Segurança

Question 1

Se um certificado digital é corrompido qual o método utilizado para revoga-lo?

Answer 1

O Protocolo Online Certificate Status (OCSP) é um protocolo de Internet utilizado para a obtenção do status de revogação de um X.509 certificado digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi criado como uma alternativa para LCR Listas de Revogação de Certificado (CRL), especificamente abordando alguns problemas associados ao uso de LCR em uma infra-estrutura de chave pública (PKI).

Uma vez que uma resposta do protocolo OCSP contém menos informação do que a LCR (Lista de Certificados Revogados), a consulta via OCSP permite informações atualizadas em tempo real sobre o estado de revogação de um certificado, sem sobrecarregar a rede.

Question 2

O que é um hash?

Answer 2

O “hash” é uma função criptográfica de resumo, utilizada para gerar um número único ao rodar sobre um texto.

Você pode utilizar hash para:

•verificar a integridade de um arquivo armazenado em seu computador ou em seus backups;

• verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado);

• gerar assinaturas digitais, como descrito na Seção 9.3.

Para verificar a integridade de um arquivo, por exemplo, você pode calcular o hash dele e, quando julgar necessário, gerar novamente este valor. Se os dois hashes forem iguais então você pode concluir que o arquivo não foi alterado.

Caso contrário, este pode ser um forte indício de que o arquivo esteja corrompido ou que foi modificado.

Question 3

Exemplos de hash e suas características?

Answer 3

• SHA 512; SHA 384; SHA 256; - Nenhum deles foi encontrada colisão “não quebrados”

• SHA 1 - Já encontraram colisões (lembra de 1 primeiro logo “teste”)

• MD5 ; MD4 - Não deve ser usados, ou devem ser evitados, colisões encontrados.

Question 4

O que é o X.509?

Answer 4

O X.509 é um padrão internacional para certificação digital.
X.509 é um formato padrão para certificados de chave pública, documentos digitais que associam com segurança pares de chaves criptográficas a identidades como sites, indivíduos ou organizações.

Os aplicativos comuns dos certificados X.509 incluem:

SSL /TLSeHTTPSpara navegação na web autenticada e criptografada
E-mail assinado e criptografado viaS/MIMEprotocolo
Assinatura de código
Assinatura de documento
Autenticação de cliente
ID eletrônico emitido pelo governo

Question 5

Qual a forma mais eficiente de ataque para descobrir as senhas contidas nos hashes?

Answer 5

Rainbow Table é um método para descobrir senhas a partir de hashes, de forma rápida. A ideia básica é pré-computar uma longa lista de senhas, com seus respectivos hashes gerados por algum algoritmo específico, e armazenar essa lista em um arquivo, no formato de uma tabela. Assim, é possível reverter uma função de hash criptográfico.

Uma rainbow table pode conter muitos bilhões de hashes com as respectivas senhas que os geraram, podendo ser consultada em questão de segundos. Assim, a partir de um hash, é possível retornar a senha correspondente.

Question 6

Quais são os tipos de certificados digitais e suas características?

Answer 6

A1 e S2 - Ficam armazenados no computador do usuário, são gerados por software.

A2 e S2 - Também são gerador por software, mas ficam em smartphones caros ou totens. Sem capacidade de gerar chaves.

A3 e S3 ou A4 e S4 - São gerados por Hardware, ficam em smart card ou em token, com capacidade de gerar chaves.

Question 7

O que é o algoritmo Diffie Hellman? Quais as Limitações do Algoritmo?

Answer 7

Diffie-Hellman-Algorithm é principalmente um protocolo usado para troca de chaves. Usando este protocolo interativo, duas partes derivarão uma chave secreta comum, comunicando-se uma com a outra. A segurança do algoritmo Diffie-Hellman é baseada principalmente na dificuldade de calcular os logaritmos discretos.

Características:
- É usada para intercambio de chaves entre usuários;
- É baseado na operação de logaritmos discretos;
- Logaritmo discreto é baseado na raiz primitiva;
- Requer autoridade de certificação (chave pública confiável).
-Nãopermite assinatura digital.
-ASSIMÉTRICA
- NÃO É UTILIZADO NA CRIPTOGTAFIA DE DOCUMENTOS

Limitações do algoritmo Diffie Hellman:

• Falta de procedimento de autenticação.
• O algoritmo pode ser usado apenas paratroca de chave simétrica.
• Como não há autenticação envolvida, ele é vulnerável a ataques man-in-the-middle.
• Como é computacionalmente intensivo, é caro em termos de recursos e tempo de desempenho da CPU.
• A criptografia de informações não pode ser realizada com a ajuda deste algoritmo.
• A assinatura digitalnão pode ser assinada usando o algoritmo Diffie-Hellman.

Question 8

Quais são as principais funções que uma hash deve possuir?

Answer 8

• deve ser fácil computar o valor de dispersão para qualquer mensagem
• deve ser difícil gerar uma mensagem a partir de seu resumo
• deve ser difícil modificar a mensagem sem modificar o seu resumo
• deve ser difícil encontrar duas mensagens diferentes com o mesmo resumo.

