Questões ERRADAS
Questão 48
c) em uma configuração cujo bastion host é também um servidor secundário DNS, deve-se permitir pedidos
de transferência de zonas DNS de um bastion host ao servidor interno, ou seja, de pacotes TCP com portas
acima de 1023 para a porta 53 no servidor interno.
O item está marcado como incorreto ...
O ponto aqui é mais de pontuação que técnico. Isto é, neste contexto, onde o bastion host é o DNS
secundário deve-se permitir transferência de zonas do bastion host ao servidor DNS primário, ou
seja de pacotes TCP com origem no bastion e com portas acima de 1023 para a porta 53 no
servidor de DNS primário ... Zone Transfer (AXFR) ocorre na porta TCP 53 e o sentido da conexão
é do secundário para o primário.
Todos os pontos sinalizados podem ser subentendidos no texto original, assim o item está correto.
Pode-se argumentar que o termo “de um” não especifica o bastion host onde está instalado o DNS
secundário, ou que não é definido que o “servidor interno” é o DNS primário, mas neste caso o item
dá margem a dupla interpretação e deve ser anulado.
Como os demais itens estão todos corretos, a questão fica sem resposta admissível e deve ser
anulada.
Questão 58
58- Em relação às questões que envolvem a segurança na Internet é incorreto afirmar que
a) confidencialidade ou privacidade corresponde a um dos serviços de segurança cujo objetivo é a proteção
dos dados transmitidos contra ataques passivos, assim como a proteção do tráfego contra análise.
Segundo a norma ISO IEC 17799, a confidencialidade é a “garantia de que a informação é acessível
somente por pessoas autorizadas a terem acesso”. O termo privacidade é ligeiramente correlato, mas
está mais relacionado com os direitos da pessoa. A questão aqui é que não são a mesma coisa, como
o item faz parecer.
Além disto, a confidencialidade não se refere apenas a ataques passivos. O termo é mais amplo,
pois se refere a qualquer acesso não autorizado à informação, sob qualquer forma ou meio, o que
torna a assertiva, no mínimo, incompleta.
b) em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o
campo de endereço IP origem contendo um endereço de um host interno.
A técnica chamada “spoofing de IP” diz respeito a falsificar a informação do IP de origem de um
pacote, de forma a levar a vítima a identificar este pacote como sendo de uma máquina conhecida.
Se o host que o atacante está personificando estiver em uma rede interna, este IP será o dessa rede
interna conforme a assertiva, mas se o mesmo estiver em um outro ponto qualquer da INTERNET,
o IP a ser falsificado é da rede externa.
A assertiva depende de um contexto não descrito e só é verdadeira se o contexto representar uma
situação específica entre muitas possíveis.
c) o ataque DDoS (Distributed Denial of Service) é uma variação de ataques DoS. Ambos resultam em
perdas ou redução de disponibilidade e são amenizados, em alguns casos, com a utilização de autenticação
e criptografia.
Os termos “em alguns casos” e “amenizados” são genéricos o suficiente para tornar a assertiva
correta. O que ocorre é que o uso de autenticação e criptografia pode ter um efeito marginal
benéfico em alguns tipos de ataques DDoS.
Em termos práticos de segurança, existem meios mais eficientes e muitos ataques nos quais
criptografia ou autenticação não tem qualquer efeito.
d) o software VPN (Virtual Private Network) atua como um filtro porque permite que os dados trafeguem
apenas entre dispositivos para os quais o software VPN foi configurado, garantindo conexões seguras
usando uma infra-estrutura pública de comunicação.
Não. O software de VPN atua como um tunel entre duas máquinas, garantido que os dados que
trafegam entre elas o fazem de forma criptografada. Uma máquina com VPN continua na rede e, se
configurada para tal, continua fazendo outras conexões não criptografas, normalmente.
Os softwares de VPN usados em hosts pessoais permitem que, quando acionados, as demais
conexões realizadas pelo host pessoal sejam bloqueadas. Esta, entretanto, é uma configuração que
pode, ou não, ser implementada e que não se aplica para o as VPN servidor-servidor usando, por
exemplo, IPSec.
Em suma, existe uma situação particular onde a assertiva é verdade, mas no geral a mesma é falsa.
e) na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a
confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na
criptografi a de chaves assimétricas.
