SEGURANÇA DA INFORMAÇÃO Flashcards
1
Q
Cada certificado no padrão X.509 versão 3 inclui uma chave pública, a assinatura digital, informações sobre a identidade associada ao certificado e a autoridade certificadora que o emite.
A
CERTO
Os certificados X 509 possuem três componentes principais:1. Par de chaves;2. Assinatura digital;3. Informações sobre a identidade do emissor e do proprietário.
2
Q
Entre as atividades corretivas definidas para a hardening, técnica utilizada para tornar o sistema completamente seguro, destaca-se a de manter atualizados tanto os softwares do sistema operacional quanto os das aplicações.
A
ERRADO
Não existe completamente seguro.
Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.
3
Q
De acordo com a ISO 27002 o………………. é o responsável por classificar a informação de sua alçada.
A
proprietário do ativo
4
Q
Na classificação comum, os documentos que necessitam de sigilo especial são classificados como …………………… A classificação crítica se refere a informações que, se divulgadas, podem trazer um risco muito elevado para a organização, como informações financeiras, estratégicas ou de propriedade intelectual.
A
Sensíveis
5
Q
A classificação dos ativos de informação em graus de sigilo constitui precondição para se definir os requisitos de tratamento e de proteção a eles aplicáveis.
A
CERTO
6
Q
Os ataques ……………………… são aqueles que não alteram ou interferem no fluxo de dados. Ou seja, escutas ou interceptações apenas para coleta e leitura das informações, sem sua alteração, caracteriza esse tipo de ataque.
A
passivos
● Eavesdropping: Interceptação de dados em redes sem fio ou com fio.
● Análise de tráfego: Monitoramento de pacotes de rede para identificar informações confidenciais.
● Ataques de sniffing: Captura de dados em redes utilizando ferramentas específicas
7
Q
O mecanismo de detecção por aproximação em crachás está baseado na tecnologia de …………………
A
radiofrequência
comumente conhecida como RFID (Radio-Frequency Identification). Os crachás de identificação são equipados com uma pequena antena e um chip que emite sinais de radiofrequência quando aproximados de um leitor compatível.
8
Q
As boas práticas da gestão dos controles de acesso lógico de uma organização incluem atribuir direitos de
acesso aos usuários, conforme necessidades reais de seu trabalho ou cargo, disponibilizar contas de
usuários apenas a pessoas autorizadas, armazenar senhas criptografadas e usar técnicas visíveis de
identificação.
A
ERRADO
nem todos os itens elencados são boas práticas. O item que fica fora dessa lista é a técnica de armazenamento de senhas criptografadas
9
Q
. A ideia do HARDENING é “endurecer” um servidor de tal modo a deixá-lo mais robusto e seguro.
A
CERTO
10
Q
Quais são as boas práticas de utilização de usuário ROOT em um servidor?
A
Não se deve possibilitar a utilização do usuário ROOT de forma direta, ou seja, logando-se como ROOT. Para tanto, deve-se utilizar apenas o método de escalação de privilégios, ou seja, deve-se logar como determinado usuário para posterior mudança de privilégio e consequente execução de comandos ou aplicações. Isto possibilita a geração de lastros e trilhas de auditorias, além de ser mais uma camada de segurança.
11
Q
Explique a diferença entre as técnicas de controle de acesso MAC, DAC, RBAC e ABAC.
A
- Mandatory Access Control (MAC) - base em políticas de segurança pré-definidas - como listas de controle de acesso (ACLs) e labels de segurança.
- Discretionary Access Control (DAC) - o usuário tem o controle de garantir privilégios de acesso a recursos aos que estão sob seu domínio
- Role-Based Access Control (RBAC) - privilégios de acordo com a função do usuário.
- Attribute-Based Access Control (ABAC) - base em atributos do sujeito, objeto e contexto.
12
Q
Para o estabelecimento dos controles de acesso a um sistema de informação desenvolvido numa organização, o administrador de segurança sugeriu que, para cada objeto ou recurso do sistema, fossem atribuídas autorizações de acesso bem definidas a indivíduos, funções ou grupos. A técnica de controle de acesso lógico indicada pelo administrador denomina-se
A
lista de controle de acesso (ACL)
Somente aqueles na lista são permitidos nas portas. Isso permite que os administradores garantam que, a menos que as credenciais adequadas sejam apresentadas pelo dispositivo, ele não possa obter acesso.
13
Q
No controle de acesso, somente os usuários que tenham sido especificamente autorizados podem usar e
receber acesso às redes e aos seus serviços.
A
CERTO
Exatamente. É importante sempre lembrar essa diferença básica da autenticação e autorização.
14
Q
Códigos de verificação de um sistema de autenticação de dois fatores podem ser enviados por email ou
gerados por um aplicativo autenticador instalado no dispositivo móvel do usuário.
A
CERTO
como o Google
Authenticator, por exemplo, ou algum serviço semelhante, onde são geradas senhas para cada usuário.
Agora é importante destacar que aqui nós temos o modelo de algo que você sabe, com algo que você possui.
15
Q
Uma das condições para a autenticação é que o sinal biométrico apresenta correspondência exata entre o
sinal biométrico recebido pelo sistema e o gabarito armazenado.
A
ERRADO
Existem os modelos comportamentais, que também são sinais biométricos e trabalham com referências variáveis, mas dentro de um padrão aceitável, com taxa de similaridade e equivalência alto. Dizer que tem que ser exato, não é uma verdade para sua generalização.
16
Q
Um …………………… geralmente é uma sequência de comandos, dados ou uma parte de um software elaborados por hackers que conseguem tirar proveito de um defeito ou vulnerabilidade. O objetivo, neste caso, é causar um comportamento acidental ou imprevisto na execução de um software ou hardware, tanto em computadores quanto em outros aparelhos eletrônicos.
A
exploit
pode dar a um cracker o controle de um sistema de computador, permitindo a execução de determinados processos por meio de acesso não autorizado a sistemas, ou ainda realizar um ataque de negação de serviço.
não precisa que o usuário clique em um determinado link ou faça o download para a execução de algum arquivo. Por isso, os exploits são armas perigosas nas mãos de hackers mal intencionados.
17
Q
O SDL (Security Development Lifecycle) engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software. Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.
A
CERTO
18
Q
O SDL (Security Development Lifecycle) engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software. Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o …………………… do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.
A
DESIGN
- FASE DE REQUISITOS
- FASE DE DESIGN
- FASE DE IMPLEMENTAÇÃO
- FASE DE VERIFICAÇÃO
- FASE DE SUPORTE E MANUTENÇÃO
19
Q
Quais são as fases do ciclo de vida SDL (Security Development Lifecycle)?
A
- FASE DE REQUISITOS
- FASE DE DESIGN
- FASE DE IMPLEMENTAÇÃO
- FASE DE VERIFICAÇÃO
- FASE DE SUPORTE E MANUTENÇÃO
20
Q
Os mecanismos de autenticação são procedimentos, rotinas, ferramentas ou soluções que implementam, de fato, o princípio de autenticação com o devido controle de acesso. Estes podem ser subdivididos em três grandes grupos, quais sejam:
Algo que você sabe: senha.
Algo que você tem: token, crachá, smart card.
Algo que você é: biometria (digital, iris, voz, face, etc.)
O conjunto dessas três características conceitua o termo …………………………..
A
AAA (authentication, authorization e accounting).
21
Q
O principal protocolo que roda por trás do recurso …………. é o LDAP, no âmbito corporativo. Uma implementação mais simples é por intermédio dos cookies dos browsers dos dispositivos.
A
SSO
22
Q
O ………….. elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O ………….. possibilita o …………. ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.
A
O SSO elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O SAML possibilita o SSO ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.
23
Q
O SSO elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O ………….. possibilita o SSO ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.
A
SAML
24
Q
O SAML é um padrão aberto que permite com que provedores de serviços e recursos de identidade passe credenciais de autorização para provedores de serviços através de refresh tokens.
A
ERRADO
SAML usa XML para autenticação via federação de identidade.
25
O SAML está na versão 2.0, e, em suas especificações, define basicamente 3 papéis:
1.
2.
3.
1. O principal (tipicamente um humano);
2. O Provedor de Identidades (Identity Provider - IDP)
3. O Provedor de Serviços (Service Provider - SP)
26
........... usa tokens da web com JSON (JWTs) para verificar a identidade de um usuário final, permite que os usuários façam login em vários sites usando um conjunto de credenciais de login.
OAuth
27
Biometria é um conceito amplo que envolve identificar de maneira única um indivíduo por meio de suas características físicas ou comportamentais. Cite 4 características fisiológicas e 3 comportamentais.
Fisiológicas
-Face
-Impressão digital
-Mão
-Olho (iris, retina)
Comportamentais
-Assinatura (estática e dinâmica)
-Voz
-Ritmo de escrita
28
Basicamente, quando falamos de ........................, referenciamos os equipamentos finais que ficam nas mãos dos usuários finais (computadores, laptops, smartphones, entre outros). A segurança desses equipamentos busca evitar ataques cibernéticos, detectar atividades maliciosas e fornecer recursos de correção instantânea, entre outros.
ENDPOINTS
Dentre alguns recursos e contextos de aplicação das soluções voltadas para segurança em EndPoints, podemos citar Antivírus, Antimalwares, firewalls, HIDS e HIPS, Atualizações diversas de drivers, softwares e S.O., entre outros. Vamos reforçar alguns recursos e conceitos para cada um desses aspectos.
