SEGURANÇA DA INFORMAÇÃO Flashcards

1
Q

Cada certificado no padrão X.509 versão 3 inclui uma chave pública, a assinatura digital, informações sobre a identidade associada ao certificado e a autoridade certificadora que o emite.

A

CERTO

Os certificados X 509 possuem três componentes principais:1. Par de chaves;2. Assinatura digital;3. Informações sobre a identidade do emissor e do proprietário.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Entre as atividades corretivas definidas para a hardening, técnica utilizada para tornar o sistema completamente seguro, destaca-se a de manter atualizados tanto os softwares do sistema operacional quanto os das aplicações.

A

ERRADO

Não existe completamente seguro.

Hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

De acordo com a ISO 27002 o………………. é o responsável por classificar a informação de sua alçada.

A

proprietário do ativo

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Na classificação comum, os documentos que necessitam de sigilo especial são classificados como …………………… A classificação crítica se refere a informações que, se divulgadas, podem trazer um risco muito elevado para a organização, como informações financeiras, estratégicas ou de propriedade intelectual.

A

Sensíveis

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

A classificação dos ativos de informação em graus de sigilo constitui precondição para se definir os requisitos de tratamento e de proteção a eles aplicáveis.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Os ataques ……………………… são aqueles que não alteram ou interferem no fluxo de dados. Ou seja, escutas ou interceptações apenas para coleta e leitura das informações, sem sua alteração, caracteriza esse tipo de ataque.

A

passivos

● Eavesdropping: Interceptação de dados em redes sem fio ou com fio.
● Análise de tráfego: Monitoramento de pacotes de rede para identificar informações confidenciais.
● Ataques de sniffing: Captura de dados em redes utilizando ferramentas específicas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

O mecanismo de detecção por aproximação em crachás está baseado na tecnologia de …………………

A

radiofrequência

comumente conhecida como RFID (Radio-Frequency Identification). Os crachás de identificação são equipados com uma pequena antena e um chip que emite sinais de radiofrequência quando aproximados de um leitor compatível.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

As boas práticas da gestão dos controles de acesso lógico de uma organização incluem atribuir direitos de
acesso aos usuários, conforme necessidades reais de seu trabalho ou cargo, disponibilizar contas de
usuários apenas a pessoas autorizadas, armazenar senhas criptografadas e usar técnicas visíveis de
identificação.

A

ERRADO

nem todos os itens elencados são boas práticas. O item que fica fora dessa lista é a técnica de armazenamento de senhas criptografadas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

. A ideia do HARDENING é “endurecer” um servidor de tal modo a deixá-lo mais robusto e seguro.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Quais são as boas práticas de utilização de usuário ROOT em um servidor?

A

Não se deve possibilitar a utilização do usuário ROOT de forma direta, ou seja, logando-se como ROOT. Para tanto, deve-se utilizar apenas o método de escalação de privilégios, ou seja, deve-se logar como determinado usuário para posterior mudança de privilégio e consequente execução de comandos ou aplicações. Isto possibilita a geração de lastros e trilhas de auditorias, além de ser mais uma camada de segurança.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Explique a diferença entre as técnicas de controle de acesso MAC, DAC, RBAC e ABAC.

A
  • Mandatory Access Control (MAC) - base em políticas de segurança pré-definidas - como listas de controle de acesso (ACLs) e labels de segurança.
  • Discretionary Access Control (DAC) - o usuário tem o controle de garantir privilégios de acesso a recursos aos que estão sob seu domínio
  • Role-Based Access Control (RBAC) - privilégios de acordo com a função do usuário.
  • Attribute-Based Access Control (ABAC) - base em atributos do sujeito, objeto e contexto.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Para o estabelecimento dos controles de acesso a um sistema de informação desenvolvido numa organização, o administrador de segurança sugeriu que, para cada objeto ou recurso do sistema, fossem atribuídas autorizações de acesso bem definidas a indivíduos, funções ou grupos. A técnica de controle de acesso lógico indicada pelo administrador denomina-se

A

lista de controle de acesso (ACL)

Somente aqueles na lista são permitidos nas portas. Isso permite que os administradores garantam que, a menos que as credenciais adequadas sejam apresentadas pelo dispositivo, ele não possa obter acesso.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

No controle de acesso, somente os usuários que tenham sido especificamente autorizados podem usar e
receber acesso às redes e aos seus serviços.

A

CERTO

Exatamente. É importante sempre lembrar essa diferença básica da autenticação e autorização.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Códigos de verificação de um sistema de autenticação de dois fatores podem ser enviados por email ou
gerados por um aplicativo autenticador instalado no dispositivo móvel do usuário.

A

CERTO

como o Google
Authenticator, por exemplo, ou algum serviço semelhante, onde são geradas senhas para cada usuário.
Agora é importante destacar que aqui nós temos o modelo de algo que você sabe, com algo que você possui.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Uma das condições para a autenticação é que o sinal biométrico apresenta correspondência exata entre o
sinal biométrico recebido pelo sistema e o gabarito armazenado.

A

ERRADO

Existem os modelos comportamentais, que também são sinais biométricos e trabalham com referências variáveis, mas dentro de um padrão aceitável, com taxa de similaridade e equivalência alto. Dizer que tem que ser exato, não é uma verdade para sua generalização.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Um …………………… geralmente é uma sequência de comandos, dados ou uma parte de um software elaborados por hackers que conseguem tirar proveito de um defeito ou vulnerabilidade. O objetivo, neste caso, é causar um comportamento acidental ou imprevisto na execução de um software ou hardware, tanto em computadores quanto em outros aparelhos eletrônicos.

A

exploit

pode dar a um cracker o controle de um sistema de computador, permitindo a execução de determinados processos por meio de acesso não autorizado a sistemas, ou ainda realizar um ataque de negação de serviço.
não precisa que o usuário clique em um determinado link ou faça o download para a execução de algum arquivo. Por isso, os exploits são armas perigosas nas mãos de hackers mal intencionados.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

O SDL (Security Development Lifecycle) engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software. Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

O SDL (Security Development Lifecycle) engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software. Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o …………………… do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.

A

DESIGN

  1. FASE DE REQUISITOS
  2. FASE DE DESIGN
  3. FASE DE IMPLEMENTAÇÃO
  4. FASE DE VERIFICAÇÃO
  5. FASE DE SUPORTE E MANUTENÇÃO
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Quais são as fases do ciclo de vida SDL (Security Development Lifecycle)?

A
  1. FASE DE REQUISITOS
  2. FASE DE DESIGN
  3. FASE DE IMPLEMENTAÇÃO
  4. FASE DE VERIFICAÇÃO
  5. FASE DE SUPORTE E MANUTENÇÃO
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Os mecanismos de autenticação são procedimentos, rotinas, ferramentas ou soluções que implementam, de fato, o princípio de autenticação com o devido controle de acesso. Estes podem ser subdivididos em três grandes grupos, quais sejam:

Algo que você sabe: senha.
Algo que você tem: token, crachá, smart card.
Algo que você é: biometria (digital, iris, voz, face, etc.)

O conjunto dessas três características conceitua o termo …………………………..

A

AAA (authentication, authorization e accounting).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

O principal protocolo que roda por trás do recurso …………. é o LDAP, no âmbito corporativo. Uma implementação mais simples é por intermédio dos cookies dos browsers dos dispositivos.

A

SSO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

O ………….. elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O ………….. possibilita o …………. ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.

A

O SSO elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O SAML possibilita o SSO ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

O SSO elimina a necessidade de os usuários fazerem login em vários aplicativos repetidamente. O ………….. possibilita o SSO ao facilitar a troca de informações entre três partes: o usuário, o provedor de identidade e o provedor de serviços.

A

SAML

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

O SAML é um padrão aberto que permite com que provedores de serviços e recursos de identidade passe credenciais de autorização para provedores de serviços através de refresh tokens.

A

ERRADO

SAML usa XML para autenticação via federação de identidade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

O SAML está na versão 2.0, e, em suas especificações, define basicamente 3 papéis:
1.
2.
3.

A
  1. O principal (tipicamente um humano);
  2. O Provedor de Identidades (Identity Provider - IDP)
  3. O Provedor de Serviços (Service Provider - SP)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

……….. usa tokens da web com JSON (JWTs) para verificar a identidade de um usuário final, permite que os usuários façam login em vários sites usando um conjunto de credenciais de login.

A

OAuth

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

Biometria é um conceito amplo que envolve identificar de maneira única um indivíduo por meio de suas características físicas ou comportamentais. Cite 4 características fisiológicas e 3 comportamentais.

A

Fisiológicas
-Face
-Impressão digital
-Mão
-Olho (iris, retina)

Comportamentais
-Assinatura (estática e dinâmica)
-Voz
-Ritmo de escrita

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

Basicamente, quando falamos de ……………………, referenciamos os equipamentos finais que ficam nas mãos dos usuários finais (computadores, laptops, smartphones, entre outros). A segurança desses equipamentos busca evitar ataques cibernéticos, detectar atividades maliciosas e fornecer recursos de correção instantânea, entre outros.

A

ENDPOINTS

Dentre alguns recursos e contextos de aplicação das soluções voltadas para segurança em EndPoints, podemos citar Antivírus, Antimalwares, firewalls, HIDS e HIPS, Atualizações diversas de drivers, softwares e S.O., entre outros. Vamos reforçar alguns recursos e conceitos para cada um desses aspectos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

Você já se perguntou como os desenvolvedores de software garantem que seus aplicativos, drivers, executáveis e softwares sejam autênticos, íntegros e seguros? A resposta é a ………………………………, como também é conhecido, um processo que usa certificados digitais e criptografia para verificar a identidade do editor e a integridade do código.