Question 9

Quais as os diferentes tipos de cifras?

Answer 9

• Cifra de substituição: altera um caractere por outro, mantendo sua posição, apenas substituindo por outro.

• Cifra de Transposicao: troca as posições sem alterar o cacatere, apenas embaralhando as palavras.

• Cifra Esteganografia : Busca esconder uma mensagem dentro de outra,

Question 10

requisitos básicos de segurança:

Answer 10

Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.

Autenticação: verificar se a entidade é realmente quem ela diz ser.

Autorização: determinar as ações que a entidade pode executar.

Integridade: proteger a informação contra alteração não autorizada.

Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.

Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.

Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

Question 11

O que é um ataque XSS?

Answer 11

O cross-site scripting é um tipo de ataque virtual no qual um malware com código malicioso que sai de um website “hospedeiro” é injetado em um website anteriormente confiável, daí o nome cross-site.

Originalmente, o termo se referia apenas aos códigos maliciosos criados em JavaScript. Com o tempo, a sigla XSS agora abrange outros códigos, como ActiveX, HTML, Flash e outros.

O ataque XSS funciona como uma injeção com scripts maliciosos inseridos em websites, quando o hacker infecta um website confiável com estes códigos, prejudica as pessoas que acessam o endereço eletrônico contaminado.
Ex:

document.write(“<iframe width=’0’ height=’0’ src=’https://ssite.cn’></iframe>”

.

Question 12

Como identificar as ameaças a segurança?

Answer 12

virus -> danifica
worm -> afeta desempenho
spyware-> capturar dados
rootkit -> esconder malwares
backdoor -> abrir falhas
ransoware -> criptografa e exige resgate
trojan horse -> transporta malware

Question 13

O que é o ataque de eavesdropping?

Answer 13

Eavesdrop é o ato de interceptar. O eavesdropping é uma técnica de espionagem / interceptação utilizada para capturar dados. Possui 5 métodos principais: dispositivo de captação, link de transmissão, posto de escuta, senhas fracas e redes abertas. No método de rede aberta, o atacante realiza a conexão da rede e monitoramento dos dados que trafegam, capturando pacotes e analisando sua carga de conteúdo

Question 14

Clickjacking é uma técnica maliciosa quem induz um usuário a clicar em algo diferente do que o usuário enxerga, potencialmente revelando informações confidenciais ou assumindo o controle de seu computador enquanto o usuário clica em páginas web aparentemente inofensivas. Como prevenir?

Answer 14

é possível evitar esse golpe através do cabeçalho X-Frame-Options

Question 15

Ospoofing de siteocorre quando?

Answer 15

O spoofing de site ocorre quando um cibercriminoso cria um site falso que parece legítimo. Ao fazer login, o cibercriminoso obtém suas credenciais.

Question 16

Quais as características da criptografia simétrica?

Answer 16

• Uma única chave para 2 partes (Simétrica)
• Pessoa codifica e envia
• mesma chave a pessoa recebe e descodfica
• Garante a confidencialidade
• Não garante Integridade e nem Autenticidade.

Question 17

O que é a criptografia assimétrica?
Qual a desvantagem?

Answer 17

Ela usa uma chave pública e uma chave privada formando um par exclusivo por usuário.

Desvantagem: Elas são mais longas para serem únicas e o processo fica até 100x mais lento.

Question 18

Em uma transmissão utilizando chave assimétrica como garantir a confidencialidade?

Answer 18

• O emissor usa a chave pública do destinatário para criptografar
• O Distinatario faz a descriptografia com a sua chave privada

Logica: Preciso que só o destinatário abra essa mensagem (confidencial) logo mando com a pública dele e só ele tem a chave privada dele pra abrir.

Question 19

Usando a chave assimétrica como eu posso garantir a autenticidade?

Answer 19

• O emissor vai usar sua chave privada pra criptografar (como se fosse uma assinatura)

• o destinatário vai abrir descriptografar usando a chave pública do emissor.

Logica: pessoa precisa saber que fui eu que mandei, logo só eu tenho minha chave privada, então eu assino com ela o que garante que fui eu que escrevi aquilo.
E a pessoa usa a minha chave pública pra abrir.

Question 20

O que é a criptografia híbrida?

Answer 20

Usa a criptografia assimétrica apenas para trocar as chaves simétricas (chaves de sessão) de forma segura.

Question 21

O que a assinatura eletrônica garante?
(Obs: Assinatura digita l= Hash)

Answer 21

A assinatura é a chave privada do usuário logo a assINAtura garante:

• Integralidade
• Não Repúdio (não posso dizer que não fui eu)
• Autenticidade.

Question 22

Como funciona um processo de hash?