O problema é o termo “completude”. Ele usa chaves assimétricas para a troca de chaves de sessão.
A partir daí, usa-se chaves simétricas.
Assim, à exceção do item c, que está completamente certo, todos os demais itens tem algum
elemento errado ou incompleto, ou é verdade apenas em um contexto específico, como explicado
acima.
A questão não tem resposta possível.
Comentários
Questão 47
d) a conversão RADIX-64 e o DSS/SHA são algoritmos utilizados no projeto do PGP (Pretty Good Privacy)
para correio eletrônico, provendo especificamente o serviço de encriptação de mensagens.
O RADIX-64 não tem nada a ver com segurança. Ele converte arquivos binários anexados para um
formato mais “confortável” para o PGP. O erro aqui é no final da assertiva, já que o SHA é um
algoritimo de HASH, não faz a encriptação da mensagem (RSA, DSA, Idea).
Questão 49
e) a gerência de segurança engloba o gerenciamento de riscos, e estabelece processos de revisão e
verificação de registros e atividades, com o intuito de testar a adequação dos controles do sistema,
garantindo sua adequação à política de segurança.
O termo “Gerência de Segurança” não aparece nas normas. Em alguns livros ele aparece como um
erro de tradução ou quando o autor quer se referenciar ao “todo” do processo de segurança. Do jeito
que está aqui, o que ocorre é que um termo muito amplo está sendo usado para se referir a ações
específicas: gerenciamento de risco, auditoria (revisão e verificação de registros e atividades) e
conformidade (adequação à política de segurança).
A frase foi retirado do seu contexto e o termo “gerencia de segurança” colocado no seu início. Ela é
considerada falsa, pois quem fez a questão sabe qual o termo ou situação à qual ela se referia, mas
ao colocarem um termo demasidamente genérico (gerência de segurança) ela não está realmente
errada.
Um argumento possível é que gerenciamento de risco, auditoria e conformidade fazem parte do
processo global de política de segurança e que alguns autores chamam este processo global de
gerenciamento de segurança para diferenciar do “documento política de segurança”.
Questão 50
50- No que se refere às estratégias para backup em ambientes de rede é correto afirmar que
c) um plano de prevenção de desastres prepara uma organização para se recuperar de desastres e de faltas
de energia que não podem ser evitados.
Bom, falta de energia é uma das muitas falhas/desastres possíveis. O plano deve pensar em
TODAS, não apenas nessas. De qualquer forma o item não está errado, mas está fora do contexto da
questão. Backup e Prevenção de Desastres são coisas correlatas, mas diferentes ...
Questão 53
Apenas um comentário: eu não faço a menor idéia de como o ICF funciona (se é que funciona).
Mas para instalar o ipchains no Linux você precisa recompilar o kernel com algumas diretivas de
compilação bem específicas.
Esta foi uma questão para quem realmente trabalha com firewall no Linux. O tipo de questão que
seleciona quem já colocou a mão na massa de quem estudou para a prova, pois não há tempo
possível para este nível de detalhe em curso deste tipo.
Questão 59
b) uma maneira de efetuar a autenticação de usuários é identificá-los no ambiente e associar a cada um,
uma senha. A denominada senha one-time é um tipo de senha time-based, na qual a senha varia a cada
minuto, utilizando para tanto, um algoritmo conhecido pelo sistema e pelo dispositivo de autenticação do
usuário.
Este item é um daqueles que não está incorreto, apenas incompleto.
Percebam que a senha time-based é um tipo de senha one-time. Existem outras formas de se
implementar senhas one-time, como o método do desafio ou o da lista de senhas que apenas o
usuário possui (transferida por outros meios que não o eletrônico). Em sala, eu exemplifiquei este
último com o do caderno de códigos do Comandante de embarcações militares.
Em suma, one-time é o conceito mais amplo, e o time-based citado uma das implementações
possíveis.
Questão 60
b) utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a
partir do IRC, gerando uma espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima
forem conhecidos.
O ponto aqui é que a mensagem não é “a partir do IRC”, mas a partir da ferramenta sendo usada.
Além disso eu só preciso do IP da vítima se eu quiser enviar mensagem client-to-client. Também dá
de fazer usando o servidor :-)