A

assinatura de código ou Code Signing

Code Signing é baseada em uma tecnologia chamada infraestrutura de chave pública (PKI), que usa pares de chaves públicas e privadas para criar assinaturas digitais.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

Ataques como …………………., onde não são conhecidos em nenhuma assinatura, somente poderão ser detectados preventivamente por meio de técnicas de análise de comportamento por meio de inteligência artificial e aprendizado de máquina que traçam linhas de base com base em heurísticas, redes neurais e muitas outras técnicas, para tentar prever determinados malwares e outras ações.

A

ZERO-DAY

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

Ataques como ZERO-DAY, onde não são conhecidos em nenhuma assinatura, somente poderão ser detectados preventivamente por meio de técnicas de análise de comportamento por meio de inteligência artificial e aprendizado de máquina que traçam linhas de base com base em heurísticas, redes neurais e muitas outras técnicas, para tentar prever determinados malwares e outras ações.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
32
Q

Ataques …………………… basicamente são aqueles que ainda não foram descobertos pelas comunidades e provedores de soluções de segurança, ou ainda, pelo donos das soluções e produtos, para que possam implementar as medidas de segurança ou correções necessárias para eliminar a vulnerabilidade.

A

ZERO-DAY

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
33
Q

……………………: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;

A

RISCO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
34
Q

RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
35
Q

AMEAÇA: probabilidade de uma fonte de risco explorar uma vulnerabilidade, resultando em um impacto para a organização

A

errado

RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
36
Q

Explique sucintamente:

1) RISCO
2) AMEAÇA
3) VULNERABILIDADE
4) IMPACTO
5) INCIDENTE

A

1) RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
2) AMEAÇA: Causa potencial de um incidente indesejado.
3) VULNERABILIDADE: Fragilidade de um ativo que pode ser explorada por uma ou mais ameaças
4) IMPACTO: Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
5) INCIDENTE: um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
37
Q

………………. é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

A

INCIDENTE

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
38
Q

Quais as 4 formas básicas de como a organização deve reagir aos riscos?

A

1) Evitar
2) Transferir
3) Miotigar
4) Aceitar ou Reter

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
39
Q

DIRETRIZES PARA O DESENVOLVIMENTO DE SOFTWARE SEGURO

Os softwares devem ser capazes de aplicar regras de …………………. gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.

A

Os softwares devem ser capazes de aplicar regras de controle de acesso, gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
40
Q

DIRETRIZES PARA O DESENVOLVIMENTO DE SOFTWARE SEGURO

Os softwares devem ser capazes de aplicar regras de controle de acesso, ,,,,,,,,,,,,,,,,,,,,,,,,, que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.

A

Os softwares devem ser capazes de aplicar regras de controle de acesso, gerar registros e logs que possibilitem verificar as trilhas de auditoria e, obviamente, serem robustos com vistas a manter a disponibilidade dos recursos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
41
Q

…………………. é uma técnica utilizada para testar erros em aplicações. É amplamente utilizado no processo de desenvolvimento de softwares seguros devido sua capacidade de detectar defeitos que usuários não descobrem com facilidade

A

Fuzzing

Assim, caso este seja descoberto em ambiente de produção, pode gerar grandes danos aos usuários de determinada aplicação. A referida técnica consiste, basicamente, em enviar entradas randômicas para a aplicação.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
42
Q

O que é a técnica Fuzzing?

A

é uma técnica utilizada para testar erros em aplicações. É amplamente utilizado no processo de desenvolvimento de softwares seguros devido sua capacidade de detectar defeitos que usuários não descobrem com facilidade. Assim, caso este seja descoberto em ambiente de produção, pode gerar grandes danos aos usuários de determinada aplicação. A referida técnica consiste, basicamente, em enviar entradas randômicas para a aplicação

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
43
Q

É uma metodologia criada pela Microsoft para o desenvolvimento de softwares que precisam suportar ataques de usuários mal-intencionados. O processo engloba a adição de uma série de atividades e produtos concentrados na segurança em cada fase do processo de desenvolvimento de software da Microsoft.

A

SDL (Security Development Lifecycle)

Essas atividades e esses produtos incluem o desenvolvimento de modelos de ameaças durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação e a realização de revisões de código e testes de segurança durante um “esforço de segurança” direcionado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
44
Q

Quais as etapas do ciclo de vida SDL (Security Development Lifecycle)?

A
  1. FASE DE REQUISITOS
  2. FASE DE DESIGN (*** modelagem de ameaças)
  3. FASE DE IMPLEMENTAÇÃO
  4. FASE DE VERIFICAÇÃO
  5. FASE DE SUPORTE E MANUTENÇÃO
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
45
Q

CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
46
Q

CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a ………………………….., que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.

A

atividades e papéis

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
47
Q

CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas ………………………, que são referenciadas como Conjuntos de Taxonomias de vulnerabilidades a serem consideradas no desenvolvimento do software.

A

Visões CLASP

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
48
Q

CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP, que são referenciadas como Conjuntos de Taxonomias de ………………………… a serem consideradas no desenvolvimento do software.

A

Taxonomias de vulnerabilidades

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
49
Q

OWASP Secure Coding Practices é uma comunidade aberta dedicada a permitir que as organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. Cite 5 riscos de segurança mais críticos de aplicações Web do top 10.

A

1)Broken Access Control:
2)Cryptographic Failures
3)Injection (agora inclui Cross Site Scripting):
4) Insecure Design
5)Security Misconfiguration
6)Vulnerable and Outdated Components
7)Identification and Authentication Failures: ocasionado por práticas inadequadas de autenticação, senhas inseguras.
8)Software and Data Integrity Failures
9)Security Logging and Monitoring Failures: práticas de registro e monitoramento inadequadas.
10)Server-Side Request Forgery: Indução de solicitações pelo servidor em nome do atacante - Falhas na validação de URLs, permitindo solicitações não autorizadas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
50
Q

A biometria das digitais tem como principal vantagem o fato de que as impressões digitais são imutáveis.

A

ERRADO

esse é justamente um dos riscos da biometria, falha na identificação por conta de variações nas características biométricas ao longo do tempo

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
51
Q

Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.

A

CERTO

a modelagem de ameaças é um prática do modelo SDL presente na etapa de Design.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
52
Q

O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.

A

CERTO

O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
53
Q

Qual a diferença entre SAST, DAST e IAST?

A

SAST (Static application security testing): análise estátisca do código
DAST (Dynamic application security testing): análise dinâmica, em execução, de fora pra dentro, teste de comportamento, testes de penetração.
IAST (Interacive application security testing): se integra diretamente ao código do aplicativo e monitora sua execução em busca de vulnerabilidades em tempo real.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
54
Q

Ao contrário das ferramentas estáticas que analisam o código-fonte ou das ferramentas dinâmicas que simulam ataques, as ferramentas IAST examinam a aplicação em tempo de execução. Isso permite a detecção de vulnerabilidades reais à medida que a aplicação interage com dados, APIs e usuários reais.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
55
Q

Ao contrário das ferramentas estáticas que analisam o código-fonte ou das ferramentas dinâmicas que simulam ataques, as ferramentas ………… examinam a aplicação em tempo de execução. Isso permite a detecção de vulnerabilidades reais à medida que a aplicação interage com dados, APIs e usuários reais.

A

IAST (Interacive application security testing): se integra diretamente ao código do aplicativo e monitora sua execução em busca de vulnerabilidades em tempo real.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
56
Q

A lógica difusa é uma das técnicas utilizadas em testes dinâmicos (DAST) para tentar detectar falhas de segurança em binários.

A

CERTO

A lógica difusa, ou fuzzy logic, é uma forma de lógica que lida com valores de verdade que variam entre 0 e 1. Ao contrário da lógica binária clássica que trabalha com valores absolutos de verdade (0 ou 1), a lógica difusa permite que variáveis tenham valores intermediários, representando graus de verdade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
57
Q

A criptologia incorpora estudos e conhecimentos das áreas de criptografia e criptoanálise.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
58
Q

Qual a diferença entre Criptoanálise, Criptologia e Cifra?

A

Criptoanálise = Ciência de quebrar códigos e decifrar mensagens.
Criptologia = Ciência que agrega a criptografia e a criptoanálise.
Cifra = Método de codificação de mensagens com vista à sua ocultação.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
59
Q

Ao codificarmos uma mensagem, podemos utilizar, basicamente, três métodos de cifragem, quais sejam: ……………………., ……………………..e ……………………….. A combinação desses métodos com fórmulas e funções matemáticas geram os tão conhecidos algoritmos de criptografia.

A

substituição, transposição e esteganografia

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
60
Q

Em um ataque por …………………….., exploram-se a natureza e as características do algoritmo na tentativa de deduzir as chaves utilizadas ou de deduzir um texto claro específico.

A

Criptoanálise

Ciência de quebrar códigos e decifrar mensagens.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
61
Q

Um esquema de criptografia será considerado computacionalmente seguro se o tempo para se quebrar sua cifra for superior ao tempo de vida útil da informação por ele protegida.

A

CERTO

Se a informação não faz mais sentido, ou seja, se ela não tem mais valor, não há problemas em ela ser violada. Nesse sentido, precisamos garantir que o sistema não seja quebrado enquanto a informação produz algum valor, ou seja, dentro do seu período de vida útil.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
62
Q

Empregada na criptografia, a transposição consiste na mudança na posição de letras ou palavras; essa técnica demanda que ambas as partes conheçam a fórmula de transposição utilizada.

A

CERTO

obviamente, é necessário que as duas partes saibam e tenham domínio completo do procedimento ou regra estabelecida.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
63
Q

Esteganografia é uma técnica que consiste em ocultar uma mensagem dentro da outra, enquanto a criptografia é uma técnica que codifica o conteúdo da mensagem.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
64
Q

Cifragem de Bloco = ………. block

A

Cipher

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
65
Q

Quais são as técnicas/métodos de cifras de bloco? são 5

A

1) Eletronic Code Book – ECB
2) Cipher Block Chaining – CBC
3) Cipher FeedBack - CFB
4) OFB (Output Feedback)
5) CTR (Counter)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
66
Q

Qual método de cifra de bloco é o mais utilizado? Ele utiliza que tipo de operação?