Answer 22

Hash = Assinatura digital
1° Emissor escreve a mensagem
2° Calcula um Hash para garantir integridade.
3° Hash encriptado com assinatura privada do emissor = Assinatuea digital
4° Transmissão
5° Mensagem recebida pode ser liga normalmente ( não há confidencialidade)
6° Hash é desincriptado com a chave pública do emissor
7° Calcula o hash para garantir que foi a pessoa mesmo que escreveu, se os hashs forem iguais a mensagem é:
integra, irrefutável (não repudio), autêntica.

☆ assINAtura digital.

Question 23

Qual o tipo de ataque que se caracteriza por alterar as tabelas de cache dns e redireciona o tráfego para sites fraudulentos?
Ex: pessoa digita na barra e-mail do banco do Brasil e ele redireciona para um site falso do banco do Brasil.

Answer 23

Pharming

Question 24

Qual o nome do tipo de ataque que é usado para espalhar fake news, podendo conter códigos maliciosos e consumo de banda de rede, comprometendo a reputação de pessoas ou entidades?

Answer 24

Hoase (Boato)

Question 25

Mais são as principais ferramentas de hash?

Answer 25

MD5 E SHA.

Lembrar que a Hash apenas faz a função de garantir a autenticidade por meio de um cálculo numerido que é confirmado após para garantir que veio do remetente.
Dessa forma ela é calculada e enviada com a chave privada, o receptor vai abrir com a chave minha chave pública. Isso garante autenticidade.

Question 26

Qual a ferramenta que utiliza ciframento apartir de uma chave pública a qual o receptor decifra com uma chave privada?

Answer 26

Lembrar primeiro que é uma função de chaves assimétrica.
Não é uma hash pq aqui eles estão garantindo a confidencialidade.
Pública- privada (Só o receptor consegue abrir)

Logo as ferramentas são
RSA ; DSA; Diffie Helmans

Question 27

Quais são as principais ferramentas de chaves simétricas?

Answer 27

Simétricas são as chaves iguais.
Os mosquitos da dengue e os peixes são iguais
AES, DES, Blowfish, Twofish

Question 28

A Cifra de Vigenere é um conjunto de cifras de Cesar. Pra que serve?

Answer 28

Ela faz uma SUBSTITUIÇÃO polialfabetica.
Ela substitui as letras ou palavras de uma frase ou sexto para criptografalo de forma que fique indecifrável.

Question 29

Quais as diferenças entre os certificados A1, A2, A3, A4?

Answer 29

A1 - S1 = 1024 ; Software; Aquivo
A2-S2 = 1024; Software; Cartão, Token, Gera Chave
A3 - S3 = 1024; Hardware; Cartão, Token, Gera Chave
A4 - S4 = 2048; Hardware; Cartão, Token, Gera Chave

Question 30

Qual é uma forma fácil de se proteger senhas em um aplicativo de armazena,ento de senhas?

Answer 30

Usar um algoritmo HASH COM SALT é uma boa prática para proteger senhas. O “hash” transforma a senha em um conjunto fixo de caracteres, enquanto o “salt” é um valor aleatório gerado para cada usuário, que é adicionado à senha antes de aplicar o hash. Isso dificulta a descoberta da senha original mesmo que o invasor obtenha os hashes e os salts.

Question 31

Qual assinatura deve ser admitida em qualquer interação com entes públicos?

Answer 31

Assinatura digital Qualificada.

☆
- Simples: Sem certifixado
- Avançada - Tem certificado mas não ICP- Brasil
- Qualificada - Certificado do ICP Brasil.

Question 32

Qual a assinatura digital que utiliza certificados não emitidos pelo ICP - Brasil?

Answer 32

Assinatura Digital Avançada.

☆
- Simples: Sem certifixado
- Avançada - Tem certificado mas não ICP- Brasil
- Qualificada - Certificado do ICP Brasil.

Question 33

Conforme ISO
A organização deve estabelecer os objetivos de segurança da informação para funções e níveis relevantes.
Para isso os objetivos devem ser?

Answer 33

a) ser consistentes com a política de segurança da informação;

b) ser mensurável (quando aplicável);

c) levar em conta os requisitos de segurança da informação aplicáveis, e os resultados da avaliação e tratamento dos riscos;

d) ser comunicados; e

e) ser atualizado, conforme apropriado

Question 34

A WSDL (Web Services Description Language) é uma linguagem baseada em XML utilizada para descrever Web Services. Ela possui as seguintes características:

Answer 34

• é descrita em um documento no formato XML;
• descreve um serviço;
• especifica como acessar o serviço;
• apresenta quais métodos ou operações o serviço fornece.

Question 35

Em um Processo de Análise de Pontos de Função (APF) ESTIMADA, o que pessoa precisa considerar?

Answer 35

Complexidade baixa → Funções de Dados

Complexidade média → Funções de Transações.

Question 36

O que é UDDI?

Answer 36

A UDDI é utilizada por empresas para buscar serviços WEB. É descrita como um diretório e um framework, aonde as empresas podem expor os seus serviços. Utiliza SOAP e por esse motivo trabalha com o XML Schema