(1,0)
O departamento de TI da Security10 está envolvido no desenvolvimento de uma aplicação Web, mas está com receio de lançá-la em produção sem antes efetuar alguns testes de segurança. Como João acabou de ser admitido para a vaga em segurança, coube a ele realizar essa tarefa. Seu chefe de equipe sabe que, para a realização deste tipo de teste, é comum a utilização de plataformas que incluem recursos como proxy, scanner de vulnerabilidades e rastreamento de mensagens e conteúdo e, portanto, disponibilizou o seu próprio computador para que João realize os testes.
A ferramenta adequada para a realização dos testes requisitados é
Considere o trecho abaixo
A Cartilha de Segurança para Internet da CERT.br é uma renomada fonte de informação sobre segurança da informação. Em uma de suas versões, entre outros conceitos, traz as definições de diferentes tipos de códigos maliciosos. Segundo a cartilha, há um tipo de código malicioso que torna inacessível os dados armazenados, geralmente usando criptografia, e exige pagamento de resgate para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. SimpleLocker e WannaCry são exemplos conhecidos desse tipo de código malicioso
O trecho define claramente um
Maria, do setor de Contabilidade da Security10, relatou que recentemente recebeu uma mensagem eletrônica sobre um seguro de vida que ela não solicitou, mas a mensagem provém do banco no qual ela tem conta. O conteúdo da mensagem trazia um link para o contrato do seguro com as informações gerais da apólice e um outro link para a geração do boleto a ser pago. Ao clicar em qualquer um dos links, era exibida uma página do banco requisitando os dados da conta, incluindo a senha para operações online. Tudo parecia legítimo, mas ao tentar prosseguir, sempre dava uma mensagem para tentar novamente. Nesse caso, Maria foi vítima de um ataque de
A Security10 resolveu implementar um proxy transparente com a utilização do iptables e Squid. Foi determinado que o serviço Squid será configurado na porta 3300. No entanto, o analista de TI, João, ainda está inseguro no uso do iptables e não sabe bem como realizar esta tarefa. Nesse contexto, o comando iptables necessário para permitir que requisições http padrão oriundas da rede interna, através da interface eth1, para acesso internet sejam automaticamente redirecionadas para a porta usada pelo Squid é
O protocolo SSL (Secure Sockets Layer) é muito útil na proteção do canal de comunicação, sendo bastante utilizado para fornecer uma camada adicional de segurança às aplicações web. Sobre as características do SSL, analise as afirmativas abaixo.
I O SSL opera entre as camadas de Transporte e Aplicação, segundo o modelo TCP/IP.
II TLS (Transport Layer Security) é uma especificação de outro padrão para suportar o SSL em redes TCP/IP e é definido na RFC 5246.
III O protocolo SSL fornece serviços básicos de confidencialidade e integridade a entidades de aplicação. É o caso do HTTP (Hypertext Transfer Protocol) que utiliza o SSL para fornecer navegação segura na Web, sendo então referenciado como HTTPS.
IV Por padrão, para o HTTPS é utilizada a porta 8080.
Em relação ao SSL, estão corretas as afirmativas
Uma boa política de segurança deve cobrir diferentes aspectos da organização, orientando sobre a necessidade de implementação de diferentes níveis de controle. Sobre alguns desses controles, analise as afirmativas abaixo.
I Controles físicos referem-se à restrição de acesso indevido de pessoas a áreas críticas da empresa (ex: sala de servidores) e restrições de uso de equipamentos ou sistemas por funcionários mal treinados.
II Controles lógicos referem-se a qualquer tipo de aplicação ou equipamento que usa da tecnologia para impedir que pessoas acessem documentos, dados ou qualquer tipo de informação sem a devida autorização.
III Controles pessoais referem-se ao monitoramento de atividade digital dos funcionários e à cobrança de assiduidade na avaliação do funcionário.
IV Controles organizacionais referem-se ao acompanhamento dos fatores de risco de TI identificados na organização.