A

Cipher Block Chaining – CBC
Utiliza a operação XOR. A cifragem de cada bloco depende da cifragem de todos os blocos anteriores.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
67
Q

Nos sistemas criptográficos simétricos, …………………….. é o mecanismo que impede a criptoanálise por análise estatística caracterizado por dissipar a estrutura estatística do texto plano em estatísticas de longo alcance .

A

DIFUSÃO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
68
Q

O modo de operação de cifra de bloco da criptografia simétrica, no qual o bloco de texto claro atual é usado diretamente na entrada do algoritmo e criptografado com a mesma chave, de tal forma que, como consequência disso, sempre produz blocos de texto cifrado iguais para blocos de texto claro iguais, é o …………

A

Electronic Codebook (ECB)

É o método mais simples que utiliza como conceito a independência dos blocos sendo aplicada a mesma chave.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
69
Q

A criptoanálise, baseada nas propriedades do algoritmo de criptografia, e a força bruta, que compreende a tentativa de quebra de todas as chaves possíveis, constituem tipos de ataque a um algoritmo de criptografia.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
70
Q

A entropia é um recurso tangível. O termo descreve a informação aleatória recolhida por um sistema operativo para gerar chaves criptográficas utilizadas para encriptar informação. À medida que a entropia aumenta, tanto em qualidade como em quantidade, as chaves tornam-se mais difíceis de decifrar, e a encriptação melhora.

A

CERTO

Quando se comprime uma informação, aumenta a entropia. Sendo assim, gera maior aleatoriedade aos olhos do atacante/criptoanalista.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
71
Q

A compressão de dados antes da encriptação geralmente aumenta a segurança do sistema, por reduzir a redundância na mensagem, dificultando a criptoanálise.

A

CERTO

Quando se comprime uma informação, aumenta a entropia. Sendo assim, gera maior aleatoriedade aos olhos do atacante/criptoanalista.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
72
Q

Criptoanálise ………………….. observa a evolução de um único bloco de texto.

A

LINEAR

Criptoanálise diferencial observa o comportamento de pares de blocos de texto em evolução a cada rodada da cifra.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
73
Q

Criptoanálise ………………….. observa o comportamento de pares de blocos de texto em evolução a cada rodada da cifra.

A

DIFERENCIAL

Criptoanálise linear observa a evolução de um único bloco de texto.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
74
Q

Uma técnica às vezes utilizada para tornar o DES mais forte é chamada de …………………….Como essa técnica acrescenta efetivamente mais bits ao tamanho da chave, ela torna uma pesquisa exaustiva do espaço de chaves muito mais demorada

A

clareamento / whitening

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
75
Q

No caso de utilização do DES (data encryption standard), pode-se utilizar a técnica conhecida como ……………….., com o objetivo de reduzir as vulnerabilidades de um dos sistemas criptográficos empregados na rede, havendo um acréscimo de bits à chave criptográfica original, reduzindo as chances de sucesso de uma eventual criptoanálise desse sistema.

A

clareamento / whitening

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
76
Q

Tanto a criptografia simétrica quanto a encriptação de chave pública são vulneráveis a um ataque de força bruta.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
77
Q

Criptografia simétrica possui algumas características específicas em relação ao modo de operação. Ao se aplicar a cada bloco de texto simples uma função XOR junto com o bloco cifrado anterior antes de o texto ser criptografado, o modo de operação é do tipo ……………

A

Cipher Block Chaining – CBC: É o método mais utilizado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
78
Q

TLS/SSL usa criptografia simétrica ou assimétrica?

A

Os dois. A criptografia assimétrica é usada para negociar a chave secreta da criptografia simétrica. Essa chave secreta é a que será usada no decorrer da conexão.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
79
Q

Existem 5 tipos de ataques de criptoanálise ordenados pelo pode de conhecimento do atacante.

1) Apenas Texto Cifrado – CypherText-Only
2)
3)
4)
5)

A

1) Apenas Texto Cifrado – CypherText-Only: há conhecimento apenas do algoritmo de criptografia utilizado e do próprio texto cifrado;
2) Texto Claro Conhecido – Known-plaintext: Além dos itens acima, o atacante tem a informação dos pares de texto claro de entrada e seu respectivo texto cifrado de saída;
3) Texto Claro Escolhido – Choosen-Plaintext: Agora o atacante não se restringe apenas a saber o par de entrada e saída, mas ele é capaz de manipular a entrada e avaliar a sua respectiva saída;
4) Texto Cifrado Escolhido – Choosen-CypherText: Agora o atacante é capaz de fazer o caminho reverso, onde a partir de um texto cifrado escolhido, ele é capaz de verificar qual o texto em claro correspondendo;
5) Texto Escolhido – Choosen-Text – Há plena capacidade de manipulação dos textos de entrada e saída, e vice-versa;

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
80
Q

Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?

há conhecimento apenas do algoritmo de criptografia utilizado e do próprio texto cifrado

A

Apenas Texto Cifrado – CypherText-Only

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
81
Q

Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?

há conhecimento do algoritmo e dos pares de texto claro de entrada e seu respectivo texto cifrado de saída

A

Texto Claro Conhecido – Known-plaintext

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
82
Q

Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?

há conhecimento do algoritmo e o atacante é capaz de manipular a entrada e avaliar a sua respectiva saída

A

Texto Claro Escolhido – Choosen-Plaintext

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
83
Q

Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?

o atacante é capaz de fazer o caminho reverso, onde a partir de um texto cifrado escolhido, ele é capaz de verificar qual o texto em claro correspondendo

A

Texto Cifrado Escolhido – Choosen-CypherText

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
84
Q

Qual tipo de ataque de criptoanálise? (known-plaintext,etc.)?

há plena capacidade de manipulação dos textos de entrada e saída, e vice-versa

A

Texto Escolhido – Choosen-Text

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
85
Q

Modos de operação de cifra de bloco permitem cifrar mensagens de tamanhos arbitrários com a utilização de algoritmos de cifragem de blocos, que trabalham com blocos de tamanho fixo. Os modos de operação existentes asseguram a confidencialidade e a integridade da mensagem cifrada, embora nem todos possam ser utilizados para autenticação.

A

ERRADO

a técnica de cifragem por bloco não pode ser generalizada no sentido de garantir os princípios de segurança.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
86
Q

A criptografia incorpora estudos e conhecimentos das áreas de criptologia e criptoanálise.

A

ERRADO

A criptologia incorpora estudos e conhecimentos das áreas de criptografia e criptoanálise.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
87
Q

Quais são as etapas do processo de Assinatura Digital?
1.
2.
3.
4.
5.
6.

A
  1. Gera-se o HASH da Mensagem.
  2. Cifra-se com a Chave Privada do Emissor.
  3. Envia o HASH cifrado em conjunto com a mensagem em texto claro.
  4. O receptor decifra o HASH CIFRADO utilizando a chave pública do emissor.
  5. O receptor gera um novo HASH a partir da mensagem em claro recebida.
  6. Compara-se os HASH obtidos nas etapas 4 e 5.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
88
Q

A criptografia simétrica visa garantir apenas o princípio da ………………………..

A

CONFIDENCIALIDADE

Os demais não podem ser garantidos, pois não há mecanismo que garanta que a mensagem não será alterada no caminho, podendo gerar um resultado de decriptação diferente da mensagem original. Não há como garantir de que a pessoa que aplicou a chave simétrica no processo de encriptação é quem ela diz ser.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
89
Q

A robustez de segurança dos algoritmos de chave simétrica se encontra ………………………………, enquanto nos algoritmos de chave assimétrica, …………………………….. Entretanto, não quer dizer que isso basta, pois ambos são importantes para os dois modelos.

A

A robustez de segurança dos algoritmos de chave simétrica se encontra no segredo da chave, enquanto nos algoritmos de chave assimétrica, está no algoritmo. Entretanto, não quer dizer que isso basta, pois ambos são importantes para os dois modelos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
90
Q

O DES (data encryption standard) é um sistema de codificação simétrico por blocos de 64 bits, dos quais ……….. servem de teste de paridade.

A

8 bits (1 byte)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
91
Q

As substituições no algoritmo simétrico de bloco DES são conhecidas como ……………… e são especificadas em 8 tabelas onde entram blocos de 6 e saem blocos de 4 bits.

A

S-boxes (caixas S ou caixas de substituição usadas na estrutura de Feistel)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
92
Q

As substituições no algoritmo simétrico de bloco DES são conhecidas como S-boxes (caixas S ou caixas
de substituição usadas na estrutura de Feistel) e são especificadas em 8 tabelas onde entram blocos de …….
e saem blocos de …… bits.

A

entram blocos de 6
e saem blocos de 4 bits.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
93
Q

Na área de estudos da criptografia da informação, o princípio de Kerckhoff estabelece que ……………………….. algoritmos devem ser públicos e as chaves ……………………

A

todos os algoritmos devem ser públicos e apenas as chaves devem ser secretas.

–> Algoritmos = Devem ser Públicos e de amplo conhecimento para gerar resiliência e robustez frente à comunidade.

–> Chaves = Secreta, partindo do pressuposto que deve ser de conhecimento privativo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
94
Q

Um dos princípios criptográfico é que todas mensagem devem conter alguma redundância.

A

CERTO

toda mensagem criptografa deve ter algum tipo de informação redundante ou informação que não seriam muito necessários para compreensão da mensagem.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
95
Q

Segundo o princípio de Kerckhoffs, a capacidade de proteger mensagens se torna mais forte quando se utilizam chaves públicas no processo.

A

ERRADO

Kerckhoffs diz que todos os algoritmos devem ser públicos e apenas as chaves devem ser secretas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
96
Q

A segurança de um sistema criptográfico simétrico deve estar na chave e no tamanho dessa chave, e não nos detalhes do algoritmo.

