Scribd Logo
Carregar

Bem-vindo(a) ao Scribd!

  • 176 visualizações

    1 Lista FATEC Segurança Incompleta

    Enviado por

    Alexia Bartholo
    O documento apresenta uma lista de exercícios sobre segurança da informação com 30 questões. As questões abordam tópicos como requisitos de segurança, ameaças, vírus e worms, autenticação, criptografia, sniffing, DDoS, engenharia social e políticas de segurança.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd

    1 Lista FATEC Segurança Incompleta

    Enviado por

    Alexia Bartholo
    176 visualizações8 páginas
    O documento apresenta uma lista de exercícios sobre segurança da informação com 30 questões. As questões abordam tópicos como requisitos de segurança, ameaças, vírus e worms, autenticação, criptografia, sniffing, DDoS, engenharia social e políticas de segurança.

    Descrição original:

    Lista parcialmente respondida

    Título original

    1 lista FATEC Segurança incompleta

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOC, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    O documento apresenta uma lista de exercícios sobre segurança da informação com 30 questões. As questões abordam tópicos como requisitos de segurança, ameaças, vírus e worms, autenticação, criptografia, sniffing, DDoS, engenharia social e políticas de segurança.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Fazer download em doc, pdf ou txt
    176 visualizações8 páginas

    1 Lista FATEC Segurança Incompleta

    Enviado por

    Alexia Bartholo
    O documento apresenta uma lista de exercícios sobre segurança da informação com 30 questões. As questões abordam tópicos como requisitos de segurança, ameaças, vírus e worms, autenticação, criptografia, sniffing, DDoS, engenharia social e políticas de segurança.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Fazer download em doc, pdf ou txt
    de 8

    1ª.

    Lista de Exercícios – Segurança da Informação - FATEC

    1. Explique os seguintes requisitos gerais de segurança:


    a. Integridade.: proteger a informação contra qualquer tipo de
    alteração sem a autorização do autor.

    b. Disponibilidade. Manter
    disponivel os recursos da empresa
    quando necessaries os acessos e initerruptos.

    c. Confidencialidade: Visa
    manter o sigilo a privacidade das
    informações evitando que pessoas não autorizadas tenham
    acesso.

    2. O que é uma ameaça?


    Causa de um incidente indesejado que possa resultar em dano para um sistema ou
    organização.

    3. Explique os passos a serem seguidos para atacar uma rede?

    4. Qual a diferença entre um vírus e um Worm ? Como cada um deles se reproduz ?

    Os vírus são programas que se inserem dentro de outros


    programas, fazendo com que, quando estes sejam
    executados, o vírus também o seja. Ja o worms se propaga
    automaticamente na rede, é uma subclasse de virus Sua
    propagação se dá através da exploração de vulnerabilidades existentes
    ou falhas na configuração de softwares instalados em computadores.

    5. Descreva os tipos de autenticação que os sistemas computacionais podem utilizar.


    Autenticação usando senhas: o usuário escolhe palavras números para ser autenticado
    em um sistema site.
    Autenticação usando um objeto físico: o usuário utiliza cartões inteligentes, credenciais ,
    cartões de faixa magnéticas
    Autenticação usando biometria: Autenticação por meio de características biológicas; A
    verificação consiste na captura da característica do usuário através de
    sensores
    6. Quais os pilares da segurança que são garantidos pelos princípios da criptografia?
    Confiabilidade, disponibilidade, integridade.
    7. Explique o que é técnica de sniffer, para o que é utilizada e como pode ser
    neutralizada.

    Farejamento de pacotes (packet sniffing), captura dos pacotes


    diretamente da rede, Originalmente, são softwares de resolução de
    problemas de rede, seu acesso é o segmento de rede, faz uso de
    filtros (IPs, serviços, conteúdos).

    8. Explique o ataque de DDOS.

    Um ataque DDoS visa tornar um servidor, serviço ou


    infraestrutura indisponível. O ataque pode assumir
    várias formas: uma sobrecarga da largura de banda do
    servidor para o tornar indisponível ou um esgotamento
    dos recursos de sistema da máquina, impedindo-a de
    responder ao tráfego legítimo.

    9. Conceitue Adware, spyware, keylogger, cavalo-de-troia, hacker, cracker.

    Adware: Adware (Advertising software) é um tipo de software especificamente projetado para


    apresentar propagandas, normalmente através de um Browser Coleta informações do usuário
    para mostrar avisos na tela via browser.