29
Você já se perguntou como os desenvolvedores de software garantem que seus aplicativos, drivers, executáveis e softwares sejam autênticos, íntegros e seguros? A resposta é a ...................................., como também é conhecido, um processo que usa certificados digitais e criptografia para verificar a identidade do editor e a integridade do código.
assinatura de código ou Code Signing
Code Signing é baseada em uma tecnologia chamada infraestrutura de chave pública (PKI), que usa pares de chaves públicas e privadas para criar assinaturas digitais.
30
Ataques como ......................, onde não são conhecidos em nenhuma assinatura, somente poderão ser detectados preventivamente por meio de técnicas de análise de comportamento por meio de inteligência artificial e aprendizado de máquina que traçam linhas de base com base em heurísticas, redes neurais e muitas outras técnicas, para tentar prever determinados malwares e outras ações.
ZERO-DAY
31
Ataques como ZERO-DAY, onde não são conhecidos em nenhuma assinatura, somente poderão ser detectados preventivamente por meio de técnicas de análise de comportamento por meio de inteligência artificial e aprendizado de máquina que traçam linhas de base com base em heurísticas, redes neurais e muitas outras técnicas, para tentar prever determinados malwares e outras ações.
CERTO
32
Ataques ........................ basicamente são aqueles que ainda não foram descobertos pelas comunidades e provedores de soluções de segurança, ou ainda, pelo donos das soluções e produtos, para que possam implementar as medidas de segurança ou correções necessárias para eliminar a vulnerabilidade.
ZERO-DAY
33
........................: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
RISCO
34
RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
CERTO
35
AMEAÇA: probabilidade de uma fonte de risco explorar uma vulnerabilidade, resultando em um impacto para a organização
errado
RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
36
Explique sucintamente:
1) RISCO
2) AMEAÇA
3) VULNERABILIDADE
4) IMPACTO
5) INCIDENTE
1) RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
2) AMEAÇA: Causa potencial de um incidente indesejado.
3) VULNERABILIDADE: Fragilidade de um ativo que pode ser explorada por uma ou mais ameaças
4) IMPACTO: Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
5) INCIDENTE: um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
37
................... é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
INCIDENTE
38
Quais as 4 formas básicas de como a organização deve reagir aos riscos?
1) Evitar
2) Transferir
3) Miotigar
4) Aceitar ou Reter
39
DIRETRIZES PARA O DESENVOLVIMENTO DE SOFTWARE SEGURO
Os softwares devem ser capazes de aplicar regras de ...................... gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
Os softwares devem ser capazes de aplicar regras de controle de acesso, gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
40
DIRETRIZES PARA O DESENVOLVIMENTO DE SOFTWARE SEGURO
Os softwares devem ser capazes de aplicar regras de controle de acesso, ,,,,,,,,,,,,,,,,,,,,,,,,, que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
Os softwares devem ser capazes de aplicar regras de controle de acesso, gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.
41
...................... é uma técnica utilizada para testar erros em aplicações. É amplamente utilizado no processo de desenvolvimento de softwares seguros devido sua capacidade de detectar defeitos que usuários não descobrem com facilidade
Fuzzing
Assim, caso este seja descoberto em ambiente de produção, pode gerar grandes danos aos usuários de determinada aplicação. A referida técnica consiste, basicamente, em enviar entradas randômicas para a aplicação.
42
O que é a técnica Fuzzing?
é uma técnica utilizada para testar erros em aplicações. É amplamente utilizado no processo de desenvolvimento de softwares seguros devido sua capacidade de detectar defeitos que usuários não descobrem com facilidade. Assim, caso este seja descoberto em ambiente de produção, pode gerar grandes danos aos usuários de determinada aplicação. A referida técnica consiste, basicamente, em enviar entradas randômicas para a aplicação
43
É uma metodologia criada pela Microsoft para o desenvolvimento de softwares que precisam suportar ataques de usuários mal-intencionados. O processo engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software da Microsoft.
SDL (Security Development Lifecycle)
Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um "esforço de segurança" direcionado.
44
Quais as etapas do ciclo de vida SDL (Security Development Lifecycle)?
1. FASE DE REQUISITOS
2. FASE DE DESIGN (*** modelagem de ameaças)
3. FASE DE IMPLEMENTAÇÃO
4. FASE DE VERIFICAÇÃO
5. FASE DE SUPORTE E MANUTENÇÃO
45
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.
CERTO
46
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a ................................, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.
atividades e papéis
47
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas ..........................., que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.
Visões CLASP
48
CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de .............................. a serem consideradas no desenvolvimento do software.
Taxonomias de vulnerabilidades
49
OWASP Secure Coding Practices é uma comunidade aberta dedicada a permitir que as organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. Cite 5 riscos de segurança mais críticos de aplicações Web do top 10.
1)Broken Access Control:
2)Cryptographic Failures
3)Injection (agora inclui Cross Site Scripting):
4) Insecure Design
5)Security Misconfiguration
6)Vulnerable and Outdated Components
7)Identification and Authentication Failures: ocasionado por práticas inadequadas de autenticação, senhas inseguras.
8)Software and Data Integrity Failures
9)Security Logging and Monitoring Failures: práticas de registro e monitoramento inadequadas.
10)Server-Side Request Forgery: Indução de solicitações pelo servidor em nome do atacante - Falhas na validação de URLs, permitindo solicitações não autorizadas.
50
A biometria das digitais tem como principal vantagem o fato de que as impressões digitais são imutáveis.
ERRADO
esse é justamente um dos riscos da biometria, falha na identificação por conta de variações nas características biométricas ao longo do tempo
51
Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.
CERTO
a modelagem de ameaças é um prática do modelo SDL presente na etapa de Design.
52
O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
CERTO
O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
53
Qual a diferença entre SAST, DAST e IAST?
SAST (Static application security testing): análise estátisca do código
DAST (Dynamic application security testing): análise dinâmica, em execução, de fora pra dentro, teste de comportamento, testes de penetração.
IAST (Interacive application security testing): se integra diretamente ao código do aplicativo e monitora sua execução em busca de vulnerabilidades em tempo real.
54
Ao contrário das ferramentas estáticas que analisam o código-fonte ou das ferramentas dinâmicas que simulam ataques, as ferramentas IAST examinam a aplicação em tempo de execução. Isso permite a detecção de vulnerabilidades reais à medida que a aplicação interage com dados, APIs e usuários reais.
CERTO
55
Ao contrário das ferramentas estáticas que analisam o código-fonte ou das ferramentas dinâmicas que simulam ataques, as ferramentas ............ examinam a aplicação em tempo de execução. Isso permite a detecção de vulnerabilidades reais à medida que a aplicação interage com dados, APIs e usuários reais.
IAST (Interacive application security testing): se integra diretamente ao código do aplicativo e monitora sua execução em busca de vulnerabilidades em tempo real.
56
A lógica difusa é uma das técnicas utilizadas em testes dinâmicos (DAST) para tentar detectar falhas de segurança em binários.
CERTO
A lógica difusa, ou fuzzy logic, é uma forma de lógica que lida com valores de verdade que variam entre 0 e 1. Ao contrário da lógica binária clássica que trabalha com valores absolutos de verdade (0 ou 1), a lógica difusa permite que variáveis tenham valores intermediários, representando graus de verdade.
57
A criptologia incorpora estudos e conhecimentos das áreas de criptografia e criptoanálise.
CERTO
58
Qual a diferença entre Criptoanálise, Criptologia e Cifra?
Criptoanálise = Ciência de quebrar códigos e decifrar mensagens.
Criptologia = Ciência que agrega a criptografia e a criptoanálise.
Cifra = Método de codificação de mensagens com vista à sua ocultação.
59
Ao codificarmos uma mensagem, podemos utilizar, basicamente, três métodos de cifragem, quais sejam: ........................., ..........................e ............................. A combinação desses métodos com fórmulas e funções matemáticas geram os tão conhecidos algoritmos de criptografia.
substituição, transposição e esteganografia
60
Em um ataque por .........................., exploram-se a natureza e as características do algoritmo na tentativa de deduzir as chaves utilizadas ou de deduzir um texto claro específico.
Criptoanálise
Ciência de quebrar códigos e decifrar mensagens.
61
Um esquema de criptografia será considerado computacionalmente seguro se o tempo para se quebrar sua cifra for superior ao tempo de vida útil da informação por ele protegida.
CERTO
Se a informação não faz mais sentido, ou seja, se ela não tem mais valor, não há problemas em ela ser violada. Nesse sentido, precisamos garantir que o sistema não seja quebrado enquanto a informação produz algum valor, ou seja, dentro do seu período de vida útil.
62
Empregada na criptografia, a transposição consiste na mudança na posição de letras ou palavras; essa técnica demanda que ambas as partes conheçam a fórmula de transposição utilizada.
CERTO
obviamente, é necessário que as duas partes saibam e tenham domínio completo do procedimento ou regra estabelecida.
63
Esteganografia é uma técnica que consiste em ocultar uma mensagem dentro da outra, enquanto a criptografia é uma técnica que codifica o conteúdo da mensagem.
CERTO
64
Cifragem de Bloco = .......... block
Cipher
65
Quais são as técnicas/métodos de cifras de bloco? são 5
1) Eletronic Code Book – ECB
2) Cipher Block Chaining – CBC
3) Cipher FeedBack - CFB
4) OFB (Output Feedback)
5) CTR (Counter)
66
Qual método de cifra de bloco é o mais utilizado? Ele utiliza que tipo de operação?