A

CERTO

Derivado do mesmo princípio de Kerckhoff. Como os algoritmos é público, não faz sentido ancorar sua segurança nos detalhes do algoritmo. Já a chave, tem-se o tamanho e privacidade que contribuem diretamente no processo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
97
Q

Na tentativa de dar uma sobrevida ao DES, criou-se o 3DES, que nada mais é do que a aplicação do DES três vezes, com o detalhe de que na segunda vez, faz-se o processo de decriptação. Desse modo, ao se utilizar três chaves distintas, tem-se uma robustez de 56 bits por chave, totalizando 168 bits de tamanho de chave.

A

CERTO

KEY A -> ENCRIPTA
KEY B -> DECRIPTA
KEY C -> ENCRIPTA

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
98
Q

O 3DES suporta a utilização de apenas duas chaves, assumindo que a primeira e a terceira sejam iguais. Nesse caso, a robustez da chave se restringiria a ……. bits.

A

112 bits

ao se utilizar três chaves distintas, tem-se uma robustez de 56 bits por chave, totalizando 168 bits de tamanho de chave.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
99
Q

O protocolo 3DES possui três chaves criptográficas: a primeira e a segunda criptografam informações; a terceira é usada para descriptografar aquelas.

A

ERRADO

KEY A -> ENCRIPTA
KEY B -> DECRIPTA
KEY C -> ENCRIPTA

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
100
Q

A propriedade de segurança da informação que corresponde ao uso da criptografia é ………………………..

A

confidencialidade

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
101
Q

Um algoritmo assimétrico conta com duas chaves, e qualquer uma delas pode ser usada, alternadamente, tanto para criptografar quanto para decriptografar.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
102
Q

O RC4 é orientado a byte e possui tamanho de chave variável até ………. bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de ……………. É um algoritmo bastante utilizado no TLS.

A

O RC4 é orientado a byte e possui tamanho de chave variável até 2048 bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de fluxo. É um algoritmo bastante utilizado no TLS.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
103
Q

O RC5 é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
104
Q

O RC4 é orientado a byte e possui tamanho de chave variável até 2048 bits, com algoritmo baseado em permutação randômica. Possui como principal característica a utilização de cifras de fluxo. É um algoritmo bastante utilizado no TLS.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
105
Q

O RC5 é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: …………………………., encriptação e decriptação.

A

**EXPANSÃO **

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
106
Q

O RC5 é um algoritmo parametrizado que utiliza cifra de ……………. de tamanho variável (….. , ….. e ….. bits), tamanho de chave variável (0 a ………) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.

A

O RC5 é um algoritmo parametrizado que utiliza cifra de bloco de tamanho variável (32, 64 e 128 bits), tamanho de chave variável (0 a 2048) e quantidade variável de rodadas (0 a 255) de processamento. Utiliza três rotinas padrões: expansão, encriptação e decriptação.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
107
Q

O RC6 utiliza cifra de …………….. e acrescenta recursos de inclusão de multiplicação de inteiros e registradores de 4 bits, enquanto o RC5 utilizava 2 bits.

A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
108
Q

Um exemplo de algoritmo simétrico que realiza a cifragem de fluxo é o …………

A

RC4

Vimos que o RC4 tem esse grande diferencial de ser uma cifra de fluxo para a criptografia simétrica. Apenas precisamos lembrar que o RC5 é diferente, sendo ele uma cifra de bloco.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
109
Q

AES – Advanced Encryption Standard: suporta tamanhos de chaves variáveis. Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de Rjindael.

A

CERTO

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
110
Q

………………………………………..: suporta tamanhos de chaves variáveis. Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de Rjindael.

A

AES – Advanced Encryption Standard

111
Q

AES – Advanced Encryption Standard: suporta tamanhos de chaves variáveis. Por padrão, utiliza-se o tamanho de bloco fixo de ……. bits, podendo ser utilizado chaves de …….., …….. e ……. bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de ……………………..

A

AES – Advanced Encryption Standard: suporta tamanhos de chaves variáveis. Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de Rjindael.

112
Q

Algumas referências de algoritmos seguros hoje tomando como referência seus tamanhos de chaves.

64 bits =
128 bits =
256 bits =

A

64 bits = chave fraca
128 = segurança de rotina
256 = considerado seguro

113
Q

O funcionamento do algoritmo AES pode ser resumido em quatro estágios, quais sejam:
1) SubBytes
2) ShiftRows
3) MixColumns
4) AddRoundKey

A

CERTO

três estágios de substituição (Subbytes, MixColumns e AddRoundKey) e um de permutação (shiftRows).

114
Q

É uma cifra de bloco cujo objetivo é substituir o DES em aplicações comerciais. Usa um tamanho de bloco de **128 bits **e um tamanho de chave de 128, 192 ou 256 bits.

A

AES

Por padrão, utiliza-se o tamanho de bloco fixo de 128 bits, podendo ser utilizado chaves de 128, 192 e 256 bits. Não utiliza a tão conhecida rede de Feistel disseminada pelo DES, mas sim o algoritmo de Rjindael.

115
Q

A segurança de um sistema criptográfico simétrico tem como características básicas a força do algoritmo e o comprimento da chave.

A

CERTO

quanto à força do algoritmo, temos o aspecto da sua resiliência, no sentido de não ser fragilizado frente a ataques de criptoanálise.

116
Q

A cifra de ………………………….. é basicamente uma cifra de SUBSTITUIÇÃO POLIALFABÉTICA. A sua ideia base nada mais é do que a aplicação sucessiva da cifra de Cesar com variação na quantidade de letras para subtituição. Utiliza ainda um conceito de “palavra-chave” que vai ditar a regra desses deslocamentos.

A

Vigenère

117
Q

Cite 7 algoritmos de critografia simétrica.

A

1) DES
2) 3DES
3) RC3,4,5,6
4) AES
5) BlowFish
6) TwoFish
7) IDEA

118
Q

Na criptografia assimétrica, se o objetivo é garantir a confidencialidade, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!

A

CERTO

119
Q

Na criptografia assimétrica, se o objetivo é garantir a autenticidade, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!

A

ERRADO

-se o objetivo é garantir a confidencialidade, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!

-se o objetivo é garantir a autenticidade, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR

120
Q

Na criptografia assimétrica, se o objetivo é garantir a autenticidade, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR

A

CERTO

121
Q

Na criptografia assimétrica, se o objetivo é garantir a confidencialidade, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR

A

ERRADO

-se o objetivo é garantir a confidencialidade, deve-se cifrar com a chave pública do RECEPTOR e decifrar com a chave privada do RECEPTOR!

-se o objetivo é garantir a autenticidade, deve-se cifrar com a chave privada do EMISSOR e decifrar com a chave pública do EMISSOR

122
Q

O sistema criptográfico pode usualmente alterar a chave privada de um usuário, gerando uma nova chave pública correspondente.

A

CERTO

Lembremos sempre que o par de chaves é gerado de forma conjugada, onde uma chave é derivada da outra. Logo, sempre que é gerado uma nova chave privada, ainda que em regime de alteração, tem-se, necessariamente, que se gerar uma nova chave pública correspondente

123
Q

Os algoritmos de criptografia de chave pública devem ser computacionalmente fáceis, a fim de que o receptor de uma mensagem cifrada com uma chave pública a decriptografe utilizando sua chave privada para recuperar a mensagem original

A

CERTO

A facilidade computacional do algoritmo está atrelado ao processo adequado de descriptografia, ou seja, uma vez que eu insiro a chave correta, ele facilmente realiza o processo. Isso é uma verdade.

124
Q

A criptografia simétrica está fundamentada na técnica de SUBSTITUIÇÃO, enquanto a Assimétrica, na técnica de TRANSPOSIÇÃO.

A

CERTO

Isso não quer dizer que possa, em alguns casos, usar outras técnicas

125
Q

A criptografia simétrica está fundamentada na técnica de TRANSPOSIÇÃO, enquanto a Assimétrica, na técnica de SUBSTITUIÇÃO.

A

ERRADO

Contrário.
A criptografia simétrica está fundamentada na técnica de SUBSTITUIÇÃO, enquanto a Assimétrica, na técnica de TRANSPOSIÇÃO.

126
Q

Algoritmos de chaves assimétricas dispensam a necessidade de um canal seguro para o compartilhamento de chaves.

A

CERTO

esse foi o principal valor gerado por parte da criptografia assimétrica, que possibilitou, inclusive a resolução do problema de troca de chaves da criptografia simétrica.

127
Q

Na criptografia assimétrica, o algoritmo ………………………. não provê característica de segurança da informação (Confidencialidade, Integridade, Disponibilidade, Autenticação ou Irretrabilidade). É usado apenas para troca de chaves em um ambiente inseguro, nada mais.

Diffie-Hellman

A

Diffie-Hellman

portanto, está sujeito a ataques de interceptação, como o Man-in-the-middle

128
Q

O protocolo Diffie-Hellman somente será seguro se a autenticação dos dois participantes puder ser estabelecida.

A

CERTO

O protocolo de acordo de chaves Diffie-Hellman é vulnerável ao ataque ​man-in-the-middle porque não autentica os participantes. Essa vulnerabilidade pode ser contornada com o uso de assinaturas digitais​ e ​certificados de chave pública​.

129
Q

O protocolo de acordo de chaves Diffie-Hellman é vulnerável ao ataque ​man-in-the-middle porque ……………………….. Essa vulnerabilidade pode ser contornada com o uso de assinaturas digitais​ e ​certificados de chave pública​.

A

não autentica os participantes.
Essa vulnerabilidade pode ser contornada com o uso de assinaturas digitais​ e ​certificados de chave pública​.

130
Q

Considerando-se os algoritmos de criptografia tradicionais (RSA, por exemplo), tem-se a garantia que é impossível determinar a chave privada a partir do conhecimento da chave pública.

A

ERRADO

Essa questão de ser incondicionalmente seguro não existe, conforme comentamos. Na prática, temos os conceitos de computacionalmente seguro.