    Spyware: Monitora comportamento de navegação na internet. Pode ser utilizado para roubar
    informações.
    Keylog: grava as entradas do teclado. Pode ser também um hardware.
    Cavalo de troia:
    Hacker: São aqueles indivíduos que possuem conhecimentos profundos de informática e fazem
    uso deles de forma positiva.
    Craker: eles utilizam seus grandes conhecimentos em informática de forma menos honesta:
    quebrando (cracking) sistemas de segurança de softwares para ter alguma vantagem financeira
    lá na frente.

    10. O que você entende por engenharia social? Cite exemplos.


    Técnica que explora fraquezas humanas e sociais, em vez de explorar a tecnologia,
    uso de falsa identidade, explora boa vontade e boa fé das pessoas; uso de psicologia
    e de técnicas de intimidação;

    11. Explique a importância de uma política de segurança?


    A politica de segurança orienta as ações e as implementações futuras, com
    essa politica são criadas normas e procedimentos que todos os funcionários
    devam cumprir.
    12. Explique o que é um ataque por injeção de SQL?
    é quando o atacantes Manipulam a inserção de código sql, com objetivo
    de enganar o interpretador O atacante altera o parâmetro id no browser
    para enviar admin' OR '1'='1.
    13. Defina ameaça. Cite as principais ameaças internas existentes em uma empresa.
    Causa potencial de um incidente indesejado, que pode resultar em dano para
    um sistema ou organização. Um exemplo seria o colaborador sai da empresa
    e leva junto um “backup” dos seus e-mails, descompri as regras e poliicas da
    empresa.

    14. É o nome dado a uma rede de computadores controlada remotamente através de


    infecção registrada por worms e utilizada em fraudes como DDoS:
    (A) HoneyNet
    (B) Picorede
    (C) Hotspot
    (D) Botnet
    (E) Ad-hoc

    15. Sistema de proteção que utiliza características físicas e/ou comportamentais para
    identificar um indivíduo:
    (A) Esteganografia
    (B) Criptografia
    (C) Biometria
    (D) Captcha
    (E) Assinatura digital

    16. São as características que melhor definem um documento assinado digitalmente:


    (A) Confidencialidade e Credibilidade
    (B) Criptografia e Proteção
    (C) Integridade e Autenticidade
    (D) Disponibilidade e Confidencialidade
    (E) Proteção e Criptografia

    17. Após infectar uma máquina, permite que o cracker invada o sistema ou instale códigos
    maliciosos tendo em vista sua característica de abrir portas facilita estes tipos de
    fraudes:
    (A) Bot
    (B) Vírus
    (C) Trojan-horse
    (D) Backdoor
    (E) Ransonware

    18. O “Teclado Virtual” é um mecanismo que na segurança de dados digitados através de


    páginas da web, comumente utilizado em sites de instituições bancárias. O “Teclado
    Virtual” é um importante agente no combate a um spyware, conhecido como:
    (A) Adware
    (B) Verme
    (C) Key-logger
    (D) Hijacker
    (E) Sniffer

    19. É um malware que se apossa de navegadores da internet, alterando sua “homepage”


    e impedindo acesso às páginas pretendidas pelo usuário:
    (A) Sniffer
    (B) Hijacker
    (C) Ranson
    (D) Bot
    (E) NetBios

    20. Neste local são encontrados os computadores que possuem acesso externo tanto
    para envio quanto para recebimento de dados, como acesso a sites, e-mails ou
    mensageiros. Tem como objetivo impedir danos ao restante dos computadores
    presentes em uma rede local. Fica situada entre a rede local e a internet:
    (A) Firewall
    (B) Captcha
    (C) Servidor DNS
    (D) Rede de Perímetro
    (E) Servidor DHCP

    21. Marque a opção que não corresponde a uma extensão utilizada por cavalos-de-tróia:
    (A) EXE (executável)
    (B) ZIP (compactado)
    (C) ODT (opendocumento)
    (D) SCR (proteção de tela)
    (E) BAT (lote)

    22. Para que um determinado documento seja enviado por e-mail, sem que no entanto
    este seja visto ou descoberto por pessoas não autorizadas, pode-se utilizar uma
    técnica que permite camuflar o arquivo, escondendo-o dentro de outro arquivo. Esta
    técnica é chamada:
    (A) Encapsulamento
    (B) Tunneling
    (C) Criptografia
    (D) Esteganografia
    (E) Digitalização

    23. O dispositivo de segurança que bloqueia e-mails não solicitados, que geralmente são
    enviados para um grande número de pessoas, é conhecido por:
    A) spyware;
    B) filtro anti-spam;
    C) SSL;
    D) Worms;
    E) SSH.