Cipher Block Chaining – CBC
Utiliza a operação XOR. A cifragem de cada bloco depende da cifragem de todos os blocos anteriores.
67
Nos sistemas criptográficos simétricos, .......................... é o mecanismo que impede a criptoanálise por análise estatística caracterizado por dissipar a estrutura estatística do texto plano em estatísticas de longo alcance .
DIFUSÃO
68
O modo de operação de cifra de bloco da criptografia simétrica, no qual o bloco de texto claro atual é usado diretamente na entrada do algoritmo e criptografado com a mesma chave, de tal forma que, como consequência disso, sempre produz blocos de texto cifrado iguais para blocos de texto claro iguais, é o ............
Electronic Codebook (ECB)
É o método mais simples que utiliza como conceito a independência dos blocos sendo aplicada a mesma chave.
69
A criptoanálise, baseada nas propriedades do algoritmo de criptografia, e a força bruta, que compreende a tentativa de quebra de todas as chaves possíveis, constituem tipos de ataque a um algoritmo de criptografia.
CERTO
70
A entropia é um recurso tangível. O termo descreve a informação aleatória recolhida por um sistema operativo para gerar chaves criptográficas utilizadas para encriptar informação. À medida que a entropia aumenta, tanto em qualidade como em quantidade, as chaves tornam-se mais difíceis de decifrar, e a encriptação melhora.
CERTO
Quando se comprime uma informação, aumenta a entropia. Sendo assim, gera maior aleatoriedade aos olhos do atacante/criptoanalista.
71
A compressão de dados antes da encriptação geralmente aumenta a segurança do sistema, por reduzir a redundância na mensagem, dificultando a criptoanálise.
CERTO
Quando se comprime uma informação, aumenta a entropia. Sendo assim, gera maior aleatoriedade aos olhos do atacante/criptoanalista.
72
Criptoanálise ....................... observa a evolução de um único bloco de texto.
LINEAR
Criptoanálise diferencial observa o comportamento de pares de blocos de texto em evolução a cada rodada da cifra.
73
Criptoanálise ....................... observa o comportamento de pares de blocos de texto em evolução a cada rodada da cifra.
DIFERENCIAL
Criptoanálise linear observa a evolução de um único bloco de texto.
74
Uma técnica às vezes utilizada para tornar o DES mais forte é chamada de .........................Como essa técnica acrescenta efetivamente mais bits ao tamanho da chave, ela torna uma pesquisa exaustiva do espaço de chaves muito mais demorada
clareamento / whitening
75
No caso de utilização do DES (data encryption standard), pode-se utilizar a técnica conhecida como ...................., com o objetivo de reduzir as vulnerabilidades de um dos sistemas criptográficos empregados na rede, havendo um acréscimo de bits à chave criptográfica original, reduzindo as chances de sucesso de uma eventual criptoanálise desse sistema.
clareamento / whitening
76
Tanto a criptografia simétrica quanto a encriptação de chave pública são vulneráveis a um ataque de força bruta.
CERTO
77
Criptografia simétrica possui algumas características específicas em relação ao modo de operação. Ao se aplicar a cada bloco de texto simples uma função XOR junto com o bloco cifrado anterior antes de o texto ser criptografado, o modo de operação é do tipo ...............
Cipher Block Chaining – CBC: É o método mais utilizado.
78
TLS/SSL usa criptografia simétrica ou assimétrica?
Os dois. A criptografia assimétrica é usada para negociar a chave secreta da criptografia simétrica. Essa chave secreta é a que será usada no decorrer da conexão.
79
Existem 5 tipos de ataques de criptoanálise ordenados pelo pode de conhecimento do atacante.
1) Apenas Texto Cifrado – CypherText-Only
2)
3)
4)
5)
1) Apenas Texto Cifrado – CypherText-Only: há conhecimento apenas do algoritmo de criptografia utilizado e do próprio texto cifrado;
2) Texto Claro Conhecido – Known-plaintext: Além dos itens acima, o atacante tem a informação dos pares de texto claro de entrada e seu respectivo texto cifrado de saída;
3) Texto Claro Escolhido – Choosen-Plaintext: Agora o atacante não se restringe apenas a saber o par de entrada e saída, mas ele é capaz de manipular a entrada e avaliar a sua respectiva saída;
4) Texto Cifrado Escolhido – Choosen-CypherText: Agora o atacante é capaz de fazer o caminho reverso, onde a partir de um texto cifrado escolhido, ele é capaz de verificar qual o texto em claro correspondendo;
5) Texto Escolhido – Choosen-Text – Há plena capacidade de manipulação dos textos de entrada e saída, e vice-versa;
80
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há conhecimento apenas do algoritmo de criptografia utilizado e do próprio texto cifrado
Apenas Texto Cifrado – CypherText-Only
81
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há conhecimento do algoritmo e dos pares de texto claro de entrada e seu respectivo texto cifrado de saída
Texto Claro Conhecido – Known-plaintext
82
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há conhecimento do algoritmo e o atacante é capaz de manipular a entrada e avaliar a sua respectiva saída
Texto Claro Escolhido – Choosen-Plaintext
83
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
o atacante é capaz de fazer o caminho reverso, onde a partir de um texto cifrado escolhido, ele é capaz de verificar qual o texto em claro correspondendo
Texto Cifrado Escolhido – Choosen-CypherText
84
Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?
há plena capacidade de manipulação dos textos de entrada e saída, e vice-versa
Texto Escolhido – Choosen-Text
85
Modos de operação de cifra de bloco permitem cifrar mensagens de tamanhos arbitrários com a utilização de algoritmos de cifragem de blocos, que trabalham com blocos de tamanho fixo. Os modos de operação existentes asseguram a confidencialidade e a integridade da mensagem cifrada, embora nem todos possam ser utilizados para autenticação.
ERRADO
a técnica de cifragem por bloco não pode ser generalizada no sentido de garantir os princípios de segurança.
86
A criptografia incorpora estudos e conhecimentos das áreas de criptologia e criptoanálise.
ERRADO
A criptologia incorpora estudos e conhecimentos das áreas de criptografia e criptoanálise.
87
Quais são as etapas do processo de Assinatura Digital?
1.
2.
3.
4.
5.
6.
1. Gera-se o HASH da Mensagem.
2. Cifra-se com a Chave Privada do Emissor.
3. Envia o HASH cifrado em conjunto com a mensagem em texto claro.
4. O receptor decifra o HASH CIFRADO utilizando a chave pública do emissor.
5. O receptor gera um novo HASH a partir da mensagem em claro recebida.
6. Compara-se os HASH obtidos nas etapas 4 e 5.
88
A criptografia simétrica visa garantir apenas o princípio da .............................
CONFIDENCIALIDADE
Os demais não podem ser garantidos, pois não há mecanismo que garanta que a mensagem não será alterada no caminho, podendo gerar um resultado de decriptação diferente da mensagem original. Não há como garantir de que a pessoa que aplicou a chave simétrica no processo de encriptação é quem ela diz ser.
89
A robustez de segurança dos algoritmos de chave simétrica se encontra ...................................., enquanto nos algoritmos de chave assimétrica, ................................... Entretanto, não quer dizer que isso basta, pois ambos são importantes para os dois modelos.
A robustez de segurança dos algoritmos de chave simétrica se encontra no segredo da chave, enquanto nos algoritmos de chave assimétrica, está no algoritmo. Entretanto, não quer dizer que isso basta, pois ambos são importantes para os dois modelos.
90
O DES (data encryption standard) é um sistema de codificação simétrico por blocos de 64 bits, dos quais ........... servem de teste de paridade.
8 bits (1 byte)
91
As substituições no algoritmo simétrico de bloco DES são conhecidas como .................. e são especificadas em 8 tabelas onde entram blocos de 6 e saem blocos de 4 bits.
S-boxes (caixas S ou caixas de substituição usadas na estrutura de Feistel)
92
As substituições no algoritmo simétrico de bloco DES são conhecidas como S-boxes (caixas S ou caixas
de substituição usadas na estrutura de Feistel) e são especificadas em 8 tabelas onde entram blocos de .......
e saem blocos de ...... bits.
entram blocos de 6
e saem blocos de 4 bits.
93
Na área de estudos da criptografia da informação, o princípio de Kerckhoff estabelece que ............................. algoritmos devem ser públicos e as chaves ........................
todos os algoritmos devem ser públicos e apenas as chaves devem ser secretas.
--> Algoritmos = Devem ser Públicos e de amplo conhecimento para gerar resiliência e robustez frente à comunidade.
--> Chaves = Secreta, partindo do pressuposto que deve ser de conhecimento privativo.
94
Um dos princípios criptográfico é que todas mensagem devem conter alguma redundância.
CERTO
toda mensagem criptografa deve ter algum tipo de informação redundante ou informação que não seriam muito necessários para compreensão da mensagem.
95
Segundo o princípio de Kerckhoffs, a capacidade de proteger mensagens se torna mais forte quando se utilizam chaves públicas no processo.
ERRADO
Kerckhoffs diz que todos os algoritmos devem ser públicos e apenas as chaves devem ser secretas.
96
A segurança de um sistema criptográfico simétrico deve estar na chave e no tamanho dessa chave, e não nos detalhes do algoritmo.