“Os algoritmos não garantem que seja impossível, a garantia é que seja computacionalmente inviável que um invasor determine a chave privada caso conheça a chave pública. Uma forma de ataque aos sistemas de chave pública é, portanto, tentar calcular a chave privada, dada a chave pública. A tentativa faz sentido, pois a história da criptoanálise mostra que um problema que parece insolúvel de um ponto de vista pode ter uma solução se for visto de uma maneira inteiramente diferente.”

131
Q

RSA – Rivest, Shamir and Adelman: Possui a característica de ser utilizado tanto para processos de cifragem como para …………………………

A

produzir hashes

Sua robustez reside na dificuldade de se fatorar números extensos.

132
Q

A robustez do algoritmo RSA reside na dificuldade de se fatorar números extensos. Sugere-se, atualmente, que sejam utilizadas chaves de 2048 a 4096 bits para aumentar a robustez contra ataques de força bruta. Entretanto, diversas aplicações utilizam chaves de 1024, até porque, quanto maior a chave, maior o processamento do algoritmo.

A

CERTO

133
Q

A robustez do algoritmo RSA reside na dificuldade de se …………………. números extensos. Sugere-se, atualmente, que sejam utilizadas chaves de …… a …… bits para aumentar a robustez contra ataques de força bruta. Entretanto, diversas aplicações utilizam chaves de ……, até porque, quanto maior a chave, maior o processamento do algoritmo.

A

A robustez do algoritmo RSA reside na dificuldade de se fatorar números extensos. Sugere-se, atualmente, que sejam utilizadas chaves de 2048 a 4096 bits para aumentar a robustez contra ataques de força bruta. Entretanto, diversas aplicações utilizam chaves de 1024, até porque, quanto maior a chave, maior o processamento do algoritmo.

134
Q

O algoritmo de Euclides estendido está inserido nos cálculos do RSA.

A

CERTO

Todo o processo é feito a partir da divisão de blocos de tamanhos limitados.

135
Q

Todo o processo do algoritmo de criptografia …….. é feito a partir da divisão de blocos de tamanhos limitados.

A

RSA

Sua robustez reside na dificuldade de se fatorar números extensos.

136
Q

O algoritmo de criptografia …………………. possui como segurança de seu sistema a dificuldade do cálculo de logaritmos discretos em um corpo finito.

A

El Gamal

Possui três componentes básicos: gerador de chaves, algoritmo de cifragem e algoritmo decifragem.

137
Q

El Gamal: possui como segurança de seu sistema a dificuldade do cálculo de logaritmos discretos em um corpo finito. Sua principal aplicação é na transferência de assinaturas digitais e trocas de chaves no estabelecimento de comunicações. Possui três componentes básicos: ……………………., algoritmo de cifragem e algoritmo decifragem.

A

gerador de chaves

138
Q

Além de possuir algumas características de algoritmos de criptografia simétrica, o ……………………. possui um processo similar ao Diffie-Hellman. Um grande exemplo de utilização é no PGP (Pretty Good Privacy).

A

El Gamal

139
Q

One-Time Pad - OTP: se utilizada da forma correta, é considerada ………………………………………………………..
Utiliza a combinação caractere por caractere com uma chave secreta aleatória, que deve ter, necessariamente, o mesmo tamanho da mensagem em claro. Esse é limitador de implementação do OTP. A chave deverá ser usada uma única vez e destruída após o uso.

A

inquebrável, ou incondicionalmente segura

Importante diferenciar o termo incondicionalmente seguro de computacionalmente seguro. Este último está relacionado ao fato de que o custo de quebrar a cifra é superior ao valor da informação codificada ou que o tempo exigido para quebrar a cifra é superior ao tempo de vida útil da informação.

140
Q

Algoritmo ………………….: se utilizada da forma correta, é considerada inquebrável, ou incondicionalmente segura.
Utiliza a combinação caractere por caractere com uma chave secreta aleatória, que deve ter, necessariamente, o mesmo tamanho da mensagem em claro. Esse é o seu limitador de implementação: a chave deverá ser usada uma única vez e destruída após o uso.

A

One-Time Pad - OTP

141
Q

Para que a criptografia de chave pública seja considerada segura, uma das premissas é que o conhecimento do algoritmo, o conhecimento de uma das chaves e a disponibilidade de amostras de texto cifrado sejam, em conjunto, insuficientes para determinar a outra chave.

A

CERTO

De fato, os três pontos apresentados são características desses algoritmos. Há o conhecimento público da chave pública e do algoritmo utilizado. Além disso, caso o usuário intercepte a mensagem cifrada, isso, por si só, não permite que ele obtenha informações da chave privada.

142
Q

No RSA (Rivest-Shamir-Adleman), o texto claro é criptografado em blocos com valor ……………. limitado.

A

binário

Sua robustez reside na dificuldade de se fatorar números extensos.

143
Q

Quais são as 4 etapas do processo de ASSINATURA DIGITAL?

A

1) Gera-se o HASH da mensagem em claro;
2) Aplica-se o algoritmo de criptografia assimétrica utilizando a chave privada do EMISSOR sobre o HASH gerado no passo 1;
3) Tem-se a Assinatura Digital;
4) Envia-se ao destinatário a Assinatura Digital gerada e a mensagem original;

144
Q

Embora o algoritmo RSA satisfaça aos requisitos necessários para prover assinatura digital, ele é utilizado, por questões de desempenho, em conjunto com funções de hashes criptográficos, como SHA-1.

A

CERTO

145
Q

A troca de informações entre autoridades certificadoras para o estabelecimento de certificados digitais validados mutuamente entre elas é denominada …………………………….

A

CERTIFICAÇÃO CRUZADA - Duas ACs trocam informações usadas em estabelecimento de um certificado cruzado. Um certificado cruzado é um certificado emitido por uma CA para outra CA que contém uma CA chave de assinatura usada para emitir certificados.

145
Q

Um certificado digital contém, entre outros aspectos, a chave privada do emissor do certificado para que seja possível a verificação da chave pública.

A

ERRADO

A chave privada é de conhecimento apenas do dono. Não há o que se falar de inserir essa informação no certificado digital para acesso público.

146
Q

No contexto de protocolos de gerenciamento de certificados digitais, além do REGISTRO, há também o denominado …………………….., que visa instalar, no sistema cliente, materiais chave que tenham a relacionamento apropriado com chaves armazenadas em outro lugar na infraestrutura.

A

INICIALIZAÇÃO

Por exemplo, o cliente precisa ser considerado seguro e inicializado com a chave pública e outras informações garantidas da(s) CA(s) confiável(is), para ser garantida a cadeia de certificados. Além disso, um cliente normalmente precisa ser inicializado com seu(s) próprio(s) par(es) de chaves.

147
Q

A principal dificuldade nas trocas de listas de certificados revogados é que o cliente ou servidor que deseja verificar essa lista deve realizar download desta constantemente com vistas a manter sua base atualizada. Qual protocolo resolve essa questão?

A

OCSP – Online Certificate Status Protocol

Com o uso do OCSP, não há necessidade de download da lista. O procedimento agora é bem mais simplificado, pois basta ser enviado o número de série do certificado para o servidor OCSP e este será responsável por verificar em uma lista atualizada, respondendo a consulta com o status obtido.

148
Q

Com o uso do protocolo ………………………, não há necessidade de download da lista de certificados revogados. O procedimento agora é bem mais simplificado, pois basta ser enviado o número de série do certificado para o servidor e este será responsável por verificar em uma lista atualizada, respondendo a consulta com o status obtido.

A

OCSP – Online Certificate Status Protocol

149
Q

Entre os componentes de uma PKI, como ICP-Brasil, a autoridade certificadora raiz (AC-raiz) é a responsável pela emissão da lista de certificados revogados (LCR).

A

ERRADO

AC - Autoridade Certificadora (2º nível) é quem faz a EMISSÃO, REVOGAÇÃO E GERENCIAMENTO DOS CERTIFICADOS DIGITAIS.

150
Q

Qual a diferença entre Autoridade Certificadora - AC e Autoridade de Registro - AR.

A

AC: emitir, distribuir, renovar, revogar e gerenciar certificados digitais
AR: interface entre o usuário e a Autoridade Certificadora. tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes

151
Q

Tipos de Certificados Digitais (A1….A4 / S1……S4)

São os certificados usados para confirmação da identidade na web, correio eletrônico, transações online, redes privadas virtuais, transações eletrônicas, informações eletrônicas, cifração de chaves de sessão e assinatura de documentos com verificação da integridade de suas informações.

A

Certificado de Assinatura Digital (A1, A2, A3 e A4)

152
Q

São os certificados usados para cifração de documentos, bases de dados, mensagens e outras informações eletrônicas.

A

Certificado de sigilo (S1,S2,S3,S4)

153
Q

Tipos de Certificados Digitais (A1….A4 / S1……S4)

Feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano.

A

A1 e S1

154
Q

Tipos de Certificados Digitais (A1….A4 / S1……S4)

Feita em software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos sem capacidade de geração de chave e protegidos por senha. A validade máxima do certificado é de dois anos.

A

A2 E S2

155
Q

Tipos de Certificados Digitais (A1….A4 / S1……S4)

Feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. A validade máxima do certificado é de três anos. As chaves criptográficas têm no mínimo 1024 bits.

A

A3 e S3

156
Q

Tipos de Certificados Digitais (A1….A4 / S1……S4)

Feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. A validade máxima do certificado é de três anos. As chaves criptográficas têm no mínimo 2048 bits.

A

A4 e S4

157
Q

Algoritmos como MD5 e SHA-2 têm vulnerabilidades conhecidas de colisão, o que significa que dois conjuntos de dados diferentes podem gerar o mesmo hash. Isso os torna inadequados para aplicações de segurança avançada.

