(1,0)
A organização tida como referência para o estabelecimento de boas práticas na área da segurança computacional, sendo inclusive mantenedora de um framework para cibersegurança que inclui padrões, diretrizes e melhores práticas para gerenciar o risco relacionado a esse tema é a
Em segurança computacional, o termo AAA (a sigla derivada do inglês), ou triplo A, é recorrente na literatura e na prática. Esse termo faz referência direta a três serviços básicos. O primeiro “A” diz respeito ao serviço que verifica a identidade digital do usuário de um sistema; o segundo “A” faz referência ao serviço que garante que um usuário, que passou na verificação de sua identidade digital, somente tenha acesso aos recursos liberados a ele; e, por fim, o terceiro “A” refere-se ao serviço de coleta de informações sobre o uso dos recursos de um sistema pelos seus diferentes usuários. Em relação ao exposto, o termo AAA faz referência à
Em criptografia, a Cifra de César é considerada como uma das mais simples e conhecidas técnicas de cifragem. Relatos históricos apontam que Júlio César utilizava essa cifra nas mensagens enviadas a seus generais, no qual cada letra da mensagem original era trocada pela letra situada três posições à sua frente no alfabeto. A Cifra de César é classificada como uma cifra de
Atualmente, sistemas criptográficos assimétricos são largamente utilizados por geralmente serem mais robustos e, portanto, seguros, além de serem considerados um excelente método para garantir segurança num canal público e inseguro, como a Internet. Em comparação com a criptografia simétrica, a criptografia assimétrica tende a ser mais lenta e necessita de um maior poder computacional por parte das máquinas. Em relação ao uso de chaves criptográficas, um sistema criptográfico assimétrico é caracterizado pelo uso de
A fim de testar o uso de funções de hash, João, funcionário recém contratado da empresa Security10, aplicou uma função hash h(x) sobre uma mensagem M e obteve como resultado o valor F23AB5 em hexadecimal. Curioso sobre o funcionamento da função hash, João aplicou novamente a mesma função hash sobre a mensagem original. Assim, João obteve o valor de
Uma função hash é um algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo. O valor retornado por uma função hash é chamado código hash, ou simplesmente hash. Essas funções são consideradas unidirecionais, garantindo que a partir do código hash seja impossível voltar aos dados que foram usados para gerá-lo. As funções hash conhecidas e ainda utilizadas são
Um protocolo de autenticação de mensagem geralmente faz uso de algum mecanismo capaz de produzir um autenticador, ou seja, um valor que possa ser verificável e certifique que a mensagem é autêntica. Diferentes mecanismos podem ser usados para gerar um autenticador. Entre esses, os mais utilizados são hash e MAC (Message Authentication Code). Outro método que também pode ser utilizado para autenticar mensagens é a
Atualmente, é muito comum a utilização de uma conta de usuário já criada em grandes provedores (como Facebook, Google e outros) para efetuar a autenticação em sistemas de terceiros. Para isso, as entidades envolvidas formam uma estrutura de confiança mútua. O conceito central utilizado é o de autenticação única ou SSO (do inglês, Single Sign-On). Com isso, o usuário não precisa realizar o cadastro em diferentes sites ou lembrar de múltiplas senhas. De acordo com a terminologia da área de segurança de redes, essa é uma autenticação do tipo
A Segurança Computacional possui uma terminologia própria. Uma padronização na utilização dessa terminologia garante o correto entendimento entre os diferentes agentes envolvidos. Em relação a isso, considere as seguintes afirmações sobre a Segurança Computacional.
I A segurança física visa providenciar mecanismos para restringir o acesso às áreas críticas da organização a fim de garantir a integridade e autenticidade dos dados.
II Uma ameaça pode ser definida como algum evento que pode ocorrer e acarretar algum perigo a algum ativo da rede. As ameaças podem ser intencionais ou não-intencionais.
III São ameaças mais comuns às redes de computadores: o acesso não-autorizado, o reconhecimento (ex: PortScan) e a negação de serviço (ex: DoS ou DDoS).
IV O “Tripé da Segurança” é formado de Pessoas, Processos e Políticas de Segurança. De nada adianta uma Política de Segurança se Pessoas e Processos não forem considerados.
Em relação à Segurança Computacional, estão corretas as afirmativas
O iptables é conhecido como o aplicativo de firewall Linux padrão. Na verdade, o iptables é apenas uma ferramenta que controla o módulo netfilter do Linux, permitindo a filtragem de pacotes. A operação do iptables é baseada em regras que são expressas em um conjunto de comandos. No departamento de TI da Security10, João terá que revisar o conjunto de regas do script atual de firewall iptables utilizado na empresa. Analisando as 2.954 linhas do arquivo de script, João se deparou com a seguinte REGRA-Y, definida a partir da sequência de comandos abaixo.
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
$IPTABLES -N REGRA-Y
$IPTABLES -A INPUT -i $WAN -p tcp --syn -j REGRA-Y
$IPTABLES -A REGRA-Y -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A REGRA-Y -j DROP
A REGRA-Y definida permite impedir o ataque de
Recentemente, foi divulgada uma grave vulnerabilidade no protocolo de comunicação WPA2, e na sua versão mais antiga, a WPA1. A vulnerabilidade foi descoberta por Mathy Vanhoef, pesquisador da Universidade de Leuven, na Bélgica, com pós-doutorado em segurança da informação. Segundo Vanhoef, sistemas que utilizam a ferramenta “wpa_supplicant” para negociação das chaves de criptografia em redes WPA e WPA2 estão mais vulneráveis, por exemplo Android (versão 6.0+) e Linux. A essa vulnerabilidade foi dado o nome de
Em Segurança Web, é bastante comum confundir o ataque de XSS (Cross-site Scripting) com o ataque de CSRF (Cross-site Request Forgery).
A diferença entre esses ataques está na
O departamento de TI da Security10 está envolvido no desenvolvimento de uma aplicação Web, mas está com receio de lançá-la em produção sem antes efetuar alguns testes de segurança. Como João acabou de ser admitido para a vaga em segurança, coube a ele realizar essa tarefa. Seu chefe de equipe sabe que, para a realização deste tipo de teste, é comum a utilização de plataformas que incluem recursos como proxy, scanner de vulnerabilidades e rastreamento de mensagens e conteúdo e, portanto, disponibilizou o seu próprio computador para que João realize os testes.
A ferramenta adequada para a realização dos testes requisitados é
Considere o trecho abaixo
A Cartilha de Segurança para Internet da CERT.br é uma renomada fonte de informação sobre segurança da informação. Em uma de suas versões, entre outros conceitos, traz as definições de diferentes tipos de códigos maliciosos. Segundo a cartilha, há um tipo de código malicioso que torna inacessível os dados armazenados, geralmente usando criptografia, e exige pagamento de resgate para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. SimpleLocker e WannaCry são exemplos conhecidos desse tipo de código malicioso
O trecho define claramente um
Maria, do setor de Contabilidade da Security10, relatou que recentemente recebeu uma mensagem eletrônica sobre um seguro de vida que ela não solicitou, mas a mensagem provém do banco no qual ela tem conta. O conteúdo da mensagem trazia um link para o contrato do seguro com as informações gerais da apólice e um outro link para a geração do boleto a ser pago. Ao clicar em qualquer um dos links, era exibida uma página do banco requisitando os dados da conta, incluindo a senha para operações online. Tudo parecia legítimo, mas ao tentar prosseguir, sempre dava uma mensagem para tentar novamente. Nesse caso, Maria foi vítima de um ataque de
Recuperar senha