CERTO
Derivado do mesmo princípio de Kerckhoff. Como os algoritmos é público, não faz sentido ancorar sua segurança nos detalhes do algoritmo. Já a chave, tem-se o tamanho e privacidade que contribuem diretamente no processo.
97
Na tentativa de dar uma sobrevida ao DES, criou-se o 3DES, que nada mais é do que a aplicação do DES três vezes, com o detalhe de que na segunda vez, faz-se o processo de decriptação. Desse modo, ao se utilizar três chaves distintas, tem-se uma robustez de 56 bits por chave, totalizando 168 bits de tamanho de chave.
CERTO
KEY A -> ENCRIPTA
KEY B -> DECRIPTA
KEY C -> ENCRIPTA
98
O 3DES suporta a utilização de apenas duas chaves, assumindo que a primeira e a terceira sejam iguais. Nesse caso, a robustez da chave se restringiria a ....... bits.
112 bits
ao se utilizar três chaves distintas, tem-se uma robustez de 56 bits por chave, totalizando 168 bits de tamanho de chave.
99
O protocolo 3DES possui três chaves criptográficas: a primeira e a segunda criptografam informações; a terceira é usada para descriptografar aquelas.
ERRADO
KEY A -> ENCRIPTA
KEY B -> DECRIPTA
KEY C -> ENCRIPTA
100
A propriedade de segurança da informação que corresponde ao uso da criptografia é .............................
confidencialidade
101
Um algoritmo assimétrico conta com duas chaves, e qualquer uma delas pode ser usada, alternadamente, tanto para criptografar quanto para decriptografar.
CERTO
102
O **RC4** é orientado a byte e possui tamanho de chave variável até .......... bits, com algoritmo baseado em permutação **randômica**. Possui como principal característica a utilização de cifras de ................ É um algoritmo bastante utilizado no TLS.
O RC4 é orientado a byte e possui tamanho de chave variável até **2048** bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de **fluxo**. É um algoritmo bastante utilizado no **TLS**.
103
O **RC5** é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.
CERTO
104
O **RC4** é orientado a byte e possui tamanho de chave variável até **2048** bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de **fluxo**. É um algoritmo bastante utilizado no **TLS**.
105
O **RC5** é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: ..............................., encriptação e decriptação.
**EXPANSÃO **
106
O **RC5** é um algoritmo parametrizado que utiliza cifra de ................ de tamanho variável (..... , ..... e ..... bits), tamanho de chave variável (0 a .........) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.
O RC5 é um algoritmo parametrizado que utiliza cifra de **bloco** de tamanho variável (**32, 64 e 128 bits**), tamanho de chave variável (**0 a 2048)** e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.
107
O **RC6** utiliza cifra de ................. e acrescenta recursos de inclusão de multiplicação de inteiros e registradores de 4 bits, enquanto o RC5 utilizava 2 bits.
108
Um exemplo de algoritmo simétrico que realiza a cifragem de fluxo é o ............
RC4
Vimos que o RC4 tem esse grande diferencial de ser uma cifra de fluxo para a criptografia simétrica. Apenas precisamos lembrar que o RC5 é diferente, sendo ele uma cifra de bloco.
109
**AES** – Advanced Encryption Standard: suporta tamanhos de **chaves variáveis**. Por padrão, utiliza-se o tamanho de **bloco fixo de 128 bits**, podendo ser utilizado chaves de **128**, **192** e **256** bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de **Rjindael**.
CERTO
110
...............................................: suporta tamanhos de chaves variáveis. Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de Rjindael.
**AES** – Advanced Encryption Standard
111
**AES** – Advanced Encryption Standard: suporta tamanhos de **chaves variáveis**. Por padrão, utiliza-se o tamanho de **bloco fixo de ....... bits**, podendo ser utilizado chaves de **........**, **........** e **.......** bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de **.........................**.
**AES** – Advanced Encryption Standard: suporta tamanhos de **chaves variáveis**. Por padrão, utiliza-se o tamanho de **bloco fixo de 128 bits**, podendo ser utilizado chaves de **128**, **192** e **256** bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de **Rjindael**.
112
Algumas referências de algoritmos seguros hoje tomando como referência seus tamanhos de chaves.
64 bits =
128 bits =
256 bits =
64 bits = chave fraca
128 = segurança de rotina
256 = considerado seguro
113
O funcionamento do algoritmo AES pode ser resumido em quatro estágios, quais sejam:
1) SubBytes
2) ShiftRows
3) MixColumns
4) AddRoundKey
CERTO
três estágios de **substituição** (Subbytes, MixColumns e AddRoundKey) e um de **permutação** (shiftRows).
114
É uma cifra de bloco cujo objetivo é **substituir o DES** em aplicações comerciais. Usa um tamanho de bloco de **128 bits **e um tamanho de chave de 128, 192 ou 256 bits.
AES
Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de **Rjindael**.
115
A segurança de um sistema criptográfico **simétrico** tem como características básicas a **força do algoritmo** e o **comprimento da chave**.
CERTO
quanto à força do algoritmo, temos o aspecto da sua **resiliência**, no sentido de não ser fragilizado frente a ataques de criptoanálise.
116
A cifra de ................................ é basicamente uma cifra de **SUBSTITUIÇÃO POLIALFABÉTICA**. A sua ideia base nada mais é do que a aplicação **sucessiva da cifra de Cesar** com **variação na quantidade de letras para subtituição**. Utiliza ainda um conceito de “palavra-chave” que vai ditar a regra desses deslocamentos.
Vigenère
117
Cite 7 algoritmos de critografia simétrica.
1) DES
2) 3DES
3) RC3,4,5,6
4) AES
5) BlowFish
6) TwoFish
7) IDEA
118
Na criptografia **assimétrica**, se o objetivo é garantir a **confidencialidade**, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!
CERTO
119
Na criptografia **assimétrica**, se o objetivo é garantir a **autenticidade**, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!
ERRADO
-se o objetivo é garantir a **confidencialidade**, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!
-se o objetivo é garantir a **autenticidade**, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR
120
Na criptografia **assimétrica**, se o objetivo é garantir a autenticidade, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR
CERTO
121
Na criptografia **assimétrica**, se o objetivo é garantir a **confidencialidade**, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR
ERRADO
-se o objetivo é garantir a **confidencialidade**, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!
-se o objetivo é garantir a **autenticidade**, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR
122
O sistema criptográfico pode usualmente alterar a chave privada de um usuário, gerando uma nova chave pública correspondente.
CERTO
Lembremos sempre que o par de chaves é gerado de forma conjugada, onde uma chave é derivada da outra. Logo, sempre que é gerado uma nova chave privada, ainda que em regime de alteração, tem-se, necessariamente, que se gerar uma nova chave pública correspondente
123
Os algoritmos de criptografia de chave pública devem ser computacionalmente fáceis, a fim de que o receptor de uma mensagem cifrada com uma chave pública a decriptografe utilizando sua chave privada para recuperar a mensagem original
CERTO
A facilidade computacional do algoritmo está atrelado ao processo adequado de descriptografia, ou seja, uma vez que eu insiro a chave correta, ele facilmente realiza o processo. Isso é uma verdade.
124
A criptografia **simétrica** está fundamentada na técnica de **SUBSTITUIÇÃO**, enquanto a **Assimétrica**, na técnica de **TRANSPOSIÇÃO**.
CERTO
Isso não quer dizer que possa, em alguns casos, usar outras técnicas
125
A criptografia **simétrica** está fundamentada na técnica de **TRANSPOSIÇÃO**, enquanto a **Assimétrica**, na técnica de **SUBSTITUIÇÃO**.
ERRADO
Contrário.
A criptografia simétrica está fundamentada na técnica de SUBSTITUIÇÃO, enquanto a Assimétrica, na técnica de TRANSPOSIÇÃO.
126
Algoritmos de chaves **assimétricas** **dispensam** a necessidade de um canal seguro para o compartilhamento de chaves.
CERTO
esse foi o principal valor gerado por parte da criptografia assimétrica, que possibilitou, inclusive a resolução do problema de troca de chaves da criptografia simétrica.
127
Na criptografia assimétrica, o algoritmo ............................ não provê característica de segurança da informação (Confidencialidade, Integridade, Disponibilidade, Autenticação ou Irretrabilidade). É usado apenas para troca de chaves em um ambiente inseguro, nada mais.
| Diffie-Hellman
Diffie-Hellman
portanto, está sujeito a ataques de interceptação, como o **Man-in-the-middle**
128
O protocolo **Diffie-Hellman** **somente** será seguro se a **autenticação** dos dois participantes puder ser estabelecida.
CERTO
O protocolo de acordo de chaves **Diffie-Hellman** é vulnerável ao ataque **man-in-the-middle** porque **não autentica os participantes**. Essa vulnerabilidade pode ser contornada com o **uso de assinaturas digitais e certificados de chave pública.**
129
O protocolo de acordo de chaves **Diffie-Hellman** é vulnerável ao ataque **man-in-the-middle** porque ............................. Essa vulnerabilidade pode ser contornada com o **uso de assinaturas digitais e certificados de chave pública.**
**não autentica os participantes**.
Essa vulnerabilidade pode ser contornada com o **uso de assinaturas digitais e certificados de chave pública.**
130
Considerando-se os algoritmos de criptografia tradicionais (RSA, por exemplo), tem-se a garantia que é impossível determinar a chave privada a partir do conhecimento da chave pública.
