resposta Certa: Letra D

8ª Questão: Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:

a)    Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas

b)    Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI

c)    Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.

d)    Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.

e)    Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI

Resposta Certa: Letra E

9ª Questão: Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?

a)    Eventos de ordem natural ou acidental, como terremotos e incêndios.

b)    Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável.

c)    Um evento súbito, que ocorre de maneira inesperada.

d)    Uma catástrofe de grandes impactos.

e)    Um ataque massivo pela internet.

Resposta Certa: Letra B

10ª Questão: Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:

a)    Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede

b)    Um detector de intrusão para realizar a análise do tráfego da rede

c)    Um firewall para auxiliar na análise do tráfego da rede

d)    Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall

e)    Um analisador de espectro de rede, para analisar o tráfego da rede

Resposta Certa: Letra B