A

ERRADO

SHA-2 é avançado, não possui esse risco (apenas o SHA-1)

SHA-2 usa o método de construção Merkle-Damgård, enquanto SHA-3 usa a construção de esponja (sponge).

158
Q

Algoritmos como MD5 e SHA-1 têm vulnerabilidades conhecidas de …………………, o que significa que dois conjuntos de dados diferentes podem gerar o mesmo hash. Isso os torna inadequados para aplicações de segurança avançada.

A

COLISÃO

SHA-2 usa o método de construção Merkle-Damgård, enquanto SHA-3 usa a construção de esponja (sponge).

159
Q

Quais algoritmos de HASH são considerados inseguros e quais são seguros?

A

INSEGUROS: MD5 e SHA-1 (riscos de colisões)
SEGUROS: SHA-2 (SHA-256) e SHA-3

160
Q

A função hash, utilizada para garantir integridade e autenticidade dos dados, gera, a partir de uma entrada de qualquer tamanho, uma saída de tamanho fixo; caso dois arquivos tenham o mesmo conteúdo, mas nomes diferentes, os valores do hash MD5 serão diferentes.

A

ERRADO

o nome do arquivo em nada influencia aqui. O HASH é sempre aplicado sobre o arquivo, ou seja, sobre o conteúdo. Então, não basta o nome ser diferente, o conteúdo que precisa ser diferente para gerar a variação da saída da função HASH.

161
Q

Uma das propriedades de uma função de hash, conhecida como resistência à primeira inversão ou propriedade unidirecional, garante que, dada uma mensagem, não é possível encontrar uma mensagem alternativa que gere o mesmo valor de hash da mensagem original.

A

ERRADO

Temos aqui a descrição da característica de difusão e não de unidirecionalidade. Esta última diz respeito a incapacidade de se voltar à mensagem original a partir do valor de HASH obtido.

162
Q

No contexto de HASH, explique a diferença entre os conceitos de unidirecionalidade e difusão.

A
  • unidirecionalidade: incapacidade de se voltar à mensagem original a partir do valor de HASH obtido
  • difusão: não é possível encontrar uma mensagem alternativa que gere o mesmo valor de hash da mensagem original
163
Q

As principais aplicações das funções HASH são para garantir quais princípios de segurança?

A

integridade, autenticidade e confidencialidade.

164
Q

No contexto de HASH, existem dois tipos de ataques:
1) ataques de colisão
2) ataques de ………….

A

1) ataques de colisão
2) ataques de aniversário

165
Q

O algoritmo MD5 produz um tamanho de HASH de …… bits.

A

128 bits

166
Q

Um dos problemas que existe no algoritmo de hash MD5 está relacionado à colisão de prefixos de uma mensagem, gerando uma probabilidade alta de se compor sufixos que também produzem colisões. Qual recurso surgiu para amenizar esse problema?

A

SALT: Esse é um recurso que surgiu para amenizar o problema de prefixo. A ideia aqui é sempre acrescentar um valor fixo padrão a ser definido pelo sistema ou servidor para compor a mensagem original. Esse recurso é utilizado pelos sistemas LINUX.

167
Q

SHA-1 E SHA-2 são duas versões do algoritmo. Eles são diferentes em termos de construção e comprimento de bits. SHA-2 é uma versão aprimorada do SHA-1.
SHA-1 = …… bits
SHA-2 = …… bits

A

SHA-1 = 160 bits

O SHA-2 ocorre em vários comprimentos, geralmente em 256 bits

A família SHA-2 é composta por seis funções hash com resumos (valores de hash) que são de 224, 256, 384 ou 512 bits: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.

168
Q

SHA-1 produz um valor de dispersão de …….. bits conhecido como resumo da mensagem. Um valor de dispersão SHA-1 é normalmente tratado como um número hexadecimal de 40 dígitos.

A

160 bits (20 bytes)

169
Q

O algoritmo de criptografia AES utiliza quatro estágios diferentes, dois de permutação e dois de substituição.

A

ERRADO

No AES de fato são 4 estágios. Entretanto, temos a seguinte distribuição: três estágios de substituição (Subbytes, MixColmns e AddRoundKey) e um de permutação (shiftRows). INCORRETO.

169
Q

O algoritmo de criptografia MD5 (Message-Digest Algorithm 5) é um método que transforma uma palavra em um código criptografado único, ou seja, não é possível que duas strings diferentes produzam o mesmo hash.

A

ERRADO

Afirmar categoricamente que não é possível é uma inverdade.

170
Q

Um código gerado por uma função hash para um conjunto de dados pode garantir a sua integridade porque, ao ser calculado novamente sobre o mesmo conjunto de dados, a qualquer tempo, pode determinar, inequivocadamente, se esse conjunto foi alterado ou não.

A

CERTO

A mesma mensagem sempre gerará o mesmo HASH, considerando que a mesma função seja gerada.

171
Q

Esquema de criptografia incondicionalmente seguro significa que o custo para quebrar a cifra é superior ao valor da informação codificada ou que o tempo exigido para quebrar a cifra é superior ao tempo de vida útil da informação.

A

ERRADO

O conceito de incondicionalmente seguro está relacionado ao fato de ser inquebrável, como o One-Time-Pad. O conceito de tempo e custo está relacionado ao termo computacionalmente seguro

172
Q

No conceito de HASH, explique a diferença entre:
1) Resistência à pré-imagem
2) Resistência à segunda pré-imagem

A

1) Resistência à pré-imagem: dificuldade de encontrar uma mensagem original a partir de um valor hash específico.
2) Resistência à segunda pré-imagem: impossível encontrar uma mensagem alternativa com o mesmo valor de hash de uma determinada mensagem. Isto é, mesmo que os dados sejam semelhantes entre si, cada registro é único;

173
Q

O algoritmo RSA é baseado na construção de chaves públicas e privadas utilizando números primos. Inicialmente devem ser escolhidos dois números primos quaisquer P e Q. Quanto maior o número escolhido mais seguro será o algoritmo.

A

CERTO

174
Q

O algoritmo ………. é baseado na construção de chaves públicas e privadas utilizando números primos. Inicialmente devem ser escolhidos dois números primos quaisquer P e Q. Quanto maior o número escolhido mais seguro será o algoritmo.

A

RSA

175
Q

Na criptografia simétrica, o texto cifrado resultante depende diretamente da chave secreta e do texto inteligível, usados como entrada para o algoritmo de criptografia.

A

CERTO

Sim, a chave secreta é usada para transformar o texto inteligível em texto cifrado de forma que somente quem possua a chave correta possa decifrar a mensagem de volta para o texto original. Portanto, a segurança do sistema criptográfico depende da proteção da chave secreta.

176
Q

Um dos exemplos de criptografia assimétrica é a de chave pública, baseada em funções matemáticas e não em funções de substituição e permutação.

A

CERTO

por exemplo o RSA que usa função matemática.

177
Q

O algoritmo RSA utiliza a função matemática Totiente de Euler para gerar chaves criptográficas assimétricas públicas e privadas.

A

CERTO

A função Totiente de Euler (φ(n)) é utilizada para gerar as chaves RSA. Essa função calcula o número de inteiros positivos menores que n e coprimos com n.

178
Q

……………………. é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança.

A

vulnerabilidade

179
Q

STRIDE: nada mais é do que um modelo de ameaças (model of threats), como acrônimo para os 6 tipos de ameaças:

A

Spoofing
Tempering
Repudiation
Information Disclosure
Denial of Service
Elevation of Privilege

180
Q

Considerando as ameaças do modelo STRIDE, informe as respectivas PRORIEDADES e DEFINIÇÕES:

  • Spoofing
  • Tempering
  • Repudiation
  • Information Disclosure
  • Denial of Service
  • Elevation of Privilege
A
  • Spoofing - Autenticação - Falsificação
  • Tempering - Integridade - Adulteração
  • Repudiation - Não Repúdio - Alegar não ter feito
  • Information Disclosure - Confidencialidade - Divulgação de informações confidenciais
  • Denial of Service - Disponibilidade - negar ou degradar serviço
  • Elevation of Privilege - Autorização - obter recursos sem autorização adequada
181
Q

O termo …………………… refere-se à forma de navegação de indexadores automáticos de páginas, que visitam recursivamente todos os links de páginas na Web para descobrir novos sites e atualizações de sites conhecidos.

A

Spidering ou crawling.

182
Q

Falsificação de e-mail (E-mail spoofing): Para se manipular as informações dos e-mails, basta-se adulterar os dados do cabeçalho do SMTP, mais especificamente, do campo FROM, além dos campos REPLY-TO e RETURN-PATH.

A

CERTO

183
Q

Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar o acesso e extração indevida dos dados?

A

pode-se utilizar a criptografia para tornar os dados ilegíveis
evitando dessa forma violação da confidencialidade

184
Q

Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar as modificações indevida dos dados?

A

pode-se utilizar recursos que visam controlar a integridade dos dados como cálculos de verificação ou funções HASH

185
Q

Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar os casos em que mensagens específicas são impedidas de chegar ao destino?

A

pode-se utilizar técnicas de controle semelhantes às que são
implementadas pelo protocolo TCP para confirmação de recebimento

186
Q

Caso um atacante consiga acesso às informações trafegadas (man in the middle) o que pode ser feito para mitigar os casos em que ele usa a identidade do usuário para realizar a autenticação em serviços diversos?

A

Esse tipo de ataque, também é conhecido como ataque REPLAY. Para mitigar esse tipo de ataque, pode-se utilizar de chaves dinâmicas de
sessão com prazo curto e temporário de validade.

187
Q

Ataque ………………………………: um atacante pode introduzir ou substituir um dispositivo de rede para
induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de
senhas de acesso e informações que por ele passem a trafegar.

A

de personificação

A personificação é quando um malicioso finge ser um utilizador ou serviço legítimo para obter acesso a informação protegida

188
Q

Quando o objetivo for garantir confidencialidade e assinatura digital em uma função de hash com redução da carga de processamento, deve-se usar criptografia simétrica, para criptografar a mensagem, mais o código de hash criptografado com chave privada.