ERRADO
Essa questão de ser incondicionalmente seguro não existe, conforme comentamos. Na prática, temos os conceitos de computacionalmente seguro.
“Os algoritmos não garantem que seja impossível, a garantia é que seja computacionalmente inviável que um invasor determine a chave privada caso conheça a chave pública. Uma forma de ataque aos sistemas de chave pública é, portanto, tentar calcular a chave privada, dada a chave pública. A tentativa faz sentido, pois a história da criptoanálise mostra que um problema que parece insolúvel de um ponto de vista pode ter uma solução se for visto de uma maneira inteiramente diferente.”
131
RSA – Rivest, Shamir and Adelman: Possui a característica de ser utilizado tanto para processos de cifragem como para ..............................
produzir hashes
Sua robustez reside na dificuldade de se fatorar números extensos.
132
A robustez do algoritmo RSA reside na dificuldade de se fatorar números extensos. Sugere-se, atualmente, que sejam utilizadas chaves de 2048 a 4096 bits para aumentar a robustez contra ataques de força bruta. Entretanto, diversas aplicações utilizam chaves de 1024, até porque, quanto maior a chave, maior o processamento do algoritmo.
CERTO
133
A robustez do algoritmo RSA reside na dificuldade de se ...................... números extensos. Sugere-se, atualmente, que sejam utilizadas chaves de ...... a ...... bits para aumentar a robustez contra ataques de força bruta. Entretanto, diversas aplicações utilizam chaves de ......, até porque, quanto maior a chave, maior o processamento do algoritmo.
A robustez do algoritmo RSA reside na dificuldade de se fatorar números extensos. Sugere-se, atualmente, que sejam utilizadas chaves de 2048 a 4096 bits para aumentar a robustez contra ataques de força bruta. Entretanto, diversas aplicações utilizam chaves de 1024, até porque, quanto maior a chave, maior o processamento do algoritmo.
134
O algoritmo de Euclides estendido está inserido nos cálculos do RSA.
CERTO
Todo o processo é feito a partir da divisão de blocos de tamanhos limitados.
135
Todo o processo do algoritmo de criptografia ........ é feito a partir da divisão de blocos de tamanhos limitados.
RSA
Sua robustez reside na dificuldade de se fatorar números extensos.
136
O algoritmo de criptografia ...................... possui como segurança de seu sistema a dificuldade do cálculo de logaritmos discretos em um corpo finito.
El Gamal
Possui três componentes básicos: gerador de chaves, algoritmo de cifragem e algoritmo decifragem.
137
El Gamal: possui como segurança de seu sistema a dificuldade do cálculo de logaritmos discretos em um corpo finito. Sua principal aplicação é na transferência de assinaturas digitais e trocas de chaves no estabelecimento de comunicações. Possui três componentes básicos: ........................., algoritmo de cifragem e algoritmo decifragem.
gerador de chaves
138
Além de possuir algumas características de algoritmos de criptografia simétrica, o ......................... possui um processo similar ao Diffie-Hellman. Um grande exemplo de utilização é no PGP (Pretty Good Privacy).
El Gamal
139
One-Time Pad - OTP: se utilizada da forma correta, é considerada .................................................................
Utiliza a combinação caractere por caractere com uma chave secreta aleatória, que deve ter, necessariamente, o mesmo tamanho da mensagem em claro. Esse é limitador de implementação do OTP. A chave deverá ser usada uma única vez e destruída após o uso.
inquebrável, ou incondicionalmente segura
Importante diferenciar o termo incondicionalmente seguro de computacionalmente seguro. Este último está relacionado ao fato de que o custo de quebrar a cifra é superior ao valor da informação codificada ou que o tempo exigido para quebrar a cifra é superior ao tempo de vida útil da informação.
140
Algoritmo ......................: se utilizada da forma correta, é considerada inquebrável, ou incondicionalmente segura.
Utiliza a combinação caractere por caractere com uma chave secreta aleatória, que deve ter, necessariamente, o mesmo tamanho da mensagem em claro. Esse é o seu limitador de implementação: a chave deverá ser usada uma única vez e destruída após o uso.
One-Time Pad - OTP
141
Para que a criptografia de chave pública seja considerada segura, uma das premissas é que o conhecimento do algoritmo, o conhecimento de uma das chaves e a disponibilidade de amostras de texto cifrado sejam, em conjunto, insuficientes para determinar a outra chave.
CERTO
De fato, os três pontos apresentados são características desses algoritmos. Há o conhecimento público da chave pública e do algoritmo utilizado. Além disso, caso o usuário intercepte a mensagem cifrada, isso, por si só, não permite que ele obtenha informações da chave privada.
142
No RSA (Rivest-Shamir-Adleman), o texto claro é criptografado em blocos com valor ................ limitado.
binário
Sua robustez reside na dificuldade de se fatorar números extensos.
143
Quais são as 4 etapas do processo de ASSINATURA DIGITAL?
1) Gera-se o HASH da mensagem em claro;
2) Aplica-se o algoritmo de criptografia assimétrica utilizando a chave privada do EMISSOR sobre o HASH gerado no passo 1;
3) Tem-se a Assinatura Digital;
4) Envia-se ao destinatário a Assinatura Digital gerada e a mensagem original;
144
Embora o algoritmo RSA satisfaça aos requisitos necessários para prover assinatura digital, ele é utilizado, por questões de desempenho, em conjunto com funções de hashes criptográficos, como SHA-1.
CERTO
145
A troca de informações entre autoridades certificadoras para o estabelecimento de certificados digitais validados mutuamente entre elas é denominada ..................................
CERTIFICAÇÃO CRUZADA - Duas ACs trocam informações usadas em estabelecimento de um certificado cruzado. Um certificado cruzado é um certificado emitido por uma CA para outra CA que contém uma CA chave de assinatura usada para emitir certificados.
145
Um certificado digital contém, entre outros aspectos, a chave privada do emissor do certificado para que seja possível a verificação da chave pública.
ERRADO
A chave privada é de conhecimento apenas do dono. Não há o que se falar de inserir essa informação no certificado digital para acesso público.
146
No contexto de protocolos de gerenciamento de certificados digitais, além do REGISTRO, há também o denominado .........................., que visa instalar, no sistema cliente, materiais chave que tenham a relacionamento apropriado com chaves armazenadas em outro lugar na infraestrutura.
INICIALIZAÇÃO
Por exemplo, o cliente precisa ser considerado seguro e inicializado com a chave pública e outras informações garantidas da(s) CA(s) confiável(is), para ser garantida a cadeia de certificados. Além disso, um cliente normalmente precisa ser inicializado com seu(s) próprio(s) par(es) de chaves.
147
A principal dificuldade nas trocas de listas de certificados revogados é que o cliente ou servidor que deseja verificar essa lista deve realizar download desta constantemente com vistas a manter sua base atualizada. Qual protocolo resolve essa questão?
OCSP – Online Certificate Status Protocol
Com o uso do OCSP, não há necessidade de download da lista. O procedimento agora é bem mais simplificado, pois basta ser enviado o número de série do certificado para o servidor OCSP e este será responsável por verificar em uma lista atualizada, respondendo a consulta com o status obtido.
148
Com o uso do protocolo ..........................., não há necessidade de download da lista de certificados revogados. O procedimento agora é bem mais simplificado, pois basta ser enviado o número de série do certificado para o servidor e este será responsável por verificar em uma lista atualizada, respondendo a consulta com o status obtido.
OCSP – Online Certificate Status Protocol
149
Entre os componentes de uma PKI, como ICP-Brasil, a autoridade certificadora raiz (AC-raiz) é a responsável pela emissão da lista de certificados revogados (LCR).
ERRADO
AC - Autoridade Certificadora (2º nível) é quem faz a EMISSÃO, REVOGAÇÃO E GERENCIAMENTO DOS CERTIFICADOS DIGITAIS.
150
Qual a diferença entre Autoridade Certificadora - AC e Autoridade de Registro - AR.
AC: emitir, distribuir, renovar, revogar e gerenciar certificados digitais
AR: interface entre o usuário e a Autoridade Certificadora. tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes
151
Tipos de Certificados Digitais (A1....A4 / S1......S4)
São os certificados usados para confirmação da identidade na web, correio eletrônico, transações online, redes privadas virtuais, transações eletrônicas, informações eletrônicas, cifração de chaves de sessão e assinatura de documentos com verificação da integridade de suas informações.
Certificado de Assinatura Digital (A1, A2, A3 e A4)
152
São os certificados usados para cifração de documentos, bases de dados, mensagens e outras informações eletrônicas.
Certificado de sigilo (S1,S2,S3,S4)
153
Tipos de Certificados Digitais (A1....A4 / S1......S4)
Feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano.
A1 e S1
154
Tipos de Certificados Digitais (A1....A4 / S1......S4)
Feita em software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos sem capacidade de geração de chave e protegidos por senha. A validade máxima do certificado é de dois anos.
A2 E S2
155
Tipos de Certificados Digitais (A1....A4 / S1......S4)
Feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. A validade máxima do certificado é de três anos. As chaves criptográficas têm no mínimo 1024 bits.
A3 e S3
156
Tipos de Certificados Digitais (A1....A4 / S1......S4)
Feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. A validade máxima do certificado é de três anos. As chaves criptográficas têm no mínimo 2048 bits.