    24. Em uma instituição bancária, o acesso a determinadas informações deve ser limitado
    àqueles funcionários autorizados pelo proprietário da informação, uma vez que o
    vazamento desse tipo de informação representa quebra de sigilo bancário, expondo a
    instituição a riscos. O princípio que limita o acesso às informações tão somente às
    entidades legítimas é denominado
    (A) acessibilidade.
    (B) responsabilidade.
    (C) confidencialidade.
    (D) integridade.
    (E) disponibilidade.

    25. A informação é um dos ativos mais importantes em uma empresa. Proteger os


    processos mais críticos do negócio corporativo, reduzir a probabilidade de ocorrência
    de incidentes relacionados à segurança e recuperar os danos em casos de desastres
    e incidentes são objetivos, entre outros, da implementação de um(a)
    (A) controle de acesso.
    (B) plano de desenvolvimento.
    (C) Política de Segurança.
    (D) política de informação.
    (E) rotina de backup.

    26. Qual dos princípios básicos da segurança da informação enuncia a garantia de que
    uma informação não foi alterada durante seu percurso, da origem ao destino?
    (A)Não-repúdio
    (B)Integridade
    (C)Autenticidade
    (D)Disponibilidade
    (E)Confidencialidade

    27. HTTPS pode ser definido como um protocolo utilizado para :


    (A)acessar páginas com transferência criptografada de dados.
    (B)atribuir endereços IP aos computadores da intranet.
    (C)enviar e receber e-mails.
    (D)permitir o gerenciamento dos nós de uma intranet.
    (E)realizar o armazenamento de páginas da World Wide Web

    28. Descreva 02 vulnerabilidades descritas no OWASP TOP 10.


    Falha por injenção sql: Manipulação/inserção de código sql, com objetivo de
    enganar o interpretador.
    autenticando falha e gerenciamento de sessão: Sessões de usuários que não
    expiram, faz com que o atacante assuma a identidade de outros usuários.

    29. Descreva as principais características de chaves pública e chaves privadas. Cite 02 algoritmos
    de chaves pública e 02 algoritmos de chave privada.
    pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo
    por seu dono. Quando uma informação é codificada com a chave pública, somente
    a outra chave privada do par pode decodificá-la. Diffie-Hellman, RSA (Rivest-
    Shamir-Adleman), DSA (Algoritmo de assinatura digital)

    30. Os tipos de IDS – Sistema de Detecção de Intrusão são


    a) IDS baseado em Honeypot (HIDS), IDS baseado em Rede (NIDS), IDS Híbrido.
    b) IDS baseado em Serviço (SIDS), IDS baseado em Rede (NIDS)
    c) IDS baseado em Host (HIDS), IDS baseado em Scanning (SIDS)
    d) IDS baseado em Host (HIDS), IDS baseado em Rede (NIDS), IDS Híbrido
    e) IDS baseado em Bloqueio (BIDS), IDS baseado em Prevenção (PIDS), IDS Híbrido.

    31. O funcionário de uma empresa recebeu, pelo webmail, uma mensagem supostamente do
    banco no qual tem conta, informando que ele havia sido sorteado e ganhara um prêmio de um
    milhão de reais. Para resgatar o prêmio, o funcionário foi orientado a clicar em um link e digitar
    seus dados pessoais e bancários. Após seguir as orientações e enviar os dados digitados,
    percebeu que o endereço do banco era falso, mas muito semelhante ao endereço verdadeiro.
    O funcionário foi vítima de um tipo de fraude conhecida como
    a) defacing
    b) worming
    c) phishing
    d) keylogging
    e) joking

    32. Os ataques relativos à segurança da informação baseiam-se em aspectos técnicos, físicos


    e/ou humanos. O tipo de ataque que está baseado principalmente no aspecto humano é:
    a) Worm
    b) Spoofing
    c) Engenharia social;
    d) Negação de serviço;
    e) Buffer overflow.

    33. Uma aplicação de reservas de passagens aéreas suporta reescrita de URL. Nesta aplicação,
    um usuário autenticado do site envia um e-mail do link a seguir para que seus amigos saibam
    que ele efetuou a compra.
    http://abc.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSKHCJUN2JV?dest=Tokio

    Isso favorece principalmente um ataque de

    a) Quebra de Autenticação e Gerenciamento de Sessão


    b) Injeção de código.
    c) Cross-Site Scripting (XSS).
    d) Referência Insegura e Direta a Objetos.
    e) Cross-Site Request Forgery (CSRF).

    Você também pode gostar