A

CERTO

189
Q

Qual a diferença entre Defacement e Phishing?

A

Defacement: foca no vandalismo, podendo afetar a integridade e disponibilidade de uma página web.
Phishing: foca no roubo de dados através de uma página falsa.

190
Q

Essa forma de ataque pode ocorrer de diversas formas, como por meio da alteração do servidor DNS (DNS Poisoning), em que se faz um apontamento para um IP de destino que armazena conteúdo similar, porém, é um site malicioso para se obter dados. Esse tipo de ataque pode acontecer tanto nos arquivos de configuração de DNS local (Cache Poisoning) quando em um servidor de consulta.

A

Pharming

ocorre quando um tráfego que originalmente deveria ir para um site legítimo é redirecionado para outro.

191
Q

Um ataque específico de DDoS que surge para aumentar ainda mais o poder de fogo é o ………………….. A ideia é utilizar zumbis para enviar requisições com endereços forjados para usuários legítimos e não infectados. Entretanto, devido ao IP forjado gerado pelos zumbis, os hosts legítimos encaminham o tráfego (resposta às requisições) à vítima, algo semelhante ao que vimos no SMURF ATTACK.

A

DRDoS ou DDoS Refletor

192
Q

O tão conhecido SPAM possui uma variação para serviços de mensagem instantânea. Chama-se ……………… Nesse caso, os indivíduos mal-intencionados utilizam dois métodos de transferência de código malicioso. Eles podem enviar um arquivo com vírus, trojan ou spyware, ou podem fazer uso de engenharia social. Uma vez que o código é executado, o usuário poderá ter sua lista de contatos violada e roubada, propagando o ataque para outros usuários.

A

SPIM - SPAM via IM

193
Q

Existem várias técnicas que usam a engenharia social. Cite 4.

A

● Vishing – uso de um sistema telefônico (VoiP, por exemplo) para ter acesso a informações pessoais da
vítima;
● Phishing ou Spear Phishing
● Hoax – mentira
● Whaling – ludibriar executivos do alto escalão de uma organização.

194
Q

Qual a diferença entre os vírus polimórficos e metamórficos ?

A
  • Polimórficos: mudança da assinatura
  • Metamórficos: mudança da assinatura, comportamento e aparência
195
Q

Os vírus ……………………………………, são executados e automaticamente conseguem transformar-se, ou seja, modificam seu próprio código ou assinatura, dificultando e adiando a detecção da ameaça pelo antivírus

A

metamórficos e polimórficos

  • Polimórficos: mudança da assinatura
  • Metamórficos: mudança da assinatura, comportamento e aparência
196
Q

Existem dois tipos de vírus que podem se transformar a cada nova infeção. Qual deles que, além de alterar sua assinatura, também mudam o comportamento, funcionalidade e aparência?

A

O vírus do tipo METAMÓRFICO

197
Q

……………………. propaga-se automaticamente pelas redes, explorando vulnerabilidades nos sistemas e aplicativos instalados e enviando cópias de si mesmo de dispositivo para dispositivo.

A

WORM

198
Q

…………………….. É responsável por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costuma propagar e, como consequência, pode afetar o desempenho de redes e a utilização de dispositivos.

A

WORM

199
Q

………………………… : um código que pode ser representado por um programa ou parte de um programa com a capacidade de gerar cópias de si mesmo e se inserindo em outros programas ou arquivos, além de executar tarefas específicas no computador da vítima como deleção de arquivos, instalação de outros programas, redução de configurações de segurança, desestabilização dos sistemas e ocupação de espaço de armazenamento.

A

VÍRUS

200
Q

………………………. depende de uma ação direta do usuário ou do SO em termos de execução do programa ou abertura de um arquivo infectado. Então o simples fato do arquivo está no seu computador não implica que você tenha necessariamente sido infectado.

A

VÍRUS

201
Q

O worm se diferencia do vírus pelo fato de se propagar por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, consumindo, assim, muitos recursos computacionais.

A

ERRADO

VÍRUS: programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.

202
Q

Em aplicações Web, a vulnerabilidade denominada ………………………. ocorre quando solicitações não autorizadas num website são enviadas a partir de um equipamento onde existe uma sessão ativa em que o website confia.

A

CSRF (cross site request forgery)

203
Q

Softwares de adware são exemplos de spyware e são utilizados para coletar informações sobre hábitos e interesses do usuário.

A

CERTO

Spyware: software espião, monitora as atividades de um sistema e envia para terceiros
• Keylogger: teclas
• Screenlogger: telas
• Adware: propagandas

204
Q

Trojan: disfarça-se de software legitimo para executar funções diversas

A

CERTO

205
Q

Escreva 3 medidas de prevenção contra ataques CSRF (cross site request forgery) .

A

1) tokens anti-csrf
2) exigir dados de autenticação nas solicitações do usuário
3) Limitar o tempo de vida de cookies da sessão
4) Verificação do cabeçalho HTTP Referer
5) Ativação do recurso HSTS - HTTP Strict Transport Security, que obriga o HTTPS.

206
Q

Constituem estratégias para evitar ataques de XSS (cross-site scripting): a utilização da flag …………… nos cookies, pela qual se evita que estes sejam manipulados por JavaScript

A

HTTPOnly

207
Q

Qual a principal diferença entre o ataque XSS e CSRF?

A

O XSS busca obter informações, roubar dados.
O CSRF busca redirecionar ações legítimas do usuário através de manipulações das requisições.

208
Q

Que tipo de ataque malicioso a um site web se caracteriza pelo envio de comandos não autorizados por parte de um usuário em que esse site confia?

A

CSRF (Cross-Site Request Forgery)

CSRF (Cross-Site Request Forgery) tira proveito da confiança que o site tem no usuário. É um tipo de ataque malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.

209
Q

O ataque …………………….. tira proveito da confiança que o site tem no usuário. É um tipo de ataque malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.

A

CSRF (Cross-Site Request Forgery)

Consiste em inserir requisições em uma sessão já aberta pelo usuário, explorando a confiança que um site tem do navegador.

210
Q

O ataque …………………. consiste na injeção de códigos maliciosos script (JavaScript ou VBScript) em um campo texto de uma página já existente, que o usuário confia.

A

XSS

explora a confiança de um utilizador para um site particular

211
Q

Em contraste ao cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.

A

CERTO

O CSRF herda a identidade e os privilégios da vítima para realizar uma operação indesejada em nome do usuário final.

212
Q

Constituem estratégias para evitar ataques de …………………..: a utilização da flag HTTPOnly nos cookies, pela qual se evita que estes sejam manipulados por JavaScript

A

XSS (cross-site scripting)

213
Q

O tipo de ataque em que o atacante explora a relação de confiança que um sítio possui com o navegador que o acessa é conhecido como ……………………….

A

CSRF (cross-site request forgery).

214
Q

A melhor maneira de evitar ataques de Cross-Site Scripting (XSS) em aplicações web é …………………

A

validar adequadamente as entradas de dados dos usuários.

XSS injeta código que roda do lado cliente. Ora, para evitar isso vc tem q controlar o que vem do cliente.

215
Q

Em geral, …………………….. se caracteriza por permitir a sobrescrita de espaços de memória utilizados por um processo, o que pode ser realizado intencionalmente ou não. A esse respeito, julgue o item que se segue.

A

buffer overflow

clássica falha de programação que possibilita ao usuário malicioso gerar indisponibilidade de serviços ou sistemas. A ideia básica é simples: aloca-se uma informação que exige espaço em memória ou registradores maiores do que se suporta, gerando um travamento da aplicação.

216
Q

Buffer overflow é um tipo de ataque que, ao explorar falha na implementação de um programa, permite escrita em um endereço de memória diferente do previamente alocado.

A

CERTO

A ideia básica é simples: aloca-se uma informação que exige espaço em memória ou registradores maiores do que se suporta, gerando um travamento da aplicação.

217
Q

Os IDS são eficazes na detecção de ataques como buffer overflow.

A

CERTO

O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow

218
Q

Aplicar sequências de entradas longas para explorar vulnerabilidades de buffer overflow é um exemplo de teste dinâmico voltado a verificar vulnerabilidades potencialmente exploráveis em um aplicativo em execução.

A

CERTO

Buffer overflow é um tipo de ataque que, ao explorar falha na implementação de um programa, permite escrita em um endereço de memória diferente do previamente alocado.

219
Q

O ataque de ………………………….. tem por característica o comprometimento do token de autenticação de um usuário, podendo esse token ser obtido interceptando-se a comunicação ou predizendo-se um token válido.

A

sequestro de sessão

envolve roubar o cookie de sessão do usuário, localizar o ID da sessão dentro do cookie e usar essas informações para assumir o controle da sessão.

220
Q

O que é Rogue Access Point e informe uma solução para detecção.

A

É a instalação um access point para receber conexões de outros dispositivos na rede como se fosse um access point legítimo na rede. Usado para interceptar dados.

Para se detectar pode ser utilizado um WIP - Wireless Intrusion Prevention System para monitorar o espectro de rádio e detectar a presença de pontos de acesso não autorizados.

221
Q

O NMAP é utilizado para ……………………………………. e uma forma de identificar seu uso é a utilização de ………………………….

A

O NMAP é utilizado para verificar quais portas estão abertas em cada host ativo na rede, e uma forma de identificar seu uso é a utilização de firewalls e IPS no intuito de identificar e filtrar esse tipo de varredura

222
Q

O NMAP permite coletar informações de computadores na rede como: sistema operacional; serviços e portas em execução/abertas; e, endereço MAC.

A

CERTO

223
Q

…………………….. é uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis.

A

Open Web Application Security Project (OWASP)

224
Q

Qual categoria OWASP top 10 possui essa recomendação?