A4 e S4
157
Algoritmos como MD5 e SHA-2 têm vulnerabilidades conhecidas de colisão, o que significa que dois conjuntos de dados diferentes podem gerar o mesmo hash. Isso os torna inadequados para aplicações de segurança avançada.
ERRADO
SHA-2 é avançado, não possui esse risco (apenas o SHA-1)
SHA-2 usa o método de construção Merkle-Damgård, enquanto SHA-3 usa a construção de esponja (sponge).
158
Algoritmos como MD5 e SHA-1 têm vulnerabilidades conhecidas de ....................., o que significa que dois conjuntos de dados diferentes podem gerar o mesmo hash. Isso os torna inadequados para aplicações de segurança avançada.
COLISÃO
SHA-2 usa o método de construção Merkle-Damgård, enquanto SHA-3 usa a construção de esponja (sponge).
159
Quais algoritmos de HASH são considerados inseguros e quais são seguros?
INSEGUROS: MD5 e SHA-1 (riscos de colisões)
SEGUROS: SHA-2 (SHA-256) e SHA-3
160
A função hash, utilizada para garantir integridade e autenticidade dos dados, gera, a partir de uma entrada de qualquer tamanho, uma saída de tamanho fixo; caso dois arquivos tenham o mesmo conteúdo, mas nomes diferentes, os valores do hash MD5 serão diferentes.
ERRADO
o nome do arquivo em nada influencia aqui. O HASH é sempre aplicado sobre o arquivo, ou seja, sobre o conteúdo. Então, não basta o nome ser diferente, o conteúdo que precisa ser diferente para gerar a variação da saída da função HASH.
161
Uma das propriedades de uma função de hash, conhecida como resistência à primeira inversão ou propriedade unidirecional, garante que, dada uma mensagem, não é possível encontrar uma mensagem alternativa que gere o mesmo valor de hash da mensagem original.
ERRADO
Temos aqui a descrição da característica de difusão e não de unidirecionalidade. Esta última diz respeito a incapacidade de se voltar à mensagem original a partir do valor de HASH obtido.
162
No contexto de HASH, explique a diferença entre os conceitos de unidirecionalidade e difusão.
- unidirecionalidade: incapacidade de se voltar à mensagem original a partir do valor de HASH obtido
- difusão: não é possível encontrar uma mensagem alternativa que gere o mesmo valor de hash da mensagem original
163
As principais aplicações das funções HASH são para garantir quais princípios de segurança?
integridade, autenticidade e confidencialidade.
164
No contexto de HASH, existem dois tipos de ataques:
1) ataques de colisão
2) ataques de .............
1) ataques de colisão
2) ataques de aniversário
165
O algoritmo MD5 produz um tamanho de HASH de ...... bits.
128 bits
166
Um dos problemas que existe no algoritmo de hash MD5 está relacionado à colisão de prefixos de uma mensagem, gerando uma probabilidade alta de se compor sufixos que também produzem colisões. Qual recurso surgiu para amenizar esse problema?
SALT: Esse é um recurso que surgiu para amenizar o problema de prefixo. A ideia aqui é sempre acrescentar um valor fixo padrão a ser definido pelo sistema ou servidor para compor a mensagem original. Esse recurso é utilizado pelos sistemas LINUX.
167
SHA-1 E SHA-2 são duas versões do algoritmo. Eles são diferentes em termos de construção e comprimento de bits. SHA-2 é uma versão aprimorada do SHA-1.
SHA-1 = ...... bits
SHA-2 = ...... bits
SHA-1 = 160 bits
O SHA-2 ocorre em vários comprimentos, geralmente em 256 bits
A família SHA-2 é composta por seis funções hash com resumos (valores de hash) que são de 224, 256, 384 ou 512 bits: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
168
SHA-1 produz um valor de dispersão de ........ bits conhecido como resumo da mensagem. Um valor de dispersão SHA-1 é normalmente tratado como um número hexadecimal de 40 dígitos.
160 bits (20 bytes)
169
O algoritmo de criptografia AES utiliza quatro estágios diferentes, dois de permutação e dois de substituição.
ERRADO
No AES de fato são 4 estágios. Entretanto, temos a seguinte distribuição: três estágios de substituição (Subbytes, MixColmns e AddRoundKey) e um de permutação (shiftRows). INCORRETO.
169
O algoritmo de criptografia MD5 (Message-Digest Algorithm 5) é um método que transforma uma palavra em um código criptografado único, ou seja, não é possível que duas strings diferentes produzam o mesmo hash.
ERRADO
Afirmar categoricamente que não é possível é uma inverdade.
170
Um código gerado por uma função hash para um conjunto de dados pode garantir a sua integridade porque, ao ser calculado novamente sobre o mesmo conjunto de dados, a qualquer tempo, pode determinar, inequivocadamente, se esse conjunto foi alterado ou não.
CERTO
A mesma mensagem sempre gerará o mesmo HASH, considerando que a mesma função seja gerada.
171
Esquema de criptografia incondicionalmente seguro significa que o custo para quebrar a cifra é superior ao valor da informação codificada ou que o tempo exigido para quebrar a cifra é superior ao tempo de vida útil da informação.
ERRADO
O conceito de incondicionalmente seguro está relacionado ao fato de ser inquebrável, como o One-Time-Pad. O conceito de tempo e custo está relacionado ao termo computacionalmente seguro
172
No conceito de HASH, explique a diferença entre:
1) Resistência à pré-imagem
2) Resistência à segunda pré-imagem
1) Resistência à pré-imagem: dificuldade de encontrar uma mensagem original a partir de um valor hash específico.
2) Resistência à segunda pré-imagem: impossível encontrar uma mensagem alternativa com o mesmo valor de hash de uma determinada mensagem. Isto é, mesmo que os dados sejam semelhantes entre si, cada registro é único;
173
O algoritmo RSA é baseado na construção de chaves públicas e privadas utilizando números primos. Inicialmente devem ser escolhidos dois números primos quaisquer P e Q. Quanto maior o número escolhido mais seguro será o algoritmo.
CERTO
174
O algoritmo .......... é baseado na construção de chaves públicas e privadas utilizando números primos. Inicialmente devem ser escolhidos dois números primos quaisquer P e Q. Quanto maior o número escolhido mais seguro será o algoritmo.
RSA
175
Na criptografia simétrica, o texto cifrado resultante depende diretamente da chave secreta e do texto inteligível, usados como entrada para o algoritmo de criptografia.
CERTO
Sim, a chave secreta é usada para transformar o texto inteligível em texto cifrado de forma que somente quem possua a chave correta possa decifrar a mensagem de volta para o texto original. Portanto, a segurança do sistema criptográfico depende da proteção da chave secreta.
176
Um dos exemplos de criptografia assimétrica é a de chave pública, baseada em funções matemáticas e não em funções de substituição e permutação.
CERTO
por exemplo o RSA que usa função matemática.
177
O algoritmo RSA utiliza a função matemática Totiente de Euler para gerar chaves criptográficas assimétricas públicas e privadas.
CERTO
A função Totiente de Euler (φ(n)) é utilizada para gerar as chaves RSA. Essa função calcula o número de inteiros positivos menores que n e coprimos com n.
178
......................... é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança.
vulnerabilidade
179
STRIDE: nada mais é do que um modelo de ameaças (model of threats), como acrônimo para os 6 tipos de ameaças:
Spoofing
Tempering
Repudiation
Information Disclosure
Denial of Service
Elevation of Privilege
180
Considerando as ameaças do modelo STRIDE, informe as respectivas PRORIEDADES e DEFINIÇÕES:
- Spoofing
- Tempering
- Repudiation
- Information Disclosure
- Denial of Service
- Elevation of Privilege
- Spoofing - Autenticação - Falsificação
- Tempering - Integridade - Adulteração
- Repudiation - Não Repúdio - Alegar não ter feito
- Information Disclosure - Confidencialidade - Divulgação de informações confidenciais
- Denial of Service - Disponibilidade - negar ou degradar serviço
- Elevation of Privilege - Autorização - obter recursos sem autorização adequada
181
O termo ........................ refere-se à forma de navegação de indexadores automáticos de páginas, que visitam recursivamente todos os links de páginas na Web para descobrir novos sites e atualizações de sites conhecidos.
Spidering ou crawling.
182
Falsificação de e-mail (E-mail spoofing): Para se manipular as informações dos e-mails, basta-se adulterar os dados do cabeçalho do SMTP, mais especificamente, do campo FROM, além dos campos REPLY-TO e RETURN-PATH.
CERTO
183
Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar o acesso e extração indevida dos dados?
pode-se utilizar a criptografia para tornar os dados ilegíveis
evitando dessa forma violação da confidencialidade
184
Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar as modificações indevida dos dados?
pode-se utilizar recursos que visam controlar a integridade dos dados como cálculos de verificação ou funções HASH
185
Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar os casos em que mensagens específicas são impedidas de chegar ao destino?
pode-se utilizar técnicas de controle semelhantes às que são
implementadas pelo protocolo TCP para confirmação de recebimento
186
Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar os casos em que ele usa a identidade do usuário para realizar a autenticação em serviços diversos?
Esse tipo de ataque, também é conhecido como ataque REPLAY. Para mitigar esse tipo de ataque, pode-se utilizar de chaves dinâmicas de
sessão com prazo curto e temporário de validade.