Em relação aos controles que devem fazer parte da política de segurança, estão corretas as afirmativas
Backup é um mecanismo simples, mas de grande importância em qualquer esquema de segurança computacional. Na verdade, quando todos os outros mecanismos falham, o backup pode ser a solução. O recomendado é estabelecer uma agenda de backup, mesclando diferentes estratégias de backup, a fim de otimizar o tempo e os recursos gastos nesta tarefa. As estratégias de backup mais comuns são: backup completo ou full; incremental e diferencial. Na empresa Security10, o analista de TI, João, implementou a estratégia de backup full a cada semana, pois é preciso um final de semana para que a cópia de segurança seja gerada, devido à quantidade de dados. Insatisfeito e temendo o risco de uma falha no meio da semana, o que acarretaria em uma perda de alguns dias, João resolveu incrementar sua rotina de backup e incluir uma estratégia diária. Entretanto, a quantidade de dados computacionais da empresa inviabiliza um backup full diário. Assim, João optou por copiar somente os dados que não faziam parte do último backup completo. Nesse caso, João realizará um backup do tipo
De acordo com o Guia de Governança de TIC do SISP (Sistema de Administração dos Recursos de Tecnologia da Informação), a existência de práticas organizacionais de gestão da continuidade do negócio é uma das condicionantes para reduzir os riscos de TI e, consequentemente, aumentar a segurança da informação na organização. Baseado nesse guia, a Security10 planejou um conjunto de estratégias para garantir a continuidade do negócio. Em uma delas, a Security10 firmou um contrato com uma empresa da região a fim de espelhar seus centros de dados (datacenters), possibilitando o uso do centro de dados parceiro para a execução dos serviços de TI em caso de algum desastre ou falha severa em sua infraestrutura de TI, reduzindo o tempo de recuperação para algumas horas. Foi um contrato de muitos milhões de reais. Esse tipo de estratégia de Continuidade do Negócio é classificado como
Analise o texto a seguir. Ato de averiguar a identidade de uma entidade do sistema (por exemplo, usuário, sistema, ponto de rede) e a elegibilidade da entidade para acessar a informação disponível em computadores. Designado para proteção contra atividades fraudulentas no logon, esse ato também pode se referir à verificação da correção de um dado. O texto acima trata do conceito de
Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas às melhorias: I - do enfoque da organização para gerenciar a segurança da informação e seus processos. II - dos controles e dos objetivos de controles. III - na alocação de recursos e/ou de responsabilidades. Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)
Duas entidades, P e Q, desejam se comunicar por meio de um canal seguro e, para isso, decidem utilizar uma terceira entidade de confiança, X, para a criação deste canal. Ambas as entidades já possuem a chave pública de X e confiariam em uma assinatura dessa entidade. Nesse contexto, considere os seguintes passos executados para a estabelecimento do canal:1. P requisita a X a chave pública de Q. 2. X pega a chave pública verificada de Q, nos seus bancos de dados, e assina essa chave atestando sua legitimidade. 3. X envia para P a chave junto com a assinatura. 4. P verifica a assinatura de X, certifica-se de que tudo está correto e aceita essa chave de Q como autêntica. 5. P usa sua chave particular para encriptar a chave pública de Q e envia o resultado para Q. 6. Q usa sua chave particular para desencriptar a chave enviada por P. 7. P e Q passam a usar um algoritmo simétrico com a chave enviada por P para trocar as mensagens. Considerando os objetivos de P e Q e analisando os passos por eles executados, conclui-se que, para atender às necessidades de P e Q
Em relação aos aspectos relevantes que envolvem a segurança da informação, analise as proposições a seguir. I - O certificado digital de uma empresa é um arquivo confidencial que deve estar a salvo das ações de hackers, pois, caso contrário, o certificado será revogado. II - CAPTCHAs podem ser utilizados para impedir que softwares automatizados executem ações que degradem a qualidade do serviço prestado por um sistema Web, devido ao abuso no uso do recurso disponibilizado pelo sistema. III - O não repúdio é uma técnica de proteção utilizada por agentes de segurança para educar os usuários contra a possível tentativa de hackers de obterem informações importantes ou sigilosas em organizações ou sistemas, por meio da enganação ou da exploração da confiança das pessoas. Está(ão) correta(s) a(s) proposição(ões)
Segurança de Informação envolve vários aspectos da proteção à informação. A esse respeito, qual das seguintes situações apresenta-se com correção conceitual?
Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é
Algumas pragas computacionais fazem a infecção das estações atacadas com códigos maliciosos que, periodicamente, tentam fazer o download e a execução de outros arquivos de códigos maliciosos mantidos em sítios espalhados pela Internet. O conjunto de estações infectadas com esse tipo de praga forma o que é conhecido por
Recuperar senha