  • Não use protocolos legados, como FTP e SMTP para transporte de dados confidenciais.
A

A02:2021 - FALHAS CRIPTOGRÁFICAS

Além de:
Desabilite armazenamento em cache para respostas que contenham dados confidenciais.

225
Q

Quais são os 3 novos riscos de segurança do OWASP Top 10 que não estavam na lista de 2017 e estão na 2021.

A

A04 - Insecure Design
A08 - Software and Data Integrity Failures
A10 - Server-Side Request Forgery

226
Q

Qual a diferença entre Segurança por Profundidade e Obscuridade?

A

SEGURANÇA EM PROFUNDIDADE: Adoção de diversas camadas de mecanismos de segurança físicos ou lógicos para proteção da informação.

SEGURANÇA POR OBSCURIDADE: Segurança por obscuridade refere-se à prática de esconder informações sobre o sistema de segurança, como configurações, algoritmos, chaves de criptografia ou qualquer outro aspecto relacionado à segurança, com o objetivo de dificultar ataques

227
Q

………………………… é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.

A

Hardening

228
Q

Quando uma técnica de hardening é aplicada, há três fatores que devem ser levados em consideração: Segurança, Risco e …………………

A

Flexibilidade

229
Q

MICROSOFT EVENT VIEWER
Há duas categorias de logs de eventos:
-
-Logs de Aplicativos e Serviços.

A

-Logs do Windows
-Logs de Aplicativos e Serviços.

230
Q

MICROSOFT EVENT VIEWER
Há duas categorias de logs de eventos:
-Logs do Windows
-

A

-Logs do Windows
-Logs de Aplicativos e Serviços.

231
Q

MICROSOFT EVENT VIEWER

Quais são os 5 tipos de logs do Windows?

A

1) Aplicativo
2) Segurança
3) Sistema
4) Instalação
5) Eventos Encaminhados

232
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos relacionados com as auditorias habilitadas
A

Segurança

233
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • tentativas de logon com ou sem sucesso
A

Segurança

233
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos relacionados com os processos de instalação e remoção de aplicativos
A

Instalação

234
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos de erros do Windows
A

Sistema

234
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • erros de falha de ativação de aplicativo específico
A

Aplicativo

235
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos relacionados com os processos de instalação e remoção de componentes do sistema
A

Instalação

235
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos relacionados com os processos de instalação e remoção de pacotes do sistema
A

Instalação

236
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos de falha durante a inicialização do Windows
A

Sistema

237
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos de erros no disco
A

Sistema

238
Q

MICROSOFT EVENT VIEWER
Os arquivos de log possuem extensão ………..

A

.EVTX

windows antigos = .EVT

239
Q

MICROSOFT EVENT VIEWER

Qual a pasta padrão dos arquivos de log no Windows atual?

A

\Windows\System32\Winevt\Logs

240
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

  • eventos de falha ao carregar drivers
A

Sistema

241
Q

MICROSOFT EVENT VIEWER
Há duas categorias de logs de eventos: Logs do Windows e Logs de Aplicativos e Serviços.

Cite exemplos de logs que são criados na categoria “Logs de Aplicativos e Serviços”.

A
  • Internet Explorer;
  • Serviço de Diretório;
  • Servidor DNS.
242
Q

MICROSOFT EVENT VIEWER - pertence a qual tipo de log?

Eventos de …………………… - Os computadores que são configurados como controladores de domínio
terão logs adicionais.

A

instalação

243
Q

O protocolo syslog é bem simples: o remetente envia uma pequena mensagem de texto (com menos de 1024 bytes) para o destinatário (“syslogd”, “serviço syslog” ou “servidor syslog”). Tais mensagens podem ser enviadas tanto por UDP quanto por TCP. O conteúdo da mensagem pode ser puro ou codificado por SSL (criptografado).

A

CERTO

O syslog é o sistema de log padrão utilizado nas distribuições GNU/Linux.

244
Q

As mensagens do SYSLOG normalmente são geradas em ………………….., mas podem ser redirecionadas para qualquer lugar através do arquivo ……………………….., que é o arquivo de configuração do Syslog.

A

As mensagens do SYSLOG normalmente são geradas em /var/log/messages, mas podem ser redirecionadas para qualquer lugar através do arquivo /etc/syslog.conf, que é o arquivo de configuração do Syslog.

245
Q

O ……………………. é o daemon do Syslog.

A

syslogd

246
Q

O nível de severidade das mensagens do Syslog varia entre 0 e …..

A

7

1) Emergenciais - nível de severidade 0
2) Alertas - nível de severidade 1 (padrão)
3) Crítico – nível de severidade 2
4) Erros – nível de severidade 3
5) Avisos – nível de severidade 4
6) Notificações - nível de severidade 5
7) Informativo – nível de severidade 6
8) Depuração – nível de severidade 7

247
Q

A ISO/IEC 27001 determina que a organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação (SGSI), bem como estabelece, entre outros requisitos, o que precisa ser monitorado e medido, assim como os métodos para monitoramento, medição, análise e avaliação.

A

CERTO

Está relacionada à:
- Segurança da Informação, Segurança Cibernética e Proteção à Privadidade
- Sistemas de gestão da segurança da informação
- Requisitos

248
Q

………………………. é a quantidade e tipo de riscos que uma organização está preparada para buscar ou reter

A

apetite pelo risco

249
Q

……………………. = causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização

A

AMEAÇA

250
Q

………………….. = fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa

A

vulnerabilidade

251
Q

ISO 27005

= ocorrência ou mudança em um conjunto específico de circunstâncias

A

EVENTO

Um evento pode consistir em uma ou mais ocorrências, e pode ter várias causas e várias consequências.
Um evento pode também ser algo que é esperado, mas não acontece, ou algo que é inesperado, mas acontece.

252
Q

ISO 27005

= pode consistir em uma ou mais ocorrências, e pode ter várias causas e várias consequências.

A

EVENTO

ocorrência ou mudança em um conjunto específico de circunstâncias

253
Q

ISO 27005

= pode também ser algo que é esperado, mas não acontece, ou algo que é inesperado, mas acontece.

A

EVENTO

ocorrência ou mudança em um conjunto específico de circunstâncias

254
Q

…………………… = um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da
informação

A

incidente de segurança da informação

255
Q

Explique:

1) Ameaça
2) Vulnerabilidade
3) Evento
4) Risco
5) Incidente

A

1) Ameaça = causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização
2) Vulnerabilidade = fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa
3) Evento = ocorrência ou mudança em um conjunto específico de circunstâncias
4) Risco = efeito da incerteza nos objetivos
5) Incidente = um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da
informação

256
Q

O tratamento de riscos pode envolver diversas atividades. Cite 4

A

— a ação de evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco;
— assumir ou aumentar o risco, a fim de buscar uma oportunidade;
— a remoção da fonte de risco
— a alteração da probabilidade
— a alteração das consequências
— o compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
— a retenção do risco por decisão consciente.

257
Q

O tratamento de riscos de segurança da informação não inclui “assumir ou aumentar
o risco, a fim de buscar uma oportunidade”, mas a organização pode ter essa opção para gestão geral
de riscos.

A

CERTO

Tratamentos de risco que lidam com consequências negativas às vezes são chamados de
“mitigação de riscos”, “eliminação de riscos”, “prevenção de riscos” e “redução de riscos”.

258
Q

………………………… = aceitação temporária do benefício potencial de ganho, ou do ônus da perda, a partir de um risco específico. Pode ser restrita a um determinado período.

A

Retenção de riscos

259
Q

= período de tempo após um incidente em que:
- o produto ou serviço deve ser retomado, ou
- a atividade deve ser retomada, ou
- os recursos devem ser recuperados

A

RTO – Recovery Time Objective
tempo objetivado de recuperação

Para os produtos, serviços e atividades, o tempo objetivado de recuperação deve ser menor do
que o tempo em que os impactos negativos que surgirão como resultado de não fornecer um produto/serviço
ou realizar uma atividade se torne inaceitável

260
Q

ISO 27005

= confirmação, através de evidência, que os requisitos especificados foram cumpridos

A

VERIFICAÇÃO

261
Q

O processo de avaliação de riscos consiste nas seguintes atividades:
1)
2)
3)

A

1) Identificação de riscos
2) Análise de riscos
3) Avaliação de riscos

262
Q

Convém que o processo de ………………………seja baseado em métodos e ferramentas
projetadas em detalhes suficientes para assegurar, diante das possibilidades, resultados consistentes,
válidos e reprodutíveis. Além disso, convém que o resultado seja comparável, por exemplo, para
determinar se o nível de risco aumentou ou diminuiu.

A

avaliação de riscos

263
Q

Tratamentos de risco que lidam com consequências negativas às vezes são chamados de “mitigação de riscos”, …………………… , ………………………… e …………………………..

A

“eliminação de riscos”, “prevenção de riscos” e “redução de riscos”.

264
Q

É responsabilidade do …………………………….. a classificação das informações dos ativos.

A

proprietário do ativo/informações

265
Q

As opções para assegurar a exatidão de um inventário de informações e outros ativos associados incluem impor automaticamente uma atualização de inventário no processo de instalação, alteração ou remoção de um ativo.

A

CERTO

Convém que a localização de um ativo seja incluída no inventário conforme apropriado.

266
Q

Convém que o inventário seja mantido pelas funções relevantes, que pode ser visto como um conjunto de inventários dinâmicos, como inventários de ativos de informação, hardware , software, máquinas virtuais (VM),
instalações , pessoal, competências, capacidades e registros.

A

CERTO

Convém que cada ativo seja classificado de acordo com a classificação das informações associadas a esse ativo.

267
Q

Convém que a propriedade de ativos seja reatribuída conforme necessário quando os atuais proprietários de ativos deixarem ou mudarem de atribuições.

A

CERTO

Convém que a propriedade seja atribuída quando os ativos são criados ou quando os ativos são transferidos
para a organização

268
Q
A