187
Ataque ....................................: um atacante pode introduzir ou substituir um dispositivo de rede para
induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de
senhas de acesso e informações que por ele passem a trafegar.
de personificação
A personificação é quando um malicioso finge ser um utilizador ou serviço legítimo para obter acesso a informação protegida
188
Quando o objetivo for garantir confidencialidade e assinatura digital em uma função de hash com redução da carga de processamento, deve-se usar criptografia simétrica, para criptografar a mensagem, mais o código de hash criptografado com chave privada.
CERTO
189
Qual a diferença entre Defacement e Phishing?
Defacement: foca no vandalismo, podendo afetar a integridade e disponibilidade de uma página web.
Phishing: foca no roubo de dados através de uma página falsa.
190
Essa forma de ataque pode ocorrer de diversas formas, como por meio da alteração do servidor DNS (DNS Poisoning), em que se faz um apontamento para um IP de destino que armazena conteúdo similar, porém, é um site malicioso para se obter dados. Esse tipo de ataque pode acontecer tanto nos arquivos de configuração de DNS local (Cache Poisoning) quando em um servidor de consulta.
Pharming
ocorre quando um tráfego que originalmente deveria ir para um site legítimo é redirecionado para outro.
191
Um ataque específico de DDoS que surge para aumentar ainda mais o poder de fogo é o ....................... A ideia é utilizar zumbis para enviar requisições com endereços forjados para usuários legítimos e não infectados. Entretanto, devido ao IP forjado gerado pelos zumbis, os hosts legítimos encaminham o tráfego (resposta às requisições) à vítima, algo semelhante ao que vimos no SMURF ATTACK.
DRDoS ou DDoS Refletor
192
O tão conhecido SPAM possui uma variação para serviços de mensagem instantânea. Chama-se .................. Nesse caso, os indivíduos mal-intencionados utilizam dois métodos de transferência de código malicioso. Eles podem enviar um arquivo com vírus, trojan ou spyware, ou podem fazer uso de engenharia social. Uma vez que o código é executado, o usuário poderá ter sua lista de contatos violada e roubada, propagando o ataque para outros usuários.
SPIM - SPAM via IM
193
Existem várias técnicas que usam a engenharia social. Cite 4.
● Vishing – uso de um sistema telefônico (VoiP, por exemplo) para ter acesso a informações pessoais da
vítima;
● Phishing ou Spear Phishing
● Hoax – mentira
● Whaling – ludibriar executivos do alto escalão de uma organização.
194
Qual a diferença entre os vírus polimórficos e metamórficos ?
- Polimórficos: mudança da assinatura
- Metamórficos: mudança da assinatura, comportamento e aparência
195
Os vírus .........................................., são executados e automaticamente conseguem transformar-se, ou seja, modificam seu próprio código ou assinatura, dificultando e adiando a detecção da ameaça pelo antivírus
metamórficos e polimórficos
- Polimórficos: mudança da assinatura
- Metamórficos: mudança da assinatura, comportamento e aparência
196
Existem dois tipos de vírus que podem se transformar a cada nova infeção. Qual deles que, além de alterar sua assinatura, também mudam o comportamento, funcionalidade e aparência?
O vírus do tipo METAMÓRFICO
197
......................... propaga-se automaticamente pelas redes, explorando vulnerabilidades nos sistemas e aplicativos instalados e enviando cópias de si mesmo de dispositivo para dispositivo.
WORM
198
.......................... É responsável por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costuma propagar e, como consequência, pode afetar o desempenho de redes e a utilização de dispositivos.
WORM
199
.............................. : um código que pode ser representado por um programa ou parte de um programa com a capacidade de gerar cópias de si mesmo e se inserindo em outros programas ou arquivos, além de executar tarefas específicas no computador da vítima como deleção de arquivos, instalação de outros programas, redução de configurações de segurança, desestabilização dos sistemas e ocupação de espaço de armazenamento.
VÍRUS
200
............................ depende de uma ação direta do usuário ou do SO em termos de execução do programa ou abertura de um arquivo infectado. Então o simples fato do arquivo está no seu computador não implica que você tenha necessariamente sido infectado.
VÍRUS
201
O worm se diferencia do vírus pelo fato de se propagar por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, consumindo, assim, muitos recursos computacionais.
ERRADO
VÍRUS: programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.
202
Em aplicações Web, a vulnerabilidade denominada ............................ ocorre quando solicitações não autorizadas num website são enviadas a partir de um equipamento onde existe uma sessão ativa em que o website confia.
CSRF (cross site request forgery)
203
Softwares de adware são exemplos de spyware e são utilizados para coletar informações sobre hábitos e interesses do usuário.
CERTO
Spyware: software espião, monitora as atividades de um sistema e envia para terceiros
• Keylogger: teclas
• Screenlogger: telas
• Adware: propagandas
204
Trojan: disfarça-se de software legitimo para executar funções diversas
CERTO
205
Escreva 3 medidas de prevenção contra ataques CSRF (cross site request forgery) .
1) tokens anti-csrf
2) exigir dados de autenticação nas solicitações do usuário
3) Limitar o tempo de vida de cookies da sessão
4) Verificação do cabeçalho HTTP Referer
5) Ativação do recurso HSTS - HTTP Strict Transport Security, que obriga o HTTPS.
206
Constituem estratégias para evitar ataques de XSS (cross-site scripting): a utilização da flag ............... nos cookies, pela qual se evita que estes sejam manipulados por JavaScript
HTTPOnly
207
Qual a principal diferença entre o ataque XSS e CSRF?
O XSS busca obter informações, roubar dados.
O CSRF busca redirecionar ações legítimas do usuário através de manipulações das requisições.
208
Que tipo de ataque malicioso a um site web se caracteriza pelo envio de comandos não autorizados por parte de um usuário em que esse site confia?
CSRF (Cross-Site Request Forgery)
CSRF (Cross-Site Request Forgery) tira proveito da confiança que o site tem no usuário. É um tipo de ataque malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.
209
O ataque .......................... tira proveito da confiança que o site tem no usuário. É um tipo de ataque malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.
CSRF (Cross-Site Request Forgery)
Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador.
210
O ataque ...................... consiste na injeção de códigos maliciosos script (JavaScript ou VBScript) em um campo texto de uma página já existente, que o usuário confia.
XSS
explora a confiança de um utilizador para um site particular
211
Em contraste ao cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.
CERTO
O CSRF herda a identidade e os privilégios da vítima para realizar uma operação indesejada em nome do usuário final.
212
Constituem estratégias para evitar ataques de .......................: a utilização da flag HTTPOnly nos cookies, pela qual se evita que estes sejam manipulados por JavaScript
XSS (cross-site scripting)
213
O tipo de ataque em que o atacante explora a relação de confiança que um sítio possui com o navegador que o acessa é conhecido como ............................
CSRF (cross-site request forgery).
214
A melhor maneira de evitar ataques de Cross-Site Scripting (XSS) em aplicações web é .....................
validar adequadamente as entradas de dados dos usuários.
XSS injeta código que roda do lado cliente. Ora, para evitar isso vc tem q controlar o que vem do cliente.
215
Em geral, .......................... se caracteriza por permitir a sobrescrita de espaços de memória utilizados por um processo, o que pode ser realizado intencionalmente ou não. A esse respeito, julgue o item que se segue.
buffer overflow
clássica falha de programação que possibilita ao usuário malicioso gerar indisponibilidade de serviços ou sistemas. A ideia básica é simples: aloca-se uma informação que exige espaço em memória ou registradores maiores do que se suporta, gerando um travamento da aplicação.
216
Buffer overflow é um tipo de ataque que, ao explorar falha na implementação de um programa, permite escrita em um endereço de memória diferente do previamente alocado.
CERTO
A ideia básica é simples: aloca-se uma informação que exige espaço em memória ou registradores maiores do que se suporta, gerando um travamento da aplicação.
217
Os IDS são eficazes na detecção de ataques como buffer overflow.
CERTO
O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow
218
Aplicar sequências de entradas longas para explorar vulnerabilidades de buffer overflow é um exemplo de teste dinâmico voltado a verificar vulnerabilidades potencialmente exploráveis em um aplicativo em execução.
CERTO
Buffer overflow é um tipo de ataque que, ao explorar falha na implementação de um programa, permite escrita em um endereço de memória diferente do previamente alocado.
219
O ataque de ................................ tem por característica o comprometimento do token de autenticação de um usuário, podendo esse token ser obtido interceptando-se a comunicação ou predizendo-se um token válido.
sequestro de sessão
envolve roubar o cookie de sessão do usuário, localizar o ID da sessão dentro do cookie e usar essas informações para assumir o controle da sessão.
220
O que é Rogue Access Point e informe uma solução para detecção.
É a instalação um access point para receber conexões de outros dispositivos na rede como se fosse um access point legítimo na rede. Usado para interceptar dados.
Para se detectar pode ser utilizado um WIP - Wireless Intrusion Prevention System para monitorar o espectro de rádio e detectar a presença de pontos de acesso não autorizados.
221
O NMAP é utilizado para ........................................... e uma forma de identificar seu uso é a utilização de ...............................
O NMAP é utilizado para verificar quais portas estão abertas em cada host ativo na rede, e uma forma de identificar seu uso é a utilização de firewalls e IPS no intuito de identificar e filtrar esse tipo de varredura
222
O NMAP permite coletar informações de computadores na rede como: sistema operacional; serviços e portas em execução/abertas; e, endereço MAC.
CERTO
223
.......................... é uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis.
Open Web Application Security Project (OWASP)
224
Qual categoria OWASP top 10 possui essa recomendação?
- Não use protocolos legados, como FTP e SMTP para transporte de dados confidenciais.
A02:2021 - FALHAS CRIPTOGRÁFICAS
Além de:
Desabilite armazenamento em cache para respostas que contenham dados confidenciais.
225
Quais são os 3 novos riscos de segurança do OWASP Top 10 que não estavam na lista de 2017 e estão na 2021.
A04 - Insecure Design
A08 - Software and Data Integrity Failures
A10 - Server-Side Request Forgery
226
Qual a diferença entre Segurança por Profundidade e Obscuridade?
SEGURANÇA EM PROFUNDIDADE: Adoção de diversas camadas de mecanismos de segurança físicos ou lógicos para proteção da informação.
SEGURANÇA POR OBSCURIDADE: Segurança por obscuridade refere-se à prática de esconder informações sobre o sistema de segurança, como configurações, algoritmos, chaves de criptografia ou qualquer outro aspecto relacionado à segurança, com o objetivo de dificultar ataques
227
.............................. é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.
Hardening
228
Quando uma técnica de hardening é aplicada, há três fatores que devem ser levados em consideração: Segurança, Risco e .....................
Flexibilidade
229
MICROSOFT EVENT VIEWER
Há duas categorias de logs de eventos:
-
-Logs de Aplicativos e Serviços.
-Logs do Windows
-Logs de Aplicativos e Serviços.
230
MICROSOFT EVENT VIEWER
Há duas categorias de logs de eventos:
-Logs do Windows
-
-Logs do Windows
-Logs de Aplicativos e Serviços.
231
MICROSOFT EVENT VIEWER
Quais são os 5 tipos de logs do Windows?
1) Aplicativo
2) Segurança
3) Sistema
4) Instalação
5) Eventos Encaminhados
232
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos relacionados com as auditorias habilitadas
Segurança
233
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- tentativas de logon com ou sem sucesso
Segurança
233
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos relacionados com os processos de instalação e remoção de aplicativos
Instalação
234
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos de erros do Windows
Sistema
234
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- erros de falha de ativação de aplicativo específico
Aplicativo
235
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos relacionados com os processos de instalação e remoção de componentes do sistema
Instalação
235
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos relacionados com os processos de instalação e remoção de pacotes do sistema
Instalação
236
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos de falha durante a inicialização do Windows
Sistema
237
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos de erros no disco
Sistema
238
MICROSOFT EVENT VIEWER
Os arquivos de log possuem extensão ...........
.EVTX
windows antigos = .EVT
239
MICROSOFT EVENT VIEWER
Qual a pasta padrão dos arquivos de log no Windows atual?
\Windows\System32\Winevt\Logs
240
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
- eventos de falha ao carregar drivers
Sistema
241
MICROSOFT EVENT VIEWER
Há duas categorias de logs de eventos: Logs do Windows e Logs de Aplicativos e Serviços.
Cite exemplos de logs que são criados na categoria "Logs de Aplicativos e Serviços".
* Internet Explorer;
* Serviço de Diretório;
* Servidor DNS.
242
MICROSOFT EVENT VIEWER - pertence a qual tipo de log?
Eventos de ........................ - Os computadores que são configurados como controladores de domínio
terão logs adicionais.
instalação
243
O protocolo syslog é bem simples: o remetente envia uma pequena mensagem de texto (com menos de 1024 bytes) para o destinatário ("syslogd", "serviço syslog" ou "servidor syslog"). Tais mensagens podem ser enviadas tanto por UDP quanto por TCP. O conteúdo da mensagem pode ser puro ou codificado por SSL (criptografado).
CERTO
O syslog é o sistema de log padrão utilizado nas distribuições GNU/Linux.
244
As mensagens do SYSLOG normalmente são geradas em ......................., mas podem ser redirecionadas para qualquer lugar através do arquivo ............................., que é o arquivo de configuração do Syslog.
As mensagens do SYSLOG normalmente são geradas em /var/log/messages, mas podem ser redirecionadas para qualquer lugar através do arquivo /etc/syslog.conf, que é o arquivo de configuração do Syslog.
245
O ......................... é o daemon do Syslog.
syslogd
246
O nível de severidade das mensagens do Syslog varia entre 0 e .....
7
1) Emergenciais - nível de severidade 0
2) Alertas - nível de severidade 1 (padrão)
3) Crítico – nível de severidade 2
4) Erros – nível de severidade 3
5) Avisos – nível de severidade 4
6) Notificações - nível de severidade 5
7) Informativo – nível de severidade 6
8) Depuração – nível de severidade 7
247
A ISO/IEC 27001 determina que a organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação (SGSI), bem como estabelece, entre outros requisitos, o que precisa ser monitorado e medido, assim como os métodos para monitoramento, medição, análise e avaliação.
CERTO
Está relacionada à:
- Segurança da Informação, Segurança Cibernética e Proteção à Privadidade
- Sistemas de gestão da segurança da informação
- Requisitos
248
............................ é a quantidade e tipo de riscos que uma organização está preparada para buscar ou reter
apetite pelo risco
249
......................... = causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização
AMEAÇA
250
....................... = fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa
vulnerabilidade
251
ISO 27005
= ocorrência ou mudança em um conjunto específico de circunstâncias
EVENTO
Um evento pode consistir em uma ou mais ocorrências, e pode ter várias causas e várias consequências.
Um evento pode também ser algo que é esperado, mas não acontece, ou algo que é inesperado, mas acontece.
252
ISO 27005
= pode consistir em uma ou mais ocorrências, e pode ter várias causas e várias consequências.
EVENTO
ocorrência ou mudança em um conjunto específico de circunstâncias
253
ISO 27005
= pode também ser algo que é esperado, mas não acontece, ou algo que é inesperado, mas acontece.
EVENTO
ocorrência ou mudança em um conjunto específico de circunstâncias
254
........................ = um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da
informação
incidente de segurança da informação
255
Explique:
1) Ameaça
2) Vulnerabilidade
3) Evento
4) Risco
5) Incidente
1) Ameaça = causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização
2) Vulnerabilidade = fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa
3) Evento = ocorrência ou mudança em um conjunto específico de circunstâncias
4) Risco = efeito da incerteza nos objetivos
5) Incidente = um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da
informação
256
O tratamento de riscos pode envolver diversas atividades. Cite 4
— a ação de evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco;
— assumir ou aumentar o risco, a fim de buscar uma oportunidade;
— a remoção da fonte de risco
— a alteração da probabilidade
— a alteração das consequências
— o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
— a retenção do risco por decisão consciente.
257
O tratamento de riscos de segurança da informação não inclui “assumir ou aumentar
o risco, a fim de buscar uma oportunidade”, mas a organização pode ter essa opção para gestão geral
de riscos.
CERTO
Tratamentos de risco que lidam com consequências negativas às vezes são chamados de
“mitigação de riscos”, “eliminação de riscos”, “prevenção de riscos” e “redução de riscos”.
258
.............................. = aceitação temporária do benefício potencial de ganho, ou do ônus da perda, a partir de um risco específico. Pode ser restrita a um determinado período.
Retenção de riscos
259
= período de tempo após um incidente em que:
- o produto ou serviço deve ser retomado, ou
- a atividade deve ser retomada, ou
- os recursos devem ser recuperados
RTO – Recovery Time Objective
tempo objetivado de recuperação
Para os produtos, serviços e atividades, o tempo objetivado de recuperação deve ser menor do
que o tempo em que os impactos negativos que surgirão como resultado de não fornecer um produto/serviço
ou realizar uma atividade se torne inaceitável
260
ISO 27005
= confirmação, através de evidência, que os requisitos especificados foram cumpridos
VERIFICAÇÃO
261
O processo de avaliação de riscos consiste nas seguintes atividades:
1)
2)
3)
1) Identificação de riscos
2) Análise de riscos
3) Avaliação de riscos
262
Convém que o processo de ...........................seja baseado em métodos e ferramentas
projetadas em detalhes suficientes para assegurar, diante das possibilidades, resultados consistentes,
válidos e reprodutíveis. Além disso, convém que o resultado seja comparável, por exemplo, para
determinar se o nível de risco aumentou ou diminuiu.
avaliação de riscos
263
Tratamentos de risco que lidam com consequências negativas às vezes são chamados de “mitigação de riscos”, ........................ , .............................. e ................................
“eliminação de riscos”, “prevenção de riscos” e “redução de riscos”.
264
É responsabilidade do ................................... a classificação das informações dos ativos.
proprietário do ativo/informações
265
As opções para assegurar a exatidão de um inventário de informações e outros ativos associados incluem impor automaticamente uma atualização de inventário no processo de instalação, alteração ou remoção de um ativo.
CERTO
Convém que a localização de um ativo seja incluída no inventário conforme apropriado.
266
Convém que o inventário seja mantido pelas funções relevantes, que pode ser visto como um conjunto de inventários dinâmicos, como inventários de ativos de informação, hardware , software, máquinas virtuais (VM),
instalações , pessoal, competências, capacidades e registros.
CERTO
Convém que cada ativo seja classificado de acordo com a classificação das informações associadas a esse ativo.
267
Convém que a propriedade de ativos seja reatribuída conforme necessário quando os atuais proprietários de ativos deixarem ou mudarem de atribuições.
CERTO
Convém que a propriedade seja atribuída quando os ativos são criados ou quando os ativos são transferidos
para a organização
268
